Interested Article - DNSBL
- 2021-11-07
- 1
DNSBL ( DNS blocklist ) — списки хостов , хранимые с использованием системы архитектуры DNS . Обычно используются для борьбы со спамом . Почтовый сервер обращается к DNSBL и проверяет в нём наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приёма спам -сообщения. Серверу отправителя сообщается ошибка 5xx (неустранимая ошибка) и сообщение не принимается. Почтовый сервер отправителя создаёт «отказную квитанцию» отправителю о недоставке почты.
Типы DNSBL
- Списки открытых релеев — база данных почтовых серверов, неправильно сконфигурированных, которые позволяют пересылать через себя почтовые сообщения для всех желающих. Как правило данные хосты автоматически сканируются в Интернете , поэтому попадание такого хоста в руки людей, рассылающих спам , происходит очень быстро (не более 4 дней). При использовании данных списков существует наименьшая опасность блокирования обычной почты, так как сервер попадает в список, только после проверки его специальным почтовым роботом.
- Списки спам-серверов — база данных серверов, через которые было замечено прохождение спам -сообщений. Данные списки составляются на основе показаний пользователей, получивших спам с какого-либо сервера, поэтому они могут содержать устаревшую или просто неверную информацию.
- Список Dialup -адресов — список ip-адресов провайдеров, используемых ими для организации сервиса удалённого доступа, и, следовательно, которые не могут быть адресами почтовых серверов. Использование данных списков практически безопасно для легальной почты.
- Список открытых прокси-серверов HTTP /Socks без контроля доступа, позволяющие любому пользователю совершать неавторизованные действия, скрывая свой реальный IP-адрес, незаконные действия включают не только рассылку спама, но и многочисленные иные варианты.
DRBL — Distributed Realtime Blocking List
После 31 июля 2001, когда MAPS LLC прекратило предоставлять сервис публично, была разработана альтернатива — DRBL (Distributed Realtime Blocking List). На смену проприетарного подхода MAPS LLC к ведению и контролю над списком блокируемых IP-адресов в DRBL пришёл иной подход — распределённый, позволяющий организациям и частным лицам не просто собирать свою базу (в том числе методами, описанными выше), но и обмениваться этими списками с коллегами. Каждый участник (node) имеет в своём распоряжении все доступные ему возможности составления списков блокируемых IP для публикации их посредством DRBL (своей DRBL-зоны). В DRBL-зоне принято публиковать то, что сам участник блокирует на своём почтовом сервере. К примеру, происходит обработка почтовой корреспонденции на стороне сервера, где выявленный спам не просто не пропускается в ящики пользователей, но и IP источника этого спама немедленно публикуется в DRBL-зоне провайдера. Почтовые сервера других компаний, настроенные на работу с этой DRBL-зоной, немедленно смогут воспользоваться этой информацией и отвергнуть корреспонденцию от источника спама (по IP) ещё до её приёма, без дополнительной обработки спам-сообщения. Такой подход позволяет значительно снизить накладные расходы сервера на обработку спам-сообщений для всех участников сети. Провайдеры обычно публикуют IP-адрес источника спама на короткое время в их DRBL-зоне. Частные лица, держатели DRBL-node’ов, обычно отличаются более экстремистским подходом, вплоть до ручной блокировки (навечно) целых сетей /8, по географическому признаку ( Китай , Япония ). Зачастую DRBL-зона частного лица не подходит для использования интернет-сервис-провайдерами в силу слишком редкого её обновления.
DRBL предусматривает критерии оценки веса информации, полученной от каждой конкретной DRBL-зоны, что позволяет не блокировать всё подряд и доверять информации, полученной из разных источников по-разному. В России этой системой пользуются многие Интернет-провайдеры. Эффективность публикуемого посредством DRBL-зоны списка IP-адресов тем выше, чем оперативнее участник заносит в список новые IP-адреса, являющиеся, по его мнению, источниками спама и исключает оттуда устаревшие. Политика каждой DRBL-зоны публикуется её держателем. Вы вольны выбирать и подключать те зоны, чья политика кажется Вам вменяемой, методы, используемые для сбора и исключения адресов, — оперативными, а обновление DRBL-зоны — достаточно частым.
