DNS-based Blackhole List
Als DNS-based Blackhole List (DNSBL) werden in Echtzeit abfragbare Schwarze Listen bezeichnet, die verwendet werden, um E-Mail zweifelhafter Herkunft als Spam zu klassifizieren. Die erste einer breiteren Fachöffentlichkeit bekannt gewordene DNSBL war die Real-time Blackhole List (RBL), die als Teil von Paul Vixies MAPS (englisch: Mail Abuse Prevention System)[1] erst als BGP feed und später als DNSBL zur Verfügung gestellt wurde.
Funktion
In den meisten DNSBLs werden IP-Adressen von Rechnern gelistet, die in der Vergangenheit durch häufigen Versand unerwünschter Spamnachrichten aufgefallen sind. Einige Listen enthalten auch Quellen von Computerviren und anderer Malware. Heute handelt es sich bei diesen Rechnern meist um trojanisierte PCs oder seltener offene Mail-Relays, die von Spammern missbraucht wurden.
Diese Listen können Mailserver oder Spam-Erkennungssoftware (z. B. SpamAssassin) beim Eingang einer Mail nahezu in Echtzeit über das DNS-Protokoll auswerten und bei positivem Ergebnis die Annahme der Mail verweigern, die Annahme der Mail verzögern (Teergrube, Greylisting) oder die Mail so markieren, dass sie ohne großen Aufwand vom Empfänger gefiltert werden kann. Eine Liste mehrerer vertrauenswürdiger RBLs in Verbindung mit Greylisting hat sich als sehr effizient erwiesen (Stand Ende 2007).
Die Abfrage einer DNSBL ist, wie der Name bereits vermuten lässt, aus technischer Sicht eine DNS-Abfrage. So ist meist keine zusätzliche Freigabe in der Firewall erforderlich.
Vor- und Nachteile
Der Vorteil von DNSBLs liegt vor allem darin, dass die Abfrage schnell ist und sich technisch einfach realisieren lässt.
Bei geeignetem Einsatz ist die Verwendung sehr effizient und erzeugt selten Falsch-Positive Ergebnisse.
Den größten Nachteil von DNSBLs zeigt am besten ein Beispiel:
Verschickt ein Kunde Spam über den Mailserver seines Providers und die IP-Adresse des Mailservers wird deshalb gelistet, können Mails anderer Kunden, die denselben Mailserver verwenden, als Spam klassifiziert werden. Vergleichbare Probleme hat praktisch jeder Versender von Massen-Mails, selbst bei Confirmed Opt-in.
Werden E-Mails aufgrund von DNSBL-Einträgen abgewiesen und werden mehrere DNSBLs in Folge verwendet, hat dies den Nachteil, dass sich der Anteil der Falsch-Positiven addiert. Aus diesem Grund sollten nur wenige, gut ausgewählte DNSBLs zum Abweisen von E-Mails verwendet werden. Um diese Problematik zu entschärfen, können die Ergebnisse der DNSBL-Abfragen zusammen mit weiteren Kriterien gewichtet werden. Das Ergebnis wird dann zur Spam-Klassifikation und ggf. zum Abweisen der Mail benutzt (so eingesetzt beispielsweise bei SpamAssassin).
Bei einigen DNSBLs ist es schwer, teuer oder sogar unmöglich, eine IP-Adresse wieder entfernen zu lassen (delisting). In solchen Fällen schadet die DNSBL weniger den Spammern, als vielmehr den Besitzern von missbrauchten Rechnern. Der Administrator eines Mailservers muss daher sorgfältig abwägen, welche RBLs er verwendet, um falsch positive Ergebnisse zu vermeiden. Einige RBLs wie beispielsweise spamhaus.org oder Spamcop entfernen die Listeneinträge nach einer gewissen Zeit automatisch.
Quellen
- ↑ Paul Vixie: Mail Abuse Prevention System, 1997.
Literatur
- Bert Ungerer, NiX Spam: Einblicke in ein Blacklist-Projekt, Mailserver-Konferenz 2009 (PDF-Datei; 413 kB)
- Bert Ungerer, Eingeschränkt: IP-Blacklists gegen unerwünschten Datenverkehr, iX 4/2007
Weblinks
- Spam Links - Dead DNS and RHS Blackhole Lists (Memento vom 13. Februar 2014 im Internet Archive)
- DNSBL Lookup (englisch)
- Parallele Abfrage vieler bekannter RBLs (englisch)
- RBL Check gängiger RBLs (deutsch)
- Spam Links - DNS & RHS Blackhole Lists (Memento vom 30. Januar 2014 im Internet Archive)
- Abfrage der RBL von Spamhaus.org (englisch)
- Blacklist Monitor. Statistiken zu Treffer- und Fehlerquoten. Intra2net AG .