Пользователь
0,0
рейтинг
14 мая 2009 в 17:52

Почтовая кухня #3: DNSBL — Что такое DNS blacklist и с чем их едят

Продолжение цикла статей о работе электронной почты. На этот раз — списках блокировки.

Часть первая: DNS (Автор differentlocal)
Часть вторая: SMTP — (Автор seriyPS)



Что такое DNSBL\RBL?



DNSBL, как ясно из названия, список блокировки, основанный на DNS. Раньше такие списки назывались RBL (Real-time Blackhole List), но из-за лицензионных ограничений на торговую марку были переименованы.

Как это работает?



Примерно так:

На сервер приходит письмо от другого сервера, с IP 111.222.333.444.

Сервер, настроенный на работу с блоклистом делает DNS запрос вида:

reverse-ip.BLNAME.DNSBLProvider.TLD

К примеру:

444.333.222.111.bl.spamcop.net

Далее, во зависимости от ответа, сервер принимает решение:

Если ответ «NXDOMAIN» — значит этот IP-адрес чист и спам с него не замечен.
Если ответ — любой IP — значит, адрес занесен в список и письмо принимать не стоит.

В зависимости от списка блокировки, IP может обозначать причину занесения адреса в BL, или не означать. :)
Также, причина (подробная) может содержаться в TXT-записи.

За что можно попасть в блэклист?



Попасть в список — легко, вылезти оттуда — сложно. Попасть можно за:

  • Спам, конечно.
  • За то, что вы Open Relay.
  • Рассылку вирусов\размещение их на сайте.
  • Спам, рассылаемый вирусом или через взломанный аккаунт (беда всех хостеров).
  • Отсутствие PTR-записи для IP, либо указание этой записи за dial-up провайдера, динамический диапазон или анонимайзер.
  • За открытие (самостоятельно или через троян) public proxy на адресе.
  • Cписки подсетей dynamic, dial-up, абузоустойчивых хостинг-провайдеров.


Что делать, если вас залистили:

  • Первым делом — устранить причину блокировки. Если первая разблокировка у большинства блоклистов проста и бесплатна, то попав в список второй раз вылезти оттуда на порядки сложнее.
  • Пойти на сайт провайдера, который залистил ваш адрес.
  • Найти там этот адрес и подать заявку на разблокировку.


Первый разблок обычно не составляет труда, а вот второй раз в списки лучше не попадать.

Приемущества и недостатки DBSBL.



На данный момент — DNSBL одна из самых популярных антиспам-технологий, на равне с greylisting-ом.

Его основные плюсы:

  • Скорость работы.
  • Не требует дополнительного ПО на сервере.
  • Прост в настройке.


А минусы, куда без них:

  • Сравнительно большое число ложных срабатываний.
  • Для части списков — низкая актуальность данных.
  • Далеко не все спамеры занесены в списки.


Несколько советов.



Чтобы не попасть в список:

0) Не спамьте и не заказывайте спам. Правда. Выгоды это даст мало, а проблем очень много.
1) Соблюдайте стандарты. Имейте правильные HELO, SPF, PTR, настройте авторизацию, ограничте количесто рассылаемых писем. Имейте правильные и читаемые ящики abuse, root и postmaster, чтобы оперативно узнать, что через вас идет спам.
2) Не злоупотребляйте рассылами, даже легальными. Если нужно разослать несколько тысяч писем — не стоит делать это в прямую, с сервера. Создайте, например, список рассылки или news-группу.

Чтобы не потерять почту из-за BL. Особенно это критично для организаций, где потеря писем может нести прямые убытки.

1) Не используйте «жесткие» BL, которые блокируют не адреса, а подсети. Не раз и не два были случаи, когда в такие списки попадали целые дата-центры из-за одного спамера.
2) Не делайте BL единственным методом защиты от спама.
3) Используйте «мягкую» BL-политику, когда письмо с заблокированного адреса не отбрасывается, а идет на дополнительную проверку (например на spamassasin).
4) Имейте резервный MX-сервер.

Ссылки.


Самые популярные BL:
www.spamhaus.org — СпамХаус.
www.spamcop.net — Spamcop.
www.dsbl.com — DSBL.
dnsbl.njabl.org — njabl.

Tools:
rosinstrument.com/cgi-bin/blqw.pl — проверка занесенности IP в листы, больше 200 листов.
spamlinks.net/filter-dnsbl-lists.htm — списки блэклистов, не уверен, что все, но очень много.
woland.pl.ua/3-pochemu-ya-ne-ispolzuyu-dnsbl-v-pomoshh-nachinayushhemu-postmasteru — большая статья на русском об использовании DNSBL.
Никита @differentlocal
карма
55,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (30)

  • –3
    я считаю что этот метод вообще не приемлем
    так как письмо, которое является не_спамом вообще не пройдёт (а оно может быть очень важным...)

    ИМХО, спам должен доходить до пользователя, но фильтроваться в отдельную директорию, чтобы можно было найти письмо, попавшее туда

    • 0
      Естественно, слепо блочить все, что залитено глупо. Но как первый рубеж DNSBL весьма не плох.
    • +1
      Метод сам по себе не дропает. Письмо, которое является не_спамом может пройти или не пройти, в зависимости от того, как настроен почтарь. Spamassassin, например, использует некоторые черные списки: письму начисляется несколько баллов, если IP источника обнаружен в одном из них. Пороговые значения, по достижении которых заголовок письма изменяется на «Осторожно, спам» или все письмо дропается определяет администратор почтовика.
      • 0
        ну да, вообще-то да…
    • 0
      Любой метод имеет свои ошибки. Но рассуждать надо не детскими фразами типа «метод Х вообще не приемлем» а пытаться определить ошибки первого и второго рода (flase positive, false negative) для каждого конкретного случая (метод X, настройки Y). И если метод имеет достаточно низкую FP при FN < 1, то его вполне стоит использовать. Что касается RBL все зависит от конкретного блэк-листа — среди них вполне можно найти такие, при использовании которых FP будет низкой. Разумеется и FN будет высокой но какую то часть спама этот RBL все же отсеет. А все что пройдет можно дальше фильтровать другими методами.

