Lista zablokowanych systemów nazw domen

Lista blokad systemu nazw domen , lista czarnych dziur oparta na systemie nazw domen , czarna lista systemu nazw domen ( DNSBL ) lub lista czarnych dziur w czasie rzeczywistym ( RBL ) to usługa obsługi serwerów pocztowych w celu sprawdzenia za pośrednictwem systemu nazw domen (DNS) zapytać, czy adres IP wysyłającego hosta znajduje się na czarnej liście wiadomości e-mail ze spamem . Większość oprogramowania serwerów pocztowych można skonfigurować do sprawdzania takich list, zwykle odrzucając lub oznaczając wiadomości z takich witryn.

DNSBL to mechanizm programowy, a nie konkretna lista lub zasady. Istnieją dziesiątki list DNSBL. Korzystają z szerokiego wachlarza kryteriów umieszczania i usuwania adresów. Może to obejmować listę adresów komputerów zombie lub innych maszyn używanych do wysyłania spamu, dostawców usług internetowych (ISP), którzy chętnie przyjmują spamerów lub tych, którzy wysyłają spam do systemu honeypot .

Od czasu utworzenia pierwszej listy DNSBL w 1998 r. działanie i polityka tych list często budziły kontrowersje, zarówno w kręgach rzeczników Internetu , jak i czasami w procesach sądowych. Wielu operatorów i użytkowników systemów pocztowych uważa listy DNSBL za cenne narzędzie do udostępniania informacji o źródłach spamu, ale inni, w tym niektórzy wybitni aktywiści internetowi, sprzeciwiają się im jako formie cenzury . Ponadto niewielka liczba operatorów DNSBL była celem pozwów wniesionych przez spamerów, którzy chcieli zamknąć listy.

Historia

Pierwszą listą DNSBL była lista Real-time Blackhole List (RBL), utworzona w 1997 r., początkowo jako kanał Border Gateway Protocol (BGP) przez Paula Vixie , a następnie jako DNSBL przez Erica Ziegasta jako część systemu zapobiegania nadużyciom poczty Vixie ( MAPY); Dave Rand z Abovenet był jego pierwszym subskrybentem. Pierwsza wersja RBL nie została opublikowana jako DNSBL, ale raczej lista sieci przesyłanych przez BGP do routerów należących do abonentów, aby operatorzy sieci mogli odrzucić cały ruch TCP/IP dla maszyn używanych do wysyłania spamu lub hostowania usług wspierających spam , takie jak strona internetowa. Wynalazcą techniki, zwanej później powszechnie DNSBL, był Eric Ziegast, pracujący w Vixie Enterprises.

Termin „czarna dziura” odnosi się do sieciowej czarnej dziury , wyrażenia oznaczającego łącze w sieci, które odrzuca ruch przychodzący zamiast normalnie go przekazywać. Intencją RBL było to, aby witryny korzystające z tej funkcji odrzucały ruch z witryn obsługujących spam — czy to poprzez aktywne wysyłanie spamu, czy w inny sposób. Zanim adres został umieszczony na liście RBL, wolontariusze i pracownicy MAPS wielokrotnie próbowali skontaktować się z osobami odpowiedzialnymi za adres i naprawić jego problemy. Taki wysiłek uznano za bardzo ważny, zanim cały ruch sieciowy został zamknięty w czarną dziurę, ale oznaczał również, że spamerzy i dostawcy usług internetowych wspierający spam mogli opóźniać umieszczanie ich na liście RBL przez długie okresy, podczas gdy takie dyskusje trwały.

Później RBL został również wydany w formie DNSBL, a Paul Vixie zachęcał autorów sendmaila i innego oprogramowania pocztowego do zaimplementowania obsługi RBL w swoich klientach. Pozwoliło to oprogramowaniu pocztowemu na wysyłanie zapytań do listy RBL i odrzucanie poczty z wymienionych witryn na zasadzie per-mail-server, zamiast blokowania całego ruchu.