Проверка
Чтобы проверить, заблокирован ли IP-адрес каким-либо DNSBL-списком, надо указать проверяемый IP в нотации DNS PTR (задом наперёд) и добавить имя домена DNSBL-сервера. Если ответ будет получен, то данный адрес заблокирован (находится в списке):
$ host -tA 71.60.206.220.bl.spamcop.net 220.206.60.71.bl.spamcop.net has address 127.0.0.2
Полученный IP-адрес может оказаться любым, важен лишь факт его наличия (отсутствия) в ответе на запрос. Именно поэтому сам IP можно использовать для описания, скажем, типа источника, по которому искомый адрес был добавлен в список. К примеру, 127.0.0.1 — открытые релеи, 127.0.0.2 — источники portscan’ов, и т. п. По той же причине полезно использовать host с опцией -t any, в ответ на которую вы можете получить дополнительный комментарий в поле типа «текст» (TXT RR):
$ host -t any 116.47.136.151.vote.drbl.sandy.ru 151.136.47.116.vote.drbl.sandy.ru descriptive text "070715:Spam in progress" 151.136.47.116.vote.drbl.sandy.ru has address 127.0.0.2
Пример адреса, которого нет в DNSBL-списке.122.235.215.212
$ host -tA 72.205.229.181.bl.spamcop.net Host 181.229.205.72.bl.spamcop.net not found: 3(NXDOMAIN)
Существует ряд веб-сервисов , поддерживающих проверку заданного IP-адреса в большом количестве действующих на данных момент DNSBL- и -списков (200 и более). Например, (англ.) .
Использование
Существует 2 метода использования данной технологии.
1) Однозначная блокировка — отклонение сообщений, которые пришли с IP-адреса, находящегося в DNSBL
2) Взвешенный подход. При таком подходе сообщение, пришедшее с IP-адреса, находящегося в DNSBL, не блокируется, но этот факт учитывается при классификации «спамности» письма.
При использовании первого подхода все письма с IP-адресов, попавших в DNSBL, однозначно отклоняются. Независимо от того, попал ли IP-адрес в чёрный список заслуженно или же по ошибке (что всё чаще и чаще встречается на практике). Использование второго подхода отлично иллюстрируется opensource-спам-фильтром spamassassin . Когда для классификации сообщения применяется взвешенный подход, то есть анализ по множеству критериев. В таком случае нахождение IP-адреса отправителя в чёрном списке не является единственным и результирующим фактором, который влияет на решение о классификации сообщения, что в свою очередь означает снижение количества ложных срабатываний фильтра в тех случаях, когда IP-адрес отправителя попал в чёрный список по нелепой случайности.
На данный момент (2023 год) использование технологии DNSBL по первому принципу приносит проблемы в виде невозможности доставки чистой почты. Некоторые организации, поддерживающие DNSBL, стали вносить в списки целые диапазоны и даже автономные системы .
Второй подход используют крупные почтовые системы, такие как Yandex или Mail.ru.
См. также
- Открытый релей
- — аналогичный по технологии белый список почтовых отправителей.
Ссылки
- (англ.)
- (англ.)
- (англ.)
- (недоступная ссылка с 02-09-2016 [2686 дней])
- (недоступная ссылка с 02-09-2016 [2686 дней])
- , WOLAND’s blog, 2008 [ неавторитетный источник ]
- / Securelist , 3 сен 2003
- / Securelist, 2 июн 2005
- (недоступная ссылка с 02-09-2016 [2686 дней]) — проверить, был ли IP-адрес зарегистрирован в базе DNSBL
- — российский проект ведения базы IP-адресов, замеченных в рассылке спама. Для распространения базы адресов используется технология RBL DNS или DNS BL.
- 2021-11-07
- 1