14、邮件反垃圾技术：灰名单、日志跟踪与陷阱机制详解

邮件反垃圾技术：灰名单、日志跟踪与陷阱机制详解

1. 灰名单技术概述

灰名单（Greylisting）主要是对当前 SMTP 标准进行解读，并添加一些“善意的谎言”，以此简化邮件处理流程。垃圾邮件发送者通常会使用他人设备发送邮件，他们未经授权安装的软件需要相对轻量级，以便在不被察觉的情况下运行。与合法邮件发送者不同，垃圾邮件发送者通常不认为他们发送的单个邮件很重要。这意味着典型的垃圾邮件和恶意软件发送软件往往无法正确解释 SMTP 状态代码。

Evan Harris 在 2003 年的论文中提出了利用这一特点的方法，即灰名单技术。当被入侵的机器用于发送垃圾邮件时，发送应用程序往往只尝试一次投递，而不检查任何结果或返回代码。而真正的 SMTP 实现会解释 SMTP 返回代码并据此采取行动，如果初始尝试因任何临时错误失败，真正的邮件服务器会进行重试。

Harris 提出的具体方法如下：
- 当首次与未知通信伙伴进行 SMTP 接触时，在第一次投递尝试时不接收邮件，而是回复一个表示临时本地问题的状态代码，并存储发送者的 IP 地址以供将来参考。
- 如果发送者立即重试，再次回复临时失败状态代码。
- 如果发送者在设定的最短时间（例如 1 小时）后但不超过最长等待时间（例如 4 小时）内重试，则接受该邮件进行投递，并将发送者的 IP 地址记录在白名单中。

2. 配置 spamd 的灰名单模式

2.1 OpenBSD 系统配置

在 OpenBSD 3.5 版本中，spamd 获得了灰名单功能。从 OpenBSD 4.1 开始，spamd 默认以灰名单模式运行。在默认的灰名单模式下，之前用于黑名