Domain Name System-basierte Blackhole-Liste - Domain Name System-based blackhole list

Eine Domain Name System-basierte Blackhole List , Domain Name System Blacklist ( DNSBL ) oder Real-Time Blackhole List ( RBL ) ist ein Dienst für den Betrieb von Mailservern , um über ein Domain Name System (DNS) eine Prüfung durchzuführen, ob die Die IP-Adresse wird für E-Mail-Spam auf die schwarze Liste gesetzt . Die meisten Mailserver-Software kann so konfiguriert werden, dass sie solche Listen überprüft und Nachrichten von solchen Sites normalerweise ablehnt oder markiert.

Eine DNSBL ist eher ein Softwaremechanismus als eine bestimmte Liste oder Richtlinie. Es gibt Dutzende von DNSBLs. Sie verwenden ein breites Spektrum von Kriterien für die Auf- und Abmeldung von Adressen. Dazu gehören die Auflistung der Adressen von Zombie-Computern oder anderen Maschinen, die zum Versenden von Spam verwendet werden, von Internetdienstanbietern (ISPs), die bereitwillig Spammer hosten, oder von denen, die Spam an ein Honeypot- System gesendet haben .

Seit der Gründung der ersten DNSBL im Jahr 1998 waren die Funktionsweise und die Richtlinien dieser Listen häufig umstritten, sowohl in Internet- Befürwortungskreisen als auch gelegentlich in Gerichtsverfahren. Viele Betreiber und Benutzer von E-Mail-Systemen halten DNSBLs für ein wertvolles Werkzeug, um Informationen über Spamquellen auszutauschen, aber andere, darunter einige prominente Internetaktivisten, haben sich gegen sie als eine Form der Zensur ausgesprochen. Darüber hinaus war eine kleine Anzahl von DNSBL-Betreibern das Ziel von Klagen von Spammern, um die Sperrung der Listen zu erreichen.

Geschichte

Die erste DNSBL war die 1997 erstellte Real-time Blackhole List (RBL), zuerst als Border Gateway Protocol (BGP) -Feed von Paul Vixie und dann als DNSBL von Eric Ziegast als Teil von Vixies Mail Abuse Prevention System ( KARTEN); Dave Rand von Abovenet war der erste Abonnent. Die allererste Version der RBL wurde nicht als DNSBL veröffentlicht, sondern als eine Liste von Netzwerken, die über BGP an Router im Besitz von Abonnenten übertragen wurden, damit Netzwerkbetreiber den gesamten TCP/IP- Verkehr für Maschinen löschen konnten, die zum Senden von Spam oder zum Hosten von Spam-unterstützenden Diensten verwendet wurden , beispielsweise eine Website. Der Erfinder der Technik, die später allgemein als DNSBL bezeichnet wird, war Eric Ziegast, der bei Vixie Enterprises angestellt war.

Der Begriff "Blackhole" bezieht sich auf ein schwarzes Loch in Netzwerken , ein Ausdruck für eine Verbindung in einem Netzwerk, die eingehenden Datenverkehr abbricht, anstatt ihn normal weiterzuleiten. Die Absicht des RBL war, dass Websites, die es verwenden, den Verkehr von Websites ablehnen, die Spam unterstützen – sei es durch aktives Senden von Spam oder auf andere Weise. Bevor eine Adresse in das RBL aufgenommen wurde, versuchten Freiwillige und MAPS-Mitarbeiter immer wieder, die dafür verantwortlichen Personen zu kontaktieren und ihre Probleme zu beheben. Diese Bemühungen wurden als sehr wichtig erachtet, bevor der gesamte Netzwerkverkehr als Black Hole eingestuft wurde, aber es bedeutete auch, dass Spammer und Spam-unterstützende ISPs die Aufnahme in die RBL für lange Zeit hinauszögern konnten, während solche Diskussionen andauerten.

Später wurde die RBL auch in einer DNSBL-Form veröffentlicht und Paul Vixie ermutigte die Autoren von sendmail und anderer Mail-Software, die RBL-Unterstützung in ihren Clients zu implementieren. Diese ermöglichten es der Mail-Software, die RBL abzufragen und E-Mails von aufgelisteten Sites pro Mail-Server abzulehnen, anstatt den gesamten Datenverkehr zu blockieren.

