Domenenavn Systembasert blackhole-liste - Domain Name System-based blackhole list

En Domain Name System-basert blackhole-liste , Domain Name System blacklist ( DNSBL ) eller real-time blackhole list ( RBL ) er en tjeneste for drift av e-postservere for å utføre en sjekk via et Domain Name System (DNS) spørring om en sendende vert IP-adressen er svartelistet for nettsøppel . De fleste e-postserverprogramvarene kan konfigureres til å sjekke slike lister, vanligvis avvise eller flagge meldinger fra slike nettsteder.

En DNSBL er en programvaremekanisme, snarere enn en spesifikk liste eller policy. Flere titalls DNSBL-er eksisterer. De bruker et bredt utvalg av kriterier for oppføring og avnotering av adresser. Disse kan omfatte oppføring av adressene til zombie-datamaskiner eller andre maskiner som brukes til å sende spam, Internett-leverandører (ISPer) som villig er vert for spammere, eller de som har sendt spam til et honeypot- system.

Siden etableringen av den første DNSBL i 1998, har driften og politikken til disse listene ofte vært kontroversiell, både i internasjonale advokatsamfunn og noen ganger i søksmål. Mange e-postsystemoperatører og brukere anser DNSBL-er som et verdifullt verktøy for å dele informasjon om kilder til spam, men andre, inkludert noen fremtredende Internett-aktivister, har motsatt seg dem som en form for sensur. I tillegg har et lite antall DNSBL-operatører vært målet for søksmål fra spammere som ønsker å stenge listene.

Historie

Den første DNSBL var Real-time Blackhole List (RBL), opprettet i 1997, først som en Border Gateway Protocol (BGP) feed av Paul Vixie , og deretter som en DNSBL av Eric Ziegast som en del av Vixies Mail Abuse Prevention System ( KART); Dave Rand på Abovenet var den første abonnenten. Den aller første versjonen av RBL ble ikke publisert som en DNSBL, men snarere en liste over nettverk som ble overført via BGP til rutere som eies av abonnenter, slik at nettoperatører kan slippe all TCP / IP- trafikk for maskiner som brukes til å sende spam eller være vert for spamstøttende tjenester , for eksempel et nettsted. Oppfinneren av teknikken som senere ofte ble kalt en DNSBL var Eric Ziegast mens han var ansatt i Vixie Enterprises.

Uttrykket "blackhole" refererer til et svart hull i nettverk , et uttrykk for en lenke i et nettverk som slipper innkommende trafikk i stedet for å videresende det normalt. Hensikten med RBL var at nettsteder som bruker den, ville nekte trafikk fra nettsteder som støttet spam - enten ved aktivt å sende spam eller på andre måter. Før en adresse ble oppført på RBL, ville frivillige og MAPS-ansatte gjentatte ganger forsøke å kontakte de ansvarlige for det og få problemene løst. En slik innsats ble ansett som veldig viktig før den ble sperret all nettverkstrafikk, men det betydde også at spammere og spam som støttet Internett-leverandører, kunne forsinke å bli satt på RBL i lange perioder mens slike diskusjoner fortsatte.

Senere ble RBL også utgitt i en DNSBL-form, og Paul Vixie oppfordret forfatterne av sendmail og annen e-postprogramvare til å implementere RBL-støtte i sine klienter. Disse tillot e-postprogramvaren å spørre om RBL og avvise e-post fra oppførte nettsteder på en per-server-basis i stedet for å sperre all trafikk.

Rett etter adventen av RBL begynte andre å utvikle sine egne lister med annen politikk. En av de første var Alan Browns Open Relay Behavior-modification System (ORBS). Dette brukte automatisert testing for å oppdage og liste opp e-postservere som kjører som åpne e-post-reléer - utnyttbare av spammere for å bære spam. ORBS var kontroversiell den gang fordi mange følte at det var akseptabelt å kjøre et åpent stafett, og at skanning av Internett for åpne e-postservere kunne være krenkende.

