DNS-based Blackhole List

Als Realtime Blackhole List (RBL) oder DNS-based Blackhole List (DNSBL) werden in Echtzeit (realtime) abfragbare Schwarze Listen bezeichnet, die verwendet werden, um E-Mail zweifelhafter Herkunft als Spam zu klassifizieren. Die erste einer breiteren Fach-Öffentlichkeit bekannt gewordene RBL war das MAPS von Paul Vixie.^[1] RBL ist ein eingetragenes Markenzeichen von Trend Micro.^[2]

Funktion

In den meisten RBLs werden IP-Adressen von Rechnern gelistet, von denen in der Vergangenheit Spam versendet wurde – einige Listen enthalten auch Quellen von Computerviren und anderer Malware. Heute handelt es sich bei diesen Rechnern meist um offene Mail-Relays oder trojanisierte PCs, die von Spammern missbraucht wurden.

Diese Listen können Mailserver oder Spam-Erkennungssoftware (z. B. Spamassassin) beim Eingang einer Mail nahezu in Echtzeit über das DNS-Protokoll auswerten und bei positivem Ergebnis die Annahme der Mail verweigern, die Annahme der Mail verzögern (Teergrube, Greylisting) oder die Mail so markieren, dass sie ohne großen Aufwand vom Empfänger gefiltert werden kann.

Eine Liste mehrerer vertrauenswürdiger RBLs in Verbindung mit Greylisting hat sich als sehr effektiv erwiesen (Stand Ende 2007).

Die Abfrage einer DNSBL ist, wie der Name vermuten lässt, eigentlich eine DNS-Abfrage. So ist keine zusätzliche Freigabe in der Firewall erforderlich.

Variante

Spamhaus.org bietet einen Server für PBL (Policy-Blocklist) an, auf dem IP-Bereiche gespeichert sind, von denen normalerweise aus kein Mailserver senden sollte; hauptsächlich sind dies Bereiche für dynamische IPs. Der Server wird genauso wie ein RBL-Server abgefragt.

Vorteile – Nachteile

Der Vorteil von RBLs liegt vor allem darin, dass die Abfrage schnell ist und sich technisch einfach realisieren lässt.

Den größten Nachteil von RBLs zeigt am besten ein Beispiel:

Verschickt ein Kunde Spam über den Mailserver seines Providers und die IP-Adresse des Mailservers wird deshalb gelistet, können Mails anderer Kunden, die denselben Mailserver verwenden, als Spam klassifiziert werden. Vergleichbare Probleme hat praktisch jeder Versender von Massen-Mails, selbst bei Double Opt-In.

Um diese Problematik zu entschärfen, können RBLs auch als eines von mehreren Kriterien bei der Spam-Klassifikation benutzt werden, beispielsweise mit SpamAssassin.

Bei einigen RBLs ist es schwer, teuer oder sogar unmöglich, eine IP-Adresse wieder entfernen zu lassen (delisting). In solchen Fällen schadet die RBL weniger den Spammern, als vielmehr den Besitzern von missbrauchten Rechnern. Der Administrator eines Mailservers muss daher sorgfältig abwägen, welche RBLs er verwendet, um falsch positive Ergebnisse zu vermeiden. Einige RBLs wie z. B. Spamcop können die Listeneinträge jedoch nach einer gewissen Zeit automatisch entfernen. Spamcop entfernt die Einträge nach kurzer Zeit, sobald keine Beschwerden mehr über den betroffenen Mailserver eingehen.

Die Verwendung von mehreren Listen hat den Nachteil, dass sich der Anteil der falschen Positiven addiert. Dies ist auch ein Grund für die Verwendung weniger ausgewählter RBLs.

Quellen

1. ↑ Paul Vixie: Mail Abuse Prevention System, 1997
2. ↑ Trend Micro

Literatur

• Bert Ungerer, Eingeschränkt: IP-Blacklists gegen unerwünschten Datenverkehr, iX 4/2007

Weblinks

• DNSBL Resource: Statistiken zu Treffern und Falschmeldungen vieler Listen (englisch)
• Spam Links - DNS & RHS Blackhole Lists (englisch)
• Spam Links - Dead DNS and RHS Blackhole Lists (englisch)
• Abfrage der RBL von Spamhaus.org (englisch)