Greylisting

O correio electrónico é um conjunto de tecnologias que permite compor, enviar e receber mensagens através de uma rede de computadores, como a internet. Apesar de actualmente existirem as mais variadas formas de o conseguir, mais correntemente através de sistemas de Instant Messaging como o MSN, Yahoo Messenger, ou outros, o método pioneiro para o efeito é ainda o mais usado pelos utilizadores da rede global.

O E-mail, como habitualmente é conhecido, foi criado à imagem do sistema de correio convencional e possui, por isso, um conjunto de características pouco desejáveis. Apesar da troca de mensagens ser virtualmente instantânea e de não possuir um aparente custo de envio associado, como acontece com o envio de cartas pelo correio, o E-mail herdou fragilidades do sistema de envio de mensagens por carta.

Quer no sistema de envio por carta, quer no sistema de envio electrónico, é possível forjar os remetentes das mensagens, não havendo habitualmente garantias que a identificação e endereço que figura no envelope é efectivamente da pessoa que as enviou. Este sentido de impunidade aliado à facilidade técnica, e ao baixo custo no envio, são os principais responsáveis pelo crescimento exponencial do volume de correio electrónico não solicitado. Estima-se que o Spam, como habitualmente é conhecido, seja responsável por aproximadamente 80% a 90% do total de mensagens de correio electrónico que circulam na internet.

Na tentativa de não deixar os sistemas de correio electrónico sucumbir a esta praga, que ameaça diariamente a utilização deste meio de comunicação essencial, foram criados ao longo do tempo vários mecanismos de controlo e verificação das mensagens. Esses mecanismos vão desde verificações do cumprimento das regras definidas para a troca de E-mails, passando pela classificação e partilha de informação relativa às fontes que enviam as mensagens, até, mais recentemente, a sofisticados programas que analisam os conteúdos das mensagens e as classificam consoante o resultado da análise estatística da sua composição.

Outro dado importante, e que foi constatado ao longo do tempo, é que uma grande percentagem da totalidade do Spam é proveniente de postos de trabalho infectados com vírus cujo único objectivo é a propagação do próprio vírus, e a propagação de mensagens não solicitadas. Devido à sua natureza, esses pequenos programas não possuem a complexidade de um normal cliente de correio electrónico, estando normalmente programados para fazer uma única coisa. Enviar o máximo de mensagens no menor período de tempo.

Estima-se que cerca de 75% do Spam seja actualmente enviado por postos de trabalho infectados. O Greylisting é uma técnica de combate a este tipo específico de Spam. Para o fazer, os sistemas de correio electrónico com ele apetrechados baseiam-se no comportamente expectável de um sistema remoto de E-mail.

Este método pressupõe o cumprimento das regras e recomendações na troca de mensagens de correio electrónico, definido pelo RFC 5321. Apesar de em RFC anteriores, que definiam o protocolo SMTP, existirem algumas dúvidas quanto à viabilidade da utilização do greylisting, já que alguns requisitos para a sua utilização seriam apenas recomendações comportamentais e não obrigações, neste momento podemos afirmar que qualquer MTA que siga o RFC em vigor, para o protocolo SMTP, não terá qualquer problema em lidar com a aplicação do Greylisting.

Quando uma mensagem é entregue num qualquer sistema de E-mail, e antes da transmissão da mensagem se iniciar, os intervenientes na transação trocam algumas mensagens de controlo. Parte dessas mensagens define quem é o possível remetente e quem é o destinatário. Também ainda antes da mensagem ser transmitida, e mesmo da troca das mensagens de controlo, o servidor que está prestes a receber a mensagem possui também a informação do endereço IP do servidor que lhe está a tentar entregar o E-mail.
Munido desta informação inicial, um servidor configurado para usar Greylisting vai manter uma base de dados de tuplos com o endereço IP, o endereço do remetente e do endereço do destinatário. Estes dados vão ajuda-lo a decidir se a tentativa de entrega é ou não fidedigna.

Parte do conjunto de regras definidas pelo RFC do protocolo SMTP dita que é responsabilidade do sistema que efectua a entrega da mensagem, a garantia da entrega da mesma, devendo reter a mensagem em sua posse, para tentativa de entrega posterior, quando o servidor aceitante apresente dificuldades temporárias na recepção da mensagem.

Como vimos anteriormente, a lógica programática dos vírus responsáveis pelo envio de Spam é extremamente simples, querendo vingar pelo volume e rapidez da entrega. Se inicialmente lhe for vedada a entrega das mensagens, o vírus não tentará uma entrega posterior, desse mesmo computador, desse mesmo remetente, para o mesmo destinatário.
Um servidor de envio legítimo tentará a entrega da mensagem, em intervalos de tempo regulares, até que o servidor aceitante ultrapasse as dificuldades temporárias e a mensagem seja transmitida com sucesso.

Abaixo podemos observar o esquema que representa o comportamento de um sistema de correio electrónico preparado para utilizar Greylisting.

A principal vantagem, do ponto de vista do utilizador, é que o greylisting não requer qualquer configuração adicional do cliente de correio electrónico. Se o servidor que usa Greylisting estiver devidamente configurado, o utilizador final poderá notar apenas um atraso na entrega da primeira mensagem de um determinado remetente. A partir do momento em o servidor de e-mail de envio for identificado como uma entidade que já tinha efectuado essa tentativa de entrega, a mensagem é automaticamente aceite.

Do ponto de vista de um administrador de um sistema de correio electrónico o benefício é duplo. O Greylisting, normalmente, obriga a uma configuração mínima relativamente simples, e é um componente com uma manutenção quase nula. A segunda vantagem é que a tomada de decisão e a apresentação da mensagem com um erro de rejeição temporário extremamente barata, em recursos do sistema. A maioria das ferramentas utilizadas hoje em dia, para a análise e catalogação de mensagens de Spam utilizam intensivamente recursos preciosos como o CPU ou a memória dos sistemas. Ao parar o Spam antes que a mensagem seja efectivamente aceite, e passe por sistemas de análise de conteúdos, estamos a garantir a utilização mínima de recursos do sistema. Essa abordagem permite ainda a aplicação de mais camadas de filtragem e uma maior eficácia no combate. O Greylisting pode facilmente ser configurado como uma primeira linha de defesa, antes recorrermos à análise de conteúdos.

Dependendo da implementação, há ainda a possibilidade de guardar a informação de verificação em bases de dados centrais, ou com replicação. Desta forma, a mesma base de conhecimento pode ser usada por vários servidores em paralelo.

Apesar de pouco ortodoxa, é das técnicas de anti-spam mais eficazes quando os recursos disponíveis para o combate são relativamente escassos.

A desvantagem mais significativa do Greylisting talvez seja o facto de que, assim como algumas outras técnicas de redução de spam, ele destrói a natureza quase instantânea do E-mail, que é algo a que os utilizadores desde sempre se habituaram.
Um utilizador de um sistema de correio que utilize Greylisting não pode esperar a obtenção de cada E-mail enviado após um determinado espaço de tempo. No entanto, contrariamente ao que o utilizador normalmente espera, a especificação original para este tipo de troca de mensagens afirma claramente que não se trata de um mecanismo de entrega garantida ou de execução instantânea. Isto torna o processo de Greylisting perfeitamente legítimo, não havendo quebra de protocolos ou regras.

O uso de Greylisting também pode tornar-se problemático caso a entidade que tenta efectuar a entrega de mensagens, seja cliente, servidor ou aplicação, não implementar e respeitar o conjunto de regras disposto no RFC que define o protocolo SMTP. As falhas de imcumprimento mais comuns são a não implementação de uma fila de processamento de mensagens e o desrespeito pelo significado de erro temporário, tomando-o como um erro permanente, dando origem à devolução da mensagem ao remetente sem que haja uma segunda tentativa de entrega. Para estes casos particulares, e na ausência de uma forma de implementação ou reconfiguração da parte em falta, será necessária a intervenção do gestor do sistema de correio electrónico. Através da definição de listas de exclusão, vulgarmente denominadas por whitelists, será possível criar excepções para as entidades que se mostrem mal configuradas ou com falhas de implementação.

Outro problema que surge quando se faz uso do Greylisting acontece quando o sistema de correio remoto utiliza pools de servidores para o envio de mensagens, partilhando a mesma fila de processamento. O que acontece nestes casos é que apesar de existirem novas tentativas de entrega, e de o remetente e destinatário não se alterarem, pois trata-se da mesma mensagem, o local de onde parte a tentativa de entrega não é constante, alterando-se dessa forma o endereço IP que vai ser usado no tuplo de verificação. A abordagem à resolução do problema não é mais do que uma eliminação de granularidade do endereço, passan do a ser verificado um prefixo do endereço, que na maioria das vezes se traduz na utilização do endereço de um segmento de rede onde essa entidade se encontra.

Por último, caso os períodos de repetição de entrega, do servidor de envio, forem demasiado altos, há o risco da repetição exceder o tempo de vida do registo inicial. Isso levará a que a mensagem seja constantemente rejeitada, com a mensagem de erro temporário, até que o servidor de envio desista e devolva a mensagem de falha ao remetente. Por omissão, qualquer dos servidores de correio electrónico mais usados a nível mundial, utiliza valores compatíveis com os que são adoptados normalmente nas implementações de Greylisting. Este tipo de ocorrência acontecerá apenas em situações de erro de configuração, do servidor remoto, ou do próprio sistema de Greylisting.

Tal como as restantes técnicas de Anti-spam, o Greylisting possui prós e contras. No entanto, até à data, tem-se mostrado com um dos métodos mais eficazes e baratos de implementar. Os seus custos de manutenção têm-se mostrado de igual forma marginais, fazendo desta abordagem uma das mais utilizadas actualmente. No entanto este pequeno sucesso não deve ser tomado como pretexto para o descanso na luta contra o Spam.

É recomendada a utilização do Greylisting em conjunto com outras técnicas de Anti-Spam, como o Greeting delay, o HELO/EHLO checking, a Análise estatística de conteúdos, e Outras. Infelizmente não existe uma técnica suficientemente eficiente para impedir a entrada de Spam. O correio electrónico não solicitado é demasiado heterogénio e a utilização conjunta de vários métodos permite aumentar a eficácia da sua detecção e eliminação.

Deve também ter-se em conta que nem todas as técnicas são boas para todas as ocasiões. O tipo de interacção que os utilizadores de um sistema de correio electrónico de uma instituição de ensino é completamente diferente de um departamento de vendas de uma empresa. O tipo de correio expectável também é diferente, assim como a origem predominante das mensagens. Quaisquer que sejam as técnicas escolhidas, é necessária uma configuração adequadas das mesmas, caso a caso, ou estaremos a correr o risco de não ser suficientemente eficazes. Se a eficácia for “demasiada”, corremos o risco de rejeitar ou assinalar de forma errada mensagens legítimas.

Para além da heterogeneidade do Spam, não nos podemos esquecer que ele evolui para se adaptar às defesas que se vão criando. O combate ao Spam, mais que uma actividade reactiva, deverá ser pro-activa. Aqui ganha sempre quem se adiantar no jogo.

Poster
Apresentação (MS Powerpoint)
Apresentação (OOfice Impress)

Wikipédia
Antispam.br
The Internet Engineering Task Force