Wkrótce po pojawieniu się RBL inni zaczęli opracowywać własne listy z różnymi zasadami. Jednym z pierwszych był Open Relay Behavior-Modification System (ORBS) Alana Browna. Wykorzystuje to zautomatyzowane testy w celu wykrycia i wyświetlenia serwerów pocztowych działających jako otwarte przekaźniki poczty — wykorzystywanych przez spamerów do przenoszenia ich spamu. ORBS był wówczas kontrowersyjny, ponieważ wiele osób uważało, że prowadzenie otwartego przekaźnika jest dopuszczalne, a skanowanie Internetu w poszukiwaniu otwartych serwerów pocztowych może być nadużyciem.

W 2003 r. wiele list DNSBL padło ofiarą ataków typu „odmowa usługi” (DOS). Ponieważ żadna ze stron nie przyznała się do tych ataków ani nie została uznana za odpowiedzialną, ich cel jest kwestią spekulacji. Jednak wielu obserwatorów uważa, że ​​ataki są przeprowadzane przez spamerów w celu zakłócenia działania list DNSBL lub zmuszenia ich do zamknięcia. W sierpniu 2003 roku firma Osirusoft , operator kilku list DNSBL, w tym jednej opartej na zbiorze danych SPEWS , zamknęła swoje listy po tygodniach niemal nieprzerwanych ataków.

Specyfikacje techniczne list DNSBL pojawiły się stosunkowo późno w dokumencie RFC5782.

DNSBL URI

Uniform Resource Identifier (URI) DNSBL to DNSBL, która zawiera listę nazw domen, a czasem także adresów IP, które znajdują się w „klikalnych” linkach zawartych w treści spamu, ale generalnie nie znajdują się w legalnych wiadomościach.

Listy DNSBL URI zostały utworzone, gdy ustalono, że duża ilość spamu przedostała się przez filtry antyspamowe w tym krótkim czasie między pierwszym użyciem adresu IP wysyłającego spam a momentem, w którym adres IP nadawcy został po raz pierwszy wymieniony na głównych bazach adresów IP wysyłających listy DNSBL.

W wielu przypadkach takie nieuchwytne spamy zawierają w swoich linkach nazwy domen lub adresy IP (określane zbiorczo jako identyfikatory URI), w przypadku gdy ten identyfikator URI został już wykryty we wcześniej przechwyconym spamie i gdzie ten identyfikator URI nie występuje w wiadomościach e-mail niebędących spamem.

W związku z tym, gdy filtr antyspamowy wyodrębnia wszystkie identyfikatory URI z wiadomości i porównuje je z URI DNSBL, spam może zostać zablokowany, nawet jeśli wysyłający adres IP dla tego spamu nie został jeszcze wymieniony w żadnym adresie DNSBL nadawcy.

Spośród trzech głównych URI DNSBL najstarszym i najbardziej popularnym jest SURBL . Po utworzeniu SURBL niektórzy ochotnicy SURBL rozpoczęli drugi główny URI DNSBL, URIBL . W 2008 roku inny długoletni wolontariusz SURBL założył kolejny URI DNSBL, ivmURI . Projekt Spamhaus zapewnia listę zablokowanych domen Spamhaus ( DBL ), które opisują jako domeny „znalezione w wiadomościach spamowych”. DBL jest przeznaczony zarówno jako URIBL, jak i RHSBL, do sprawdzenia z obiema domenami w kopercie wiadomości oraz nagłówkami i domenami w adresach URL w treści wiadomości. W przeciwieństwie do innych identyfikatorów URIBL, DBL zawiera tylko nazwy domen, a nie adresy IP, ponieważ Spamhaus udostępnia inne listy adresów IP.

