Greylisting: como funciona e vantagens para um e-mail seguro

Tabela de Conteúdos

No greylisting (em português: “colocar na lista cinza”) é um método eficaz para suprimir o envio de e-mails de spam. O greylisting opera no servidor de e-mail de quem recebe e não requer nenhuma configuração por parte do remetente ou do destinatário.

Onde o greylisting é utilizado

Ao contrário dos filtros de spam, o greylisting visa bloquear a entrega de spams óbvios. Como o greylisting se baseia em um processo simples, ele é eficiente em recursos e se ajusta perfeitamente a arquiteturas de segurança modernas, como Zero Trust ou Defense in Depth. O greylisting é principalmente utilizado para combater o envio em massa ilegítimo de e-mails de spam. “Unsolicited Bulk E-Mail” (UBE) refere-se a e-mails não personalizados enviados em massa. Muitas vezes, são usados bancos de dados de endereços de e-mail comprados ou roubados.

Normalmente, o envio é efetuado a partir de computadores infectados de usuários. Conectados em botnets, esses computadores são usados para enviar spam em massa. Geralmente, nessas ondas de spam, são utilizados endereços de remetentes de e-mail falsificados.

O greylisting não é adequado para combater “Unsolicited Commercial E-Mail” (UCE). Estas são e-mails enviados individualmente, muitas vezes personalizados, por empresas ou pessoas de negócios reais. Para combater esse tipo de spam, são usados filtros baseados em conteúdo e blacklisting.

E-mail seguro para sua privacidade digital

Proteção profissional de dados e segurança
E-mail criptografado com SSL/TLS
Proteção de e-mails em qualquer dispositivo com firewalls e filtros de spam
Backups diários, proteção diária

Como funciona o greylisting

A ideia do greylisting é filtrar potenciais e-mails de spam durante o processo de entrega. Vamos observar como o procedimento de envio de e-mail funciona exatamente.

Transmissão de e-mail

Para enviar um e-mail, é utilizado o Simple Mail Transfer Protocol (SMTP). Em princípio, um e-mail enviado pela internet segue o seguinte caminho:

O remetente redige um e-mail com seu Mail User Agent (MUA). Pode ser um programa de e-mail instalado localmente ou uma interface de e-mail na web.
Para enviar o e-mail, o Mail User Agent estabelece uma conexão SMTP com o Mail Transfer Agent (MTA) do remetente. Trata-se de um software no servidor SMTP, que recebe e encaminha e-mails.
O Mail Transfer Agent da remetente encaminha o e-mail para o Mail Transfer Agent da pessoa destinatária. Se este agente aceitar o e-mail, ele será disponibilizado na caixa de correio do destinatário.
Quando a pessoa destinatária sincroniza sua caixa de correio local via IMAP ou POP3, o e-mail é exibido como uma nova mensagem.

Onde entra o greylisting

O greylisting ocorre no terceiro pass, quando o Mail Transfer Agent da pessoa destinatária recebe o e-mail. Três dados são conhecidos pelo MTA receptor antes da aceitação completa do e-mail:

O endereço IP do servidor de e-mail remetente
O endereço de e-mail do(s) remetente(s), via comando SMTP-MAIL FROM
O(s) endereço(s) de e-mail do(s) destinatário(s), via comando SMTP-RCPT TO

Como esses dados são visíveis para o Mail Transfer Agent antes da mensagem propriamente dita, eles também são chamados de “dados de envelope”. O Mail Transfer Agent registra os dados de envelope de cada e-mail recebido em uma lista, a chamada “e-mail greylist”. Aqui está um exemplo de entrada na greylist:

Endereço IP	Pessoa remetente	Pessoa destinatária
192.0.2.3	`anne@example.com`	`fred@example.net`

Serviços de hospedagem de e-mail sob medida para você

Aumente sua credibilidade com um endereço de e-mail que corresponde ao seu negócio!

