Черный список системы доменных имен

Способ заблокировать хост за спам по электронной почте

Черный список системы доменных имен , черный список системы доменных имен , черный список системы доменных имен ( DNSBL ) или черный список реального времени ( RBL ) — это служба для работы почтовых серверов для выполнения проверки через систему доменных имен (DNS). запросить, занесен ли IP-адрес отправляющего хоста в черный список спама по электронной почте . ^[1] Большинство программного обеспечения почтовых серверов можно настроить на проверку таких списков, обычно отклоняя или помечая сообщения с таких сайтов.

DNSBL — это программный механизм, а не конкретный список или политика. Существуют десятки DNSBL. ^[2] Они используют широкий спектр критериев для включения и исключения адресов. Они могут включать в себя перечисление адресов компьютеров-зомби или других машин, используемых для рассылки спама, провайдеров интернет-услуг (ISP), которые охотно принимают спамеров, или тех, кто отправляет спам в систему- ловушку .

С момента создания первого DNSBL в 1998 году работа и политика этих списков часто вызывали споры, ^{[3] [4]} как в кругах интернет- пропагандистов , так и иногда в судебных процессах. Многие операторы и пользователи систем электронной почты ^[5] считают DNSBL ценным инструментом для обмена информацией об источниках спама, но другие, в том числе некоторые известные интернет-активисты, возражают против них как от формы цензуры . ^{[6] [7] [8] [9]} Кроме того, небольшое количество операторов DNSBL стали объектом судебных исков, поданных спамерами, требующими закрытия списков. ^[10]

История

Первым DNSBL был черный список реального времени (RBL), созданный в 1997 году сначала как поток протокола пограничного шлюза (BGP) Полом Викси , а затем как DNSBL Эриком Зигастом как часть системы предотвращения злоупотреблений почтой Vixie ( КАРТЫ); Дэйв Рэнд из Uppernet был его первым подписчиком. ^[11] Самая первая версия RBL была опубликована не как DNSBL, а скорее как список сетей, передаваемых через BGP на маршрутизаторы , принадлежащие подписчикам, чтобы сетевые операторы могли отбрасывать весь TCP/IP- трафик для машин, используемых для рассылки спама или хостов. службы поддержки спама, такие как веб-сайт. Изобретателем метода, позже получившего название DNSBL, был Эрик Зигаст, работавший в Vixie Enterprises.

The term "blackhole" refers to a networking black hole, an expression for a link on a network that drops incoming traffic instead of forwarding it normally. The intent of the RBL was that sites using it would refuse traffic from sites which supported spam — whether by actively sending spam, or in other ways. Before an address would be listed on the RBL, volunteers and MAPS staff would attempt repeatedly to contact the persons responsible for it and get its problems corrected. Such effort was considered very important before black-holing all network traffic, but it also meant that spammers and spam supporting ISPs could delay being put on the RBL for long periods while such discussions went on.

Later, the RBL was also released in a DNSBL form and Paul Vixie encouraged the authors of sendmail and other mail software to implement RBL support in their clients. These allowed the mail software to query the RBL and reject mail from listed sites on a per-mail-server basis instead of black-holing all traffic.

Soon after the advent of the RBL, others started developing their own lists with different policies. One of the first was Alan Brown's Open Relay Behavior-modification System (ORBS). This used automated testing to discover and list mail servers running as open mail relays—exploitable by spammers to carry their spam. ORBS was controversial at the time because many people felt running an open relay was acceptable, and that scanning the Internet for open mail servers could be abusive.

In 2003, a number of DNSBLs came under denial-of-service attacks (DOS). Since no party has admitted to these attacks nor been discovered responsible, their purpose is a matter of speculation. However, many observers believe the attacks are perpetrated by spammers in order to interfere with the DNSBLs' operation or hound them into shutting down. In August 2003, the firm Osirusoft, an operator of several DNSBLs including one based on the SPEWS data set, shut down its lists after suffering weeks of near-continuous attack.

Technical specifications for DNSBLs came relatively late in RFC5782.^[12]

URI DNSBLs

A Uniform Resource Identifier (URI) DNSBL is a DNSBL that lists the domain names and sometimes also IP addresses which are found in the "clickable" links contained in the body of spams, but generally not found inside legitimate messages.

URI DNSBLs were created when it was determined that much spam made it past spam filters during that short time frame between the first use of a spam-sending IP address and the point where that sending IP address was first listed on major sending-IP-based DNSBLs.

Во многих случаях такой неуловимый спам содержит в своих ссылках доменные имена или IP-адреса (совместно называемые URI), где этот URI уже был обнаружен в ранее перехваченном спаме и где этот URI не обнаружен в электронной почте, не являющейся спамом.