Listy URI DNSBL są często mylone z listami RHSBL (prawostronne listy BL). Ale są różne. Identyfikator URI DNSBL zawiera listę nazw domen i adresów IP znalezionych w treści wiadomości. RHSBL zawiera listę nazw domen używanych w adresach e-mail „od” lub „odpowiedz do”. Skuteczność RHSBL jest dyskusyjna, ponieważ wiele spamów używa sfałszowanych adresów „od” lub adresów „od” zawierających popularne nazwy domen bezpłatnej poczty, takie jak @gmail.com, @yahoo.com lub @hotmail.com URI DNSBL są szerzej stosowane niż RHSBL, są bardzo skuteczne i są używane przez większość filtrów antyspamowych.

Zasada

Do obsługi DNSBL potrzebne są trzy rzeczy: domena, w której ma być hostowana, serwer nazw dla tej domeny oraz lista adresów do opublikowania.

Możliwe jest udostępnianie DNSBL przy użyciu dowolnego oprogramowania serwera DNS ogólnego przeznaczenia . Jednak jest to zazwyczaj nieefektywne w przypadku stref zawierających dużą liczbę adresów, zwłaszcza list DNSBL, które zawierają listę całych bloków sieciowych bezklasowego routingu między domenami. W przypadku dużego zużycia zasobów podczas korzystania z oprogramowania zaprojektowanego jako serwer nazw domen, istnieją aplikacje specyficzne dla roli, zaprojektowane specjalnie dla serwerów z rolą czarnej listy DNS.

Trudną częścią obsługi listy DNSBL jest zapełnienie jej adresami. Listy DNSBL przeznaczone do użytku publicznego mają zwykle określone, opublikowane zasady określające, co oznacza lista, i muszą być obsługiwane zgodnie z nimi, aby uzyskać lub utrzymać zaufanie publiczne.

zapytania DNSBL

Kiedy serwer pocztowy odbiera połączenie od klienta i chce sprawdzić tego klienta pod kątem listy DNSBL (powiedzmy dnsbl.example.net ), wykonuje mniej więcej następujące czynności:

1. Weź adres IP klienta — powiedzmy 192.168.42.23 — i odwróć kolejność oktetów, otrzymując 23.42.168.192 .
2. Dołącz nazwę domeny DNSBL: 23.42.168.192.dnsbl.example.net .
3. Wyszukaj tę nazwę w DNS jako nazwę domeny (rekord „A”). Spowoduje to zwrócenie adresu wskazującego, że klient znajduje się na liście; lub kod „NXDOMAIN” („Brak takiej domeny”), wskazujący, że klient nie jest.
4. Opcjonalnie, jeśli klient znajduje się na liście, wyszukaj nazwę jako rekord tekstowy (rekord „TXT”). Większość list DNSBL publikuje informacje o tym, dlaczego klient jest wymieniony jako rekordy TXT.

Wyszukiwanie adresu w DNSBL jest zatem podobne do wyszukiwania go w odwrotnym DNS. Różnice polegają na tym, że wyszukiwanie DNSBL używa typu rekordu „A” zamiast „PTR” i używa domeny przekazywania (takiej jak dnsbl.example.net ) zamiast specjalnej domeny odwrotnej in-addr.arpa .

Istnieje nieformalny protokół dla adresów zwracanych przez zapytania DNSBL, które są zgodne. Większość list DNSBL zwraca adres w sprzężenia zwrotnego IP 127.0.0.0/8 . Adres 127.0.0.2 wskazuje ogólny wykaz. Inne adresy w tym bloku mogą wskazywać coś konkretnego na temat listy — że wskazuje na otwarty przekaźnik, serwer proxy, host będący własnością spamera itp. Szczegółowe informacje można znaleźć w dokumencie RFC 5782.

