BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
deliverability

Czym jest greylisting i dlaczego poczta się opóźnia

Greylisting tymczasowo wstrzymuje pocztę od nieznanych nadawców odpowiedzią SMTP 4xx, więc boty spamowe rezygnują, a prawdziwe serwery ponawiają próbę. Dowiedz się, jak działa tryplet, dlaczego prawidłowa poczta jest jedynie opóźniana i co powinni zrobić nadawcy oraz administratorzy.

5 lip 20268 min czytania

Greylisting to technika antyspamowa, w której serwer pocztowy odbierający wiadomość tymczasowo odrzuca przesyłkę od nadawcy, którego wcześniej nie widział, zwracając odpowiedź SMTP 4xx nakazującą serwerowi wysyłającemu ponowić próbę później. Zgodne z RFC 5321 serwery pocztowe mają obowiązek umieścić wiadomość w kolejce i ponowić próbę, więc poczta dociera po krótkim opóźnieniu. Większość źródeł spamu wysyła wiadomość tylko raz i nigdy nie ponawia próby, dzięki czemu zostają po cichu odfiltrowane. Greylisting blokuje dużą część niechcianej poczty niemal bez żadnych kosztów infrastruktury, kosztem opóźnienia pierwszej wiadomości od każdego nowego nadawcy.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Jak działa greylisting

Gdy przychodzi wiadomość, serwer z greylistingiem nie akceptuje jej ani nie odrzuca trwale od razu. Zamiast tego zapisuje identyfikator próby dostarczenia i odpowiada tymczasowym niepowodzeniem. Serwer wysyłający widzi kod 4xx, zatrzymuje wiadomość w kolejce i ponawia próbę po pewnym czasie. Przy ponownej próbie serwer z greylistingiem rozpoznaje nadawcę, przyjmuje wiadomość i zwykle ją zapamiętuje, tak aby przyszła poczta nie była już opóźniana.

Identyfikator śledzony przez większość implementacji nazywa się trypletem:

  • Adres IP łączącego się serwera (duzi nadawcy, którzy rotują adresami, są często dopasowywani na poziomie podsieci /24, a nie pojedynczego adresu IP)
  • Adres nadawcy z koperty, znany też jako MAIL FROM lub Return-Path
  • Adres odbiorcy z koperty (RCPT TO)

Gdy dany tryplet pojawia się po raz pierwszy, jest nieznany, więc wiadomość zostaje wstrzymana, a serwer uruchamia licznik czasu. Jeśli ten sam tryplet powróci po upływie minimalnego okresu oczekiwania (zwykle od 1 do 20 minut), ale zanim zamknie się okno wygaśnięcia, wiadomość zostaje przyjęta. Tryplet trafia następnie na listę dozwolonych na określony czas, często od 30 do 90 dni, w którym poczta od tego nadawcy do tego odbiorcy przechodzi bez żadnego opóźnienia.

Ponieważ adres nadawcy z koperty jest częścią trypletu, greylisting jest powiązany z konfiguracją Return-Path. Aby zrozumieć, który adres jest dopasowywany, zobacz czym jest Return-Path.

Kody odpowiedzi SMTP, które biorą w tym udział

Greylisting opiera się na klasie odpowiedzi SMTP oznaczających niepowodzenie przejściowe. Wiodąca cyfra 4 oznacza przejściowe negatywne zakończenie: RFC 5321 definiuje je jako polecenie, które nie zostało przyjęte, gdzie warunek błędu jest tymczasowy i to samo polecenie może zostać zażądane ponownie. Różni się to od klasy 5xx, która sygnalizuje trwałe niepowodzenie, którego żadna liczba ponownych prób nie naprawi.

OdpowiedźKod rozszerzonyTypowe znaczenie w greylistingu
451 4.7.1Dostarczenie nieautoryzowane, wiadomość odrzuconaKanoniczne wstrzymanie w greylistingu, odpowiedź widywana najczęściej przez postmasterów
450 4.7.1Żądane działanie niewykonane, ponów późniejCzęsta alternatywna odpowiedź greylistingu
452 4.2.2Niewystarczające miejsce lub skrzynka ponad limitSporadycznie używana ponownie do wstrzymań opartych na tempie lub wolumenie

Rozszerzony kod statusu (trzyczęściowa wartość w stylu 4.7.1 zdefiniowana w RFC 3463) towarzyszy podstawowej odpowiedzi. RFC 3463 definiuje X.7.1 jako "Dostarczenie nieautoryzowane, wiadomość odrzucona", czyli decyzję polityki na poziomie hosta lub odbiorcy, a wiodąca 4 oznacza ją jako przejściową. To połączenie to dokładnie to, czym jest greylisting. Wiele serwerów dodaje czytelny dla człowieka tekst, taki jak greylisted, please try again later, aby postmasterzy mogli rozpoznać, co się stało.

Rozróżnienie między wstrzymaniem 4xx a odrzuceniem 5xx ma znaczenie. Wstrzymanie to miękki rezultat, który nadawca ponawia automatycznie; odrzucenie to twardy rezultat, który wraca do autora jako zwrot. Pełne omówienie obu klas znajdziesz w wyjaśnienie kodów błędów SMTP.