Таким образом, когда спам-фильтр извлекает все URI из сообщения и сверяет их с URI DNSBL, спам может быть заблокирован, даже если IP-адрес отправителя этого спама еще не указан ни на одном IP-адресе DNSBL отправки.

Из трех основных DNSBL URI самым старым и популярным является SURBL . ^[13] После создания SURBL некоторые добровольцы SURBL запустили второй основной URI DNSBL, URIBL . ^[14] В 2008 году еще один давний волонтер SURBL запустил еще один URI DNSBL, ivmURI . ^[15] Проект Spamhaus предоставляет черный список доменов Spamhaus ( DBL ), который они описывают как домены, «обнаруженные в спам-сообщениях». ^[16] DBL предназначен как для URIBL, так и для RHSBL, для проверки как по доменам в конверте сообщения, так и по заголовкам и доменам в URL-адресах в теле сообщения. В отличие от других URIBL, в DBL перечислены только доменные имена, а не IP-адреса, поскольку Spamhaus предоставляет другие списки IP-адресов.

DNSBL URI часто путают с RHSBL (правосторонние BL). Но они разные. URI DNSBL перечисляет доменные имена и IP-адреса, найденные в теле сообщения. В RHSBL перечислены доменные имена, используемые в адресах электронной почты «от» или «кому». Эффективность RHSBL сомнительна, поскольку во многих спамах используются либо поддельные адреса «от», либо адреса «от», содержащие популярные доменные имена бесплатной почты, такие как @gmail.com, @yahoo.com или @hotmail.com URI DNSBL используются более широко. чем RHSBL, очень эффективны и используются большинством спам-фильтров.

Принцип

Для работы DNSBL требуются три вещи: домен, на котором он будет размещен, сервер имен для этого домена и список адресов для публикации.

DNSBL можно обслуживать с помощью любого программного обеспечения DNS-сервера общего назначения . Однако это обычно неэффективно для зон, содержащих большое количество адресов, особенно для DNSBL, в которых перечислены целые сетевые блоки бесклассовой междоменной маршрутизации. Из-за большого потребления ресурсов при использовании программного обеспечения, предназначенного для роли сервера доменных имен, существуют специальные программные приложения, разработанные специально для серверов с ролью черного списка DNS.

Самая сложная часть работы DNSBL — это заполнение его адресами. DNSBL, предназначенные для публичного использования, обычно имеют конкретную опубликованную политику относительно того, что означает листинг, и должны использоваться соответствующим образом для достижения или поддержания общественного доверия.

DNSBL-запросы

Когда почтовый сервер получает соединение от клиента и желает проверить этого клиента на DNSBL (скажем, dnsbl.example.net ), он делает примерно следующее:

1. Возьмите IP-адрес клиента, скажем, 192.168.42.23 , и измените порядок октетов, получив 23.42.168.192 .
2. Добавьте доменное имя DNSBL: 23.42.168.192.dnsbl.example.net .
3. Найдите это имя в DNS как имя домена (запись «А»). Это вернет либо адрес, указывающий, что клиент указан в списке; или код «NXDOMAIN» («Такого домена нет»), указывающий, что клиента нет.
4. При необходимости, если клиент указан в списке, найдите имя в виде текстовой записи (запись «TXT»). Большинство DNSBL публикуют информацию о том, почему клиент указан в записях TXT.

Таким образом, поиск адреса в DNSBL аналогичен поиску его в обратном DNS. Различия заключаются в том, что при поиске DNSBL используется тип записи «A», а не «PTR», и используется прямой домен (например, dnsbl.example.net выше), а не специальный обратный домен in-addr.arpa .

Существует неофициальный протокол для адресов, возвращаемых запросами DNSBL, которые совпадают. Большинство DNSBL возвращают адрес в кольцевой IP- сети 127.0.0.0/8. Адрес 127.0.0.2 указывает на общий список. Другие адреса в этом блоке могут указывать на что-то особенное в списке — что он указывает на открытый ретранслятор, прокси-сервер, хост, принадлежащий спамерам и т. д. Подробности см. в RFC 5782.

URI DNSBL

Запрос URI DNSBL (и запрос RHSBL) довольно прост. Доменное имя для запроса добавляется к хосту списка DNS следующим образом:

example.net.dnslist.example.com

где dnslist.example.com — узел списка DNS, а example.net — запрашиваемый домен. Обычно, если возвращается запись A, указывается имя.

