📬📧AntiSpam Technique : 👉Greylisting👈



AntiSpam Techniques ที่มีอยู่หลากหลายให้เลือกใช้เพื่อนำมาป้องกัน Spam ได้แก่ Greylisting, DNSBL, SURBL, Bayesian, Heuristic, Image spam, PDF scanning, Block/safe lists, Banned word, Sender reputation ซึ่งในวันนี้เราจะพูดถึง Greylisting เป็นอันดับแรก

ระบบ 👉Greylisting AntiSpam👈 เกิดขึ้นจากสมมุติฐานหลักๆ 2 ข้อคือ

👉1 สมมุติฐานแรกระบบเมล์เซิร์ฟเวอร์โดยปรกติทั่วไปจะมีระบบ Queue ที่จะส่งอีเมล์ซำ้เมื่อส่งไม่ผ่านในครั้งแรก และส่งซ้ำไปอีกจนหมดเวลาตามที่ผู้ดูแลระบบกำหนดไว้ โดยที่เมล์เซิร์ฟเวอร์แต่ละประเภทจะกำหนดช่วงเวลาในการส่งซ้ำแตกต่างกันไป เช่น Qmail คือ 0, 6:40, 26:40,... MS Exchange 0, 1, 2, 22,42,... Postfix 0,16.6,... Sendmail 0,15,... เป็นต้น(หน่วยเป็นนาที) โดยจะพยามส่งไปเรื่อยๆตามรอบการส่งจนหมดเวลา (Queue Liftetime) จึงตีกลับอีเมล์ไปหาผู้ส่งเพื่อแจ้งว่าไม่สามารถส่งได้ ระบบGreylisting จะทำงานโดยปฏิเสธการรับเมล์เซิร์ฟเวอร์ที่ไม่ได้อยู่ในฐานข้อมูล Greylisting IP และส่งข้อความ Temporary Failed ไปยังเมล์เซิร์ฟเวอร์ เพื่อรอให้เมล์เซิร์ฟเวอร์ที่ไม่ใช่ Spammer ส่งเมล์กลับมาใหม่ตามระบบ Queue

👉2 สมมุติฐานที่สอง Spam อยู่บนความเชื่อที่ว่า Spam คือ อีเมล์ที่ถูกส่งออกมาจาก PC หรือ Client ที่ติด Malware ประเภท Worm,Zombie หรือ Botnet ซึ่งจะถูกติดตั้งโปรแกรม SMTP ขนาดเล็กเพื่อส่งอีเมล์ Spam ออกไปเป็นจำนวนมากๆ และเมื่อมันส่งอีเมล์ฉบับไหนไม่ผ่านในครั้งแรกก็จะข้ามอีเมล์นั้นไปส่ง Spam หาอีเมล์อื่นโดยไม่มีระบบQueueเพื่อรอส่งใหม่เหมือนกับการส่งเมล์ผ่านระบบเมล์เซิร์ฟเวอร์ปรกติ การที่ระบบ Greylisting ปฏิเสธรับเมล์จาก Server แบบ Temporary failed จึงถือว่าเป็นกันป้องกัน Spam ได้

☝️สรุปได้ว่า Greylisting จะทำงานบนสมุติฐานที่ว่า Spam จะถูกส่งจาก Client PC ระบบ Greylisting จึงแกล้งไม่รับอีเมล์จาก IP ต้นทาง ที่ไม่อยู่ในฐานข้อมูล Greylist IP โดยส่งข้อความตอบกลับแบบ Tempory failed ระบบเมล์เซิร์ฟเวอร์ทั่วไปเมื่อได้รับข้อความดังกล่าวจะพยามส่งอีเมล์ซ้ำอีกไปเรื่อยๆจะหมดเวลา Queue Lifetime ที่ติดตั้งเอาไว้ เช่นภายใน 1ชั่วโมง 4ชั่วโมง แตกต่างจาก Spammer ที่ทำงานบน Client PC ที่ติด Malware แล้วส่ง Spam ออกมาจากโปรแกรม SMTP เล็กๆที่ไม่มีระบบ Queue จึงไม่ส่งอีเมล์ซ้ำอีกครั้งเมื่อได้รับข้อความ Tempory Failed ดังนั้น Spam จึงเข้ามาในระบบไม่ได้

