Список блокировки системы доменных имен

Метод блокировки хоста для спама по электронной почте

Список блокировки системы доменных имен , черный список на основе системы доменных имен , черный список системы доменных имен ( DNSBL ) или черный список в реальном времени ( RBL ) — это служба для работы почтовых серверов , позволяющая им проверять с помощью запроса системы доменных имен (DNS) IP-адрес отправляющего хоста на предмет наличия черного списка для спама в электронной почте . ^[1] Большинство программных обеспечений почтовых серверов можно настроить на проверку таких списков, обычно отклоняя или помечая сообщения с таких сайтов.

DNSBL — это программный механизм, а не конкретный список или политика. Существуют десятки DNSBL. ^[2] Они используют широкий спектр критериев для внесения в список и исключения из списка адресов. Они могут включать в себя список адресов компьютеров-зомби или других машин, используемых для рассылки спама, интернет-провайдеров (ISP), которые добровольно размещают спамеров, или тех, которые отправляли спам в систему honeypot .

С момента создания первого DNSBL в 1998 году, работа и политика этих списков часто были спорными, ^{[3] [4]} как в кругах интернет- защитников , так и иногда в судебных процессах. Многие операторы и пользователи систем электронной почты ^[5] считают DNSBL ценным инструментом для обмена информацией об источниках спама, но другие, включая некоторых известных интернет-активистов, возражали против них как формы цензуры . ^{[6] [7] [8] [9]} Кроме того, небольшое количество операторов DNSBL стали объектом судебных исков, поданных спамерами, стремящимися закрыть списки. ^[10]

История

Первый DNSBL был Real-time Blackhole List (RBL), созданный в 1997 году, сначала как канал Border Gateway Protocol (BGP) Полом Викси , а затем как DNSBL Эриком Зигастом как часть Mail Abuse Prevention System (MAPS) Vixie; Дэйв Рэнд из Abovenet был его первым подписчиком. ^[11] Самая первая версия RBL была опубликована не как DNSBL, а скорее как список сетей, переданных через BGP на маршрутизаторы, принадлежащие подписчикам, чтобы сетевые операторы могли сбрасывать весь трафик TCP/IP для машин, используемых для отправки спама или размещения спам-поддерживающих служб, таких как веб-сайт. Изобретателем техники, позже обычно называемой DNSBL, был Эрик Зигастом, работавший в Vixie Enterprises.

Термин «черная дыра» относится к сетевой черной дыре , выражение для ссылки в сети, которая сбрасывает входящий трафик вместо того, чтобы пересылать его обычным образом. Цель RBL состояла в том, чтобы сайты, использующие его, отклоняли трафик с сайтов, которые поддерживали спам — будь то путем активной рассылки спама или другими способами. Перед тем, как адрес был указан в RBL, волонтеры и сотрудники MAPS неоднократно пытались связаться с ответственными за него лицами и исправить его проблемы. Такие усилия считались очень важными перед тем, как заносить в черные дыры весь сетевой трафик, но это также означало, что спамеры и поддерживающие спам интернет-провайдеры могли откладывать включение в RBL на длительные периоды, пока продолжались такие обсуждения.

Позже RBL также был выпущен в форме DNSBL, и Пол Викси призвал авторов sendmail и другого почтового ПО реализовать поддержку RBL в своих клиентах. Это позволило почтовому ПО запрашивать RBL и отклонять почту с перечисленных сайтов на уровне каждого почтового сервера вместо того, чтобы помещать весь трафик в черную дыру.

Вскоре после появления RBL другие начали разрабатывать собственные списки с другими политиками. Одной из первых была Open Relay Behavior-modification System (ORBS) Алана Брауна. Она использовала автоматическое тестирование для обнаружения и составления списка почтовых серверов, работающих как открытые почтовые ретрансляторы — которые могли использоваться спамерами для распространения спама. ORBS в то время вызывала споры, поскольку многие люди считали, что запуск открытого ретранслятора приемлем, и что сканирование Интернета на предмет открытых почтовых серверов может быть злоупотреблением.

