Greylisting електронної пошти: коли це допомагає, а коли просто затримує важливі листи

Проблема: Ви на виїзді на виклик. Клієнт каже: «Система не надіслала мій запит на скидання пароля». Логи вашого додатка показують, що відправка була. Логи MTA показують 451. І десь між «безпека» та «пошта» greylisting тихо виконує свою роботу: уповільнює доставку — іноді шкідливих листів, іноді листів, за які вам платять зарплату.

Greylisting — це один із тих операційних інструментів, що здаються приємно «низькотехнологічними»: попросити невідомих відправників повернутися пізніше. Більшість спаму цього не робить. Легітимні MTA — роблять. Чудово. Поки ваша фінансова команда не пропустить рахунки, оповіщення моніторингу не приходять після інциденту, а маркетинговий підрядник не пришле вам скріншот налаштування «retries disabled», як ніби це ваша проблема.

Що насправді робить greylisting на каналі

Greylisting — це не виявлення спаму. Це ставка на поведінку відправника.

Ставка: легітимні поштові сервери повторно спробують доставку після тимчасової помилки; багато спам-інфраструктур історично цього не робили. Тож ви ставитесь до відправників, яких бачите вперше, як до «можливо», повертаєте тимчасову помилку (зазвичай 451 4.7.1 або схоже) і чекаєте на повторну спробу. Після повторної спроби — приймаєте.

Механізм: триплет і таймер

Класичний greylisting відстежує «триплет»:

• IP-адреса відправника
• MAIL FROM (конверт-відправник)
• RCPT TO (конверт-одержувач)

Вперше, коли ви бачите триплет, ви тимчасово відхиляєте його. Якщо він повертається після «мінімальної затримки» (наприклад 5–15 хвилин), ви приймаєте і часто заносите в білий список на певний період («авто-білий список»).

Сучасні варіанти змінюють ключ. Дехто використовує лише IP відправника, або IP + домен відправника, або включає HELO, або використовує репутацію. Це важливо, бо доставка пошти в 2026 році включає спільні вихідні пули, NAT, SaaS-релеї, IPv6 і «домени відправлення», які не завжди відповідають стабільним IP.

SMTP-семантика: що дозволено робити

Greylisting спирається на контракт SMTP: відповідь 4xx є тимчасовою; відправник має повторити спробу. 5xx — постійна помилка; відправник має відскочити. Greylisting живе в діапазоні 4xx.

Хороша відповідь greylist має бути конкретною, але не надто розлогою:

• 451 4.7.1 Try again later
• 450 4.2.0 Temporarily deferred

Ви хочете, щоб MTA відправника повторив спробу, а не вирішив, що ви зламані.

Де він стоїть у конвеєрі пошти

Greylisting зазвичай застосовують під час SMTP-з’єднання, перед тим як ви приймаєте дані повідомлення. У Postfix це часто реалізовано як сервіс політики в smtpd_recipient_restrictions або smtpd_data_restrictions, залежно від демона та плагіна. В Exim це можна зробити через ACL. На аплаєнсах воно часто приховане за чекбоксом «Aggressive anti-spam», звідки видно, що буде весело.

Позиція має значення. Якщо ви greylistите занадто рано і занадто широко, ви затримаєте багато листів, які інакше пройшли б контент-фільтрацію. Якщо ви зробите це занадто пізно (після DATA), ви вже витратили пропускну здатність і CPU на спам, який намагалися дешево відсікати.

Чому це працювало (і чому працює менше тепер)

Початкова привабливість greylist полягала в його асиметрії: це майже нічого не коштувало вам і займало час у відправника. Спам-двигуни раніше були оптимізовані під обсяг і швидкість, а не під наполегливість. Багато з них не повторювали спроб після 4xx. Легітимні MTA — робили. Бум: спам падав.

Але нападники читають ті ж RFC, що й ви. Сьогодні чималий спам відправляють «реальні» інфраструктури (компрометовані хости, хмарні IP, зловживані акаунти ESP), які коректно повторюють спроби. Greylisting все ще корисний, але це вже не гільйотина для спаму, якою він був у середині 2000-х.

Інакше кажучи: greylisting постарів як швейцар, який відмінно виявляє фальшиві посвідчення, але менш ефективний, коли фальшиві посвідчення почали виглядати як справжні. Все ще корисний на вході, але не повноцінна програма безпеки.

Коли greylisting допомагає у 2026 році

Greylisting допомагає, коли ваша модель загроз включає значну частку відправників, які не повторюють спроби або роблять це погано, і коли затримка доставки на кілька хвилин прийнятна для більшості вхідної пошти.

1) Малі та середні організації з шумним входом спаму

Якщо ваш домен отримує багато direct-to-MX спаму, greylisting все ще може відсікти «дно». Особливо якщо у вас немає дорогої стек-фільтрації. Найкраща частина — це не «ідеальне блокування», а зменшення навантаження на решту конвеєра.

