Greylisting bedeutet so viel wie „jemanden auf die graue Liste setzen“ und ist aktuell die am weitesten verbreitete Methode zur Unterdrückung von Spam, weil sie einfach, ressourcenschonend und zuverlässig ist. Theoretisch gehen hierbei keine legitimen E-Mails verloren.
Wer einen eigenen E-Mail-Server betreibt, sollte das Greylisting als grundlegenden Spam-Schutz implementieren. Absender oder Empfänger von E-Mails müssen keinerlei Einstellungen zum Greylisting vornehmen, da diese Art der Spam-Bekämpfung in der Verantwortung des empfangenden Mailservers liegt.
Dennoch ist es für sämtliche E-Mail-Nutzer wichtig, zu verstehen, was Greylisting bedeutet und wie es funktioniert.
Wann wird Greylisting angewandt?
Die Technologie des Greylistings zielt darauf ab, den illegitimen Versand von unerwünschten Massen-Mails (“Unsolicited Bulk E-Mail”) zu minimieren, indem es die Zustellung unterbindet. In diesem Fall erreichen die E-Mails gar nicht erst das Postfach des Empfängers, wo reguläre Spam-Filter damit beschäftigt sind, verdächtige E-Mails auszumachen und in den Spamordner zu verschieben. Greylisting zielt auf unpersonalisierte Mails ab, die an eingekaufte oder gestohlene E-Mail-Adressen versandt werden.
Von den Massen-Mails sind einzeln versandte, oftmals personalisierte E-Mails von tatsächlichen Unternehmen bzw. Geschäftsleuten zu unterscheiden – auch diese sind oftmals unerwünscht und zählen zum Spam, können aber nicht mithilfe von Greylisting bekämpft werden. Für derartige kommerzielle Mails (“Unsolicited Commercial E-Mails”) werden am besten inhaltsbasierte Filter oder schwarze Listen eingesetzt.
Wie funktioniert Greylisting?
Spammer werden frühzeitig ausgebremst
Beim Greylisting werden potentielle Spam-Mails schon im Prozess der Zustellung aussortiert, sodass sie gar nicht erst im Posteingang oder Spamordner landen.
Bei der E-Mail-Übertragung, also auf dem Weg vom Absender zum Empfänger, durchläuft eine elektronische Nachricht mehrere Stationen:
- Die E-Mail wird mithilfe des Mail User Agents – einem lokal installierten Programm oder einer Web-Anwendung – verfasst.
- Der Mail User Agent baut eine SMTP-Verbindung zum Mail Transfer Agent des Absenders auf, um die E-Mail zu versenden.
- Der Mail Transfer Agent des Absenders nimmt die E-Mail entgegen und leitet sie an den Mail Transfer Agent des Empfängers weiter. Wenn dieser die Mail annimmt, wird sie im Postfach bereitgestellt.
- Die IMAP- oder POP3-Protokolle laden die E-Mail herunter und legen sie im Posteingang ab.
Das Greylisting erfolgt im dritten Schritt, bevor der Mail Transfer Agent (MTA) des Empfängers die Nachricht entgegennimmt. Vor der Annahme sind dem MTA folgende Daten bekannt:
- Die IP-Adresse des sendenden Mailservers
- Die E-Mail-Adresse des Absenders
- Die E-Mail-Adresse des Empfängers
Jene Daten sind für den MTA einsehbar, bevor er auf den eigentlichen Inhalt zugreifen kann – wie etwa bei den Adressdaten auf einem Briefumschlag. Der MTA vermerkt nun jene Daten in der Greylist. Dies sieht in etwa so aus:
| IP-Adresse | Absender | Empfänger |
| 192.168.1.10 | h@beispiel.de | s@beispiel.de |
| 152.231.36.35 | tu-communications@ex.com | ruth.hauser@beispiel.de; trixi375@example.com; roland-deutsch@beispiel.de |
Nur, wenn das Tripel aus IP-Adresse, Absender und Empfänger bereits bekannt ist, wird die E-Mail angenommen. Bei unbekannten, erstmalig auftretenden Kombinationen weist der Mail Transfer Agent die E-Mail zunächst ab, indem er einen Code für einen temporären technischen Fehler aussendet.
Ein regulärer Mailserver wird die Zustellung zu einem späteren Zeitpunkt erneut versuchen, was nach einer definierten Wartezeit (meist 10-15 Minuten) auch möglich sein wird. Da das Tripel nun bereits in der Greylist vermerkt ist, nimmt der MTA des Empfängers die E-Mail an. Die Zustellung erfolgt, wenn auch mehrere Minuten bis wenige Stunden später.