Dlaczego tak skutecznie zwalcza spam

Greylisting wykorzystuje prostą asymetrię ekonomiczną. Zgodny serwer pocztowy traktuje odpowiedź 4xx jako normalny element SMTP i utrzymuje wiadomość w kolejce do późniejszej ponownej próby, tak jak wymaga tego protokół. Większość systemów spamowych i złośliwego oprogramowania nie zachowuje się w ten sposób. Są zbudowane tak, aby wystrzelić jak najwięcej wiadomości w jak najkrótszym czasie z botnetów lub jednorazowych hostów, a potem ruszyć dalej. Gdy napotkają opór, zrywają połączenie i nigdy nie wracają, a ta jedna pominięta ponowna próba wystarcza, by zatrzymać wiadomość.

Operatorzy spamu mogliby teoretycznie zbudować prawidłowe kolejki ponownych prób, aby pokonać greylisting, i część większych operacji tak robi. Ale spowalnia to ich przepustowość, zmusza do przechowywania stanu i ułatwia identyfikację oraz umieszczanie ich infrastruktury na listach blokujących. Dla długiego ogona spamu tworzonego niskim nakładem greylisting pozostaje tanim i trwałym filtrem. Zyskuje też na czasie: podczas opóźnienia przed ponowną próbą listy blokujące działające w czasie rzeczywistym, takie jak te prowadzone przez Spamhaus, mogą wpisać nowo nadużywający adres IP, więc ponowiona wiadomość wciąż może zostać przechwycona przez inne warstwy.

Dlaczego prawidłowa poczta jest opóźniana, a nie tracona

To punkt, który najbardziej martwi nadawców, a odpowiedź jest uspokajająca. Wstrzymanie 4xx nie powoduje zwrotu wiadomości. RFC 5321 nakazuje serwerowi wysyłającemu, który otrzymuje niepowodzenie przejściowe, zachować wiadomość i podjąć próbę ponownego dostarczenia, przy czym okno ponawiania obejmuje na ogół kilka dni, zanim serwer się podda. Każda główna platforma, od Google Workspace przez Microsoft 365 po samodzielne serwery Postfix i Exim, przestrzega tej zasady. Wiadomość leży w kolejce wychodzącej i jest ponawiana automatycznie.

W praktyce większość wiadomości poddanych greylistingowi dociera w ciągu 15 do 30 minut, a często szybciej. Dokładne opóźnienie zależy od dwóch rzeczy: minimalnego okresu oczekiwania serwera odbierającego oraz harmonogramu ponawiania serwera wysyłającego. Jeśli kolejna ponowna próba nadawcy wypadnie przed upływem okresu oczekiwania greylistingu, wiadomość zostaje wstrzymana ponownie i czeka na następną próbę, dlatego niektóre wiadomości docierają dłużej.

Wiadomość zostaje utracona tylko w przypadkach skrajnych: jeśli serwer wysyłający poddaje się, zanim okno greylistingu pozwoli na przyjęcie, lub jeśli przy każdej ponownej próbie przełącza się na całkowicie inny adres IP spoza dopasowanej podsieci, przez co tryplet nigdy się nie stabilizuje. Dobrze skonfigurowani nadawcy nie napotykają tych problemów. Jednorazowe opóźnienie pierwszej wiadomości od nowego korespondenta, a potem natychmiastowe dostarczanie kolejnych, to normalne doświadczenie.

Zachowanie przy ponawianiu w szczegółach

Pętla ponawiania wygląda tak:

  1. Pierwsza próba od nieznanego trypletu zwraca 451 4.7.1. Wysyłający MTA zapisuje wstrzymanie i umieszcza wiadomość w kolejce.
  2. Wysyłający MTA czeka zgodnie ze swoim harmonogramem ponawiania (często kilka minut do pierwszej ponownej próby, potem z narastającym odstępem), po czym łączy się ponownie.
  3. Jeśli minimalny czas oczekiwania greylistingu upłynął, serwer odbierający przyjmuje wiadomość i zapisuje tryplet na swojej liście dozwolonych.
  4. Kolejne wiadomości pasujące do tego trypletu, w okresie życia listy dozwolonych, są dostarczane bez opóźnienia.

Warto znać dwa tryby awarii. Po pierwsze, nadawcy korzystający z dużych pul wychodzących adresów IP (wielu ESP o wysokim wolumenie) mogą wielokrotnie uruchamiać greylisting, jeśli odbiorca dopasowuje po dokładnym adresie IP, a nie po podsieci, ponieważ każda ponowna próba może pochodzić z innego adresu. Po drugie, jeśli twój adres IP wysyłający jest współdzielony, zachowanie innego najemcy może wpływać na to, jak odbiorcy traktują cały zakres. Wiedza o tym, czy korzystasz z infrastruktury współdzielonej, czy dedykowanej, jest tu pomocna; zobacz dedykowany a współdzielony adres IP.

Co powinni robić nadawcy

Nie zmusisz odbiorcy, aby przestał stosować wobec ciebie greylisting, ale możesz zadbać o to, by opóźnienia pozostały krótkie i nigdy nie zamieniły się w straty.