Bald nach dem Aufkommen der RBL begannen andere damit, ihre eigenen Listen mit anderen Richtlinien zu entwickeln. Einer der ersten war Alan Browns Open Relay Behavior-Modification System (ORBS). Dabei wurden automatisierte Tests verwendet, um Mailserver zu erkennen und aufzulisten, die als offene Mail-Relays laufen – die von Spammern ausgenutzt werden können , um ihren Spam zu transportieren. ORBS war damals umstritten, weil viele Leute den Betrieb eines offenen Relays für akzeptabel hielten und dass das Durchsuchen des Internets nach offenen Mailservern missbräuchlich sein könnte.

Im Jahr 2003 gerieten eine Reihe von DNSBLs unter Denial-of-Service-Angriffe (DOS). Da keine Partei diese Angriffe zugegeben oder für verantwortlich gemacht hat, ist ihr Zweck Spekulation. Viele Beobachter glauben jedoch, dass die Angriffe von Spammern ausgeführt werden, um den Betrieb der DNSBLs zu stören oder sie zum Herunterfahren zu zwingen. Im August 2003 schloss die Firma Osirusoft , ein Betreiber mehrerer DNSBLs, darunter eine basierend auf dem SPEWS- Datensatz, ihre Listen nach wochenlangen, nahezu ununterbrochenen Angriffen.

Technische Spezifikationen für DNSBLs kamen relativ spät in RFC5782.

URI-DNSBLs

Eine Uniform Resource Identifier (URI) DNSBL ist eine DNSBL, die die Domainnamen und manchmal auch IP-Adressen auflistet, die in den "anklickbaren" Links im Spam-Text, aber im Allgemeinen nicht in legitimen Nachrichten enthalten sind.

URI-DNSBLs wurden erstellt, als festgestellt wurde, dass in diesem kurzen Zeitraum zwischen der ersten Verwendung einer Spam-sendenden IP-Adresse und dem Zeitpunkt, an dem diese sendende IP-Adresse zum ersten Mal auf der wichtigsten IP-basierten Adresse aufgeführt wurde, viel Spam die Spam-Filter passierte DNSBLs.

In vielen Fällen enthalten solche schwer fassbaren Spams in ihren Links Domänennamen oder IP-Adressen (zusammenfassend als URIs bezeichnet), bei denen diese URI bereits in zuvor abgefangenem Spam entdeckt wurde und wo diese URI in Nicht-Spam-E-Mails nicht gefunden wird.

Wenn daher ein Spamfilter alle URIs aus einer Nachricht extrahiert und sie mit einer URI-DNSBL abgleicht, kann der Spam blockiert werden, selbst wenn die sendende IP für diesen Spam noch nicht in einer sendenden IP-DNSBL aufgeführt ist.

Von den drei großen URI- DNBLs ist SURBL die älteste und beliebteste . Nachdem SURBL gegründet wurde, starteten einige der Freiwilligen für SURBL die zweite große URI DNSBL, URIBL . Im Jahr 2008 startete ein weiterer langjähriger SURBL-Freiwilliger eine weitere URI DNSBL, ivmURI . Das Spamhaus-Projekt stellt die Spamhaus Domain Block List ( DBL ) bereit, die sie als Domains "in Spam-Nachrichten gefunden" bezeichnen. Die DBL ist sowohl als URIBL als auch als RHSBL gedacht und soll sowohl gegen Domänen im Umschlag einer Nachricht als auch gegen Header und Domänen in URLs in Nachrichtentexten geprüft werden. Im Gegensatz zu anderen URIBLs listet die DBL nur Domain-Namen auf, keine IP-Adressen, da Spamhaus andere Listen von IP-Adressen bereitstellt.

URI DNSBLs werden oft mit RHSBLs (Right Hand Side BLs) verwechselt. Aber sie sind anders. Ein URI DNSBL listet Domänennamen und IPs auf, die im Nachrichtentext gefunden wurden. Eine RHSBL listet die Domänennamen auf, die in der "Von"- oder "Antwort-An"-E-Mail-Adresse verwendet werden. RHSBLs sind von umstrittener Wirksamkeit, da viele Spams entweder gefälschte "Von"-Adressen verwenden oder "Von"-Adressen verwenden, die beliebte Freemail-Domainnamen enthalten, wie @gmail.com, @yahoo.com oder @hotmail.com URI DNSBLs sind weiter verbreitet als RHSBLs, sind sehr effektiv und werden von den meisten Spamfiltern verwendet.

