E-Mails müssen inzwischen in der Regel mehrere Filter durchlaufen, bis sie beim Anwender sind. Zuerst werden Mails von bekannten Viren-Absendern ausgefiltert, zuletzt werden Mails auf verdächtige Inhalte und Datei-Anhänge untersucht. Dazu ist eine Menge Rechenleistung nötig, viele Spam-Mails und Viren schaffen es trotzdem durch den Filter.

Eine noch wenig benutzte Methode könnte Administertatoren viel Ärger ersparen: Das so genannte Greylisting. Der Mail-Experte Peer Heinlein stellte auf dem LinuxTag in Karlsruhe am Donnerstag die Methode vor.

Das System ist einfach: Ankommende Mails werden vom Server zunächst einmal abgewiesen, die Mail wird mit der Meldung «bitte später nochmal melden» zum Ausgangsort zurückgeschickt. Dies machen Server normalerweise, wenn sie gerade überlastet sind. In einem solchen Fall meldet sich die Mail einige Minuten später wieder und fragt an, ob der Server nun wieder zu erreichen ist.

Die Greylisting-Software weist die Mail in der Regel mindestens zweimal ab, bevor sie dann schließlich durchgelassen wird. Der Sinn: Spam- und Viren-Mails werden in der Regel an mehrere hunderttausend Adressaten verschickt. Kommt eine Mail zurück, werden sie in der Regel kein zweites Mal losgeschickt – der Rechenaufwand für den Spam-Versender ist dafür zu groß.

Der Netzeitung sagte Heinlein, mit Greylisting könne man ohne viel Rechenaufwand mehr als 80 Prozent des Spam von vorneherein abblocken. Übrig bleibe nur Spam, der von normalen E-Mail-Servern verschickt werde. «Auch Viren-Mails kann man damit angreifen und ihre Schwäche ausnutzen», so der Mail-Experte. Trotzdem werde Greylisting noch sehr selten eingesetzt, so Heinlein. Drei bis vier Prozent der Mailserver mit der Methode geschützt werden, schätzt er.

Greylisting-Software ist auch in der Lage, zu lernen. Wird von einer Adresse mehrmals erfolgreich eine Mail geschickt, wird die Absenderadresse als «gut» gespeichert. Weitere Mails werden dann sofort zugelassen. Heinlein sagte der Netzeitung, mit dieser Methode würden schon nach wenigen Tagen etwa 95 Prozent der «guten Mails» sofort weitergeleitet

Das Wort Greylisting leitet sich ab von den so genannten schwarzen und weißen Listen, mit denen Mailserver bereits länger arbeiten. Mit ihnen wird registriert, welche Mail-Versender «gut» oder «schlecht» sind. Greylisting geht also davon aus, dass jede Mail prinzipiell «vielleicht schlecht» ist – gut wird sie erst, wenn sie nach einigen Minuten erneut beim Server anklopfen.

Ein großer Vorteil von Greylisting sei, so Heinlein, dass man den Mailschutz einsetzen könne ohne viel Rechenleistung einsetzen zu müssen. Überprüft werde nur der Absender und die Absenderadresse der Mail. Dies sei wesentlich einfacher, als zum Beispiel die Mail mit heuristischen Methoden auf ihren Inhalt zu prüfen, sagt Heinlein. Einige Spamschutz-Software setze deshalb bereits auf Greylisting.

Einziger Nachteil an Greylisting: Die Methode setzt auf die Faulheit der Spam-Versender. Nur weil diese möglichst viele Adressaten einfach erreichen wollen, programmieren sie keine Puffer, die eine Mail mehrfach aussenden, wenn sie mit einem Fehler zurückkommt. Solange die Spammer mit wenig Aufwand hunderttausende Mail-Adressen erreichen könnten, werde das auch so bleiben, so Heinlein.