  • Potwierdź, że twój serwer wychodzący respektuje 4xx i szybko ponawia próbę. Robi to każda renomowana platforma; jeśli prowadzisz własny MTA, sprawdź, czy odstęp ponawiania z kolejki nie jest ustawiony na godziny.
  • Utrzymuj stabilny wysyłający adres IP i adres nadawcy z koperty. Spójny tryplet szybko trafia na listę dozwolonych. Częsta rotacja adresów IP przy odbiorcach niedopasowujących po podsieci działa na twoją niekorzyść.
  • Uwierzytelniaj się poprawnie. Greylisting jest odrębny od SPF, DKIM i DMARC, ale silne uwierzytelnianie i dobra historia wysyłki sprawiają, że wielu odbiorców stosuje greylisting mniej agresywnie lub pomija go, gdy już ci zaufają. Przejrzyj wyjaśnienie SPF, DKIM i DMARC i popracuj nad reputacją nadawcy.
  • Nie traktuj wstrzymania 451 jako zwrotu w logice swojej aplikacji. Ponawianie go samodzielnie, na dodatek do własnego ponawiania MTA, może tworzyć zduplikowane wysyłki.

Jeśli poczta do konkretnej domeny wydaje się utknąć, odróżnij prawdziwe opóźnienie greylistingu od problemu z dostarczalnością, takiego jak filtrowanie do spamu. Poradnik dlaczego wiadomości trafiają do spamu pomoże ci dostrzec różnicę.

Co powinni rozważyć administratorzy

Jeśli prowadzisz pocztę przychodzącą i rozważasz greylisting, kompromis jest realny. Usuwa on znaczącą ilość spamu tworzonego niskim nakładem niemal bez kosztów, ale dodaje opóźnienie do poczty przy pierwszym kontakcie, co frustruje użytkowników oczekujących natychmiastowego dostarczania resetów hasła i kodów jednorazowych. Powszechne sposoby łagodzenia obejmują dodawanie znanych, sprawdzonych nadawców i dużych dostawców do listy dozwolonych, stosowanie dopasowania po podsieci, aby nadawcy rotujący adresami IP nie byli karani, oraz ustawienie krótkiego minimalnego czasu oczekiwania rzędu kilku minut, tak aby prawidłowa poczta była opóźniana ledwie zauważalnie.

Wiele organizacji preferuje teraz filtrowanie oparte na uwierzytelnianiu za pomocą SPF, DKIM i DMARC oraz ocenę reputacji zamiast klasycznego greylistingu, ponieważ te podejścia nie opóźniają poczty transakcyjnej. Greylisting wciąż ma swoje miejsce jako jedna z warstw w konfiguracji obrony w głąb, szczególnie na mniejszych serwerach bez komercyjnego filtrowania. Diagnoza poczty przychodzącej często sprowadza się do czytania surowych nagłówków, gdzie w łańcuchu received pojawiają się adnotacje o wstrzymaniu i polityce.

Najczęściej zadawane pytania

Czy greylisting to to samo co umieszczanie na liście blokującej?

Nie. Umieszczanie na liście blokującej trwale odrzuca pocztę z adresów IP lub domen o złej reputacji, zwykle odpowiedzią 5xx. Greylisting tymczasowo wstrzymuje pocztę od każdego nieznanego nadawcy odpowiedzią 4xx i przyjmuje ją przy ponownej próbie, niezależnie od reputacji.

Jak długo trwa opóźnienie greylistingu?

Większość wiadomości poddanych greylistingowi dociera w ciągu 15 do 30 minut. Opóźnienie zależy od minimalnego okresu oczekiwania odbiorcy i harmonogramu ponawiania nadawcy, więc sporadycznie trwa dłużej, ale wiadomość nie jest tracona, dopóki nadawca ponawia próby.

Czy greylisting może spowodować trwałe niedostarczenie wiadomości?

Tylko w rzadkich przypadkach, takich jak serwer wysyłający, który zbyt wcześnie porzuca ponawianie, lub rotuje przez niepowiązane adresy IP przy każdej próbie, przez co tryplet nigdy się nie dopasowuje. Standardowe platformy pocztowe ponawiają prawidłowo, więc poczta przy pierwszym kontakcie jest opóźniana, a potem dostarczana.

Czy greylisting wpływa na SPF, DKIM lub DMARC?

Nie. Greylisting działa podczas rozmowy SMTP, niezależnie od wyników uwierzytelniania. Nadawcy z silnym uwierzytelnianiem i reputacją są często poddawani greylistingowi rzadziej lub szybciej zyskują zaufanie, ale te dwa mechanizmy są odrębne.

Chcesz potwierdzić, że twoja domena jest tak skonfigurowana, aby gładko przejść przez greylisting i wylądować w skrzynce odbiorczej? Uruchom bezpłatne skanowanie SPFWise, aby sprawdzić swoje rekordy SPF, DKIM i DMARC oraz wykryć problemy z dostarczalnością, zanim zrobią to twoi odbiorcy.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki