Grey­li­sting: fun­zio­na­men­to e vantaggi per un traffico e-mail sicuro

Il grey­li­sting (in italiano: “mettere in una lista grigia”) è un metodo efficace per ridurre l’invio di e-mail spam. Questo metodo viene eseguito sul server di posta del de­sti­na­ta­rio e non richiede alcuna con­fi­gu­ra­zio­ne da parte della persona che invia o riceve.

Dove viene uti­liz­za­to il grey­li­sting?

A dif­fe­ren­za dei filtri antispam, il grey­li­sting mira a bloccare la consegna di spam. Basato su un pro­ce­di­men­to semplice, questo metodo permette di ri­spar­mia­re risorse e si adatta per­fet­ta­men­te ad ar­chi­tet­tu­re di sicurezza moderne come Zero Trust o Defense in Depth. Il grey­li­sting è uti­liz­za­to prin­ci­pal­men­te per com­bat­te­re il massiccio invio il­le­git­ti­mo di e-mail spam. Le “Un­so­li­ci­ted Bulk E-Mail” (UBE) sono e-mail non per­so­na­liz­za­te, inviate in grandi quantità. Spesso si usano archivi di indirizzi e-mail ac­qui­sta­ti o rubati.

Di frequente l’invio avviene da computer hackerati di utenti in­con­sa­pe­vo­li. Questi computer vengono collegati a botnet comandate a distanza e uti­liz­za­ti per l’invio massivo di spam. Di solito, per queste ondate di spam si ricorre a indirizzi mittente di e-mail spoofing.

Il grey­li­sting non è adatto a con­tra­sta­re le “un­so­li­ci­ted com­mer­cial e-mail” (UCE): in questo caso si tratta per di più di e-mail inviate sin­go­lar­men­te, spesso per­so­na­liz­za­te, da parte di aziende o pro­fes­sio­ni­sti realmente esistenti. Per com­bat­te­re questo tipo di spam, si uti­liz­za­no invece filtri per i contenuti e blacklist.

Come funziona il grey­li­sting?

L’idea alla base del grey­li­sting è di se­le­zio­na­re le po­ten­zia­li e-mail di spam durante la fase del recapito. Vediamo come funziona esat­ta­men­te il pro­ce­di­men­to di invio di e-mail.

Una spie­ga­zio­ne semplice della tra­smis­sio­ne delle e-mail

Per inviare un’e-mail, viene uti­liz­za­to il Simple Mail Transfer Protocol (SMTP). In linea di principio, un’e-mail inviata tramite internet segue il percorso seguente:

1. La persona mittente scrive un’e-mail con il proprio Mail User Agent (MUA). Può trattarsi di un programma di posta elet­tro­ni­ca in­stal­la­to in locale o di un’in­ter­fac­cia di un servizio webmail.
2. Per inviare l’e-mail, il Mail User Agent sta­bi­li­sce una con­nes­sio­ne SMTP con il Mail Transfer Agent (MTA) del mittente. Si tratta in questo caso di un software sul server SMTP, che riceve e inoltra le e-mail.
3. Il Mail Transfer Agent del mittente inoltra l’e-mail al Mail Transfer Agent del de­sti­na­ta­rio. Se questo server accetta l’e-mail, la troverà nella casella postale del de­sti­na­ta­rio.
4. Quando il de­sti­na­ta­rio sin­cro­niz­za la propria casella postale locale tramite IMAP o POP3, l’e-mail viene vi­sua­liz­za­ta come nuovo messaggio.

Impiego del grey­li­sting

Il grey­li­sting avviene nel terzo passaggio, quando il Mail Transfer Agent del de­sti­na­ta­rio riceve l’e-mail. Il server del de­sti­na­ta­rio riconosce tre dati prima di accettare l’e-mail completa:

• L’indirizzo IP del server di posta del mittente
• L’indirizzo e-mail del mittente, tramite il comando SMTP MAIL FROM
• L’indirizzo e-mail del de­sti­na­ta­rio, tramite il comando SMTP RCPT TO

Questi dati sono vi­sua­liz­za­ti dal server di posta elet­tro­ni­ca prima del messaggio, perciò vengono de­no­mi­na­ti anche “busta”. Il Mail Transfer Agent annota la busta di ogni e-mail in entrata in una lista, la co­sid­det­ta greylist. Qui trovi un esempio di voce nella greylist:

Primo e secondo tentativo di consegna

Quando una com­bi­na­zio­ne di busta arriva per la prima volta, il Mail Transfer Agent ini­zial­men­te rifiuta l’e-mail. Viene fornito un codice di errore che comunica la presenza di un problema tecnico. Al server di posta elet­tro­ni­ca del mittente viene richiesto di riprovare nuo­va­men­te a re­ca­pi­ta­re l’e-mail dopo un periodo di attesa preciso.

Un Mail Transfer Agent legittimo e conforme agli standard riuscirà a sod­di­sfa­re questa richiesta e tenterà in seguito di inviare nuo­va­men­te l’e-mail. Con un nuovo tentativo di recapito, la busta sarà già presente nella greylist e perciò l’e-mail verrà con­se­gna­ta.

Di solito, un Mail Transfer Agent il­le­git­ti­mo non fa una seconda prova ed è proprio su questo punto che si concentra la funzione di pro­te­zio­ne dallo spam del grey­li­sting: senza un secondo tentativo, l’e-mail di spam non sarà mai re­ca­pi­ta­ta. Il de­sti­na­ta­rio con una pro­te­zio­ne di questo tipo non ne è però con­sa­pe­vo­le. Un modo elegante per liberarsi dello spam fa­sti­dio­so.

Grey­li­sting: la procedura nel dettaglio

Close

(a) Il Mail User Agent (MUA) trasmette un’e-mail al server di posta del mittente (P).

(b) Il server di posta (P) inoltra l’e-mail al server di posta del de­sti­na­ta­rio (Q). Quest’ultimo verifica la busta dell’e-mail: l’indirizzo IP del server del mittente e gli indirizzi e-mail del mittente e del de­sti­na­ta­rio. Se la com­bi­na­zio­ne di questi tre dati non è presente nel server di posta del de­sti­na­ta­rio (Q), il server rifiuta la ricezione dell’e-mail se­gna­lan­do un errore tecnico. Il server di posta del de­sti­na­ta­rio (Q) annota la busta in una tabella; questa e-mail viene “inserita nella greylist”.

(c) In caso di e-mail legittima, il server di posta del mittente (P) proverà a inviare nuo­va­men­te l’e-mail dopo un tempo di attesa. Poiché il server di posta del de­sti­na­ta­rio (Q) conosce già la busta, sarà in grado di re­ca­pi­ta­re l’e-mail in questione. È fa­col­ta­ti­vo decidere di re­gi­stra­re la busta nella whitelist del server di posta. In questo caso tutte le e-mail future in entrata con la stessa busta verranno re­ca­pi­ta­te senza ritardi.

(d) In caso di e-mail non legittima, nor­mal­men­te il tentativo di recapito non si ripete. In questo caso il grey­li­sting ha raggiunto il suo obiettivo per com­bat­te­re lo spam e l’e-mail non legittima non sarà mai re­ca­pi­ta­ta.

Grey­li­sting come parte di una pro­te­zio­ne antispam completa

Di solito, il grey­li­sting viene uti­liz­za­to in com­bi­na­zio­ne con altre tec­no­lo­gie antispam. Il Sender Policy Framework (SPF), il Do­main­Keys Iden­ti­fied Mail (DKIM) e il Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­man­ce (DMARC) per­met­to­no di pro­teg­ge­re il traffico e-mail da forme comuni di vio­la­zio­ne.