Политики DNSBL

Разные DNSBL имеют разные политики. Политики DNSBL отличаются друг от друга по трем направлениям:

• Цели. Что пытается перечислить DNSBL ? Это список почтовых серверов с открытой ретрансляцией или открытых прокси — или IP-адресов, которые, как известно, рассылают спам, — или, возможно, IP-адресов, принадлежащих интернет-провайдерам, которые укрывают спамеров?
• Номинация. Как DNSBL обнаруживает адреса для внесения в список? Используются ли номинации, представленные пользователями? Адреса спам-ловушек или приманки ?
• Срок действия листинга. Как долго длится объявление ? Срок их действия истекает автоматически или удаляется только вручную? Что может сделать оператор хоста, включенного в список, чтобы исключить его из списка?

Типы

Помимо различных типов объектов в списке (IP-адреса для традиционных DNSBL, имена хостов и доменов для RHSBL, URI для URIBL) между списками существует широкий спектр семантических различий в отношении того, что означает список. Сами составители списков разделились во мнениях по поводу того, следует ли рассматривать их списки как констатацию объективных фактов или субъективного мнения и как лучше всего использовать их списки. В результате не существует окончательной таксономии DNSBL. Некоторые имена, определенные здесь (например, «Yellow» и «NoBL» ^[17] ), представляют собой разновидности, которые не получили широкого распространения, поэтому сами имена не получили широкого распространения, но должны быть признаны многими специалистами по борьбе со спамом.

Белый список/Разрешенный список

Листинг является подтверждением абсолютного доверия.

Черный список/Черный список

Листинг является негативным признаком, по сути, абсолютного недоверия.

Серый список

Чаще всего рассматривается как одно слово (серый список или серый список), не затрагивающее DNSBL напрямую, но использующее временную задержку почты из незнакомых источников, чтобы обеспечить создание публичной репутации (например, списки DNSBL) или препятствовать спаму, ориентированному на скорость. Иногда используется для обозначения реальных DNSBL, списки которых обозначают отдельные неабсолютные уровни и формы доверия или недоверия.

Желтый список

В списке указано, что источник, как известно, создает смесь спама и не-спама до такой степени, что проверка других DNSBL любого типа становится бесполезной.

Список Нобл

В списке указано, что источник считается не рассылающим спам и не должен подвергаться тестированию в черном списке, но ему не так доверяют, как источнику из белого списка.

Применение

• Большинство агентов передачи сообщений (MTA) ^{[nb 1]} можно настроить на полную блокировку или (реже) на прием электронной почты на основе списка DNSBL. Это самая старая форма использования DNSBL. В зависимости от конкретного MTA могут существовать тонкие различия в конфигурации, которые делают такие типы списков, как Yellow и NoBL, полезными или бессмысленными из-за того, как MTA обрабатывает несколько DNSBL. Недостаток использования прямой поддержки DNSBL в большинстве MTA заключается в том, что источники, не включенные ни в один список, требуют проверки всех используемых DNSBL с относительно небольшой полезностью для кэширования отрицательных результатов. В некоторых случаях это может привести к значительному замедлению доставки почты. Использование белых, желтых списков и списков NoBL во избежание некоторых поисков может облегчить эту проблему в некоторых MTA.
• DNSBL можно использовать в программном обеспечении для анализа спама на основе правил, таком как Spamassassin , где каждый DNSBL имеет свое собственное правило. Каждое правило имеет определенный положительный или отрицательный вес, который в сочетании с другими типами правил оценивает каждое сообщение. Это позволяет использовать правила, которые действуют (по любым критериям, доступным в конкретном программном обеспечении) для внесения в белый список почты, которая в противном случае была бы отклонена из-за списка DNSBL или из-за других правил. Это также может вызвать проблему большой нагрузки при поиске DNS без каких-либо полезных результатов, но это может не задерживать почту так сильно, поскольку оценка позволяет выполнять поиск параллельно и асинхронно, пока фильтр проверяет сообщение на соответствие другим правилам.
• С помощью некоторых наборов инструментов можно объединить подходы двоичного тестирования и взвешенных правил. Один из способов сделать это — сначала проверить белые списки и принять сообщение, если источник находится в белом списке, минуя все другие механизмы тестирования. Методика, разработанная фильтром нежелательной почты ^[18], использует желтые списки и списки NoBL для уменьшения количества ложных срабатываний, которые регулярно возникают при использовании черных списков, которые не поддерживаются должным образом, чтобы их избежать.
• Некоторые DNSBL были созданы не для фильтрации электронной почты на спам, а скорее для демонстрационных, информационных, риторических целей и целей контроля тестирования. Примеры включают «Список без ложноотрицательных результатов», «Список счастливых семерок», «Список Фибоначчи», различные списки, кодирующие информацию GeoIP, и списки случайного выбора, масштабированные для соответствия охвату другого списка, полезные в качестве контроля для определения того, являются ли эффекты этого списка отличить от случайных отклонений.