Prinzip

Um eine DNSBL zu betreiben, sind drei Dinge erforderlich: eine Domain, unter der sie gehostet wird, einen Nameserver für diese Domain und eine Liste mit zu veröffentlichenden Adressen.

Es ist möglich, eine DNSBL mit jeder universellen DNS-Serversoftware bereitzustellen . Dies ist jedoch typischerweise für Zonen mit einer großen Anzahl von Adressen ineffizient, insbesondere für DNSBLs, die ganze klassenlose Inter-Domain-Routing-Netzblöcke auflisten. Für den großen Ressourcenverbrauch bei der Verwendung von Software, die als Domain Name Server konzipiert ist, gibt es rollenspezifische Softwareanwendungen, die speziell für Server mit der Rolle einer DNS-Blacklist entwickelt wurden.

Der schwierige Teil beim Betrieb einer DNSBL besteht darin, sie mit Adressen zu füllen. DNSBLs, die für die öffentliche Nutzung bestimmt sind, haben in der Regel spezifische, veröffentlichte Richtlinien bezüglich der Bedeutung einer Auflistung und müssen entsprechend betrieben werden, um öffentliches Vertrauen zu erlangen oder zu erhalten.

DNSBL-Abfragen

Wenn ein Mailserver eine Verbindung von einem Client erhält und diesen Client gegen eine DNSBL (sagen wir dnsbl.example.net ) prüfen möchte , führt er mehr oder weniger Folgendes aus:

1. Nehmen Sie die IP-Adresse des Clients – sagen wir 192.168.42.23 – und kehren Sie die Reihenfolge der Oktette um, was 23.42.168.192 ergibt .
2. Fügen Sie den Domänennamen der DNSBL an: 23.42.168.192.dnsbl.example.net .
3. Suchen Sie diesen Namen im DNS als Domänennamen ("A"-Eintrag). Dadurch wird entweder eine Adresse zurückgegeben, die anzeigt, dass der Client aufgeführt ist; oder ein "NXDOMAIN" ("No such domain")-Code, der anzeigt, dass der Client dies nicht ist.
4. Wenn der Client aufgeführt ist, suchen Sie optional den Namen als Texteintrag ("TXT"-Eintrag). Die meisten DNSBLs veröffentlichen Informationen darüber, warum ein Client als TXT-Einträge aufgeführt wird.

Das Nachschlagen einer Adresse in einer DNSBL ähnelt daher dem Nachschlagen in Reverse-DNS. Die Unterschiede bestehen darin, dass ein DNSBL-Lookup den Datensatztyp "A" anstelle von "PTR" verwendet und eine Vorwärtsdomäne (wie dnsbl.example.net oben) anstelle der speziellen Rückwärtsdomäne in-addr.arpa verwendet .

Es gibt ein informelles Protokoll für die von DNSBL-Abfragen zurückgegebenen Adressen, die übereinstimmen. Die meisten DNSBLs geben eine Adresse im 127.0.0.0/8 IP- Loopback- Netzwerk zurück. Die Adresse 127.0.0.2 weist auf eine generische Auflistung hin. Andere Adressen in diesem Block können auf etwas Spezifisches in der Auflistung hinweisen – dass sie auf ein offenes Relay, einen Proxy, einen Spammer-eigenen Host usw.

URI DNSBL

Eine URI-DNSBL-Abfrage (und eine RHSBL-Abfrage) ist ziemlich einfach. Der abzufragende Domänenname wird dem DNS-Listenhost wie folgt vorangestellt:

example.net.dnslist.example.com

Dabei ist dnslist.example.com der DNS- Listenhost und example.net die abgefragte Domäne. Im Allgemeinen wird der Name aufgelistet, wenn ein A-Record zurückgegeben wird.