Endereço de e-mail personalizado
Acesse seus e-mails de qualquer lugar
Os mais altos padrões de segurança

Primeira e segunda tentativa de entrega

Quando uma combinação de dados de envelope ocorre pela primeira vez, o Mail Transfer Agent inicialmente rejeita o e-mail. Um código de erro é retornado, indicando que houve um problema técnico. O Mail Transfer Agent remetente é solicitado a tentar a entrega do e-mail novamente após um período de espera.

Um Mail Transfer Agent legítimo e em conformidade com os padrões atenderá a este pedido e tentará encaminhar o e-mail novamente mais tarde. Em uma nova tentativa de entrega, os dados de envelope já estão na e-mail greylist; o e-mail será entregue.

Por outro lado, um Mail Transfer Agent que envia ilegitimamente geralmente não tenta novamente. E é exatamente neste ponto que a função de proteção contra spam do greylisting entra em ação: como a segunda tentativa de entrega não ocorre, o e-mail spam nunca é entregue. A pessoa destinatária, protegida por isso, não percebe nada. Uma variante muito elegante de se livrar de spam incômodo.

Greylisting: processo

O greylisting funciona por meio de várias etapas de comunicação entre a pessoa remetente e a pessoa destinatária.

(a) O Mail User Agent (MUA) entrega um e-mail ao servidor de e-mails da pessoa remetente (P).

(b) O servidor de e-mail da pessoa remetente (P) encaminha o e-mail para o servidor de e-mail do destinatário (Q). Este verifica os dados do envelope do e-mail: endereço IP do servidor remetente e os endereços de e-mail envolvidos. Se a combinação desses três dados ainda não for conhecida pelo servidor do destinatário (Q), o servidor recusa o recebimento do e-mail apontando um erro técnico. O servidor do destinatário (Q) registra os dados do envelope em uma tabela; o e-mail é colocado na e-mail greylist.

(c) Se for um e-mail enviado legitimamente, o servidor de e-mail da pessoa remetente (P) tenta reenviar o e-mail após um tempo de espera. Como os dados do envelope já são conhecidos pelo servidor do destinatário (Q), ele entrega o e-mail. Opcionalmente, os dados do envelope são adicionados à whitelist do servidor de e-mail. Neste caso, e-mails recebidos futuramente com os mesmos dados de envelope são entregues sem atraso.

(d) Se for um e-mail enviado de forma ilegítima, geralmente não há uma nova tentativa de entrega. Neste caso, o greylisting cumpre seu propósito como uma ferramenta de combate ao spam; o e-mail ilegítimo nunca é entregue.

Greylisting como parte de uma proteção abrangente contra spam

O greylisting é geralmente utilizado em combinação com outras tecnologias de combate ao spam. Com Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC), o tráfego de e-mail é protegido contra formas comuns de abuso.

Combinação de greylisting e outros métodos

Greylisting funciona particularmente bem quando combinado com as técnicas relacionadas como whitelisting e blacklisting. Vamos analisar, como exemplo, o cronograma das tentativas de entrega no servidor de e-mail receptor:

Exemplo com greylist, blacklist e whitelist.

e1) Um e-mail de um remetente ainda não registrado na e-mail greylist (“Listado? Não.”) é recebido. O agente de transferência de e-mail recusa o recebimento do e-mail, alegando um erro técnico. Os dados do envelope são registrados na greylist.

e2) Em um momento posterior, um outro e-mail da mesma pessoa para o mesmo destinatário é recebido. Como os dados do envelope já estão contidos na greylist, o e-mail é entregue. Além disso, os dados do envelope são registrados na whitelist.

e3) Desde a última correspondência entre Anne e Fred o endereço IP do servidor SMTP de Anne mudou: antes era 192.0.2.3, agora é 192.0.2.34. Anne é tratada como remetente desconhecida e inicialmente vai para a e-mail greylist.

e4) Mais tarde, Anne escreve novamente para Fred. Desta vez, o servidor SMTP usa o endereço IP original 192.0.2.3. Como esses dados de envelope já estão na whitelist, o e-mail de Anne é entregue imediatamente.

e5) Ocorre uma tentativa de entrega do servidor 192.0.2.66. Como este está listado como servidor malicioso conhecido na blacklist, a entrega do e-mail é recusada. Ao que tudo indica, o endereço do remetente anne@example.com foi falsificado.