Jetzt aber kommt der Clou: Nicht ordnungsgemäß betriebene Server unternehmen meist keinen zweiten Zustellungsversuch, da die Programme zum Spam-Versand nicht darauf ausgerichtet sind, die Antwort des Empfänger-Servers zu registrieren. Deshalb kommen Spam-Mails nicht an dem Greylisting vorbei. Noch müssen Spammer einen zu hohen logistischen Aufwand betreiben, um das Greylisting zu umgehen – es lohnt sich schlichtweg nicht für sie.
| Greylisting verzögert den E-Mail-Empfang…
Vielleicht haben Sie schonmal Ihr Passwort bei einem Onlinedienst zurücksetzen wollen und eine E-Mail mit einem entsprechenden Rest-Link angefordert, die jedoch nicht sofort in Ihrem Posteingang erschienen ist? Vielleicht haben Sie sich gewundert, warum die Nachricht erst Stunden später mit einem dann bereits abgelaufenen Link aufgetaucht ist? Schuld an dieser Verzögerung hatte nicht etwa der Onlinedienst, sondern das Greylisting. |
Greylists, Whitelists und Blacklists arbeiten zusammen
Wurde eine E-Mail zugestellt, verbleibt das vom Mailserver registrierte Daten-Tripel meist für einige Tage in der Greylist gespeichert, damit die E-Mail-Zustellung beim nächsten Mal ohne Verzögerungen ablaufen kann. Sobald mehrere E-Mails desselben Absenders ordnungsgemäß zugestellt wurden, wird die IP-Adresse automatisch auf eine Whitelist gesetzt. Andererseits werden E-Mails von Absendern, die auf der Blacklist vermerkt sind, immer direkt blockiert.
Um den Vorgang besser zu verstehen, zeigen wir hier einen beispielhaften Verlauf der Zustellungsversuche auf dem empfangenden Mailserver:
| # | IP-Adresse | Absender | Empfänger | Gelistet? | Aktion |
| 1 | 192.168.1.10 | h@beispiel.de | s@beispiel.de | Nein | E-Mail ablehnen; Daten in Greylist eintragen |
| 2 | 192.168.1.10 | h@beispiel.de | s@beispiel.de | Greylisted | E-Mail zustellen; Daten in Whitelist eintragen |
| 3 | 192.168.1.13 | h@beispiel.de | s@beispiel.de | Nein | E-Mail ablehnen; Daten in Greylist eintragen |
| 4 | 192.168.1.10 | h@beispiel.de | s@beispiel.de | Whitelisted | E-Mail zustellen |
| 5 | 152.21.4.3 | h@beispiel.de | s@beispiel.de | Blacklisted | E-Mail ablehnen |
- Eine E-Mail von einem unbekannten Absender geht ein. Der Mail Transfer Agent lehnt den Empfang mit Hinweis auf einen technischen Fehler ab und trägt die Daten in die Greylist ein.
- Zu einem späteren Zeitpunkt erfolgt ein erneuter Versuch. Da die Daten des Absenders bereits bekannt sind, wird die E-Mail zugestellt. Der Absender wird in die Whitelist eingetragen.
- Die IP-Adresse von Haralds Server hat sich geändert, weshalb Harald erneut wie ein unbekannter Absender behandelt und auf die Greylist gesetzt wird.
- Harald schickt eine E-Mail von seiner ursprünglichen IP-Adresse, weshalb die Nachricht ohne Umschweife an Simone weitergeleitet wird.
- Haralds Absenderadresse wurde gespooft – das bedeutet, dass die versandte Nachricht nicht von ihm, sondern von einer bösartigen IP-Adresse stammt. Da die IP-Adresse bereits auf der Blacklist vermerkt ist, wird die Zustellung abgewiesen.
Greylisting: Eine perfekte Lösung für alle?
Vielleicht haben Sie schon erkennen können, dass das Greylisting auch einige Probleme mit sich bringt. Falls der Mailserver des Absenders nämlich falsch konfiguriert wurde, kann es vorkommen, dass dieser keinen zweiten Versuch unternimmt, um die E-Mail zuzustellen. Allerdings gehen legitime E-Mails beim Greylisting wirklich nur in Ausnahmefällen verloren.
Ein anderes Problem tritt auf, wenn sich die IP-Adresse eines legitimen Absenders ändert – dann kommt es durch das Greylisting abermals zu Verzögerungen. In der Regel fällt dies dem Empfänger gar nicht auf. Jedoch könnten zeitlich begrenzte E-Mail-Inhalte wie Login-Codes oder Passwort-Reset-Links durch den auftretenden Zeitverzug ungültig werden.
Generell ist das Greylisting eine sehr ressourcenschonende Methode, um unerwünschte Massen-Mails schon im Vorhinein auszusortieren – und Spam-Filter sowie Spamschutz-Programme weltweit zu entlasten.
Noch einmal zusammengefasst…
- Dank Greylisting kommen massenhaft verschickte, unpersönliche Spam-Nachrichten von unbekannten Absendern gar nicht erst im Ziel-Postfach an.
- Um das Greylisting kümmern sich die Mailserver der Empfänger, während sie mit den Mailservern der Absender kommunizieren.
- Mails von unbekannten IP-Adressen werden zunächst geblockt, bis der absendende Mail Transfer Agent einen erneuten Versuch unternimmt. Dadurch kommen E-Mails – sofern der Absender nicht schon auf einer Whitelist steht – verzögert an.
- Die von Spammern verwendeten Mailserver unternehmen keine weiteren Versuche, E-Mails zuzustellen, weshalb die Nachrichten-Inhalte niemals überliefert werden.