DNSBL

DNSBL — DNS blacklist или DNS blocklist — списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом. Почтовый сервер обращается к DNSBL, и проверяет в нём наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приёма спам-сообщения. Серверу отправителя сообщается ошибка 5xx (неустранимая ошибка) и сообщение не принимается. Почтовый сервер отправителя создаёт «отказную квитанцию» отправителю о недоставке почты.

Раньше такие списки назывались RBL, Real-time Blackhole List, но сейчас это название является торговой маркой, принадлежащей Trend Micro ( https://ers.trendmicro.com/ ).

Типы DNSBL

• Списки открытых релеев — база данных почтовых серверов, неправильно сконфигурированных, которые позволяют пересылать через себя почтовые сообщения для всех желающих. Как правило данные хосты автоматически сканируются в Интернете, поэтому попадание такого хоста в руки людей, рассылающих спам сообщения, происходит очень быстро (не более 4 дней). При использовании данных списков существует наименьшая опасность блокирования обычной почты, так как сервер попадает в список, только после проверки его специальным почтовым роботом.

• Списки спам серверов — база данных серверов, через которые было замечено прохождение спам сообщений. Данные списки составляются на основе показаний пользователей, получивших спам с какого-либо сервера, поэтому они могут содержать устаревшую, или просто неверную информацию.

• Список Dialup адресов — список ip адресов провайдеров, используемых ими для организации сервиса удалённого доступа, и, следовательно, которые не могут быть адресами почтовых серверов. Использование данных списков практически безопасно для легальной почты.

• Список открытых HTTP/Socks прокси-серверов без контроля доступа позволяющие любому пользователю совершать неавторизованные действия скрывая свой реальный IP адрес, незаконные действия включают не только рассылку спама, но также и многочисленные иные варианты.

DRBL — Distributed Realtime Blocking List

После 31 июля 2001, когда MAPS LLC прекратило предоставлять сервис публично, была разработана альтернатива — DRBL (Distributed Realtime Blocking List). На смену проприетарного подхода MAPS LLC к ведению и контролю над списком блокируемых IP адресов в DRBL пришёл иной подход — распределённый, позволяющий организациям и частным лицам не просто собирать свою базу (в том числе методами описанными выше), но и обмениваться этими списками с коллегами. Каждый участник (node) имеет в своём распоряжении все доступные ему возможности составления списков блокируемых IP для публикации их посредством DRBL (своей DRBL-зоны). В DRBL-зоне принято публиковать то, что сам участник блокирует на своём почтовом сервере. К примеру, происходит обработка почтовой корреспонденции на стороне сервера, где выявленный спам не просто не пропускается в ящики пользователей, но и IP источника этого спама немедленно публикуется в DRBL-зоне провайдера. Почтовые сервера других компаний настроенные на работу с этой DRBL-зоной немедленно смогут воспользоваться этой информацией и отвергнуть корреспонденцию от источника спама (по IP) ещё до её приёма, без дополнительной обработки спам сообщения. Такой подход позволяет значительно снизить накладные расходы сервера на обработку спам-сообщений для всех участников сети. Провайдеры обычно публикуют IP адрес источника спама на короткое время в их DRBL-зоне. Частные лица, держатели DRBL-node’ов, обычно отличаются более экстремистским подходом, вплоть до ручной блокировки (навечно) целых сетей /8, по географическому признаку (Китай, Япония). Зачастую, DRBL-зона частного лица не подходит для использования Интернет Сервис Провайдерами, в силу слишком редкого её обновления.

DRBL предусматривает критерии оценки веса информации полученной от каждой конкретной DRBL-зоны, что позволяет не блокировать всё подряд и доверять информации полученный с разных источников по разному. В России этой системой пользуются многие Интернет-провайдеры. Эффективность публикуемого посредством DRBL-зоны списка IP адресов тем выше, чем оперативнее участник заносит в список новые IP адреса являющиеся по его мнению источниками спама и исключает оттуда устаревшие. Политика каждой DRBL зоны публикуется её держателем. Вы вольны выбирать и подключать те зоны, чья политика кажется Вам вменяемой, методы используемые для сбора и исключения адресов — оперативными, а обновление DRBL-зоны достаточно частым.

