DNSBL

DNSBL — DNS blacklist или DNS blocklist — списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом. Почтовый сервер обращается к DNSBL, и проверят в нём наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приёма спам-сообщения, и оно блокируется (не принимается сервером, и, как правило, отправителю отсылается уведомление об этом).

Раньше такие списки назывались RBL, Real-time Blackhole List, но сейчас это название является торговой маркой, принадлежащей MAPS LLC.

Типы DNSBL

• Списки открытых релеев — база данных почтовых серверов, неправильно сконфигурированных, которые позволяют пересылать через себя почтовые сообщения для всех желающих. Как правило данные хосты автоматически сканируются в Интернете, поэтому попадание такого хоста в руки людей, рассылающих спам сообщения, происходит очень быстро (не более 4 дней). При использовании данных списков существует наименьшая опасность блокирования обычной почты, так как сервер попадает в список, только после проверки его специальным почтовым роботом.

• Списки спам серверов — база данных серверов, через которые было замечено прохождение спам сообщений. Данные списки составляются на основе показаний пользователей, получивших спам с какого либо сервера, поэтому они могут содержать устаревшую, или просто неверную информацию.

• Список Dialup адресов — список ip адресов провайдеров, используемых ими для организации сервиса удалённого доступа, и, следовательно, которые не могут быть адресами почтовых серверов. Использование данных списков практически безопасно для легальной почты.

• Список открытых HTTP/Socks прокси-серверов без контроля доступа позволяющие любому пользователю совершать неавторизованные действия скрывая свой реальный IP адрес, незаконные действия включают не только рассылку спама, но также и многочисленные иные варианты.

DRBL - Distributed Realtime Blocking List

После 31 июля 2001, когда MAPS LLC прекратило предоставлять сервис публично, была разработана альтернатива - DRBL (Distributed Realtime Blocking List). На смену проприетарного подхода MAPS LLC к ведению и контролю над списком блокируемых IP адресов в DRBL пришел иной подход - распределённый, позволяющий организациям и частным лицам не просто собирать свою базу (в том числе методами описанными выше), но и обмениваться этими списками с коллегами. Каждый участник (node) имеет в своём распоряжении все доступные ему возможности составления списков блокируемых IP для публикации их посредством DRBL (своей DRBL-зоны). В DRBL-зоне принято публиковать то, что сам участник блокирует на своём почтовом сервере. К примеру, происходит обработка почтовой корреспонденции на стороне сервера, где выявленный спам не просто не пропускается в ящики пользователей, но и IP источника этого спама немедленно публикуется в DRBL-зоне провайдера. Почтовые сервера других компаний настроенные на работу с этой DRBL-зоной немедленно смогут воспользоваться этой информацией и отвергнуть корреспонденцию от источника спама (по IP) ещё до её приёма, без дополнительной обработки спам сообщения. Такой подход позволяет значительно снизить накладные расходы сервера на обработку спам-сообщений для всех участников сети. Провайдеры обычно публикуют IP адрес источника спама на короткое время в их DRBL-зоне. Частные лица, держатели DRBL-node'ов, обычно отличаются более экстремистским подходом, вплоть до ручной блокировки (навечно) целых сетей /8, по географическому признаку (Китай, Япония). Зачастую, DRBL-зона частного лица не подходит для использования Интернет Сервис Провайдерами, в силу слишком редкого её обновления. DRBL предусматривает критерии оценки веса информации полученной от каждой конкретной DRBL-зоны, что позволяет не блокировать всё подряд и доверять информации полученный с разных источников по разному. В России этой системой пользуются многие Интернет-провайдеры. Эффективность публикуемого посредством DRBL-зоны списка IP адресов тем выше, чем оперативнее участник заносит в список новые IP адреса являющиеся по его мнению источниками спама и исключает оттуда устаревшие. Политика каждой DRBL зоны публикуется её держателем. Вы вольны выбирать и подключать те зоны, чья политика кажется Вам вменяемой, методы используемые для сбора и исключения адресов - оперативными, а обновление DRBL-зоны достаточно частым.

Проверка

Чтобы проверить заблокирован ли IP адрес каким-либо DNSBL-списком надо указать проверяемый IP в нотации DNS PTR (задом наперед) и добавить имя домена DNSBL сервера. Если ответ будет получен, то данный адрес заблокирован (находится в списке):

$ host 220.206.60.71.bl.spamcop.net
220.206.60.71.bl.spamcop.net has address 127.0.0.2

Полученный IP адрес может оказаться любым, важен лишь факт его наличия (отсутствия) в ответе на запрос. Именно поэтому сам IP можно использовать для описания, скажем, типа источника по которому искомый адрес был добавлен в список. К примеру, 127.0.0.1 - открытые релеи, 127.0.0.2 - источники portscan'ов, и т.п. По той же причине полезно использовать host с опцией -t any. В ответ на которую Вы можете получить дополнительный комментарий в поле типа текст (TXT RR):

$ host -t any 151.136.47.116.vote.drbl.sandy.ru.
151.136.47.116.vote.drbl.sandy.ru descriptive text "070715:Spam in progress"
151.136.47.116.vote.drbl.sandy.ru has address 127.0.0.2

Пример адреса, которого нет в DNSBL списке.

$ host 181.229.205.72.bl.spamcop.net
Host 181.229.205.72.bl.spamcop.net not found: 3(NXDOMAIN)