В 2003 году ряд DNSBL подверглись атакам типа «отказ в обслуживании» (DOS). Поскольку ни одна из сторон не призналась в этих атаках и не была признана ответственной, их цель является предметом спекуляций. Однако многие наблюдатели полагают, что атаки совершаются спамерами, чтобы помешать работе DNSBL или заставить их закрыться. В августе 2003 года фирма Osirusoft , оператор нескольких DNSBL, включая один, основанный на наборе данных SPEWS , закрыла свои списки после недель почти непрерывной атаки.

Технические спецификации DNSBL появились сравнительно поздно в RFC5782. ^[12]

URI DNSBL

Унифицированный идентификатор ресурса (URI) DNSBL — это DNSBL, в котором перечислены доменные имена, а иногда и IP-адреса, которые встречаются в «кликабельных» ссылках, содержащихся в теле спама, но, как правило, не встречаются внутри легитимных сообщений.

Списки URI DNSBL были созданы, когда было установлено, что значительная часть спама прошла через спам-фильтры в течение короткого промежутка времени между первым использованием IP-адреса отправителя спама и моментом, когда этот IP-адрес отправителя впервые был указан в основных списках DNSBL на основе IP-адресов отправителя.

Во многих случаях такой неуловимый спам содержит в своих ссылках доменные имена или IP-адреса (совместно именуемые URI), где этот URI уже был замечен в ранее обнаруженном спаме и где этот URI не встречается в обычных электронных письмах.

Таким образом, когда спам-фильтр извлекает все URI из сообщения и проверяет их по URI DNSBL, спам может быть заблокирован, даже если отправляющий IP-адрес этого спама еще не указан ни в одном отправляющем IP-адресе DNSBL.

Из трех основных URI DNSBL самым старым и популярным является SURBL . ^[13] После создания SURBL некоторые из волонтеров SURBL начали второй основной URI DNSBL, URIBL . ^[14] В 2008 году другой давний волонтер SURBL начал еще один URI DNSBL, ivmURI . ^[15] Проект Spamhaus предоставляет список заблокированных доменов Spamhaus ( DBL ), который они описывают как домены, «найденные в спам-сообщениях». ^[16] DBL предназначен как URIBL, так и RHSBL, для проверки как по доменам в конверте сообщения, так и по заголовкам и доменам в URL-адресах в теле сообщения. В отличие от других URIBL, DBL перечисляет только доменные имена, а не IP-адреса, поскольку Spamhaus предоставляет другие списки IP-адресов.

URI DNSBL часто путают с RHSBL (Right Hand Side BL). Но это разные вещи. URI DNSBL перечисляет доменные имена и IP-адреса, найденные в тексте сообщения. RHSBL перечисляет доменные имена, используемые в адресе электронной почты «от» или «ответить». Эффективность RHSBL спорна, поскольку многие спам-сообщения либо используют поддельные адреса «от», либо используют адреса «от», содержащие популярные доменные имена бесплатной почты, такие как @gmail.com, @yahoo.com или @hotmail.com URI DNSBL используются более широко, чем RHSBL, очень эффективны и используются большинством спам-фильтров.

Принцип

Для работы DNSBL необходимы три вещи: домен, на котором он будет размещен, сервер имен для этого домена и список адресов для публикации.

Можно обслуживать DNSBL с помощью любого программного обеспечения DNS-сервера общего назначения . Однако это обычно неэффективно для зон, содержащих большое количество адресов, в частности DNSBL, которые перечисляют целые сетевые блоки Classless Inter-Domain Routing. Для большого потребления ресурсов при использовании программного обеспечения, разработанного в качестве роли сервера доменных имен, существуют ролевые программные приложения, разработанные специально для серверов с ролью черного списка DNS.

Самая сложная часть работы DNSBL — это заполнение его адресами. DNSBL, предназначенные для публичного использования, обычно имеют конкретные опубликованные политики относительно того, что означает листинг, и должны работать соответствующим образом, чтобы завоевать или поддерживать общественное доверие.