URI DNSBL

Zapytanie URI DNSBL (i zapytanie RHSBL) jest dość proste. Nazwa domeny do zapytania jest dołączana do hosta listy DNS w następujący sposób:

przykład.net.dnslist.example.com

gdzie dnslist.example.com to host listy DNS, a example.net to domena, której dotyczy zapytanie. Ogólnie rzecz biorąc, jeśli zwracany jest rekord A, nazwa jest wyświetlana.

zasady DNSBL

Różne listy DNSBL mają różne zasady. Zasady DNSBL różnią się od siebie na trzech frontach:

• Cele. Co DNSBL stara się wyświetlić? Czy jest to lista otwartych serwerów pocztowych lub otwartych serwerów proxy — lub adresów IP znanych z wysyłania spamu — a może adresów IP należących do dostawców usług internetowych, którzy ukrywają spamerów?
• Nominacja. W jaki sposób DNSBL wykrywa adresy do wyświetlenia? Czy korzysta z nominacji zgłaszanych przez użytkowników? Adresy pułapek spamowych czy honeypoty ?
• Okres ważności aukcji. Jak długo trwa ogłoszenie ? Czy wygasają one automatycznie, czy są usuwane tylko ręcznie? Co może zrobić operator wymienionego hosta, aby go usunąć?

typy

Oprócz różnych typów wymienionych jednostek (adresy IP dla tradycyjnych DNSBL, nazwy hostów i domen dla RHSBL, URI dla URIBL) istnieje szeroki zakres różnic semantycznych między listami, co oznacza wykaz. Sami opiekunowie list są podzieleni co do tego, czy ich wykazy powinny być postrzegane jako stwierdzenia obiektywnych faktów czy subiektywnych opinii oraz co do tego, jak najlepiej wykorzystywać ich listy. W rezultacie nie ma ostatecznej taksonomii dla list DNSBL. Niektóre zdefiniowane tutaj nazwy (np. „Yellow” i „NoBL”) to odmiany, które nie są w powszechnym użyciu, więc same nazwy nie są w powszechnym użyciu, ale powinny być rozpoznawane przez wielu specjalistów ds. kontroli spamu.

Biała lista / Lista dozwolonych Lista

jest potwierdzeniem zasadniczo absolutnego zaufania

Czarna lista / Blokada LIst

Lista jest negatywnym wskazaniem zasadniczo absolutnej nieufności

Szara lista

Najczęściej postrzegana jako jedno słowo (szara lista lub szara lista) nie dotyczy bezpośrednio DNSBL, ale używa tymczasowe odroczenie poczty z nieznanych źródeł, aby umożliwić rozwój publicznej reputacji (takich jak listy DNSBL) lub zniechęcić do spamowania zorientowanego na szybkość. Czasami używany w odniesieniu do rzeczywistych list DNSBL, na których wykazy oznaczają różne, nieabsolutne poziomy i formy zaufania lub nieufności.

Żółta lista Lista

wskazuje, że źródło jest znane z tworzenia mieszanki spamu i nie-spamu w takim stopniu, że sprawdzanie innych list DNSBL jakiegokolwiek rodzaju jest bezużyteczne.

Lista NoBL Lista

wskazuje, że uważa się, że źródło nie wysyła spamu i nie powinno być poddawane testom na czarnej liście, ale nie jest tak zaufane jak źródło na białej liście.