I 2003 ble en rekke DNSBL-er under denial-of-service-angrep (DOS). Siden ingen partier har innrømmet disse angrepene eller blitt oppdaget ansvarlige, er deres formål et spekulasjonsspørsmål. Imidlertid tror mange observatører at angrepene utføres av spammere for å forstyrre DNSBLs operasjon eller jage dem til å stenge. I august 2003 stengte firmaet Osirusoft , en operatør av flere DNSBL-er, inkludert en basert på SPEWS- datasettet, ned listene etter å ha hatt ukes nesten kontinuerlig angrep.

Tekniske spesifikasjoner for DNSBL-er kom relativt sent i RFC5782.

URI DNSBLer

En Uniform Resource Identifier (URI) DNSBL er en DNSBL som lister opp domenenavnene og noen ganger også IP-adresser som finnes i de "klikkbare" koblingene som finnes i kroppen av søppelpost, men vanligvis ikke finnes i legitime meldinger.

URI DNSBL-er ble opprettet da det ble bestemt at mye spam gjorde det forbi spamfiltre i løpet av den korte tidsrammen mellom den første bruken av en spam-sending IP-adresse og punktet der den sendende IP-adressen først ble oppført på større sending-IP-basert DNSBLs.

I mange tilfeller inneholder slike unnvikende søppelpost i lenkene domenenavn eller IP-adresser (samlet referert til som URI) der URI allerede ble oppdaget i tidligere fanget spam, og der URI ikke finnes i e-post som ikke er spam.

Derfor, når et nettsøppelfilter trekker ut alle URI-ene fra en melding og sjekker dem mot en URI DNSBL, kan søppelpost blokkeres selv om den sendende IP-en for den nettsøppelen ennå ikke er oppført på en hvilken som helst IP-DNSBL som sender.

Av de tre store URI DNSBL-ene er den eldste og mest populære SURBL . Etter at SURBL ble opprettet, startet noen av de frivillige for SURBL den andre store URI DNSBL, URIBL . I 2008 startet en annen mangeårig frivillig SURBL en annen URI DNSBL, ivmURI . Spamhaus Project gir Spamhaus Domain Block List ( DBL ) som de beskriver som domener "funnet i spam-meldinger". DBL er ment som både en URIBL og RHSBL, som skal sjekkes mot begge domenene i meldingens konvolutt og overskrifter og domener i URL-er i meldingslegemer. I motsetning til andre URIBL-er, viser DBL bare domenenavn, ikke IP-adresser, siden Spamhaus gir andre lister over IP-adresser.

URI DNSBL-er forveksles ofte med RHSBL-er (BLs fra høyre side). Men de er forskjellige. En URI DNSBL viser domenenavn og IP-er som er funnet i meldingen. En RHSBL lister opp domenenavnene som brukes i "fra" eller "svar til" e-postadressen. RHSBL-er kan diskuteres effektivt siden mange nettsøppler enten bruker falske "fra" adresser eller bruker "fra" adresser som inneholder populære freemail-domenenavn, som @ gmail.com, @ yahoo.com eller @ hotmail.com URI DNSBL-er blir mer brukt enn RHSBL-er, er veldig effektive og brukes av de fleste spamfiltre.

Prinsipp

For å drive en DNSBL kreves det tre ting: et domene å være vert for under, en navneserver for det domenet og en liste over adresser som skal publiseres.

Det er mulig å betjene en DNSBL ved hjelp av en generell DNS-serverprogramvare . Imidlertid er dette vanligvis ineffektivt for soner som inneholder et stort antall adresser, spesielt DNSBL-er som viser hele Classless Inter-Domain Routing netblocks. For det store ressursforbruket når du bruker programvare designet som rollen som en Domain Name Server, er det rollespesifikke applikasjoner designet spesielt for servere med rollen som en DNS-svarteliste.

Den vanskelige delen av å drive en DNSBL er å fylle den med adresser. DNSBL-er beregnet på offentlig bruk har vanligvis spesifikke, publiserte retningslinjer for hva en oppføring betyr, og må drives i samsvar med dette for å oppnå eller opprettholde allmenn tillit.

