GreyListing – Problema amb l’exchange 2003

A vegades trobem missatges a la cua del SMTP que no han estat entregats, i que tampoc han reportat cap NDR a l’usuari que el va enviar.

Això és degut a un problema de l’exchange 2003 SP2 amb el GreyListing.

El Greylisting és una implementació que s’està estenent a tots els productes de correu i filtre d’spam que permet filtrar el correu SPAM segons l’origen, sense haver-lo de comparar amb cap llista BlackList ni buscar a una llista de RBL.

El mecanisme del GreyListing és molt senzill. Quan arriba un correu, el servidor obté la IP Origen, el destinatari i l’adreça origen del missatge.

Si és la primera vegada que veu aquesta tripleta, denega la connexió amb un codi SMTP 451 (reintentar més tard). Aleshores el servidor origen al rebre aquesta resposta, posa el missatge a la cua i ho torna a intentar més tard. Si el “servidor” és un Spammer, el més probable és que no ho torni a reintentar, i ens estalviem el correu SPAM.

Fins aquí tot sembla correcte.

El problema és que Exchange 2003 no sap interpretar correctament aquest missatge SMTP 451, i a vegades (no sempre), deixa el missatge en un estat “catatònic”, sense enviar NDR a l’usuari ni reenviar novament el missatge.

Aquest comportament està definit al categoritzador avançat SMTP (SMTP Advanced Queuing Engine). Per defecte, quan arriba un missatge 400 d’un servidor SMTP, el que fa es reintentar durant un timeout especificat a GlitchRetrySeconds al registre (normalment 60 segons) durant dues vegades més. Si falla 3 vegades, aleshores ho posa al final de la cua SMTP per tornar-ho a reintentar, i per no aturar la resta de la cua.
El problema és que aquest temps de Glitch és massa curt, i aleshores el missatge és queda en un d’aquests 3 reintents, sense passar al cua novament, i sense avisar a l’usuari.

Hi ha diverses solucions a aquest problema. Una d’elles es aturar i arrencar el servei SMTP del servidor. Per fer això podem fer un script que cada dia ho faci. Fem un net start smtpsvr && net stop smtpsvc en una tarea programada, i obtenim aquest reinici programat.

L’altre sistema és esperar que Microsoft tregui un pedaç.

També podem incrementar el temps de GlitchRetrySeconds a 120 segons, i sembla que el problema desapareix.

Quan aparegui l’article solucionant el problema, el penjaré aquí.

Sembla que PSS de Microsoft ja té algun pedaç que proporciona a qui truca solicitant suport, però encara no tinc les dades.

Evitar l’SPAM als comptes de correu propis

Una de les fonts d’SPAM més habituals són els registres en les webs. El sistema més utilitzat per aquestes webs (les de forums, sobretot) és demanar-te un registre mitjançant una adreça de correu electrònic. Un cop registrat l’usuari, t’envien un correu a aquesta adreça per poder activar el compte d’usuari.

El problema, es que després de manera “misteriosa” comences a rebre missatges d’SPAM en aquest compte de correu.

Una possible solució a aquest problema son els comptes de correu no permanents de 10 minuts, com per exemple:

10 minute email

Aquí ens podem crear un compte de correu en només un click, i després de 10 minuts quedarà esborrat. Només cal que esperem el mail de confirmació del fòrum, fem click en l’enllaç d’activació, i tanquem la pàgina. Aquella adreça de correu mai més es podrà fer servir ni per rebre SPAM, ni per cap altre motiu.

Estadístiques de SPAM

Podem veure les estadístiques de entrada de correu d’un domini SMTP en aquesta Web:

 Senderbase.org

 Com ells mateixos comenten, és la base de dades d’estadístiques més gran d’Internet.

This data source includes multiple data sources: global volume data, message composition data, spam traps and complaint data, blacklists, third party email accreditation, open proxy data along with other information such as history or IP addresses and domains.
The SenderBase website provides access to comprehensive data for ISP’s and companies to use in order to differentiate legitimate senders from spammers and other attackers. IronPort Systems, the leading email security company, provides access to this website as a free service to those involved in protecting their network from email-based threats.

SenderBase is the technology that allows IronPort Reputation Filters to block 75% of incoming spam at the connection level, with less than 1 in 1M false positives. SenderBase also enables IronPort Virus Outbreak Filters to stop virus outbreaks as much as 42 hours ahead of industry standard signature availability. Only IronPort has access to the global traffic data of SenderBase.

Aquí es poden veure clarament els increments de correu deguts a l’SPAM en un domini concret