Das Verfahren nutzt aus, dass Würmer und die meisten Spammer nur ein einziges Mal versuchen, eine E-Mail zuzustellen und häufig wechseln Spammer ihre IP-Adressen, um ihre Herkunft zu verschleiern. Dieses Greylisting-Verfahren ist sehr einfach, denn es wertet lediglich drei verschiedene Informationen jeder E-Mail aus, die an den VDE geschickt werden:

• die IP Adresse des Mail-Servers, der die Mail einliefern möchte 
• die Absender Adresse 
• die Empfänger Adresse.

Wenn diese Kombination zum ersten Mal auf dem VDE-Mail-Server ankommt, wird die E-Mail mit der Meldung "momentan nehme ich die E-Mail nicht an, aber versuche doch später noch einmal die E-Mail zu senden" abgewiesen. Dieses Verhalten ist Standard-konform. Der Standard fordert, dass das sendende System den Zustellungsversuch wiederholt.

Die Kombination aus Empfänger, Absender, IP Adresse des einliefernden Mail-Servers wird als bekannte Kombination in eine Datenbank eingetragen. Standard-konforme Mail-Server wiederholen den Versuch der E-Mailzustellung nach einem gewissen Zeitraum noch einmal. Wenn innerhalb der nächsten 48 Stunden ein erneuter E-Mailzustellungsversuch mit eben dieser Kombination (Empfänger, Absender, IP Adresse des einliefernden Mail-Servers) erfolgt, wird die E-Mail wie gewohnt zugestellt und das Triplet für 32 Tage als bekannt eingetragen. Bei jeder weiteren Zustellung in dieser Kombination, wird der Eintrag auf 32 Tage verlängert.

Falls keine zweite E-Mailzustellung innerhalb von 48 Stunden erfolgt, wird das angelegte Triplet wieder aus der Datenbank entfernt.

Greylisting procedure

The procedure makes use of the fact that worms and most spammers try only once to send an E-Mail and that spammers frequently change their IP address in order to mask their origin. This greylisting procedure is very simple, because it evaluates only three different pieces of information of every E-Mail being sent to VDE:

If this combination arrives on the VDE Mail server for the first time the E-Mail will be rejected with the message " at the moment I do not accept the E-Mail, but try again later". This procedure conforms to the standard. The standard demands that the sending system tries to send it again.

The information about receiver, sender and IP address of the delivering Mail server is registered as a well-known combination in a data base. Standard conforming Mail servers repeat the attempt of an E-Mail delivery after a certain period. If a renewed E-Mail delivery attempt takes place with exactly the same combination within the next 48 hours , the E-Mail will be delivered as usual and the triplet is registered to be familiar for 32 days. With any further delivery of this combination, the entry is extended for another 32 days.

If no second E-Mail delivery takes place within 48 hours, the triplet will be removed from the data base.