☝️และเมื่อระบบอีเมล์ปรกติทำการส่งอีเมล์ซ้ำไปเรื่อยๆหลังจากได้รับข้อความ Temporary failed จนสิ้นสุดระยะเวลา Greylisting Period (1-120minute)ที่ผู้ดูแลระบบกำหนดไว้ ระบบจะทำการบันทึก IP ดังกล่าวเข้าไปอยู่ใน Greylisting IP ทำให้ IP นั้นสามารถส่งอีเมล์เข้ามาได้ทันทีโดยไม่มี Temporary failed แต่เนื่องจากแนวคิดของ Greylisting ที่อยู่ระหว่าง Blacklist กับ Whitelist ระบบจึงไม่ได้อนุญาติ Greylist IP ให้คงอยู่ตลอดไป แต่จะอนุญาติแค่ภายในระยะเวลาที่ไม่เกินกว่าที่กำหนดไว้ใน Greylisting TTL (1-60day)ตามที่ผู้ดูแลระบบกำหนดไว้ หลังจากสิ้นสุดระยะเวลาดังกล่าว การส่งอีเมลจะต้องไปผ่านกระบวนการ Greylisting ใหม่ ตั้งแต่เริ่มต้น

📧ข้อดีของ Greylisting คือ

➡️1 เป็นระบบที่ติดตั้งง่ายและเข้าใจง่าย เมล์ที่ผ่านเข้ามาได้คือเมล์ที่ดีทั้งหมดไม่มีการเก็บกักอีเมล์ต้องสงสัยเอาไว้ในระบบ Qurantine หรือ ทำ Subject TAG บอกว่าอีเมล์ไหนคือ Spam โดยสมมุติฐานนี้อีเมล์ที่เป็นสแปมจะผ่านเข้ามาในระบบไม่ได้เลย

➡️➡️2 Greylisting ใช้ทรัพยากรระบบน้อยมาก ไม่มีการเปรียบเทียบ Signature Spam กับอีเมล์ทั้งฉบับให้ยุ่งยาก เพียงแค่ทำ Temporary failed สำหรับ IP ที่ไม่ได้อยู่ใน Greylisting IP ภายในระยะเวลา Greylisting period

📧ข้อเสียของ Greylisting คือ


➡️1 Spam ในปัจจุบันไม่ได้ส่งออกจากแค่ Client PC เท่านั้น Malware สมัยใหม่มีการดักจับ user/password ของอีเมล์และใช้ Client PC ทำการ Authenticate กับ Mail Server จริงๆเพื่อส่ง Spam ออกไปจึงได้ใช้ประโยชน์จากระบบ Queue ของ Servr ด้วย ดังนั้นในกรณีนี้ระบบ Greylisting จึงล้าสมัยสำหรับการป้องกัน Spam ประเภทนี้

➡️➡️2 ระบบอีเมล์สมัยใหม่ที่มีขนาดใหญ่เช่น gmail.com, hotmail.com,etc เมื่อมีการส่งเมล์ซ้ำจาก Queue ในแต่ละครั้งหลังจากได้รับ Temporary failed โดยมากไม่ได้ถูกส่งออกมาจาก IP เดิมเนื่องจากใช้ระบบ SMTP Server Farm ที่มี Server อยู่เป็นจำนวนมาก ดังนั้นการส่งซ้ำจาก IP ใหม่ จึงเท่ากับการเริ่มต้นกระบวนการ Greylisting ใหม่ ทำให้การรับเมล์ผ่านระบบ Greylisting ช้าออกไปอีก

➡️➡️➡️3 ระบบ Greylisting ปรกติจะรับอีเมล์ช้าออกไปประมาณ 10-15 นาทีตามรอบการส่งเมล์ซ้ำอยู่แล้ว ทำให้การติดต่อสื่อสารล่าช้ากว่าระบบกรอง Spam แบบอื่นๆ

1,410 total views, 3 views today