Quais são as vantagens e desvantagens do greylisting

Vantagem	Desvantagem
✓ Nenhuma configuração pelo usuário é necessária	✗ Usuários podem não estar cientes de que o greylisting está ativo
✓ Normalmente não leva à perda de e-mails	✗ Em casos excepcionais, e-mails legítimos podem ser perdidos
✓ O atraso na aceitação pode ajudar a colocar remetentes maliciosos na blacklist	✗ O atraso pode fazer com que os usuários questionem a funcionalidade do servidor de e-mails: “Às vezes, os e-mails não chegam.”
✓ O atraso pode proteger contra novos malwares ainda não identificados	✗ Pode ser lento para conteúdos de e-mail com tempo limitado, como links de redefinição de senha etc.
✓ Ao contrário da maioria dos filtros de spam, é econômico em recursos
✓ Técnica muito eficaz, proporcionando grande alívio aos servidores de e-mail em todo o mundo

Quais problemas o greylisting pode trazer

Embora as vantagens do greylisting sejam atraentes, a técnica também apresenta alguns problemas:

O endereço IP do servidor SMTP remetente deve permanecer o mesmo. Se o endereço IP do servidor SMTP da pessoa remetente mudar, a entrada do e-mail no servidor SMTP do destinatário será avaliada como desconhecida, e o e-mail será “greylisted”.
Em certas circunstâncias, a entrega falha devido a uma implementação ou configuração inadequada do servidor de e-mails remetente. Se o Agente de Transferência de Correio do remetente não seguir a solicitação para reenviar o e-mail, não haverá entrega.
A proteção pode ser superada por spammers com o uso de recursos. Teoricamente, spammers poderiam enviar suas mensagens várias vezes para superar o greylisting. No entanto, isso envolve atualmente tanto esforço logístico que não vale a pena.
O atraso no tempo pode fazer com que conteúdos de e-mails com tempo limitado se tornem inválidos. Esse problema ocorre frequentemente na recuperação de senhas: o e-mail de redefinição de senha vem de uma pessoa até então desconhecida e, assim, fica preso no e-mail greylist do destinatário. Até que o remetente reenvie o e-mail, passa-se tanto tempo que o link de redefinição de senha ou o código de login já expirou.
Em soluções de nuvem mais modernas, o greylisting geralmente é integrado por padrão, sem que administradores ou usuários possam acessá-lo diretamente. Por isso, pode acontecer que e-mails também cheguem atrasados, sem que o motivo seja imediatamente aparente.

E-mail seguro para sua privacidade digital

Proteção profissional de dados e segurança
E-mail criptografado com SSL/TLS
Proteção de e-mails em qualquer dispositivo com firewalls e filtros de spam
Backups diários, proteção diária

Este artigo foi útil?

Spear Phishing: ataques direcionados aos seus dados

Usuários da internet são constantemente alvos de ataques cibernéticos. A maioria dos ataques é facilmente evitável, mas uma nova variante se revelou especialmente perigosa: no spear phishing, não há conteúdo sem sentido ou erros de ortografia. As mensagens fraudulentas são…

Enciclopédia

Como identificar e-mails de phishing

Todos os dias, golpistas enviam e-mails duvidosos tentando obter dados confidenciais de usuários da Internet. Isso é conhecido como phishing e não é apenas irritante; e-mails fraudulentos custam milhões por ano, pois os usuários da Internet são vítimas deles. Revelamos como…

SSL
Newsletter

E-mail whitelist: Como funciona a defesa contra spam

O que é whitelist e como usar o whitelisting para uma comunicação por e-mail sem interrupções? Uma whitelist utiliza entradas adicionadas especificamente para excluir dados indesejados ou prejudiciais do tráfego de dados. Como configurar uma lista de e-mails permitidos? Existem…

Enciclopédia