O'Reilly logo

Mit Open Souce-Tools Spam & Viren bekaempfen by Alexander Wirt, Peter Eisentraut

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
|
115
First
Max.
Linie
Max.
Linie
Kapitel 5
KAPITEL 5
DNS-basierte Blackhole-Lists
DNS-basierte Blackhole-Lists (DNSBL) waren eine der ersten Techniken, die spezi-
ell für die Bekämpfung von Spam entwickelt wurden. Gelegentlich werden sie auch
als Realtime Blackhole Lists (RBL) bezeichnet. Allerdings ist RBL ein Warenzeichen
für eine bestimmte DNSBL. Obwohl sich die Anwendungsmethode von DNSBL im
Laufe der Zeit etwas gewandelt hat, sind sie nach wie vor erfolgreich im Einsatz und
sollten Teil jeder Spam-Abwehrstrategie sein.
DNSBL sind im Internet zur Verfügung gestellte Listen von IP-Adressen oder Host-
namen, die im Verdacht stehen, von Spammern verwendet zu werden, oder ander-
weitig im Zusammenhang mit dem Missbrauch von E-Mail-Systemen aufgefallen
sind. Die genauen Kriterien, nach denen eine IP-Adresse gelistet wird, variieren
erheblich und sind nicht immer unumstritten. Dadurch erklärt sich auch, warum es
mittlerweile dutzende Anbieter von DNSBL mit verschiedenen Regeln, Verfahrens-
weisen und Zielen gibt. Ein Großteil der Anbieter stellt die Listen kostenlos zur Ver-
fügung.
Damit die von den Anwendern betriebenen Mailserver auf die von den DNSBL-
Betreibern zusammengestellten Listen mit IP-Adressen oder Hostnamen zugreifen
können, wird das DNS-Protokoll verwendet. Prinzipiell könnte man den Zugriff auf
diese Listen auch über andere Protokolle regeln. Da das DNS-Protokoll aber im
Internet universell installiert und auf die Übertragung von IP-Adressen und Hostna-
men spezialisiert ist, hat sich dessen Verwendung angeboten. Mit der ursprüngli-
chen Aufgabe des DNS, der Umwandlung von Hostnamen in IP-Adressen, haben
DNSBL jedoch nichts zu tun.
In diesem Kapitel wird die Funktionsweise von DNSBL erklärt und die Einbindung
von DNSBL in Mailserver und Spam-Filtersysteme beschrieben. Weiterhin werden
die Kriterien für die Aufnahme in eine DNSBL diskutiert und eine Auswahl von
aktuellen DNSBL vorgestellt.
This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
116
|
Kapitel 5: DNS-basierte Blackhole-Lists
Links
Max.
Linie
Max.
Linie
Wie DNSBL arbeiten
Generell sind DNSBL Listen von IP-Adressen oder Hostnamen beziehungsweise
Domainnamen, die im Internet über das DNS-Protokoll abgefragt werden können.
Zum Ausprobieren können daher die bekannten DNS-Werkzeuge wie
dig, nslookup
und host verwendet werden. In C-Programmen würde man die üblichen Biblio-
theksfunktionen wie
gethostbyname() verwenden; entsprechende Funktionen fin-
den sich in den meisten Programmiersprachen.
Eine Anfrage an eine DNSBL besteht aus einer IP-Adresse oder einem Hostnamen
und erhält als Antwort entweder »Ja, diese Adresse ist gelistet.« oder »Nein, diese
Adresse ist nicht gelistet.« Einige DNSBL haben mehrere Varianten für die »Ja«-
Antwort, abhängig vom Grund des Listeneintrags. Um eine DNSBL-Anfrage durch-
zuführen benötigt man:
1. Die zu überprüfende IP-Adresse beziehungsweise den zu überprüfenden Host-
oder Domainnamen. Diese bestimmt man selbst, beziehungsweise sie ergeben
sich aus der zu überprüfenden E-Mail.
2. Den Domainnamen, unter dem die DNSBL gehostet wird, die so genannte
Zone. Die Zone wird vom Anbieter der DNSBL bekannt gegeben.
An folgendem Beispiel soll das Protokoll illustriert werden. Die zu überprüfende IP-
Adresse sei 156.17.81.125, die Zone der DNSBL dnsbl.njabl.org. Um diese IP-
Adresse auf dieser Liste zu prüfen, schreibt man die IP-Adresse in umgekehrter Rei-
henfolge vor den Zonennamen, was hier 125.81.17.156.dnsbl.njabl.org ergibt, und
führt auf den resultierenden Namen eine DNS-Anfrage (A-Record) durch, zum Bei-
spiel:
$ host 125.81.17.156.dnsbl.njabl.org
125.81.17.156.dnsbl.njabl.org A 127.0.0.2
Wenn die Anfrage wie hier eine IP-Adresse zurückgibt, ist die abgefragte IP-Adresse
in der Liste enthalten. Ist die IP-Adresse nicht gelistet, ergibt die DNS-Anfrage einen
Fehler:
$ host 67.11.71.195.dnsbl.njabl.org
67.11.71.195.dnsbl.njabl.org does not exist, try again
(Das Ausgabeformat ist hier speziell auf das Programm host bezogen. Andere Pro-
gramme haben andere Ausgabeformate und andere Fehlermeldungen.)
Die im Fall eines Listeneintrags zurückgelieferte IP-Adresse (oben 127.0.0.2) ist
vom Listenbetreiber willkürlich gewählt. Sie bezieht sich nicht auf einen bestimm-
ten Host. Entscheidend ist, dass die Anfrage irgendeine IP-Adresse ergibt. Die meis-
ten DNSBL geben Adressen aus dem Netz 127.0.0.0/8 und oft die Adresse 127.0.0.2
zurück. Bei manchen Listen kann man an der zurückgegebenen IP-Adresse erken-
nen, warum ein Eintrag in die Liste aufgenommen wurde. In manchen Fällen sind
entsprechende Informationen im TXT-Record der abgefragten Adresse enthalten.
Auch das kann man mit DNS-Werkzeugen testen, zum Beispiel:

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required