SysFailure

Imprimer

Les listes grises - Optimisation

.

Suggestions pour une protection plus efficace

Le Greylisting ne devient réellement efficace que si tous les MX d'un certain domaine l'utilisent.

Un nombre non négligeable d'outils d'envoi de pourriel sont déjà suffisamment évolués pour utiliser les MX secondaires d'un domaine lorsque l'envoi au primaire a échoué. Cela part de la supposition que tous les MX d'un même domaine sont en liste blanche les uns pour les autres (quel est l'intérêt de rejeter même temporairement des messages venant d'un système pour lequel vous êtes certain qu'il réémettra le message ?). Si les spammeurs peuvent envoyer sans rejet temporaire des messages vers l'un de vos MX secondaires, vous n'êtes pas plus protégé que sans le Greylisting.

Le Greylisting a un impact négatif relativement faible, qui peut être rendu encore moins intrusif si tous les MX d'un domaine utilisent la même base de données afin de garder trace des tentatives d'acheminement. Afin d'illustrer ce point, prenons l'exemple de plusieurs systèmes identifiés comme MX d'un domaine, et qui utilisent des bases de données disjointes.

Un relais autorisé, dont le délai d'attente entre deux tentatives est d'une heure, essaye d'envoyer un message à l'un des MX du domaine. Ce dernier n'a encore jamais reçu le triplet associé. Il crée donc un enregistrement dans sa base de données, et rejette temporairement le message. Une heure s'écoule, et le serveur initial ayant constaté que son message a été rejeté par un MX précis, tente un acheminement vers un autre MX du domaine. Ce second MX ne connaît pas le triplet associé au message et ne sait rien de la précédente tentative puisque les bases de données sont disjointes. Il rejette donc temporairement le message et ajoute un nouvel enregistrement dans sa base de données locale.

L'exemple précédent montre bien que les délais d'acheminement d'un message légitime peuvent être fortement accrus en cas d'utilisation de plusieurs MX. Le délai peut augmenter de telle manière que le serveur initial abandonnera l'acheminement et renverra une erreur à l'émetteur.

Afin d'éviter cette situation pathologique, il est vivement suggéré d'utiliser une base de données commune contenant les triplets identifiants les messages, dès lors que plusieurs MX sont définis pour un même domaine. Dans certaines situations, les MX sont trop distants (au sens réseau) les uns des autres pour qu'une telle base commune puisse être mise en place mais, même dans pareil cas, le Greylisting se révèle suffisamment efficace pour que le scénario précédent puisse être toléré ou que son impact puisse être diminué.