DNSBL-Richtlinien

Unterschiedliche DNSBLs haben unterschiedliche Richtlinien. DNSBL-Richtlinien unterscheiden sich an drei Fronten:

• Ziele. Was bedeutet die DNSBL suchen zur Liste? Ist es eine Liste von Open-Relay-Mailservern oder offenen Proxys – oder von IP-Adressen, von denen bekannt ist, dass sie Spam versenden – oder vielleicht von IP-Adressen von ISPs, die Spammer beherbergen?
• Nominierung. Wie funktioniert die DNSBL entdeckt Adressen zur Liste? Werden Nominierungen von Benutzern verwendet? Spam-Trap-Adressen oder Honeypots ?
• Auflistungslebensdauer. Wie lange dauert die Auflistung eine letzte ? Sind sie automatisch abgelaufen oder nur manuell entfernt? Was kann der Betreiber eines gelisteten Hosts tun, um ihn von der Liste zu nehmen?

Typen

Zusätzlich zu den verschiedenen Arten von gelisteten Entitäten (IP-Adressen für traditionelle DNSBLs, Host- und Domainnamen für RHSBLs, URIs für URIBLs) gibt es eine Vielzahl von semantischen Variationen zwischen Listen, was eine Auflistung bedeutet. Die Listenpfleger selbst waren gespalten in der Frage, ob ihre Listen als objektive Tatsachenbehauptungen oder subjektive Meinungen angesehen werden sollten und wie ihre Listen am besten verwendet werden sollten. Daher gibt es keine definitive Taxonomie für DNSBLs. Einige hier definierte Namen (zB "Yellow" und "NoBL") sind Sorten, die nicht weit verbreitet sind und daher die Namen selbst nicht weit verbreitet sind, aber von vielen Spezialisten für Spam-Kontrolle erkannt werden sollten.

Weiße Liste

Eine Auflistung ist ein bestätigender Hinweis auf im Wesentlichen absolutes Vertrauen

Schwarze Liste

Ein Listing ist ein negativer Hinweis auf im Wesentlichen absolutes Misstrauen

Graue Liste

Am häufigsten als ein Wort (Greylist oder Greylisting) angesehen, das DNSBLs nicht direkt betrifft, sondern das vorübergehende Zurückstellen von E-Mails von unbekannten Quellen verwendet, um die Entwicklung einer öffentlichen Reputation (wie DNSBL-Listen) zu ermöglichen oder geschwindigkeitsorientiertes Spamming zu verhindern. Wird gelegentlich verwendet, um sich auf tatsächliche DNSBLs zu beziehen, bei denen Auflistungen verschiedene nicht absolute Ebenen und Formen von Vertrauen oder Misstrauen bezeichnen.

Gelbe Liste

Eine Auflistung weist darauf hin, dass die Quelle dafür bekannt ist, eine Mischung aus Spam und Nicht-Spam in einem Ausmaß zu produzieren, das die Überprüfung anderer DNSBLs jeglicher Art nutzlos macht.

NoBL-Liste

Eine Auflistung zeigt an, dass die Quelle vermutlich keinen Spam sendet und keinem Blacklist-Test unterzogen werden sollte, aber nicht ganz so vertrauenswürdig ist wie eine Whitelist-Quelle.

