Greylisting: funzionamento e vantaggi per un traffico e-mail sicuro

Indice

Il greylisting (in italiano: “mettere in una lista grigia”) è un metodo efficace per ridurre l’invio di e-mail spam. Questo metodo viene eseguito sul server di posta del destinatario e non richiede alcuna configurazione da parte della persona che invia o riceve.

Dove viene utilizzato il greylisting?

A differenza dei filtri antispam, il greylisting mira a bloccare la consegna di spam. Basato su un procedimento semplice, questo metodo permette di risparmiare risorse e si adatta perfettamente ad architetture di sicurezza moderne come Zero Trust o Defense in Depth. Il greylisting è utilizzato principalmente per combattere il massiccio invio illegittimo di e-mail spam. Le “Unsolicited Bulk E-Mail” (UBE) sono e-mail non personalizzate, inviate in grandi quantità. Spesso si usano archivi di indirizzi e-mail acquistati o rubati.

Di frequente l’invio avviene da computer hackerati di utenti inconsapevoli. Questi computer vengono collegati a botnet comandate a distanza e utilizzati per l’invio massivo di spam. Di solito, per queste ondate di spam si ricorre a indirizzi mittente di e-mail spoofing.

Il greylisting non è adatto a contrastare le “unsolicited commercial e-mail” (UCE): in questo caso si tratta per di più di e-mail inviate singolarmente, spesso personalizzate, da parte di aziende o professionisti realmente esistenti. Per combattere questo tipo di spam, si utilizzano invece filtri per i contenuti e blacklist.

Posta elettronica sicura per la tua privacy digitale

Protezione professionale dei dati e della sicurezza
E-mail crittografata con certificato SSL/TLS
Massima protezione dai virus grazie a firewall e filtri antispam
Backup giornalieri

Come funziona il greylisting?

L’idea alla base del greylisting è di selezionare le potenziali e-mail di spam durante la fase del recapito. Vediamo come funziona esattamente il procedimento di invio di e-mail.

Una spiegazione semplice della trasmissione delle e-mail

Per inviare un’e-mail, viene utilizzato il Simple Mail Transfer Protocol (SMTP). In linea di principio, un’e-mail inviata tramite internet segue il percorso seguente:

La persona mittente scrive un’e-mail con il proprio Mail User Agent (MUA). Può trattarsi di un programma di posta elettronica installato in locale o di un’interfaccia di un servizio webmail.
Per inviare l’e-mail, il Mail User Agent stabilisce una connessione SMTP con il Mail Transfer Agent (MTA) del mittente. Si tratta in questo caso di un software sul server SMTP, che riceve e inoltra le e-mail.
Il Mail Transfer Agent del mittente inoltra l’e-mail al Mail Transfer Agent del destinatario. Se questo server accetta l’e-mail, la troverà nella casella postale del destinatario.
Quando il destinatario sincronizza la propria casella postale locale tramite IMAP o POP3, l’e-mail viene visualizzata come nuovo messaggio.

Impiego del greylisting

Il greylisting avviene nel terzo passaggio, quando il Mail Transfer Agent del destinatario riceve l’e-mail. Il server del destinatario riconosce tre dati prima di accettare l’e-mail completa:

L’indirizzo IP del server di posta del mittente
L’indirizzo e-mail del mittente, tramite il comando SMTP MAIL FROM
L’indirizzo e-mail del destinatario, tramite il comando SMTP RCPT TO

Questi dati sono visualizzati dal server di posta elettronica prima del messaggio, perciò vengono denominati anche “busta”. Il Mail Transfer Agent annota la busta di ogni e-mail in entrata in una lista, la cosiddetta greylist. Qui trovi un esempio di voce nella greylist:

Indirizzo IP	Mittente	Destinatario
192.0.2.3	`anna@esempio.com`	`marco@esempio.net`

Primo e secondo tentativo di consegna

Quando una combinazione di busta arriva per la prima volta, il Mail Transfer Agent inizialmente rifiuta l’e-mail. Viene fornito un codice di errore che comunica la presenza di un problema tecnico. Al server di posta elettronica del mittente viene richiesto di riprovare nuovamente a recapitare l’e-mail dopo un periodo di attesa preciso.

Un Mail Transfer Agent legittimo e conforme agli standard riuscirà a soddisfare questa richiesta e tenterà in seguito di inviare nuovamente l’e-mail. Con un nuovo tentativo di recapito, la busta sarà già presente nella greylist e perciò l’e-mail verrà consegnata.