2) Поштові сервери з обмеженими CPU для сканування контенту

Якщо ви використовуєте SpamAssassin, Rspamd, антивірус, пісочницю для вкладень або DLP, все, що зменшує потік повідомлень до цих стадій, може бути виграшем. Greylisting відсуває невідомих відправників до того, як ви витратите цикли.

3) Вхідні лише MX з передбачуваними легітимними відправниками

Деякі домени отримують пошту переважно від великих провайдерів і відомого набору партнерів. Greylisting з розумним білим списком (великі провайдери, партнери, ваш постачальник тікетів, постачальник зарплат тощо) може дати вигоди з меншим числом скарг щодо «чому інструкція для польоту директора запізнилася».

4) Як гальмо під час напливу зловживань

Greylisting може бути короткочасним дроселем. Якщо ви під атакою спам-флудом, увімкнення або посилення greylist може купити час, поки ви впроваджуєте кращі контролі (налаштування DNSBL, обмеження швидкості, рішення щодо DMARC тощо). Це не гарно, але й повні скриньки з шкідливим ПЗ негарні.

Жарт №1: Greylisting — як сказати електронній пошті «Залиште повідомлення після сигналу», тільки сигнал тут — RFC, а повідомлення — 40 000 однакових криптоскем.

Коли greylisting шкодить (і як він дає збій)

Greylisting шкодить, коли пошта, яка вам потрібна, є часочутливою, коли відправники не повторюють спроби так, як ви очікуєте, або коли ваша власна конфігурація випадково робить «вперше» завжди.

Часочутлива пошта вже не опція

Скидання пароля, коди MFA, посилання для верифікації акаунта, попередження про шахрайство, нотифікації пейджера, ескалації по виклику, підтвердження покупки, запрошення у календар — часто це потоки, де люди чекають біля екрана.

Затримка в 10 хвилин — це не «дрібна незручність». Це порушений робочий процес. Користувачі не думають «антиспам працює». Вони думають «ваш продукт ненадійний». І вони мають рацію.

Повадки повторних спроб менш однорідні, ніж ви думаєте

SMTP каже повторити. Він не каже як швидко, як часто або з якої IP-адреси.

• Деякі системи повторюють через 1 хвилину; деякі — через 30.
• Деякі повторюють з іншої вихідної IP (великі пули).
• Деякі використовують інший envelope sender (патерни bounce/VERP).
• Деякі SaaS-платформи приховують SMTP за HTTP API і потім доставляють через реле, яке «переважно як SMTP», але з політичними відмінностями.

Якщо ваш ключ greylist надто суворий (наприклад IP + повний MAIL FROM + RCPT TO), відправник, що повторює з іншого IP або з іншим bounce-адресом, може ніколи не співпасти з оригінальним триплетом. Ви щойно вигадали машину нескінченних відкладань.

NAT, IPv6 privacy-адреси та вихідні пули

Greylisting припускає певну стабільність ідентичності відправника. Вихідні пули розроблені для протилежного: розподіляти трафік і забезпечувати плавний failover. IPv6 часто ротирує адреси (privacy extensions), а великі провайдери можуть використовувати масивні підмережі.

У результаті «вперше бачили цю IP-адресу» може стати «вперше кожного разу». Якщо ви greylistите лише по IP, ви покараєте відправників з великими пулами. Якщо ви greylistите по надто багатьох полях — ви покараєте відправників, які варіюють ці поля.

Greylisting ламає моніторинг і реагування на інциденти

Поштові оповіщення зазвичай — найчутливіша до затримок пошта. І це пошта, яка найчастіше надходить з випадкових IP (хмарні моніторингові сервіси, мульти-тенантні системи). Greylisting ускладнює реагування на інциденти в момент, коли ваша терплячість найменша, а очікування стейкхолдерів — найвищі.

Greylisting на рівні політики може маскувати реальні проблеми доставляння

Якщо партнер жаліється «ми постійно отримуємо 451», ви можете звинуватити greylisting і додати їх у білий список. Іноді це правильно. Іноді вузьке місце — у вашому MX (ліміти), DNS (повільний), TLS-політиці (надто сувора) або перевірках reverse DNS. Greylisting може бути найголоснішим симптомом, тоді як реальна проблема — десь інде.

Жарт №2: Нічого так не змушує відчувати себе живим, як пояснення «тимчасове відхилення — це нормально» керівництву, яке розуміє тільки «чи ми втратили гроші».