DNSBL-запросы

Когда почтовый сервер получает соединение от клиента и хочет проверить этого клиента по DNSBL (например, dnsbl.example.net ), он делает примерно следующее:

1. Возьмите IP-адрес клиента, скажем, 192.168.42.23 , и поменяйте порядок октетов на обратный, получив 23.42.168.192 .
2. Добавьте доменное имя DNSBL: 23.42.168.192.dnsbl.example.net .
3. Найдите это имя в DNS как доменное имя (запись "A"). Это вернет либо адрес, указывающий на то, что клиент указан; либо код "NXDOMAIN" ("Нет такого домена"), указывающий на то, что клиент не указан.
4. При желании, если клиент указан, найдите его имя как текстовую запись (запись «TXT»). Большинство DNSBL публикуют информацию о том, почему клиент указан как записи TXT.

Поиск адреса в DNSBL, таким образом, похож на поиск в обратном DNS. Различия в том, что поиск в DNSBL использует тип записи "A", а не "PTR", и использует прямой домен (например, dnsbl.example.net выше) вместо специального обратного домена in-addr.arpa .

Существует неформальный протокол для адресов, возвращаемых запросами DNSBL, которые соответствуют друг другу. Большинство DNSBL возвращают адрес в сети IP loopback 127.0.0.0/8 . Адрес 127.0.0.2 указывает на общий список. Другие адреса в этом блоке могут указывать на что-то конкретное в списке — что он указывает на открытый ретранслятор, прокси, хост, принадлежащий спамеру и т. д. Подробности см. в RFC 5782.

URI DNSBL

Запрос URI DNSBL (и запрос RHSBL) довольно прост. Доменное имя для запроса добавляется к списку хостов DNS следующим образом:

example.net.dnslist.example.com

где dnslist.example.com — это хост списка DNS, а example.net — запрашиваемый домен. Обычно, если возвращается запись A, имя указывается.

Политики DNSBL

У разных DNSBL разные политики. Политики DNSBL отличаются друг от друга по трем направлениям:

• Цели. Что DNSBL стремится перечислить? Это список открытых почтовых серверов или открытых прокси-серверов — или IP-адресов, известных как рассылающие спам — или, возможно, IP-адресов, принадлежащих интернет-провайдерам, которые укрывают спамеров?
• Номинация. Как DNSBL находит адреса для листинга? Использует ли он номинации, представленные пользователями? Адреса-ловушки для спама или honeypots ?
• Срок действия листинга. Как долго длится листинг ? Истекают ли они автоматически или удаляются только вручную? Что может сделать оператор указанного хоста, чтобы его исключили из листинга?

Типы

В дополнение к различным типам перечисленных объектов (IP-адреса для традиционных DNSBL, имена хостов и доменов для RHSBL, URI для URIBL) существует широкий спектр семантических вариаций между списками относительно того, что означает список. Сами владельцы списков разделились по вопросам того, следует ли рассматривать их списки как утверждения объективных фактов или субъективного мнения и как лучше всего использовать их списки. В результате для DNSBL нет окончательной таксономии. Некоторые имена, определенные здесь (например, «Yellow» и «NoBL» ^[17] ), являются разновидностями, которые не являются широко используемыми, и поэтому сами имена не являются широко используемыми, но должны быть распознаны многими специалистами по контролю спама.

Белый список / Белый список

Листинг является утвердительным показателем по существу абсолютного доверия.

Черный список / Блок-лист

Листинг является негативным признаком по сути абсолютного недоверия.

Серый список

Чаще всего рассматривается как одно слово (серый список или грейлистинг), не связанное напрямую с DNSBL, но использующее временную отсрочку почты из незнакомых источников, чтобы обеспечить развитие общественной репутации (например, списки DNSBL) или воспрепятствовать спаму, ориентированному на скорость. Иногда используется для обозначения фактических DNSBL, в которых списки обозначают отдельные неабсолютные уровни и формы доверия или недоверия.