DNSBL-spørsmål

Når en e-postserver mottar en forbindelse fra en klient, og ønsker å sjekke den klienten mot en DNSBL (la oss si, dnsbl.example.net ), gjør den mer eller mindre følgende:

1. Ta klientens IP-adresse - si 192.168.42.23 - og snu rekkefølgen på oktetter, og gi 23.42.168.192 .
2. Legg til DNSBLs domenenavn: 23.42.168.192.dnsbl.example.net .
3. Slå opp dette navnet i DNS som et domenenavn ("A" -post). Dette vil enten returnere en adresse som indikerer at klienten er oppført. eller en "NXDOMAIN" ("No such domain") kode, noe som indikerer at klienten ikke er det.
4. Hvis klienten er oppført, kan du eventuelt slå opp navnet som en tekstoppføring ("TXT" -post). De fleste DNSBL-er publiserer informasjon om hvorfor en klient er oppført som TXT-poster.

Å slå opp en adresse i en DNSBL ligner altså på å slå den opp i omvendt DNS. Forskjellene er at et DNSBL-oppslag bruker "A" i stedet for "PTR" -posttype , og bruker et fremoverdomene (som dnsbl.example.net ovenfor) i stedet for det spesielle omvendte domenet in-addr.arpa .

Det er en uformell protokoll for adressene som returneres av DNSBL-spørsmål som samsvarer. De fleste DNSBL-er returnerer en adresse i 127.0.0.0/8 IP- loopback- nettverket. Adressen 127.0.0.2 indikerer en generell oppføring. Andre adresser i denne blokken kan indikere noe spesifikt om oppføringen - at den indikerer et åpent relé, proxy, spammer-eid vert osv. For detaljer, se RFC 5782.

URI DNSBL

En URI DNSBL-spørring (og en RHSBL-spørring) er ganske grei. Domenenavnet du vil spørre om, blir forhåndsutlevert til DNS-listevert som følger:

example.net.dnslist.example.com

der dnslist.example.com er DNS- listeverten og example.net er det spurte domenet. Vanligvis hvis en A-post returneres, blir navnet oppført.

DNSBL-policyer

Ulike DNSBL-er har forskjellige retningslinjer. DNSBL-policyene skiller seg fra hverandre på tre fronter:

• Mål. Hva gjør DNSBL søke på listen? Er det en liste over e-postservere eller åpne fullmakter - eller IP-adresser som er kjent for å sende spam - eller kanskje IP-adresser som tilhører Internett-leverandører som inneholder spammere?
• Nominering. Hvordan oppdager DNSBL adresser å liste opp? Bruker den nominasjoner sendt av brukere? Spam-trap adresser eller honningkasser ?
• Listing levetid. Hvor lang tid tar en notering siste ? Er de automatisk utløpt, eller bare fjernet manuelt? Hva kan operatøren av en oppført vert gjøre for å få den fjernet?

Typer

I tillegg til de forskjellige typene oppførte enheter (IP-adresser for tradisjonelle DNSBL-er, verts- og domenenavn for RHSBL-er, URI-er for URIBL-er), er det et bredt spekter av semantiske variasjoner mellom lister om hva en oppføring betyr. Listeholdere har selv vært delte i spørsmålene om oppføringene deres skal sees på som uttalelser om objektivt faktum eller subjektiv mening og om hvordan listene deres best skal brukes. Som et resultat er det ingen endelig taksonomi for DNSBL-er. Noen navn som er definert her (f.eks. "Gul" og "NoBL") er varianter som ikke er i utstrakt bruk, og navnene i seg selv er ikke i utstrakt bruk, men bør gjenkjennes av mange spam-kontrollspesialister.

Hvitliste

En oppføring er en bekreftende indikasjon på i det vesentlige absolutt tillit

Svarteliste

En oppføring er en negativ indikasjon på i det vesentlige absolutt mistillit

Grå liste

Ofte sett på som ett ord (gråliste eller gråliste) som ikke involverer DNSBL-er direkte, men bruker midlertidig utsettelse av e-post fra ukjente kilder for å tillate utvikling av et offentlig omdømme (for eksempel DNSBL-lister) eller for å motvirke hastighetsfokusert spamming. Noen ganger brukt til å referere til faktiske DNSBL-er der oppføringer betegner forskjellige ikke-absolutte nivåer og former for tillit eller mistillit.