Цікаві факти та історичний контекст

• Greylisting став популярним на початку–середині 2000-х як легкий проти-спам захід, коли двигуни спаму часто не повторювали спроби після 4xx.
• Це базується на оригінальному store-and-forward дизайні SMTP: тимчасові помилки очікувані, і черги — частина «нормальної» роботи пошти.
• RFC 5321 не зобов’язує час повторних спроб; відправники обирають власні графіки backoff, тому затримка від greylisting непередбачувана між провайдерами.
• Авто-білий список був введений, щоб зменшити повторні затримки, зберігаючи успішні триплети на дні або тижні, щоб відомі відправники не були знову greylist-лені.
• Великі відправники використовують великі вихідні IP-пули для керування репутацією й масштабування; суворий IP-орієнтований greylisting конфліктує з цим дизайном.
• Деякі спам-операції адаптувалися, впровадивши повторні спроби, зменшуючи ефективність greylisting як єдиного антиспам-контролю.
• Greylisting може виступати як примітивне обмеження швидкості, опосередковано знижуючи вхідний шум під час спам-сплесків, примушуючи відправників повторювати спроби.
• Неправильно налаштований ключ greylist може створити «ніколи не приймати» цикли коли відправники повторюють з іншим envelope sender (VERP) або різними IP.
• Великі провайдери іноді прогрівають або попередньо перевіряють потоки (наприклад «probe» доставки); greylisting може затримувати або ускладнювати ці перевірки.

Швидкий план діагностики

Це план, який ви запускаєте, коли хтось каже «пошта затримується», і вам потрібно знайти вузьке місце до закінчення запрошення на зустріч.

По-перше: підтвердьте, що це саме greylisting, а не черга або проблема DNS

1. Шукайте відкладення 4xx з маркерами «greylist» в логах MTA (сервіс політики Postfix, повідомлення Exim ACL, тег аплаєнсу).
2. Перевірте, чи відправник повторював спробу і чи співпала повторна спроба з ключем greylist (та ж IP? той самий envelope sender?).
3. Перевірте розподіл віку черги пошти: якщо все відкладено, можливо у вас загальна проблема вихід/вхід (не пов’язана з greylisting).

По-друге: визначте масштаб впливу

1. Це один домен відправника (партнер/постачальник) чи багато?
2. Це часочутлива пошта (автентифікація, моніторинг, білінг) чи низької важливості (розсилки)?
3. Тільки деякі одержувачі постраждали (наприклад певні аліаси, що маршрутизуються інакше)?

По-третє: зробіть безпечну негайну зміну

1. Додайте тимчасово відомого відправника у білий список (домен/діапазон IP, з датою завершення якщо інструмент це підтримує).
2. Зменшіть мінімальне вікно затримки, якщо воно глобально шкодить (але не ставте його близько до нуля; ви просто розсердите відправників і мало що відфільтруєте).
3. Виправте ключ, якщо виявили невідповідність IP-пулу: використовуйте менш крихкий кортеж (часто IP + домен відправника або обережно використовуйте SPF/HELO ідентичність).

По-четверте: зафіксуйте докази для постмортему

1. Витягніть таймлайн: перша спроба, відхилення greylist, повторні спроби, час прийняття.
2. Зафіксуйте IP-адреси відправника, що використовувалися під час повторів.
3. Зверніть увагу, чи ваші MX використовували кілька фронтендів і чи стан greylist розділявся.

Цитата про надійність тут доречна, бо це суть експлуатації пошти: «Сподіватися — не стратегія.» — парафраз ідеї, яку часто використовують в операціях і інженерії.

Практичні завдання: команди, виводи та рішення

Це практичні завдання, які ви можете виконати на Linux MX з Postfix (або адаптувати під свій стек). Кожне включає: команду, реалістичний вивід, що це означає і яке рішення прийняти далі.

Завдання 1: Знайти відхилення greylisting в логах Postfix

cr0x@server:~$ sudo grep -E "greylist|Greylist|4\.7\.1|temporar" /var/log/mail.log | tail -n 6
Jan 03 09:41:12 mx1 postfix/smtpd[22107]: NOQUEUE: reject: RCPT from mail-ot1-f45.google.com[209.85.210.45]: 451 4.7.1 Service unavailable - try again later; from=<alerts@partner.example> to=<oncall@example.com> proto=ESMTP helo=<mail-ot1-f45.google.com>
Jan 03 09:41:12 mx1 postfix/smtpd[22107]: warning: greylist: triplet blocked (209.85.210.45, alerts@partner.example, oncall@example.com)
Jan 03 09:48:58 mx1 postfix/smtpd[22301]: NOQUEUE: accept: RCPT from mail-ot1-f45.google.com[209.85.210.45]: 250 2.1.5 Ok; from=<alerts@partner.example> to=<oncall@example.com> proto=ESMTP helo=<mail-ot1-f45.google.com>

Значення: Класичний greylisting: перша спроба відхилена з 451, пізніше прийнята.

Рішення: Якщо затримка прийнятна і обмежена невідомими відправниками — залиште. Якщо це пошта для оповіщень чи автентифікації — додайте відправника у білий список або обійдіть greylisting для цієї групи одержувачів.

Завдання 2: Підтвердити активні сервіси політики (Postfix)

cr0x@server:~$ sudo postconf -n | grep -E "smtpd_(recipient|data)_restrictions|check_policy_service"
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023, permit

Значення: Сервіс політики викликається на стадії recipient; саме там, ймовірно, реалізовано greylisting.