Желтый список

В списке указано, что источник известен тем, что создает смесь спама и неспама в такой степени, что проверка других DNSBL любого рода бесполезна.

Список NoBL

Включение в список означает, что источник, как предполагается, не рассылает спам и не должен подвергаться проверке на предмет наличия черного списка, но он не настолько надежен, как источник, занесенный в белый список.

Использование

• Большинство агентов передачи сообщений (MTA) ^{[примечание 1]} можно настроить на абсолютную блокировку или (реже) на прием электронной почты на основе списка DNSBL. Это старейшая форма использования DNSBL. В зависимости от конкретного MTA могут быть тонкие различия в конфигурации, которые делают такие типы списков, как Yellow и NoBL, полезными или бесполезными из-за того, как MTA обрабатывает несколько DNSBL. Недостатком использования прямой поддержки DNSBL в большинстве MTA является то, что источники, не входящие ни в один список, требуют проверки всех используемых DNSBL с относительно небольшой полезностью для кэширования отрицательных результатов. В некоторых случаях это может привести к значительному замедлению доставки почты. Использование списков White, Yellow и NoBL для предотвращения некоторых поисков может использоваться для облегчения этой проблемы в некоторых MTA.
• DNSBL могут использоваться в программном обеспечении для анализа спама на основе правил, таком как Spamassassin , где каждый DNSBL имеет свое собственное правило. Каждое правило имеет определенный положительный или отрицательный вес, который комбинируется с другими типами правил для оценки каждого сообщения. Это позволяет использовать правила, которые действуют (по любым критериям, доступным в определенном программном обеспечении) для «белого списка» почты, которая в противном случае была бы отклонена из-за списка DNSBL или из-за других правил. Это также может иметь проблему большой нагрузки поиска DNS без полезных результатов, но это может не задерживать почту так сильно, потому что оценка позволяет выполнять поиск параллельно и асинхронно, пока фильтр проверяет сообщение по другим правилам.
• С некоторыми наборами инструментов можно объединить подходы бинарного тестирования и взвешенных правил. Один из способов сделать это — сначала проверить белые списки и принять сообщение, если источник находится в белом списке, минуя все другие механизмы тестирования. Метод, разработанный Junk Email Filter ^[18], использует желтые списки и списки NoBL для смягчения ложных срабатываний, которые регулярно происходят при использовании черных списков, которые не поддерживаются должным образом, чтобы избежать их.
• Некоторые DNSBL были созданы для использования, отличного от фильтрации спама, а скорее для демонстрационных, информационных, риторических и контрольных целей тестирования. Примерами являются «Список ложных отрицаний», «Список счастливых семерок», «Список Фибоначчи», различные списки, кодирующие информацию GeoIP, и списки случайного выбора, масштабированные для соответствия охвату другого списка, полезные в качестве контроля для определения того, можно ли отличить эффекты этого списка от случайных отклонений.

Критика

Некоторые конечные пользователи и организации обеспокоены концепцией DNSBL или особенностями их создания и использования. Некоторые из критических замечаний включают:

• Законные электронные письма блокируются вместе со спамом с общих почтовых серверов. Когда общий почтовый сервер интернет-провайдера имеет одну или несколько скомпрометированных машин, рассылающих спам, он может быть включен в DNSBL. Конечные пользователи, назначенные на тот же общий почтовый сервер, могут обнаружить, что их электронные письма блокируются принимающими почтовыми серверами, использующими такой DNSBL. ^[19] В мае 2016 года система SORBS блокировала SMTP-серверы Telstra Australia, крупнейшего в Австралии интернет-провайдера. Это неудивительно, так как в любой момент времени к этому почтовому серверу были подключены тысячи компьютеров, зараженных вирусами типа зомби, рассылающими спам. Эффект заключается в том, чтобы отрезать все законные электронные письма от пользователей системы Telstra Australia.
• Списки динамических IP-адресов. Этот тип DNSBL перечисляет IP-адреса, представленные интернет-провайдерами, как динамические и, следовательно, предположительно неподходящие для прямой отправки электронной почты; ^[7] предполагается, что конечный пользователь должен использовать почтовый сервер интернет-провайдера для всей отправки электронной почты. Но эти списки также могут случайно включать статические адреса, которые могут законно использоваться владельцами малого бизнеса или другими конечными пользователями для размещения небольших почтовых серверов. ^[20]
• Списки, включающие «спам-поддержку операций», такие как MAPS RBL. ^[21] Спам-поддержка операций — это сайт, который не может напрямую рассылать спам, но предоставляет спамерам коммерческие услуги, такие как хостинг веб-сайтов, рекламируемых в спаме. Отказ принимать почту от спам-поддержки операций подразумевает бойкот , чтобы побудить такие сайты прекратить вести бизнес со спамерами за счет неудобств для не-спамеров, которые используют тот же сайт, что и спамеры.
• Некоторые списки имеют нечеткие критерии листинга, и исключение из списка может не произойти автоматически или быстро. Некоторые операторы DNSBL будут запрашивать оплату (например, uceprotect.net) ^[22] или пожертвование (например, SORBS ). Некоторые из многих политик листинга/делистинга можно найти в статье Сравнение черных списков DNS.
• Поскольку списки имеют различные методы добавления IP-адресов и/или URI, отправителям может быть сложно настроить свои системы соответствующим образом, чтобы избежать попадания в список DNSBL. Например, DNSBL UCEProtect, похоже, перечисляет IP-адреса только после того, как они подтвердили адрес получателя или установили TCP-соединение, даже если спам-сообщение никогда не доставлялось. ^[23]

Несмотря на критику, мало кто возражает против принципа, что сайты, принимающие почту, должны иметь возможность систематически отклонять нежелательную почту. Один из тех, кто это делает, — Джон Гилмор , который намеренно управляет открытым почтовым ретранслятором . Гилмор обвиняет операторов DNSBL в нарушении антимонопольного законодательства.

Для Джо Блоу отказывать в электронных письмах законно (хотя это плохая политика, сродни «стрельбе в посыльного»). Но если Джо и десять миллионов его друзей объединятся, чтобы составить черный список, они будут осуществлять незаконную монопольную власть. ^[24]

Ряд сторон, таких как Electronic Frontier Foundation и Peacefire , выразили обеспокоенность по поводу использования DNSBLs интернет-провайдерами . В одном совместном заявлении, выпущенном группой, включающей EFF и Peacefire, рассматривалось «скрытое блокирование», при котором интернет-провайдеры используют DNSBLs или другие методы блокировки спама, не информируя своих клиентов. ^[25]

Судебные иски

Спамеры подали иски против операторов DNSBL по схожим основаниям:

• В 2003 году EMarketersAmerica.org подала иск против ряда операторов DNSBL в суд Флориды . При поддержке спамера Эдди Марина компания заявила, что является торговой организацией для маркетологов электронной почты , и что операторы DNSBL Spamhaus и SPEWS занимались ограничением торговли . Иск в конечном итоге был отклонен из-за отсутствия процессуальной правоспособности . ^{[26] [27]}
• В 2006 году суд США обязал Spamhaus выплатить спамеру e360 Insight LLC 11,7 млн ​​долларов в качестве возмещения ущерба. Это постановление было решением суда по умолчанию , поскольку Spamhaus, базирующийся в Великобритании, отказался признать юрисдикцию суда и не защищал себя в иске e360 . В 2011 году его решение было отменено Апелляционным судом США по седьмому округу . ^[28]

Известные примеры

• АХБЛ
• КБЛ
• НДЖАБЛ
• SORBS  – Список почтовых серверов, подозреваемых в распространении спамаСтраницы, отображающие краткие описания целей перенаправления
• Динаблок

Смотрите также

• Интернет-фильтр
• Спам по электронной почте

Примечания

1. По состоянию на июль 2016 года известно, что 30 из 41 MTA, перечисленных в разделе Сравнение почтовых серверов#Функции защиты от спама , поддерживают DNSBL, 1 — нет, а об остальных 10 ничего не известно.

