Серый список (Greylisting)
Что такое Серый список (Greylisting)?
Серый список (Greylisting)Антиспам-метод, при котором неизвестные тройки отправителя сперва получают временный SMTP-отказ, а сообщение принимается только при корректной повторной попытке доставки.
Greylisting популяризировал Эван Харрис в 2003 году, метод упоминается в RFC 6647 в контексте антиспам-мер SMTP. Он опирается на то, что корректные MTA после ответа 4xx ставят письмо в очередь и повторяют попытку, тогда как многие спам-источники этого не делают. Получатель запоминает тройку (IP отправителя, MAIL FROM, RCPT TO): при первом контакте отвечает 451 4.7.1, а при повторной попытке через настраиваемую задержку принимает сообщение. После одобрения тройки последующие письма проходят без задержки. Современные реализации сужают область применения по репутации, делают исключения для известных отправителей, интегрируются с DNSBL и учитывают, что у легитимных облачных платформ часто используются короткоживущие IP, осложняющие сопоставление повторов.
● Примеры
- 01
Policy-сервер Postfix отвечает 451 при первом обращении и принимает сообщение при повторе через пять минут.
- 02
MTA добавляет диапазоны исходящих IP Google Workspace и Microsoft 365 в allowlist, чтобы критическая почта не задерживалась.
● Частые вопросы
Что такое Серый список (Greylisting)?
Антиспам-метод, при котором неизвестные тройки отправителя сперва получают временный SMTP-отказ, а сообщение принимается только при корректной повторной попытке доставки. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Серый список (Greylisting)?
Антиспам-метод, при котором неизвестные тройки отправителя сперва получают временный SMTP-отказ, а сообщение принимается только при корректной повторной попытке доставки.
Как работает Серый список (Greylisting)?
Greylisting популяризировал Эван Харрис в 2003 году, метод упоминается в RFC 6647 в контексте антиспам-мер SMTP. Он опирается на то, что корректные MTA после ответа 4xx ставят письмо в очередь и повторяют попытку, тогда как многие спам-источники этого не делают. Получатель запоминает тройку (IP отправителя, MAIL FROM, RCPT TO): при первом контакте отвечает 451 4.7.1, а при повторной попытке через настраиваемую задержку принимает сообщение. После одобрения тройки последующие письма проходят без задержки. Современные реализации сужают область применения по репутации, делают исключения для известных отправителей, интегрируются с DNSBL и учитывают, что у легитимных облачных платформ часто используются короткоживущие IP, осложняющие сопоставление повторов.
Как защититься от Серый список (Greylisting)?
Защита от Серый список (Greylisting) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Серый список (Greylisting)?
Распространённые альтернативные названия: Серый список, Tempfail greylisting.
● Связанные термины
- network-security№ 336
DNS-блоклист (DNSBL)
Механизм на базе DNS (RFC 5782), позволяющий почтовым системам обращаться к списку IP-адресов или доменов, известных рассылкой спама или вредоносного ПО, и принимать решения о блокировке, оценке или маршрутизации.
- network-security№ 984
Защитный почтовый шлюз
Периметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.
- network-security№ 1076
SPF (Sender Policy Framework)
Механизм аутентификации почты по RFC 7208, позволяющий домену публиковать в DNS, какие IP-адреса и хосты вправе отправлять письма с его доменом в envelope MAIL FROM.
- network-security№ 330
DKIM
Стандарт аутентификации почты (RFC 6376), позволяющий отправляющему домену снабжать исходящие сообщения криптографической подписью, чтобы получатели могли удостовериться в неизменности заголовков и тела.
- network-security№ 333
DMARC
Стандарт аутентификации почты по RFC 7489, позволяющий владельцу домена опубликовать политику, какой обработке подвергать сообщения, не прошедшие SPF/DKIM и проверку выравнивания.
- attacks№ 375
Подмена адреса электронной почты
Подделка заголовков письма так, чтобы оно выглядело отправленным доверенным отправителем, обычно для фишинга, мошенничества или доставки вредоносного ПО.