Проверка

Чтобы проверить заблокирован ли IP адрес каким-либо DNSBL-списком надо указать проверяемый IP в нотации DNS PTR (задом наперед) и добавить имя домена DNSBL сервера. Если ответ будет получен, то данный адрес заблокирован (находится в списке):

$ host -tA 220.206.60.71.bl.spamcop.net
220.206.60.71.bl.spamcop.net has address 127.0.0.2

Полученный IP адрес может оказаться любым, важен лишь факт его наличия (отсутствия) в ответе на запрос. Именно поэтому сам IP можно использовать для описания, скажем, типа источника по которому искомый адрес был добавлен в список. К примеру, 127.0.0.1 — открытые релеи, 127.0.0.2 — источники portscan’ов, и т. п. По той же причине полезно использовать host с опцией -t any. В ответ на которую Вы можете получить дополнительный комментарий в поле типа текст (TXT RR):

$ host -t any 151.136.47.116.vote.drbl.sandy.ru
151.136.47.116.vote.drbl.sandy.ru descriptive text "070715:Spam in progress"
151.136.47.116.vote.drbl.sandy.ru has address 127.0.0.2

Пример адреса, которого нет в DNSBL списке.

$ host -tA 181.229.205.72.bl.spamcop.net
Host 181.229.205.72.bl.spamcop.net not found: 3(NXDOMAIN)

Существует ряд веб сервисов, поддерживающих проверку заданного IP адреса в большом количестве действующих на данных момент DNSBL и RHSBL списков (200 и более). Например, проверить блокировку 71.60.206.220 в 259 списках (англ.).

Использование

Существует 2 метода использования данной технологии.

1) Однозначная блокировка — отклонение сообщений, которые пришли с IP адреса находящегося в DNSBL

2) Взвешенный подход. При таком подходе сообщение, пришедшее с IP адреса находящегося в DNSBL, не блокируется, но этот факт учитывается при классификации «спамности» письма.

При использовании первого подхода все письма с IP адресов, попавших в DNSBL однозначно отклоняются. Независимо от того попал ли IP адрес в черный список заслуженно или же по ошибке (что всё чаще и чаще встречается на практике). Использование второго подхода отлично иллюстрируется opensource спам-фильтром spamassassin. Когда для классификации сообщения применяется взвешенный подход, то есть анализ по множеству критериев. В таком случае нахождение IP адреса отправителя в черном списке не является единственным и результирующим фактором, который влияет на решение о классификации сообщения, что в свою очередь означает снижение количества ложных срабатываний фильтра в тех случаях, когда IP адрес отправителя попал в черный список по нелепой случайности.

На данный момент (2009 год) использование технологии DNSBL по первому принципу обычно не приносит больших проблем. Но всё же крайне не рекомендуется использовать большое число блокирующих серверов (это влияет не только на возможную не доставку чистых писем, но и на производительность почтового сервера). Наиболее популярными и надежными DNSBL списками которые рекомендуется использовать являются bl.spamcop.net и zen.spamhaus.org.

Ссылки

• DNSBL Lookup (Check IP against the most active DNSBLs)
• Multiple DNSBL lists check (total 233 lists)
• Проверка IP по 100+ DNSBL-списков и URL по 13 URIBL-списков
• Список DNSBL-списков
• Проверка по большому количеству DNSBL-списков
• Как правильно использовать DNSBL
• Спам или без вины виноватые?
• RBL: вред или польза?
• ещё раз про RBL’и
• Проверка репутации DNS сервера - Проверить, был ли IP адрес зарегистрован в базе DNSBL

См. также

• Открытый релей
• DNSWL — аналогичный по технологии белый список почтовых отправителей.

Для улучшения этой статьи желательно?: Викифицировать статью. Исправить статью согласно стилистическим правилам Википедии.