Рішення: Під час усунення несправностей тимчасово перемістіть сервіс політики або додайте виключення (наприклад, обхід для певних клієнтів), замість того щоб різко його видаляти.

Завдання 3: Протестувати відповідь політики greylist безпосередньо (netcat до порту політики)

cr0x@server:~$ printf "request=smtpd_access_policy\nprotocol_state=RCPT\nprotocol_name=SMTP\nclient_address=209.85.210.45\nsender=alerts@partner.example\nrecipient=oncall@example.com\n\n" | nc -w 2 127.0.0.1 10023
action=defer_if_permit 451 4.7.1 Greylisted, please try again later

Значення: Сервіс політики дійсно виконує greylisting і відхилить цей триплет зараз.

Рішення: Якщо цей відправник критичний для бізнесу — додайте його у механізм білого списку сервісу політики (домен/IP) і перевірте знову.

Завдання 4: Перевірити, чи стан greylist спільний між MX-фронтендами

cr0x@server:~$ sudo postconf -n | grep -E "proxy_read_maps|smtpd_policy_service"
proxy_read_maps =

Значення: Це не доводить спільний стан, але натякає, що ви можливо не проксируєте пошуки. Багато демонів greylist використовують локальний SQLite. Якщо у вас кілька вузлів MX за балансувальником, кожен вузол може «вчитися» окремо.

Рішення: Якщо у вас декілька MX — підтвердьте, що бекенд greylist централізовано (Redis/SQL) або використовуйте стікінність у балансувальнику по IP відправника. В іншому випадку — повторні відхилення, коли повтори потрапляють на інший вузол.

Завдання 5: Переглянути чергу пошти на предмет відкладених повідомлень (Postfix)

cr0x@server:~$ sudo postqueue -p | head -n 18
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
3F2C21A0B7*    2190 Fri Jan  3 09:38:02  alerts@partner.example
                                         oncall@example.com
                                         (host mx1[127.0.0.1] said: 451 4.7.1 Greylisted, please try again later (in reply to RCPT TO command))
9A77F1B9CC     1046 Fri Jan  3 09:37:11  billing@vendor.example
                                         ap@corp.example
                                         (connect to mx.remote.example[203.0.113.40]:25: Connection timed out)

Значення: Маєте принаймні одне відкладення через greylisting і інше через проблеми з мережею при вихідних з’єднаннях. Не всі затримки викликані greylisting.

Рішення: Розділіть інцидент: виправте політику greylisting для вхідних відхилень; вирішіть мережеві/DNS/маршрутизаційні таймаути для вихідних. Не звинувачуйте один механізм у всьому.

Завдання 6: Визначити найстаріші відкладені повідомлення, щоб оцінити вплив на користувачів

cr0x@server:~$ sudo postqueue -p | awk 'BEGIN{RS="";FS="\n"} {print $0 "\n---"}' | grep -E "Arrival Time|Greylist|Queue ID" | head -n 30
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
3F2C21A0B7*    2190 Fri Jan  3 09:38:02  alerts@partner.example
(host mx1[127.0.0.1] said: 451 4.7.1 Greylisted, please try again later (in reply to RCPT TO command))
---

Значення: Тимчасові позначки черги показують, чи це 5-хвилинна неприємність, чи година простою.

Рішення: Якщо вік відкладень перевищує прийнятну латентність (для оповіщень/автентифікації це може бути 1–2 хвилини), негайно обходьте greylisting для цих потоків.

Завдання 7: Перевірити затримку DNS розв’язання (повільний DNS виглядає як затримка пошти)

cr0x@server:~$ time dig +tries=1 +timeout=2 mx partner.example
;; ANSWER SECTION:
partner.example.        300     IN      MX      10 mx.partner.example.

real    0m0.412s
user    0m0.018s
sys     0m0.010s

Значення: Тут DNS-розв’язання швидке. Якщо бачите багатосекундні часи або таймаути, це може затримувати SMTP-сесії, що погіршує взаємодію з greylisting і лімітами з’єднань.

Рішення: Якщо DNS повільний — виправте шлях/кешування резолвера перед тим, як налаштовувати greylisting. Інакше ви будете помилково приписувати затримки йому.

Завдання 8: Перевірити, чи postscreen або обмеження з’єднань також працюють

cr0x@server:~$ sudo postconf -n | grep -E "^postscreen|smtpd_client_connection_rate_limit"
postscreen_greet_action = enforce
smtpd_client_connection_rate_limit = 30

Значення: Ви використовуєте контролі на рівні з’єднань разом із greylisting. Добре. Але комбінований ефект може бути «легітимний відправник сповільнюється двічі».

Рішення: Якщо легітимна пошта затримується, розгляньте виключення для відомих відправників від postscreen/greeting delay і від greylisting, замість пом’якшення всього глобально.

Завдання 9: Підтвердити, що файли виключень/білого списку насправді завантажені

cr0x@server:~$ sudo grep -R "whitelist" /etc/postfix | head -n 8
/etc/postfix/main.cf:smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023, permit
/etc/postfix/greylist-whitelist:partner.example
/etc/postfix/greylist-whitelist:203.0.113.0/24

Значення: Маєте файл білого списку, але це не доводить, що демон greylist його читає.