Критика

Некоторые конечные пользователи и организации обеспокоены концепцией DNSBL или особенностями их создания и использования. Некоторые критические замечания включают:

• Законные электронные письма блокируются вместе со спамом с общих почтовых серверов. Если на общем почтовом сервере интернет-провайдера есть одна или несколько скомпрометированных компьютеров, рассылающих спам, он может быть внесен в список DNSBL. Конечные пользователи, назначенные на тот же общий почтовый сервер, могут обнаружить, что их электронные письма заблокированы, если почтовые серверы-получатели используют такой DNSBL. ^[19] В мае 2016 года система SORBS блокировала SMTP-серверы Telstra Australia, крупнейшего интернет-провайдера Австралии. Это неудивительно, поскольку в любой момент времени к этому почтовому серверу будут подключены тысячи компьютеров, зараженных вирусами типа зомби, рассылающими спам. Цель состоит в том, чтобы отключить все законные электронные письма от пользователей системы Telstra Australia.
• Списки динамических IP-адресов. Этот тип DNSBL перечисляет IP-адреса, предоставленные интернет-провайдерами, как динамические и, следовательно, предположительно непригодные для прямой отправки электронной почты; ^[7] конечный пользователь должен использовать почтовый сервер интернет-провайдера для отправки электронной почты. Но эти списки также могут случайно включать статические адреса, которые могут законно использоваться владельцами малого бизнеса или другими конечными пользователями для размещения небольших почтовых серверов. ^[20]
• Списки, включающие «операции по поддержке спама», такие как MAPS RBL. ^[21] Операция по поддержке спама — это сайт, который не может напрямую рассылать спам, но предоставляет спамерам коммерческие услуги, такие как хостинг веб-сайтов, рекламируемых в спаме. Отказ принимать почту от служб поддержки спама задуман как бойкот , призванный побудить такие сайты прекратить вести дела со спамерами за счет создания неудобств для тех, кто не является спамером и использует тот же сайт, что и спамеры.
• В некоторых списках критерии включения неясны, и исключение из списка может произойти не автоматически и не быстро. Некоторые операторы DNSBL запрашивают оплату (например, uceprotect.net) ^[22] или пожертвование (например, SORBS ). Некоторые из многих политик листинга/исключения можно найти в статье «Сравнение черных списков DNS» .
• Поскольку в списках используются разные методы добавления IP-адресов и/или URI, отправителям может быть сложно правильно настроить свои системы, чтобы избежать попадания в список DNSBL. Например, DNSBL UCEProtect, похоже, отображает IP-адреса только после того, как они проверят адрес получателя или установили TCP-соединение, даже если спам-сообщение никогда не доставляется. ^[23]

Несмотря на критику, мало кто возражает против принципа, согласно которому сайты-получатели почты должны иметь возможность систематически отклонять нежелательную почту. Одним из тех, кто это делает, является Джон Гилмор , который намеренно управляет открытой ретрансляцией почты . Гилмор обвиняет операторов DNSBL в нарушении антимонопольного законодательства.

Для Джо Блоу отказ от электронных писем является законным (хотя это плохая политика, сродни «расстрелу мессенджера»). Но если Джо и десять миллионов друзей объединятся, чтобы составить черный список, они воспользуются незаконной монопольной властью. ^[24]

Ряд сторон, таких как Electronic Frontier Foundation и Peacefire , выразили обеспокоенность по поводу использования DNSBL интернет- провайдерами . В одном совместном заявлении группы, включающей EFF и Peacefire, речь шла о «скрытой блокировке», когда интернет-провайдеры используют DNSBL или другие методы блокировки спама, не информируя об этом своих клиентов. ^[25]

Судебные процессы

Спамеры подали иски против операторов DNSBL по аналогичным основаниям:

• В 2003 году EMarketersAmerica.org подала иск против ряда операторов DNSBL в суд Флориды . При поддержке спамера Эдди Марина компания заявила, что является торговой организацией для маркетологов электронной почты и что операторы DNSBL Spamhaus и SPEWS занимаются ограничением торговли . В конечном итоге иск был отклонен за отсутствием обоснованности . ^{[26] [27]}
• В 2006 году суд США обязал Spamhaus выплатить 11,7 миллиона долларов в качестве компенсации спамеру e360 Insight LLC. Приказ был заочным решением , поскольку компания Spamhaus, базирующаяся в Великобритании, отказалась признать юрисдикцию суда и не защитила себя в иске e360 . В 2011 году его решение было отменено Апелляционным судом седьмого округа США . ^[28]

Смотрите также

• Сравнение черных списков DNS
• DNSWL
• Спам по электронной почте

Примечания

1. По состоянию на июль 2016 года известно, что 30 из 41 MTA, перечисленных в разделе «Сравнение почтовых серверов # Функции защиты от спама», поддерживают DNSBL, 1 — нет, а остальные 10 неизвестны.