Di solito, un Mail Transfer Agent illegittimo non fa una seconda prova ed è proprio su questo punto che si concentra la funzione di protezione dallo spam del greylisting: senza un secondo tentativo, l’e-mail di spam non sarà mai recapitata. Il destinatario con una protezione di questo tipo non ne è però consapevole. Un modo elegante per liberarsi dello spam fastidioso.

Greylisting: la procedura nel dettaglio

Il greylisting funziona mediante diversi passaggi di comunicazione tra il mittente e il destinatario.

(a) Il Mail User Agent (MUA) trasmette un’e-mail al server di posta del mittente (P).

(b) Il server di posta (P) inoltra l’e-mail al server di posta del destinatario (Q). Quest’ultimo verifica la busta dell’e-mail: l’indirizzo IP del server del mittente e gli indirizzi e-mail del mittente e del destinatario. Se la combinazione di questi tre dati non è presente nel server di posta del destinatario (Q), il server rifiuta la ricezione dell’e-mail segnalando un errore tecnico. Il server di posta del destinatario (Q) annota la busta in una tabella; questa e-mail viene “inserita nella greylist”.

(c) In caso di e-mail legittima, il server di posta del mittente (P) proverà a inviare nuovamente l’e-mail dopo un tempo di attesa. Poiché il server di posta del destinatario (Q) conosce già la busta, sarà in grado di recapitare l’e-mail in questione. È facoltativo decidere di registrare la busta nella whitelist del server di posta. In questo caso tutte le e-mail future in entrata con la stessa busta verranno recapitate senza ritardi.

(d) In caso di e-mail non legittima, normalmente il tentativo di recapito non si ripete. In questo caso il greylisting ha raggiunto il suo obiettivo per combattere lo spam e l’e-mail non legittima non sarà mai recapitata.

Greylisting come parte di una protezione antispam completa

Di solito, il greylisting viene utilizzato in combinazione con altre tecnologie antispam. Il Sender Policy Framework (SPF), il DomainKeys Identified Mail (DKIM) e il Domain-based Message Authentication Reporting and Conformance (DMARC) permettono di proteggere il traffico e-mail da forme comuni di violazione.

Combinazione di greylisting e altri metodi

Il greylisting funziona particolarmente bene se abbinato alle funzionalità simili del whitelisting e del blacklisting. Guardiamo un esempio di tempo impiegato per i tentativi di recapito sul server di posta del destinatario:

Esempio con greylist, blacklist e whitelist.

e1) Arriva un’e-mail da parte di un mittente non ancora inserito nella greylist (“Listed? No.”). Il server di posta elettronica rifiuta il recapito dell’e-mail segnalando un errore tecnico. La busta viene inserita nella greylist.

e2) Dopo un po’ di tempo arriva un’altra e-mail dalla stessa persona allo stesso destinatario. La busta è già contenuta nella greylist e perciò l’e-mail può essere recapitata. In seguito, la busta viene inserita nella whitelist.

e3) Rispetto all’ultima corrispondenza tra Anna e Marco, l’indirizzo IP di Anna ha cambiato server SMTP: prima era 192.0.2.3, adesso 192.0.2.34. Anna viene contrassegnata come mittente sconosciuto e inserita nella greylist.

e4) Anna scrive di nuovo a Marco. Questa volta il server SMTP è lo stesso e riassegna l’indirizzo IP originario 192.0.2.3. Poiché questa busta è già contenuta nella whitelist, l’e-mail di Anna verrà recapitata immediatamente.

e5) Segue un tentativo di recapito dal server 192.0.2.66. Si tratta di un noto server maligno già inserito nella blacklist e perciò il recapito dell’e-mail viene negato. Apparentemente l’indirizzo del mittente anna@esempio.com ha subito un attacco di spoofing.

Quali sono i vantaggi e gli svantaggi del greylisting?

Vantaggio	Svantaggio
✓ Non è necessaria la configurazione da parte dell’utente	✗ L’utente non sa che il greylisting è attivo
✓ Di solito non comporta perdite di e-mail	✗ In alcuni casi eccezionali possono perdersi e-mail legittime
✓ I ritardi nella ricezione possono aiutare a inserire i mittenti maligni nella blacklist	✗ A causa dei ritardi, l’utente potrebbe mettere in discussione le funzionalità del server di posta: “A volte non mi arrivano le e-mail.”
✓ I ritardi possono proteggere da malware nuovi e non ancora identificati	✗ Nel caso di e-mail con contenuto a scadenza (come i link per ripristinare le password ecc.) può risultare troppo lento
✓ Rispetto alla maggior parte dei filtri antispam, permette di risparmiare risorse
✓ Tecnica molto efficace che alleggerisce il server di posta in tutto il mondo

Quali problemi comporta il greylisting?