Verwendungszweck

• Die meisten Message Transfer Agents (MTA) können so konfiguriert werden, dass sie E-Mails basierend auf einer DNSBL-Liste absolut blockieren oder (seltener) akzeptieren. Dies ist die älteste Verwendungsform von DNSBLs. Abhängig vom jeweiligen MTA kann es bei der Konfiguration subtile Unterschiede geben, die Listentypen wie Yellow und NoBL aufgrund der Art und Weise, wie der MTA mehrere DNSBLs verarbeitet, nützlich oder sinnlos machen. Ein Nachteil der Verwendung der direkten DNSBL-Unterstützung in den meisten MTAs besteht darin, dass Quellen, die nicht auf einer Liste stehen, die Überprüfung aller verwendeten DNSBLs erfordern, mit relativ geringem Nutzen, um die negativen Ergebnisse zwischenzuspeichern. In einigen Fällen kann dies zu einer erheblichen Verlangsamung der E-Mail-Zustellung führen. Die Verwendung von White-, Yellow- und NoBL-Listen zur Vermeidung einiger Nachschlagevorgänge kann verwendet werden, um dies in einigen MTAs zu verringern.
• DNSBLs können in regelbasierter Spam-Analysesoftware wie Spamassassin verwendet werden, bei der jede DNSBL ihre eigene Regel hat. Jede Regel hat eine spezifische positive oder negative Gewichtung, die mit anderen Arten von Regeln kombiniert wird, um jede Nachricht zu bewerten. Dies ermöglicht die Verwendung von Regeln, die (nach den in der jeweiligen Software verfügbaren Kriterien) dazu dienen, E-Mails auf eine "Whitelist" zu setzen, die ansonsten aufgrund einer DNSBL-Auflistung oder aufgrund anderer Regeln abgelehnt würden. Dies kann auch das Problem einer hohen DNS-Lookup-Last für keine nützlichen Ergebnisse mit sich bringen, aber es kann die E-Mail nicht so stark verzögern, da die Bewertung es ermöglicht, dass Lookups parallel und asynchron durchgeführt werden, während der Filter die Nachricht anhand der anderen Regeln überprüft.
• Bei einigen Toolsets ist es möglich, die Ansätze für binäres Testen und gewichtete Regeln zu kombinieren. Eine Möglichkeit, dies zu tun, besteht darin, zuerst Whitelists zu überprüfen und die Nachricht zu akzeptieren, wenn die Quelle auf einer Whitelist steht, wobei alle anderen Testmechanismen umgangen werden. Eine von Junk-E-Mail-Filter entwickelte Technik verwendet Gelbe Listen und NoBL-Listen, um die Fehlalarme zu mindern, die routinemäßig auftreten, wenn schwarze Listen verwendet werden, die nicht sorgfältig gepflegt werden, um sie zu vermeiden.
• Einige DNSBLs wurden für andere Zwecke als das Filtern von E-Mails nach Spam erstellt, sondern eher zu Demonstrations-, Informations-, rhetorischen und Testkontrollzwecken. Beispiele sind die "No False Negatives List", "Lucky Sevens List", "Fibonacci's List", verschiedene Listen, die GeoIP-Informationen codieren, und zufällige Auswahllisten, die so skaliert sind, dass sie mit der Abdeckung einer anderen Liste übereinstimmen von zufälligen Ablehnungen zu unterscheiden.

Kritik

Einige Endbenutzer und Organisationen haben Bedenken hinsichtlich des Konzepts von DNSBLs oder der Besonderheiten ihrer Erstellung und Verwendung. Einige der Kritikpunkte sind:

• Legitime E-Mails werden zusammen mit Spam von gemeinsam genutzten Mailservern blockiert. Wenn auf dem freigegebenen Mailserver eines ISP ein oder mehrere kompromittierte Computer Spam senden, kann er in einer DNSBL aufgeführt werden. Endbenutzer, die demselben freigegebenen Mailserver zugewiesen sind, können feststellen, dass ihre E-Mails blockiert werden, indem sie Mailserver empfangen, die eine solche DNSBL verwenden. Im Mai 2016 blockierte das SORBS-System die SMTP-Server von Telstra Australia, Australiens größtem Internetdienstanbieter. Dies ist keine Überraschung, da zu jedem Zeitpunkt Tausende von Computern mit diesem Mailserver verbunden sind, die von Viren vom Typ Zombie infiziert sind, die Spam senden. Der Effekt besteht darin, alle legitimen E-Mails von den Benutzern des Telstra Australia-Systems abzuschneiden.
• Listen dynamischer IP-Adressen. Diese Art von DNSBL listet von ISPs übermittelte IP-Adressen als dynamisch auf und ist daher vermutlich nicht für den direkten Versand von E-Mails geeignet. der Endbenutzer soll den Mailserver des ISP für den gesamten E-Mail-Versand verwenden. Diese Listen können jedoch auch versehentlich statische Adressen enthalten, die von Kleinunternehmern oder anderen Endbenutzern rechtmäßig zum Hosten kleiner E-Mail-Server verwendet werden können.
• Listen, die "Spam-Unterstützungsvorgänge" enthalten, wie z. B. MAPS RBL. Ein Spam-Support-Vorgang ist eine Site, die Spam möglicherweise nicht direkt sendet, aber kommerzielle Dienste für Spammer bereitstellt, wie z. B. das Hosten von Websites, die als Spam beworben werden. Die Verweigerung der Annahme von E-Mails von Spam-Support-Operationen ist als Boykott gedacht , um solche Websites zu ermutigen, Geschäfte mit Spammern einzustellen, auf Kosten von Unannehmlichkeiten für Nicht-Spammer, die dieselbe Website wie Spammer verwenden.
• Einige Listen haben unklare Listungskriterien und das Delisting erfolgt möglicherweise nicht automatisch oder schnell. Einige DNSBL-Betreiber verlangen eine Zahlung (zB uceprotect.net) oder eine Spende (zB SORBS ). Einige der vielen Richtlinien zum Auflisten/Delisting finden Sie im Artikel Vergleich von DNS-Blacklists .
• Da Listen unterschiedliche Methoden zum Hinzufügen von IP-Adressen und/oder URIs haben, kann es für Absender schwierig sein, ihre Systeme entsprechend zu konfigurieren, um zu vermeiden, dass sie in einer DNSBL aufgeführt werden. Beispielsweise scheint UCEProtect DNSBL IP-Adressen nur dann aufzulisten, wenn sie eine Empfängeradresse validiert oder eine TCP-Verbindung hergestellt haben, selbst wenn nie eine Spam-Nachricht zugestellt wird.