Ссылки

1. "Что такое DNSBL". DNSBL.info . Получено 21 июня 2020 г. .
2. "DNS & RHS blackhole lists". Архивировано из оригинала 2013-03-21 . Получено 2013-03-26 .{{cite web}}: CS1 maint: неподходящий URL ( ссылка )
3. Льюис, Крис; Сержант, Мэтт. Обзор лучших практик работы со списками адресов электронной почты на основе DNS (DNSBL). doi : 10.17487/RFC6471 . RFC 6471. Получено 25.05.2020 .
4. "RBLMon.com: Что такое RBL и как они работают?". Архивировано из оригинала 2017-09-04 . Получено 2013-03-26 .
5. "Раскрытие членства в ботнете с помощью контрразведки DNSBL" (PDF) . Получено 26.03.2013 .
6. "RBL Criticism". 11 февраля 2008 г. Получено 2013-03-26 .
7. "Electronic Frontier Foundation, EFFector, Vol. 14, No. 31, Oct. 16, 2001". 12 января 2012 г. Получено 26.03.2013 .
8. "Verio затыкает рот основателю EFF за спам". The Register . Получено 26.03.2013 .
9. "Выбор спама вместо цензуры". Архивировано из оригинала 21.04.2003 . Получено 26.03.2013 .
10. "EMarketersAmerica.org подает в суд на антиспамовые группы" . Получено 2013-03-26 .
11. Макмиллан, Роберт (декабрь 1997 г.). «Что остановит спам?» . Получено 16 мая 2008 г.
12. J. Levine (февраль 2010 г.). Черные и белые списки DNS. Internet Research Task Force . doi : 10.17487/RFC5782 . ISSN  2070-1721. RFC 5782. Информационный.
13. "SURBL". SURBL . Получено 2012-05-06 .
14. "URIBL". URIBL . Получено 2012-05-06 .
15. "ivmURI". Dnsbl.invaluement.com. 2008-05-31. Архивировано из оригинала 2012-05-05 . Получено 2012-05-06 .
16. "Список заблокированных доменов". Проект Spamhaus . Получено 2014-10-10 .
17. Перкель, Марк. "Новая парадигма для списков на основе DNS". Архивировано из оригинала 28.01.2013 . Получено 20.03.2012 .
18. "Фильтр нежелательной почты". Wiki.junkemailfilter.com. 2012-02-17 . Получено 2012-05-06 .
19. "Объяснение проблем с доставкой электронной почты" . Получено 2013-03-26 .
20. "Проект Spamhaus, список политик блокировки" . Получено 2013-03-26 .
21. "Maps Rbl". Mail-abuse.com. 2012-03-03 . Получено 2012-05-06 .
22. UCEPROTECT. "UCEprotect.net". UCEprotect.net . Получено 2012-05-06 .
23. Симпсон, Кен. «Попадание в черный список без рассылки спама». Блог MailChannels . Корпорация MailChannels. Архивировано из оригинала 2011-09-19 . Получено 2011-09-16 .
24. "TOAD.com". TOAD.com. Архивировано из оригинала 2012-05-03 . Получено 2012-05-06 .
25. "Заявление коалиции против "блокировки скрытности"". Peacefire.org. 2001-05-17 . Получено 2012-05-06 .
26. Мак-Вильямс, Брайан (10 сентября 2003 г.). «Никакого перемирия в войнах со спамом». Wired . Получено 12 апреля 2021 г.
27. "Linxnet.com". Linxnet.com . Получено 2012-05-06 .
28. Лейден, Джон (5 сентября 2011 г.). «Spamhaus одержал победу после 5-летней борьбы с массовой почтовой рассылкой». The Register . Получено 12 апреля 2021 г. .

Внешние ссылки

• Blacklist Monitor — еженедельная статистика успешных и неудачных попыток для определенных черных списков.
• Как создать DNSBL - Учебник по созданию DNSBL (черный список DNS)