Sebbene i vantaggi del greylisting siano particolarmente allettanti, non bisogna sottovalutare alcuni problemi:

Gli indirizzi IP del server SMTP del mittente devono restare uguali. Se cambia l’indirizzo IP del server SMTP del mittente, l’e-mail in entrata sul server SMTP del destinatario viene considerata sconosciuta e l’e-mail inserita nella greylist.
In alcune circostanze, potrebbe fallire il recapito in caso di implementazioni o configurazioni errate del server di posta del mittente. Se il server di posta elettronica del mittente non soddisfa la richiesta di un nuovo invio dell’e-mail, quest’ultima non viene recapitata.
Si tratta di una protezione che può essere superata dagli spammer con l’ausilio di varie risorse. In teoria agli spammer basta inviare più volte un’e-mail per superare il greylisting. Questo però implica notevoli sforzi logistici che non vale la pena di sostenere.
A causa dei ritardi alcuni messaggi con contenuti in scadenza non sono più validi. Questo problema si verifica spesso per il ripristino di una password: l’e-mail per il ripristino della password viene inviata da un mittente sconosciuto e resta sospesa nella greylist del destinatario. Potrebbe passare del tempo fino a un nuovo tentativo di recapito da parte del mittente e perciò il link per il ripristino della password o del codice di accesso potrebbe già essere scaduto.
Nelle soluzioni cloud moderne, il greylisting è spesso integrato per impostazione predefinita, senza che amministratori o utenti possano accedervi direttamente. Quindi, può succedere che anche qui le e-mail arrivino occasionalmente in ritardo, senza che il motivo sia immediatamente evidente.

Posta elettronica sicura per la tua privacy digitale

Protezione professionale dei dati e della sicurezza
E-mail crittografata con certificato SSL/TLS
Massima protezione dai virus grazie a firewall e filtri antispam
Backup giornalieri

Hai trovato questo articolo utile?

Tutte le novità sull'IA

Iscriviti alla nostra newsletter per ricevere consigli pratici e scoprire le ultime tendenze in fatto di IA.

Articoli popolari

Cos’è un dominio e-mail e come si configura?

Comunicare professionalità con il vostro dominio di posta elettronica: questi sono i…

Come si compra un dominio? Una guida

Come si registra un dominio e si ottiene il TLD e il Second-level domain desiderato? E…

Quali tipi di dominio esistono?

Quali estensioni di dominio esistono? Qual è la differenza tra i domini di primo e di…

Cos’è il prompt engineering?

Cos’è il prompt engineering? In che modo permette di migliorare i risultati di ChatGPT e…

Tipologie di siti web a confronto: i 7 tipi di siti web più noti

La scelta del giusto tipo di sito web non è da sottovalutare e contribuisce al successo…

Articoli simili

Captcha: codici, immagini e indovinelli per proteggersi dallo spam

Il captcha è da anni un male necessario per proteggere dallo spam le applicazioni web interattive, come i moduli online. Il test di Turing pubblico, completamente automatico, per distinguere tra computer e persone smaschera richieste automatiche effettuate dagli spam bot e riduce…

Negozio Online
E-Commerce

Spear phishing: attacchi mirati ai tuoi dati

Gli utenti di internet sono costantemente bersaglio di attacchi informatici. La maggior parte degli attacchi può essere facilmente respinta, ma una nuova variante si è dimostrata particolarmente pericolosa: nello spear phishing non ci sono tracce di contenuti insensati o errori…

Lessico

Riconoscere le e-mail di phishing: uno sguardo agli indizi

I messaggi sospetti con i quali i truffatori vogliono entrare in possesso di dati sensibili sono una seccatura quotidiana per molti utenti di Internet. Ma il cosiddetto phishing non è solo fastidioso: le e-mail fraudolente causano ogni anno milioni di danni. Ecco come rilevare le…

SSL
Newsletter
Sicurezza

Andrey_PopovShutterstock

Whitelist di e-mail: come funziona una difesa antispam efficace

Cos’è una whitelist e come si può utilizzare per una comunicazione e-mail senza interruzioni? Una whitelist utilizza voci aggiunte miratamente per escludere dati indesiderati o dannosi dal traffico dati. Come si configura una tale lista? Ci sono possibilità presso il proprio…

Lessico

Blacklist delle e-mail: protezione efficace contro le e-mail di spam

Come proteggersi efficacemente dallo spam nella casella di posta elettronica? Diverse metodologie permettono di inserire i messaggi dannosi o indesiderati nelle cosiddette blacklist. Ma cosa fare se ci si trova su una di queste blacklist? Come è possibile rimuovere il proprio…

Guida