Trotz der Kritik gibt es nur wenige Einwände gegen den Grundsatz, dass Postempfangsseiten unerwünschte Post systematisch abweisen können sollten. Einer, der das tut, ist John Gilmore , der bewusst ein offenes Mail-Relay betreibt . Gilmore wirft DNSBL-Betreibern einen Verstoß gegen das Kartellrecht vor.

Für Joe Blow ist es legal, E-Mails abzulehnen (obwohl es eine schlechte Richtlinie ist, ähnlich wie "den Boten zu erschießen"). Aber wenn Joe und zehn Millionen Freunde sich zusammentun, um eine schwarze Liste zu erstellen, üben sie illegale Monopolmacht aus.

Eine Reihe von Parteien, wie die Electronic Frontier Foundation und Peacefire , haben Bedenken hinsichtlich der Verwendung von DNSBLs durch ISPs geäußert . Eine gemeinsame Erklärung einer Gruppe, zu der auch EFF und Peacefire gehören, befasste sich mit der "Stealth-Blockierung", bei der ISPs DNSBLs oder andere Techniken zum Blockieren von Spam verwenden, ohne ihre Kunden zu informieren.

Klagen

Spammer haben aus ähnlichen Gründen Klagen gegen DNSBL-Betreiber eingereicht:

• Im Jahr 2003 reichte EMarketersAmerica.org bei einem Gericht in Florida eine Klage gegen eine Reihe von DNSBL-Betreibern ein . Unterstützt von Spammer Eddy Marin behauptete das Unternehmen, eine Handelsorganisation für E-Mail-Vermarkter zu sein und dass die DNSBL-Betreiber Spamhaus und SPEWS Handelsbeschränkungen betrieben hätten . Die Klage wurde schließlich mangels Ansehen abgewiesen .
• Im Jahr 2006 verurteilte ein US-Gericht Spamhaus zur Zahlung von 11,7 Millionen US-Dollar Schadenersatz an den Spammer e360 Insight LLC. Bei der Anordnung handelte es sich um ein Versäumnisurteil , da Spamhaus mit Sitz in Großbritannien sich geweigert hatte, die Zuständigkeit des Gerichts anzuerkennen und sich in der e360-Klage nicht verteidigte . Im Jahr 2011 wurde seine Entscheidung vom Berufungsgericht der Vereinigten Staaten für den siebten Bezirk aufgehoben .

Siehe auch

• Vergleich von DNS-Blacklists
• DNSWL
• E-Mail-Spam

Anmerkungen

Verweise

Externe Links

• schwarze Listen bei Curlie
• Blacklist Monitor - Wöchentliche Statistiken zu Erfolgs- und Misserfolgsraten für bestimmte Blacklists
• So erstellen Sie eine DNSBL - Tutorial zum Erstellen einer DNSBL (DNS Black List)