Com­bi­na­zio­ne di grey­li­sting e altri metodi

Il grey­li­sting funziona par­ti­co­lar­men­te bene se abbinato alle fun­zio­na­li­tà simili del whi­te­li­sting e del blac­kli­sting. Guardiamo un esempio di tempo impiegato per i tentativi di recapito sul server di posta del de­sti­na­ta­rio:

Close

e1) Arriva un’e-mail da parte di un mittente non ancora inserito nella greylist (“Listed? No.”). Il server di posta elet­tro­ni­ca rifiuta il recapito dell’e-mail se­gna­lan­do un errore tecnico. La busta viene inserita nella greylist.

e2) Dopo un po’ di tempo arriva un’altra e-mail dalla stessa persona allo stesso de­sti­na­ta­rio. La busta è già contenuta nella greylist e perciò l’e-mail può essere re­ca­pi­ta­ta. In seguito, la busta viene inserita nella whitelist.

e3) Rispetto all’ultima cor­ri­spon­den­za tra Anna e Marco, l’indirizzo IP di Anna ha cambiato server SMTP: prima era 192.0.2.3, adesso 192.0.2.34. Anna viene con­tras­se­gna­ta come mittente sco­no­sciu­to e inserita nella greylist.

e4) Anna scrive di nuovo a Marco. Questa volta il server SMTP è lo stesso e riassegna l’indirizzo IP ori­gi­na­rio 192.0.2.3. Poiché questa busta è già contenuta nella whitelist, l’e-mail di Anna verrà re­ca­pi­ta­ta im­me­dia­ta­men­te.

e5) Segue un tentativo di recapito dal server 192.0.2.66. Si tratta di un noto server maligno già inserito nella blacklist e perciò il recapito dell’e-mail viene negato. Ap­pa­ren­te­men­te l’indirizzo del mittente anna@esempio.com ha subito un attacco di spoofing.

Quali sono i vantaggi e gli svantaggi del grey­li­sting?

Quali problemi comporta il grey­li­sting?

Sebbene i vantaggi del grey­li­sting siano par­ti­co­lar­men­te al­let­tan­ti, non bisogna sot­to­va­lu­ta­re alcuni problemi:

• Gli indirizzi IP del server SMTP del mittente devono restare uguali. Se cambia l’indirizzo IP del server SMTP del mittente, l’e-mail in entrata sul server SMTP del de­sti­na­ta­rio viene con­si­de­ra­ta sco­no­sciu­ta e l’e-mail inserita nella greylist.
• In alcune cir­co­stan­ze, potrebbe fallire il recapito in caso di im­ple­men­ta­zio­ni o con­fi­gu­ra­zio­ni errate del server di posta del mittente. Se il server di posta elet­tro­ni­ca del mittente non soddisfa la richiesta di un nuovo invio dell’e-mail, quest’ultima non viene re­ca­pi­ta­ta.
• Si tratta di una pro­te­zio­ne che può essere superata dagli spammer con l’ausilio di varie risorse. In teoria agli spammer basta inviare più volte un’e-mail per superare il grey­li­sting. Questo però implica notevoli sforzi logistici che non vale la pena di sostenere.
• A causa dei ritardi alcuni messaggi con contenuti in scadenza non sono più validi. Questo problema si verifica spesso per il ri­pri­sti­no di una password: l’e-mail per il ri­pri­sti­no della password viene inviata da un mittente sco­no­sciu­to e resta sospesa nella greylist del de­sti­na­ta­rio. Potrebbe passare del tempo fino a un nuovo tentativo di recapito da parte del mittente e perciò il link per il ri­pri­sti­no della password o del codice di accesso potrebbe già essere scaduto.
• Nelle soluzioni cloud moderne, il grey­li­sting è spesso integrato per im­po­sta­zio­ne pre­de­fi­ni­ta, senza che am­mi­ni­stra­to­ri o utenti possano accedervi di­ret­ta­men­te. Quindi, può succedere che anche qui le e-mail arrivino oc­ca­sio­nal­men­te in ritardo, senza che il motivo sia im­me­dia­ta­men­te evidente.