Рішення: Знайдіть конфіг сервісу greylist і переконайтесь, що він посилається на цей файл; інакше ви редагуєте комфортний плацебо.

Завдання 10: Перевірити статус systemd сервісу демона greylist

cr0x@server:~$ sudo systemctl status postgrey --no-pager
● postgrey.service - Postgrey greylisting policy server
     Loaded: loaded (/lib/systemd/system/postgrey.service; enabled)
     Active: active (running) since Fri 2026-01-03 07:12:11 UTC; 2h 34min ago
   Main PID: 1189 (postgrey)
     Memory: 42.1M
     CGroup: /system.slice/postgrey.service
             └─1189 /usr/sbin/postgrey --inet=127.0.0.1:10023 --delay=300

Значення: Затримка greylisting — 300 секунд (5 хвилин). Сервіс запущений.

Рішення: Якщо ваш бізнес потребує майже миттєвої пошти, 5 хвилин може бути вже занадто багато, якщо у вас немає тісних білосписів для чутливих потоків.

Завдання 11: Перевірити патерн повторних спроб відправника у логах (чи вони повторювали? звідки?)

cr0x@server:~$ sudo grep -E "from=.*vendor\.example|client=.*203\.0\.113" /var/log/mail.log | tail -n 8
Jan 03 09:10:01 mx1 postfix/smtpd[21001]: NOQUEUE: reject: RCPT from relay1.vendor.example[203.0.113.10]: 451 4.7.1 Greylisted, please try again later; from=<bounce+ab12@vendor.example> to=<ap@corp.example>
Jan 03 09:25:44 mx1 postfix/smtpd[21477]: NOQUEUE: reject: RCPT from relay2.vendor.example[203.0.113.22]: 451 4.7.1 Greylisted, please try again later; from=<bounce+cd34@vendor.example> to=<ap@corp.example>
Jan 03 09:41:05 mx1 postfix/smtpd[22192]: NOQUEUE: reject: RCPT from relay3.vendor.example[203.0.113.35]: 451 4.7.1 Greylisted, please try again later; from=<bounce+ef56@vendor.example> to=<ap@corp.example>

Значення: Відправник повторює, але кожна спроба йде з іншої IP і з різною bounce-адресою (VERP). Якщо ваш ключ greylist включає IP і повний MAIL FROM, вони ніколи не пройдуть.

Рішення: Послабте кортеж (наприклад домен відправника + одержувач) або додайте в білий список діапазони IP/доменів постачальника. Це структурна невідповідність, а не «дайте ще часу».

Завдання 12: Заміряти, чи база даних greylist росте без контролю

cr0x@server:~$ sudo ls -lh /var/lib/postgrey
total 96M
-rw------- 1 postgrey postgrey 95M Jan  3 09:30 postgrey.sqlite
-rw-r--r-- 1 root     root     1.2K Dec 12 14:02 whitelist_clients.local

Значення: DB займає 95MB. Сам по собі це не погано, але зростання може вплинути на продуктивність, якщо хост обмежений ресурсами або сховище повільне.

Рішення: Якщо бачите великий ріст і високий I/O wait — розгляньте обрізку/налаштування старіння, перенос DB на швидший диск або перехід бекенду на Redis/SQL, якщо потрібен спільний стан.

Завдання 13: Перевірити I/O wait і затримки диска (адже пошуки політики звертаються до диска)

cr0x@server:~$ iostat -xz 1 2
Linux 6.6.0 (mx1) 	01/03/2026 	_x86_64_	(4 CPU)

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
          3.21    0.00    1.12   18.44    0.00   77.23

Device            r/s     rkB/s   rrqm/s  %rrqm r_await rareq-sz     w/s     wkB/s   w_await  aqu-sz  %util
nvme0n1          2.10     64.0     0.00   0.00   1.21    30.5      58.2   2200.0    19.80    1.15   92.4

Значення: Високий iowait і велике завантаження пристрою. Якщо ваш policy backend використовує SQLite на цьому диску, рішення політики можуть гальмувати SMTP-сесії, збільшуючи таймаути і кількість з’єднань.

Рішення: Виправте продуктивність сховища (перенесіть DB на швидший диск, налаштуйте тримання, або змініть бекенд). Greylisting, який сповільнює ваш SMTP-сервер, — це самопошкодження.

Завдання 14: Підтвердити реальну SMTP-відповідь у живій сесії

cr0x@server:~$ nc -w 3 mx1.example.com 25
220 mx1.example.com ESMTP Postfix
EHLO test.example
250-mx1.example.com
250-PIPELINING
MAIL FROM:<alerts@partner.example>
250 2.1.0 Ok
RCPT TO:<oncall@example.com>
451 4.7.1 Service unavailable - try again later
QUIT
221 2.0.0 Bye

Значення: Тимчасове відхилення відбувається на стадії RCPT. Це відповідає розміщенню політики в recipient restrictions.