Stosowanie

• Większość agentów przesyłania wiadomości (MTA) można skonfigurować tak, aby bezwzględnie blokowały lub (rzadziej) akceptowały wiadomości e-mail na podstawie listy DNSBL. Jest to najstarsza forma użycia list DNSBL. W zależności od konkretnego MTA mogą występować subtelne różnice w konfiguracji, które sprawiają, że typy list, takie jak Yellow i NoBL, są przydatne lub bezcelowe z powodu sposobu, w jaki MTA obsługuje wiele list DNSBL. Wadą korzystania z bezpośredniej obsługi DNSBL w większości MTA jest to, że źródła nie znajdujące się na żadnej liście wymagają sprawdzenia wszystkich używanych DNSBL przy stosunkowo niewielkiej użyteczności do buforowania wyników negatywnych. W niektórych przypadkach może to spowodować znaczne spowolnienie dostarczania poczty. Używanie list White, Yellow i NoBL w celu uniknięcia niektórych wyszukiwań może być użyte do złagodzenia tego w niektórych MTA.
• Listy DNSBL mogą być używane w oprogramowaniu do analizy spamu opartym na regułach, takim jak Spamassassin , gdzie każda lista DNSBL ma swoją własną regułę. Każda reguła ma określoną dodatnią lub ujemną wagę, która jest łączona z innymi typami reguł w celu oceny każdej wiadomości. Pozwala to na użycie reguł, które działają (według dowolnych kryteriów dostępnych w określonym oprogramowaniu) do „białej listy” poczty, która w przeciwnym razie zostałaby odrzucona z powodu wpisu DNSBL lub z powodu innych reguł. Może to również powodować problem z dużym obciążeniem wyszukiwania DNS bez użytecznych wyników, ale może nie opóźniać tak bardzo poczty, ponieważ ocenianie umożliwia równoległe i asynchroniczne wyszukiwanie, podczas gdy filtr sprawdza wiadomość pod kątem innych reguł.
• W przypadku niektórych zestawów narzędzi możliwe jest połączenie podejścia do testowania binarnego i reguł ważonych. Jednym ze sposobów na to jest najpierw sprawdzenie białych list i zaakceptowanie wiadomości, jeśli źródło znajduje się na białej liście, z pominięciem wszystkich innych mechanizmów testowania. Technika opracowana przez Junk Email Filter wykorzystuje listy żółte i listy NoBL w celu ograniczenia fałszywych alarmów, które występują rutynowo podczas korzystania z czarnych list, które nie są starannie utrzymywane, aby ich uniknąć.
• Niektóre listy DNSBL zostały utworzone do celów innych niż filtrowanie wiadomości e-mail pod kątem spamu, ale raczej w celach demonstracyjnych, informacyjnych, retorycznych i testowych. Przykłady obejmują „Lista bez fałszywych negatywów”, „Lista szczęśliwych siódemek”, „Lista Fibonacciego”, różne listy kodujące informacje GeoIP oraz listy losowego wyboru skalowane w celu dopasowania pokrycia innej listy, przydatne jako kontrola przy określaniu, czy efekty tej listy są odróżnić od przypadkowych odrzuceń.

Krytyka

Niektórzy użytkownicy końcowi i organizacje mają obawy dotyczące koncepcji list DNSBL lub specyfiki sposobu ich tworzenia i używania. Niektóre z krytyki obejmują:

• Wiarygodne e-maile blokowane wraz ze spamem ze współdzielonych serwerów pocztowych. Gdy udostępniony serwer pocztowy dostawcy usług internetowych ma jedną lub więcej zainfekowanych maszyn wysyłających spam, może on zostać wymieniony na liście DNSBL. Użytkownicy końcowi przypisani do tego samego współdzielonego serwera pocztowego mogą blokować swoje wiadomości e-mail, ponieważ odbierające serwery pocztowe używają takiego DNSBL. W maju 2016 r. system SORBS blokował serwery SMTP firmy Telstra Australia, największego australijskiego dostawcy usług internetowych. Nie jest to zaskoczeniem, ponieważ w dowolnym momencie do tego serwera pocztowego byłyby podłączone tysiące komputerów zainfekowanych wirusami typu zombie wysyłającymi spam. Efektem jest odcięcie wszystkich legalnych e-maili od użytkowników systemu Telstra Australia.
• Listy dynamicznych adresów IP. Ten typ DNSBL wymienia adresy IP przesłane przez dostawców usług internetowych jako dynamiczne, a zatem przypuszczalnie nieodpowiednie do bezpośredniego wysyłania wiadomości e-mail; użytkownik końcowy powinien używać serwera pocztowego dostawcy usług internetowych do wysyłania wszystkich wiadomości e-mail. Ale te listy mogą również przypadkowo zawierać adresy statyczne, które mogą być legalnie wykorzystywane przez właścicieli małych firm lub innych użytkowników końcowych do hostowania małych serwerów poczty e-mail.
• Listy zawierające „operacje wspierające spam”, takie jak MAPS RBL. Operacja obsługi spamu to witryna, która może nie wysyłać spamu bezpośrednio, ale świadczy usługi komercyjne dla spamerów, takie jak hosting witryn sieci Web reklamowanych w spamie. Odmowa przyjmowania poczty z operacji wspierania spamu ma na celu zachęcenie takich witryn do zaprzestania prowadzenia interesów ze spamerami kosztem uciążliwości dla osób niebędących spamerami, którzy korzystają z tej samej witryny co spamerzy.
• Niektóre listy mają niejasne kryteria umieszczania na liście, a skreślenie z listy może nie nastąpić automatycznie ani szybko. Kilku operatorów DNSBL poprosi o płatność (np. uceprotect.net) lub darowiznę (np. SORBS ). Niektóre z wielu zasad umieszczania/usuwania można znaleźć w Porównanie czarnych list DNS .
• Ponieważ listy mają różne metody dodawania adresów IP i/lub identyfikatorów URI, nadawcom może być trudno odpowiednio skonfigurować swoje systemy, aby uniknąć umieszczenia ich na liście DNSBL. Na przykład UCEProtect DNSBL wydaje się wyświetlać adresy IP dopiero po zweryfikowaniu adresu odbiorcy lub ustanowieniu połączenia TCP, nawet jeśli żadna wiadomość spamowa nigdy nie została dostarczona.

