Gerade beim EDV-Blogger einen eher positiven Artikel zum Greylisting gelesen...
IMHO: Greylisting ist Mist. Genauso wie Challenge Response Verfahren ("Ich kenne Sie noch nicht, bitte klicken Sie auf _diesen_ Link, damit Sie mir EMails schicken dürfen!"). Naja, genaugenommen sind die noch schlimmer. Been there, done that.

Aber Greylisting ist populär, weil einfach (relativ) einzurichten und daher richtet es insgesamt größeren Schaden an (wieder IMHO).

• Es vervielfacht bei halbwegs beschäftigten Mailservern die Anzahl wartender Mails und damit die Queue-Grösse, und verdoppelt (zumindest) die benötigten Ressourcen für das Versenden einer Mail, da jede Mail mindestens zweimal in der Warteschlange landet und vom SMTP Daemon geladen werden muss.
• Es verzögert Mails manchmal sehr lange (einige Server geben Stunden an).
• Es verhindert das Verwenden von (auch sehr beliebten) variablen Mailadressen (z.B. absender-$TIMESTAMP@domain.co) und/oder ähnlichem. Es verzögert double opt-in Verfahren unnötig lange.

Ich habe kein Greylisting implementiert und weise 60% meines Spams trotzdem direkt am SMTP Gateway ab. Das geht relativ einfach:

• Mails an unmögliche Adressen (MX im 192.168er Netz, MX=localhost, usw) abweisen.
• Mails an unbeantwortbare Adressen (Domain existiert nicht) temporär abweisen (kann ja ein DNS Problem sein).
• Mails von dial-up IPs abweisen.
• Ein paar vertrauenswürdige RBLs verwenden und Whitelists für bekannte gute Adressen.
• Kaputte SMTP-Clients (ungültiger HELO Hostname, offensichtlich ungültiger Absender- oder Empfänger-Hostname, etc) abweisen.
• Pipelining abschalten. Man glaubt gar nicht, wie viele Würmer man alleine dadurch loswird, dass man den Client nicht einfach drauflosbratzen lässt.
• Gezielte MIME Header-Checks nach bestimmten, eindeutigen HTML-Fragmenten (z.B. "iframe src=cid:"), was wirklich _nur_ in SPAM vorkommt.

Den Rest erledigt eine Kombination aus einer sehr gut trainierten SpamAssassin Bayes-Datenbank, Razor, Pyzor und noch ein paar anderen ähnlichen Tools.