Рішення: Якщо потрібні виключення — реалізуйте їх на тій же стадії (recipient restrictions), щоб уникнути несподіваних перехресть.

Три міні-історії з корпоративного життя

Міні-історія 1: Інцидент через неправильне припущення

Компанія вела портал клієнтів із скиданням пароля через пошту. SRE команда успадкувала on-prem MX, а стара антиспам-практика рекомендувала greylisting, бо «він відсікає 80% спаму». Це речення стало талісманом. Ніхто не поставив друге питання: «80% чого, і якою ціною?»

Під час ранкового сплеску трафіку — анонс продукту, багато реєстрацій — потік скидання паролів почав «випадково не працювати». Підтримка отримувала тікети: користувачі запитували скидання, не отримували його, запитували ще раз, і знову нічого. Інженери перевірили логи додатку: скидання генерувалися і відправлялися до MTA. Вони звинуватили провайдера пошти. Вони були напівправі, але це тримало інцидент довго.

У логах пошти кожне скидання було greylist-лене при першому контакті. Це було очікувано. Неправильне припущення полягало в тому, що повторні спроби приходитимуть з тієї ж ідентичності відправника. Насправді листи йшли через SaaS-реле з великим пулом IP і змінними envelope sender. Кожна повторна спроба виглядала як нова. Greylisting не затримував доставку — він перешкоджав їй назавжди.

Операційні збитки виникли через повільний цикл усвідомлення. Люди чекали «ще кілька хвилин», бо так робить greylisting. Коли вони додали в білий список діапазон relay-провайдера і пом’якшили кортеж до match по домену, вікно реєстрацій вже пройшло і маркетинг почав звинувачувати «інфраструктуру».

Виправлення було нехитрим: націлений обхід для доменів, що відправляють скидання пароля, та правило, що будь-яка пошта, пов’язана з автентифікацією, не повинна бути greylist-лена. Також запустили тестовий стенд, що робить справжню SMTP-інжекцію з пулу провайдера у staging. Урок: ніколи не вважайте властивості доставки пошти стабільними між провайдерами.

Міні-історія 2: Оптимізація, що дала протилежний ефект

Інша організація мала класичний проєкт «зекономимо гроші»: консолідувати два вузли MX в один більший VM з швидшим CPU, зберегти ті ж спам-контролі і сказати «готово». Greylisting залишили. Навіть посилили: довше вікно затримки, довший авто-білий список, суворіший кортеж. «Давайте зменшимо сміття і CPU на сканування», — сказали вони.

Тиждень пройшов чудово. Обсяг спаму впав. CPU зменшився. Тижневий звіт виглядав як перемога.

Потім настав фінал кварталу. Відділ розрахунків повідомив, що рахунки від кількох постачальників приходять з запізненням у кілька годин. Не повернуті. Не втрачені. Просто достатньо пізно, щоб спричинити процесні затримки і дзвінки, що викликали ескалацію.

Оптимізація мала дві приховані витрати. По-перше, більший VM працював на загальному сховищі з «шумними сусідами»; база greylist жила на цьому сховищі, і пошуки політики почали гальмувати під навантаженням. По-друге, суворий кортеж означав, що постачальники з VERP-style bounce-адресами ніколи не співпадали з попередніми спробами. Пошта приходила зрештою, але тільки після достатньої кількості повторів, щоб випадково з’явився стабільний набір IP + envelope sender. Це не було детерміністично; це було рулетка.

Вони відкотили суворіший кортеж і перемістили бекенд greylist у Redis на локальному NVMe. CPU на скануванні спаму трохи піднявся, але затримка рахунків повернулась до звичного. Це правильна торгівля для більшості корпоративних середовищ: витрачайте обчислювальні ресурси, щоб бізнес-пошта була вчасною. Обчислення дешевші за довіру.

Міні-історія 3: Нудна, але правильна практика, що врятувала день

Третя компанія вела власний MX як вхідний шлюз перед хостованим провайдером скриньок. У них був увімкнений greylisting, але вони ставились до нього як до елементу з контролем змін, а не як до фольклорної настройки. Поштова команда вела невеликий «критичний список відправників»: моніторинг, HR/зарплата, SSO-провайдер, система тікетів і топ-постачальники. Кожен запис мав власника, причину і дату перегляду. Нудно. Ефективно.

Одного дня регіональна мережна подія спричинила періодичну втрату пакетів до одного з їхніх MX-вузлів. Балансувальник продовжував надсилати частину трафіку на нестабільний вузол. Зазвичай це вже погано. З greylisting це могло стати гірше: перша спроба потрапляла на поганий вузол і відкладається через таймаут, повтор приходив на здоровий вузол і сприймався як «новий», знову greylist, потім повтори скакали між вузлами. Раптом ви побудували підсилювач затримок.

