DNSBL (DNSBL)

Перейти к навигации Перейти к поиску

DNSBL (DNS blocklist) — списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом. Почтовый сервер обращается к DNSBL и проверяет в нём наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приёма спам-сообщения. Серверу отправителя сообщается ошибка 5xx (неустранимая ошибка) и сообщение не принимается. Почтовый сервер отправителя создаёт «отказную квитанцию» отправителю о недоставке почты.

  • Списки открытых релеев — база данных почтовых серверов, неправильно сконфигурированных, которые позволяют пересылать через себя почтовые сообщения для всех желающих. Как правило данные хосты автоматически сканируются в Интернете, поэтому попадание такого хоста в руки людей, рассылающих спам, происходит очень быстро (не более 4 дней). При использовании данных списков существует наименьшая опасность блокирования обычной почты, так как сервер попадает в список, только после проверки его специальным почтовым роботом.
  • Списки спам-серверов — база данных серверов, через которые было замечено прохождение спам-сообщений. Данные списки составляются на основе показаний пользователей, получивших спам с какого-либо сервера, поэтому они могут содержать устаревшую или просто неверную информацию.
  • Список Dialup-адресов — список ip-адресов провайдеров, используемых ими для организации сервиса удалённого доступа, и, следовательно, которые не могут быть адресами почтовых серверов. Использование данных списков практически безопасно для легальной почты.
  • Список открытых прокси-серверов HTTP/Socks без контроля доступа, позволяющие любому пользователю совершать неавторизованные действия, скрывая свой реальный IP-адрес, незаконные действия включают не только рассылку спама, но и многочисленные иные варианты.

DRBL — Distributed Realtime Blocking List

[править | править код]

После 31 июля 2001, когда MAPS LLC прекратило предоставлять сервис публично, была разработана альтернатива — DRBL (Distributed Realtime Blocking List). На смену проприетарного подхода MAPS LLC к ведению и контролю над списком блокируемых IP-адресов в DRBL пришёл иной подход — распределённый, позволяющий организациям и частным лицам не просто собирать свою базу (в том числе методами, описанными выше), но и обмениваться этими списками с коллегами. Каждый участник (node) имеет в своём распоряжении все доступные ему возможности составления списков блокируемых IP для публикации их посредством DRBL (своей DRBL-зоны). В DRBL-зоне принято публиковать то, что сам участник блокирует на своём почтовом сервере. К примеру, происходит обработка почтовой корреспонденции на стороне сервера, где выявленный спам не просто не пропускается в ящики пользователей, но и IP источника этого спама немедленно публикуется в DRBL-зоне провайдера. Почтовые сервера других компаний, настроенные на работу с этой DRBL-зоной, немедленно смогут воспользоваться этой информацией и отвергнуть корреспонденцию от источника спама (по IP) ещё до её приёма, без дополнительной обработки спам-сообщения. Такой подход позволяет значительно снизить накладные расходы сервера на обработку спам-сообщений для всех участников сети. Провайдеры обычно публикуют IP-адрес источника спама на короткое время в их DRBL-зоне. Частные лица, держатели DRBL-node’ов, обычно отличаются более экстремистским подходом, вплоть до ручной блокировки (навечно) целых сетей /8, по географическому признаку (Китай, Япония). Зачастую DRBL-зона частного лица не подходит для использования интернет-сервис-провайдерами в силу слишком редкого её обновления.

DRBL предусматривает критерии оценки веса информации, полученной от каждой конкретной DRBL-зоны, что позволяет не блокировать всё подряд и доверять информации, полученной из разных источников по-разному. В России этой системой пользуются многие Интернет-провайдеры. Эффективность публикуемого посредством DRBL-зоны списка IP-адресов тем выше, чем оперативнее участник заносит в список новые IP-адреса, являющиеся, по его мнению, источниками спама и исключает оттуда устаревшие. Политика каждой DRBL-зоны публикуется её держателем. Вы вольны выбирать и подключать те зоны, чья политика кажется Вам вменяемой, методы, используемые для сбора и исключения адресов, — оперативными, а обновление DRBL-зоны — достаточно частым.

Чтобы проверить, заблокирован ли IP-адрес каким-либо DNSBL-списком, надо указать проверяемый IP в нотации DNS PTR (задом наперёд) и добавить имя домена DNSBL-сервера. Если ответ будет получен, то данный адрес заблокирован (находится в списке):

$ host -tA 71.60.206.220.bl.spamcop.net
220.206.60.71.bl.spamcop.net has address 127.0.0.2

Полученный IP-адрес может оказаться любым, важен лишь факт его наличия (отсутствия) в ответе на запрос. Именно поэтому сам IP можно использовать для описания, скажем, типа источника, по которому искомый адрес был добавлен в список. К примеру, 127.0.0.1 — открытые релеи, 127.0.0.2 — источники portscan’ов, и т. п. По той же причине полезно использовать host с опцией -t any, в ответ на которую вы можете получить дополнительный комментарий в поле типа «текст» (TXT RR):

$ host -t any 116.47.136.151.vote.drbl.sandy.ru
151.136.47.116.vote.drbl.sandy.ru descriptive text "070715:Spam in progress"
151.136.47.116.vote.drbl.sandy.ru has address 127.0.0.2

Пример адреса, которого нет в DNSBL-списке.122.235.215.212

$ host -tA 72.205.229.181.bl.spamcop.net
Host 181.229.205.72.bl.spamcop.net not found: 3(NXDOMAIN)

Существует ряд веб-сервисов, поддерживающих проверку заданного IP-адреса в большом количестве действующих на данных момент DNSBL- и RHSBL-списков (200 и более). Например, проверить блокировку 71.60.206.220 в 259 списках (англ.).

Использование

[править | править код]

Существует 2 метода использования данной технологии.

1) Однозначная блокировка — отклонение сообщений, которые пришли с IP-адреса, находящегося в DNSBL

2) Взвешенный подход. При таком подходе сообщение, пришедшее с IP-адреса, находящегося в DNSBL, не блокируется, но этот факт учитывается при классификации «спамности» письма.

При использовании первого подхода все письма с IP-адресов, попавших в DNSBL, однозначно отклоняются. Независимо от того, попал ли IP-адрес в чёрный список заслуженно или же по ошибке (что всё чаще и чаще встречается на практике). Использование второго подхода отлично иллюстрируется opensource-спам-фильтром spamassassin. Когда для классификации сообщения применяется взвешенный подход, то есть анализ по множеству критериев. В таком случае нахождение IP-адреса отправителя в чёрном списке не является единственным и результирующим фактором, который влияет на решение о классификации сообщения, что в свою очередь означает снижение количества ложных срабатываний фильтра в тех случаях, когда IP-адрес отправителя попал в чёрный список по нелепой случайности.

На данный момент (2023 год) использование технологии DNSBL по первому принципу приносит проблемы в виде невозможности доставки чистой почты. Некоторые организации, поддерживающие DNSBL, стали вносить в списки целые диапазоны и даже автономные системы.

Второй подход используют крупные почтовые системы, такие как Yandex или Mail.ru.