Рекомендации

1. «Что такое DNSBL» . DNSBL.info . Проверено 21 июня 2020 г.
2. «Списки черных дыр DNS и RHS» . Архивировано из оригинала 21 марта 2013 г. Проверено 26 марта 2013 г.
3. Льюис, Крис; Сержант, Мэтт. Обзор лучших практик использования списков DNS электронной почты (DNSBL). дои : 10.17487/RFC6471 . RFC 6471 . Проверено 25 мая 2020 г.
4. «RBLMon.com: Что такое RBL и как они работают?». Архивировано из оригинала 4 сентября 2017 г. Проверено 26 марта 2013 г.
5. «Раскрытие членства в ботсети с помощью контрразведки DNSBL» (PDF) . Проверено 26 марта 2013 г.
6. "Критика RBL". 11 февраля 2008 года . Проверено 26 марта 2013 г.
7. «Фонд электронных границ, EFFector, Том 14, № 31, 16 октября 2001 г.» . 12 января 2012 года . Проверено 26 марта 2013 г.
8. «Verio затыкает рот основателю EFF из-за спама» . Регистр . Проверено 26 марта 2013 г.
9. «Выбор спама вместо цензуры» . Архивировано из оригинала 21 апреля 2003 г. Проверено 26 марта 2013 г.
10. «EMarketersAmerica.org подает в суд на группы по борьбе со спамом» . Проверено 26 марта 2013 г.
11. Макмиллан, Роберт (декабрь 1997 г.). «Что остановит спам?» . Проверено 16 мая 2008 г.
12. Левин, Дж. (2010). «RFC5782». CiteSeerX 10.1.1.636.4385 . doi : 10.17487/RFC5782.  {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
13. "СУРБЛ". СУРБЛ . Проверено 6 мая 2012 г.
14. "ЮРИБЛ". УРИБЛ . Проверено 6 мая 2012 г.
15. "ivmURI". Dnsbl.invaluement.com. 31 мая 2008 г. Архивировано из оригинала 5 мая 2012 г. Проверено 6 мая 2012 г.
16. «Список заблокированных доменов» . Проект «Спамхаус» . Проверено 10 октября 2014 г.
17. Перкель, Марк. «Новая парадигма для списков на основе DNS». Архивировано из оригинала 28 января 2013 г. Проверено 20 марта 2012 г.
18. «Фильтр нежелательной почты» . Wiki.junkemailfilter.com. 17 февраля 2012 г. Проверено 6 мая 2012 г.
19. «Объяснение проблем с доставкой электронной почты» . Проверено 26 марта 2013 г.
20. «Проект Spamhaus, черный список политик» . Проверено 26 марта 2013 г.
21. "Карты Рублей". Mail-abuse.com. 03.03.2012 . Проверено 6 мая 2012 г.
22. УЦЕПРОТЕКТ. «UCEprotect.net». UCEprotect.net . Проверено 6 мая 2012 г.
23. Симпсон, Кен. «Попадание в черный список без рассылки спама». Блог MailChannels . Корпорация MailChannels. Архивировано из оригинала 19 сентября 2011 г. Проверено 16 сентября 2011 г.
24. "ЖАБА.com". ЖАБА.com. Архивировано из оригинала 3 мая 2012 г. Проверено 6 мая 2012 г.
25. «Заявление коалиции против «скрытой блокировки»» . Сайт Peacefire.org. 17 мая 2001 г. Проверено 6 мая 2012 г.
26. Маквильямс, Брайан (10 сентября 2003 г.). «Нет перемирия в спам-войнах». Проводной . Проверено 12 апреля 2021 г.
27. "Linxnet.com". Linxnet.com . Проверено 6 мая 2012 г.
28. Лейден, Джон (5 сентября 2011 г.). «Спамхаус победил после пятилетней борьбы с массовой рассылкой». Регистр . Проверено 12 апреля 2021 г.

Внешние ссылки

• черные списки в Curlie
• Монитор черных списков — еженедельная статистика успехов и неудач для определенных черных списков
• Как создать DNSBL — Учебное пособие по созданию DNSBL (черный список DNS)