Але оскільки вони централізували стан greylist (спільний бекенд) і мали health check-и, які швидко виводили проблемний вузол, радіус ураження залишився малим. Їхня швидка діагностика не була вгадуванням: вік черги лишався в межах SLA; логи показували чистий патерн; критичні відправники обходили greylisting. Інцидент вирішили, перш ніж хтось за межами IT помітив.

Практика, що «врятувала день», була не якийсь химерний ML-фільтр. Це було: спільний стан, білі списки з власником і health check балансувальника, який реально відображає придатність SMTP, а не лише «порт 25 відкритий». Нудно — це перевага.

Типові помилки (симптом → корінна причина → виправлення)

1) Симптом: Листи для скидання пароля приходять через 10–30 хвилин (або ніколи)

Корінна причина: Greylisting застосовано до транзакційної пошти з SaaS-релеями з великими IP-пулами і змінними envelope sender; кортеж ніколи не співпадає.

Виправлення: Обходьте greylisting для доменів/IP транзакційних відправників; послабте кортеж (по домену) якщо інструмент дозволяє; або відключіть greylisting на MX, що обробляє транзакційні потоки.

2) Симптом: Партнер каже «ми постійно отримуємо 451» і надає логи повторних спроб

Корінна причина: Мінімальне вікно затримки довше їхнього графіка повторних спроб, або вони повторюють з різних IP і ви прив’язуєтесь занадто строго.

Виправлення: Зменшіть мінімальну затримку до 60–180 секунд для невідомих; додайте партнера у білий список; налаштуйте кортеж.

3) Симптом: Повторні «перші» затримки від великих провайдерів (Gmail, Microsoft)

Корінна причина: IP-орієнтований greylisting карає вихідні пули; кожне повідомлення приходить з «нової» IP-адреси.

Виправлення: Обережно додайте великі провайдери в білий список IP-діапазонів (або обхопіть за аутентифікованими сигналами, якщо ваш шлюз це підтримує). Альтернатива — взагалі не greylistити для цих провайдерів; покладайтесь на репутацію/контент-фільтрацію.

4) Симптом: Пошта іноді проходить миттєво, іноді затримується, на кількох MX-вузлах

Корінна причина: Стан greylist локальний на вузол; повтори потрапляють на інший вузол і вважаються новими.

Виправлення: Централізуйте стан (спільна DB/Redis) або використовуйте стікінність у балансувальнику по IP відправника. Краще: централізувати стан.

5) Симптом: Сплеск вхідних з’єднань і віддалені MTA таймаутяться

Корінна причина: Greylisting плюс повільний бекенд політики викликають довгі SMTP-сесії; віддалені MTA відкривають більше паралельних сполук; ваш сервер досягає лімітів з’єднань; хаос.

Виправлення: Виправте продуктивність бекенду (диск/I/O), зменшіть вартість пошуку політики, налаштуйте паралелізм і скоротіть час SMTP на сесію.

6) Симптом: Обсяг спаму падає, але скарг на пізні рахунки більше

Корінна причина: Greylisting виконує свою роботу, але ви не звільнили бізнес-критичних відправників; більшість AP-постачальників використовують дивні реле.

Виправлення: Підтримуйте «бізнес-критичний» білий список з власністю і вимірюйте латентність доставки для цих доменів.

7) Симптом: Greylisting здається неефективним; спам все одно приходить

Корінна причина: Сучасні спамери коректно повторюють спроби; ваш greylisting додає лише затримку всім.

Виправлення: Менше покладайтеся на greylisting; інвестуйте в перевірки репутації, контент-фільтрацію, політики DMARC і обмеження швидкості.

Контрольні списки / покроковий план

Контрольний список A: Вирішіть, чи варто взагалі запускати greylisting

1. Перечисліть часочутливі потоки пошти: автентифікація, моніторинг, тікетинг, фінанси, юридичні повідомлення. Якщо не можете перерахувати — вважайте, що вони є і важливі.
2. Виміряйте поточний склад вхідного спаму: direct-to-MX проти relayed; скільки блокується іншими контролями.
3. Оцініть прийнятну латентність: визначте цілі для різних класів (оповіщення: <2 хвилин; скидання пароля: <1 хвилини; розсилки: без обмежень).
4. Оцініть різноманіття відправників: багато дрібних відправників зі стабільними MTA? Greylisting може допомогти. Переважно великі провайдери і SaaS? Greylisting вас здурить.
5. Визначте політику: «greylist невідомих direct-to-MX відправників, крім категорій у білому списку» — розумний компроміс.

Контрольний список B: Впровадити greylisting, не прострочивши собі ноги

1. Виберіть консервативне мінімальне вікно: 60–180 секунд у сучасному середовищі; 300 секунд часто занадто багато для транзакційних потоків.
2. Увімкніть авто-білий список з розумним TTL (дні або тижні), щоб звичайні кореспонденти не затримувалися повторно.
3. Централізуйте стан, якщо маєте більше одного MX.
4. Білі списки з власністю: кожен запис має власника і дату перегляду. Інакше це стане смітником.
5. Обхід для критичних потоків: моніторинг, SSO, постачальники скидання пароля, фінансові постачальники. Жорстке правило: автентифікаційна пошта не повинна бути greylist-лена.
6. Інструментуйте латентність: логайте і графуйте час «перше бачення» → «прийнято». Якщо не вимірюєте — будете сперечатися через анекдоти.