Pomimo krytyki niewiele osób sprzeciwia się zasadzie, zgodnie z którą strony odbierające pocztę powinny mieć możliwość systematycznego odrzucania niepożądanych wiadomości. Jedną z osób, która to robi, jest John Gilmore , który celowo obsługuje otwarty przekaźnik poczty . Gilmore oskarża operatorów DNSBL o naruszenie antymonopolowego .

Odmowa wysyłania e-maili przez Joe Blow jest legalna (chociaż jest to zła polityka, podobna do „strzelania do posłańca”). Ale jeśli Joe i dziesięć milionów przyjaciół zjednoczą się, by stworzyć czarną listę, to sprawują nielegalną władzę monopolistyczną.

Wiele organizacji, takich jak Electronic Frontier Foundation i Peacefire , zgłosiło obawy dotyczące korzystania z list DNSBL przez dostawców usług internetowych . Jedno wspólne oświadczenie wydane przez grupę, w tym EFF i Peacefire, dotyczyło „blokowania ukrytego”, w którym dostawcy usług internetowych używają DNSBL lub innych technik blokowania spamu bez informowania swoich klientów.

Pozwy sądowe

Spamerzy wytaczali procesy sądowe przeciwko operatorom DNSBL z podobnych powodów:

• W 2003 roku EMarketersAmerica.org złożyła pozew przeciwko kilku operatorom DNSBL w sądzie na Florydzie . Firma, wspierana przez spamera Eddy'ego Marina, twierdziła, że ​​jest organizacją handlową zrzeszającą sprzedawców e-maili , a operatorzy DNSBL, Spamhaus i SPEWS, byli zaangażowani w ograniczanie handlu . Pozew został ostatecznie oddalony z powodu braku legitymacji .
• W 2006 roku amerykański sąd nakazał Spamhaus zapłacić 11,7 miliona dolarów odszkodowania na rzecz spamera e360 Insight LLC. Nakaz był wyrokiem zaocznym , ponieważ Spamhaus z siedzibą w Wielkiej Brytanii odmówił uznania jurysdykcji sądu i nie bronił się w pozwie e360 . W 2011 roku jego decyzja została uchylona przez Sąd Apelacyjny Stanów Zjednoczonych dla Siódmego Okręgu .

Zobacz też

• Porównanie czarnych list DNS
• DNSWL
• Spam e-mailowy

Notatki

Linki zewnętrzne

• czarne listy w Curlie
• Blacklist Monitor - Tygodniowe statystyki sukcesów i niepowodzeń dla określonych czarnych list
• Jak utworzyć DNSBL — samouczek dotyczący tworzenia DNSBL (Czarna lista DNS)