Gul liste

En oppføring indikerer at det er kjent at kilden produserer en blanding av spam og ikke-spam i en grad som gjør kontroll av andre DNSBLer av noe slag ubrukelig.

NoBL-liste

En oppføring indikerer at det antas at kilden ikke sender spam, og at den ikke skal utsettes for svartelisteprøver, men at den ikke er fullt så klarert som en godkjent kilde.

Bruk

• De fleste meldingsoverføringsagenter (MTA) kan konfigureres til å blokkere eller (mindre vanlig) å akseptere e-post basert på en DNSBL-oppføring. Dette er den eldste bruksformen for DNSBL-er. Avhengig av den spesifikke MTA, kan det være subtile skiller i konfigurasjonen som gjør listetyper som Yellow og NoBL nyttige eller meningsløse på grunn av hvordan MTA håndterer flere DNSBLer. En ulempe ved å bruke direkte DNSBL-støtte i de fleste MTAer er at kilder som ikke er på noen liste, krever å sjekke alle DNSBL-ene som brukes med relativt lite verktøy for å cache de negative resultatene. I noen tilfeller kan dette føre til en betydelig nedgang i postleveringen. Bruk av hvite, gule og NoBL-lister for å unngå noen oppslag kan brukes til å lindre dette i noen MTAer.
• DNSBL-er kan brukes i regelbasert programvare for spamanalyse som Spamassassin der hver DNSBL har sin egen regel. Hver regel har en spesifikk positiv eller negativ vekt som kombineres med andre typer regler for å score hver melding. Dette tillater bruk av regler som handler (etter hvilke kriterier som er tilgjengelige i den spesifikke programvaren) for å "hviteliste" e-post som ellers ville bli avvist på grunn av en DNSBL-oppføring eller på grunn av andre regler. Dette kan også ha problemet med tung DNS-oppslagsbelastning uten nyttige resultater, men det kan ikke forsinke e-post så mye fordi scoring gjør det mulig for oppslag å gjøres parallelt og asynkront mens filteret sjekker meldingen mot de andre reglene.
• Det er mulig med noen verktøysett å blande binær testing og vektede regeltilnærminger. En måte å gjøre dette på er å først sjekke hvite lister og godta meldingen hvis kilden er på en hvit liste, utenom alle andre testmekanismer. En teknikk utviklet av søppelpostfilter bruker gule lister og NoBL-lister for å redusere falske positive som oppstår rutinemessig når du bruker svarte lister som ikke er nøye vedlikeholdt for å unngå dem.
• Noen DNSBL-er er opprettet for andre formål enn å filtrere e-post for spam, men heller for demonstrasjons-, informasjons-, retorikk- og testkontrollformål. Eksempler inkluderer "No False Negatives List", "Lucky Sevens List", "Fibonacci's List", forskjellige lister som koder GeoIP-informasjon, og tilfeldige utvalgslister skalert for å matche dekning av en annen liste, nyttig som kontroll for å bestemme om listens effekter er skiller seg fra tilfeldige avslag.

Kritikk

Noen sluttbrukere og organisasjoner har bekymringer angående begrepet DNSBLs eller detaljene i hvordan de blir opprettet og brukt. Noen av kritikkene inkluderer:

• Legitime e-postmeldinger blokkert sammen med spam fra delte mailservere. Når en ISPs delte mailserver har en eller flere kompromitterte maskiner som sender spam, kan den bli oppført på en DNSBL. Sluttbrukere som er tilordnet den samme delte mailserveren, kan oppdage at e-postene deres blir blokkert av å motta mailservere som bruker en slik DNSBL. I mai 2016 blokkerte SORBS-systemet SMTP-serverne til Telstra Australia, Australias største internettleverandør. Dette er ingen overraskelse, for når som helst vil det være tusenvis av datamaskiner som er koblet til denne e-postserveren infisert av zombie-virus som sender spam. Effekten er å kutte av alle legitime e-poster fra brukerne av Telstra Australia-systemet.
• Lister over dynamiske IP-adresser. Denne typen DNSBL lister IP-adresser sendt av Internett-leverandører som dynamiske og derfor antagelig uegnet til å sende e-post direkte; sluttbrukeren skal bruke Internett-leverandørens mailserver for all sending av e-post. Men disse listene kan også ved et uhell inkludere statiske adresser, som legitimt kan brukes av småbedriftseiere eller andre sluttbrukere for å være vert for små e-postservere.
• Lister som inkluderer "spam-support operasjoner", for eksempel MAPS RBL. En spam-støtteoperasjon er et nettsted som kanskje ikke direkte sender spam, men som tilbyr kommersielle tjenester for spammere, for eksempel hosting av nettsteder som annonseres i spam. Avslag på å akseptere e-post fra spam-støtteoperasjoner er ment som en boikott for å oppmuntre slike nettsteder til å slutte å gjøre forretninger med spammere, på bekostning av ulemper for ikke-spammere som bruker samme nettsted som spammere.
• Noen lister har uklare listekriterier, og det kan hende at avnotering ikke skjer automatisk eller raskt. Noen få DNSBL-operatører vil be om betaling (f.eks. Uceprotect.net) eller donasjon (f.eks. SORBS ). Noen av de mange retningslinjene for notering / avnotering finner du i artikkelen Sammenligning av DNS-svartelister .
• Fordi lister har forskjellige metoder for å legge til IP-adresser og / eller URI-er, kan det være vanskelig for avsendere å konfigurere systemene sine riktig for å unngå å bli oppført på en DNSBL. For eksempel ser UCEProtect DNSBL ut til å liste IP-adresser bare når de har validert en mottakeradresse eller opprettet en TCP-tilkobling, selv om det aldri blir levert noen spam-melding.

Til tross for kritikken, er det få som protesterer mot prinsippet om at postmottakende nettsteder skal kunne avvise uønsket post systematisk. En person som gjør det er John Gilmore , som bevisst driver et åpent postrele . Gilmore beskylder DNSBL-operatører for brudd på antitrustloven .

For Joe Blow å nekte e-post er lovlig (selv om det er dårlig policy, som å "skyte messenger"). Men hvis Joe og ti millioner venner alle går sammen for å lage en svarteliste, utøver de ulovlig monopolmakt.

En rekke partier, for eksempel Electronic Frontier Foundation og Peacefire , har reist bekymring for Internett-leverandørers bruk av DNSBL-er . En felles uttalelse utstedt av en gruppe inkludert EFF og Peacefire adresserte "stealth blocking", der ISP-er bruker DNSBL-er eller andre spam-blokkeringsteknikker uten å informere sine kunder.

Søksmål

Spammere har fulgt søksmål mot DNSBL-operatører av lignende grunnlag:

• I 2003 anla EMarketersAmerica.org søksmål mot en rekke DNSBL-operatører for en domstol i Florida . Støttet av spammer Eddy Marin , hevdet selskapet å være en handelsorganisasjon for e-postmarkedsførere og at DNSBL-operatørene Spamhaus og SPEWS var engasjert i å begrense handel . Saken ble til slutt avvist på grunn av manglende stående .
• I 2006 beordret en amerikansk domstol Spamhaus til å betale 11,7 millioner dollar i erstatning til spammer e360 Insight LLC. Bekjennelsen var en standard dom , ettersom Spamhaus, som er basert i Storbritannia, hadde nektet å anerkjenne domstolens jurisdiksjon og ikke forsvarte seg i e360-søksmålet . I 2011 ble hans avgjørelse opphevet av United States Court of Appeals for the Seventh Circuit .

Se også

• Sammenligning av DNS-svartelister
• DNSWL
• Send spam på e-post

Merknader

Referanser

Eksterne linker

• svartelister på Curlie
• Blacklist Monitor - Ukentlig statistikk over suksess og fiasko for spesifikke svartelister
• Hvordan lage en DNSBL - Veiledning om hvordan du oppretter en DNSBL (DNS Black List)