Контрольний список C: Реагування на інцидент, пов’язаний з greylisting

1. Підтвердити: шукати 451 в логах з тегом greylist.
2. Перевірити поведінку відправника: та ж IP? той самий envelope sender? той самий MX-вузол?
3. Негайно додати у білий список бізнес-критичного відправника.
4. Зменшити вікно затримки, якщо вплив широкий.
5. Виправити кортеж/поділ стану назавжди.
6. Записати: яка пошта була затримана, для кого і скільки часу.

Часті питання

1) Чи «безпечний» greylisting з точки зору безпеки?

Це не контроль безпеки у класичному розумінні. Це механізм формування трафіку. Він може зменшити вплив низько-зусильного спаму, але не зупинить таргетований фішинг або компрометованих легітимних відправників.

2) Якою має бути затримка greylisting?

Для більшості сучасних середовищ: 60–180 секунд — практичний діапазон. Довші затримки шкодять робочим процесам користувачів і не гарантують додаткової ефективності проти сучасного спаму.

3) Чому деякі легітимні відправники ніколи не проходять?

Тому що ваш ключ занадто суворий або стан не спільний. Якщо відправник повторює з інших IP або змінює envelope sender, «той самий триплет» ніколи не повторюється, і система продовжує вважати їх новими.

4) Чи варто greylistити Gmail/Microsoft?

Зазвичай ні. Вони коректно повторюють спроби, але використовують вихідні пули. Ви здебільшого внесете затримку без значного зниження спаму. Краще додати їх у білий список або покластися на інші шари фільтрації.

5) Чи допомагає greylisting проти ботнетів?

Іноді. Низькопрофільні боти можуть не повторювати спроби. Але багато і зараз це роблять. Розглядайте greylisting як допоміжний шар, а не основний.

6) Де в Postfix слід застосовувати greylisting?

Зазвичай через check_policy_service у smtpd_recipient_restrictions. Це відхиляє до DATA, економлячи ресурси. Але застосовуйте виключення обережно, особливо для довірених мереж і критичних доменів відправників.

7) Чи може greylisting спричинити дублювання листів?

Опосередковано — так. Якщо відправник таймаутиться, повторює агресивно, або додаток повторно відправляє, бо не отримав швидкий «доставлено» сигнал, ви можете бачити дублікати. Greylisting не є єдиною причиною, але може сприяти цьому.

8) Які метрики відслідковувати, якщо увімкнули greylisting?

Відстежуйте: кількість 4xx відхилень за причиною, кількість прийнятих після greylist, медіану і p95 затримки від першої спроби до прийняття, та одночасність вхідних з’єднань. Також моніторьте латентність бекенду політики і диск I/O.

9) Чи підходить greylisting для вихідної пошти?

Ні. Greylisting — це політика для вхідного MX. Вихідна доставляє залежності від репутації, автентифікації (SPF/DKIM/DMARC) і обробки помилок — це інша гра.

10) Який найчистіший спосіб звільнити «критичну пошту»?

Відокремити її за доменом/IP відправника, групою одержувачів або маршрутизувати критичні потоки через інший шлях політики MX. Головне: виключення мають бути явними, переглянутими і протестованими.

Наступні кроки, які ви реально можете зробити цього тижня

1. Класифікуйте вашу пошту: перелічіть топ-20 доменів відправників за бізнес-важливістю, а не за обсягом. Оповіщення, автентифікація, фінанси, тікетинг, подорожі керівництва — так, серйозно.
2. Запустіть пошук в логах за 451 відхиленнями і обчисліть затримки для цих критичних відправників. Якщо не можете обчислити — вибірково пробірково по timestamps.
3. Виправте структурні проблеми спочатку: якщо маєте кілька MX і локальний стан greylist — централізуйте. Якщо бекенд політики на повільному диску — перемістіть його.
4. Встановіть розумну затримку: якщо у вас 300 секунд, розгляньте 120 секунд і компенсуйте кращими шарами фільтрації.
5. Створіть процес білого списку: власник + причина + дата перегляду. Це не бюрократія; це рятувальний круг для вас у 3 ранку.
6. Тестуйте реальними повторними спробами: оберіть одного постачальника з відомою поведінкою IP-пулу і перевірте прийняття повторів між MX-вузлами. Якщо це провалюється — налаштуйте кортеж або додайте в білосписок.

Greylisting не герой і не лиходій. Це грубий інструмент, який може бути корисним, якщо розумієш його витрати: час, передбачуваність і кілька гарячих зустрічей. Використовуйте там, де затримка прийнятна, обходьте там, де затримка шкідлива, і вимірюйте це, як серйозну метрику.