      Что касается фильтрации в отдельную директорию то к RBL это не имеет никакого отношения, а вопрос совершенно отдельный. Замечу что у этого есть такие минусы:
      — если туда будет складываться 100 писем ежедневно, то через какое то время Вы просто перестанете её просматривать, и складывание письма в эту папку будет равноценно его удалению.
      — в случае если ошибку выдать на этапе SMTP сессии, то отправитель получит баунс и будет точно знать что его письмо не дошло и надо попробовать связаться другим способом (если отправитель не ламер и в состоянии прочесть баунс). Если письмо попало в папку спам, то отправитель ничего знать не будет.
  • +2
    Все эти DNSBL'и — чистое вымогательство. Подавляющее большинство спама рассылается с взломанных компьютеров рядовых пользователей, соответственно, блокировать «злобные спамерские сервера» смысла никакого. И вообще, владелец такого блек-листа может занести абсолютно любой IP в свой лист и требовать деньги за вынесение из листа. А заплатишь, будет требовать дальше (ты ж уже заплатил, значит можешь и будешь платить). Соответственно, с ними возможен только один разговор, как и с рекетирами — или милиция, или монтировкой по голове.
    Вообще блокировка по домену или IP — это нонсенс. Масса пользователей, бывает, подписывается на рассылку, потом ее не читая отправляет в спам. И усе, — провайдер бесплатной почты блокирует отправителя, типа за спам.
    Т.е. фактически порочна практика блокирования определенной точки за факт ее существования. Т.к. спамеров это *вообще* не останавливает, и, соответственно, страдают лишь честные бизнесы.
    • 0
      Из вымогательских DNSBL встречал только эти:
      www.uceprotect.net
      www.us.sorbs.net
      Выносят ip за бабло и не дают никаких иллюстраций спама. Остальные black-листы довольно эффективны. Рассылка спама через взломанные аккаунты это проблема многих хостеров, и по black-листам можно реально смотреть картину зараженных серверов и выявлять нарушителей.
    • 0
      > Все эти DNSBL'и — чистое вымогательство
      — не все. DNSBL'b, бывают очень разные. Если несколько из них используются для шантажа, это не значит что все остальные точно такие же.
      > Вообще блокировка по домену или IP — это нонсенс
      — не нонсенс, есть IP, вероятность отправки с которых хорошего письма стремится к нулю. Объясните зачем нужно принимать с них спам?
  • +1
    Хотелось бы статью по поводу методов поиска спамеров на сервере. К примеру, одна из текущих проблем — рассылка через dark mailer. Т.к. он коннектится напрямую к серверу получателя, в логах ничего не фиксируется.

    На текущий момент придумал только способ борьбы с закачкой этого скрипта — запрет закачки специфических файлов скрипта, таких как sys/_*.mx
    • 0
      Это комплексная мера, и относится скорее к безопасности вообще, чем к почте.

      Идеальный и гарантированно работающий вариант — вынести почтовик на отдельный сервер\VDS (настроив авторизацию и антиспам), а на основном запретить рассылку почты от nobody и коннекты на 25 порт на любые IP, кроме IP почтовика.
      • 0
        Достаточно просто закрыть 25 порт во внешний мир для всех пользователей, кроме того из под которого работает сервис отправки почты и будет вам счастье.
        • 0
          Особенно актуально для shared-хостинг-сервера или VDS-ноды, да.

          Что будете делать с php-mail и отправкой из консоли? А вот вынос почты на отдельный сервер это решает. И в добавок дает кучу плюсов:

          1) Безопасность. Взломали\заDDoSили почтовик — нет угрозы клиентам.
          2) Защиту от блокировки за спам. Кто-то наспамил с сервера? Не страшно, в бан уезжает только почтовик, а не весь сервер — меняем IP и вышло счастье.
          3) Возможность четко контролировать и учитывать количество отправленной почты.
          4) Разгрузка основного сервера от задачи агрегации почты.
          5) Один почтовик на 2-10-200 серверов (нет нужды следить, обновлять и настраивать все 200).
          • 0
            На нормальных хостингах пхп скрипты выполняются от правильного овнера, а не от nobody. По поводу мылосервера, например в postfix'e почту ты ему передаешь через sendmail который запускает suid'ный postdrop(почитать про архитектуру постфикса), ну и сам postfix работает из под своего пользователя в системе и из под него же отправляет почту. таким образом решается проблема с локальными пользователями.

  • –1
    корпоративная почта gmail Вам в помощь.
    • 0
      Не всегда это применимо.
    • 0
      А там свои тараканы. У гугля единая база «спамовых» серверов на всех пользователей (коих десятки тысяч). А теперь представьте — десяток тысяч подписался на рассылку, сотня (всего 1% !) забыла и отметила рассылку как спам. И ВСЕ! — рассылку, возможно, вполне полезную, из спама никто уже никак не достанет. И не только рассылку, но и весь домен. У Гугля в принципе нет процедуры вынесения из блек-листа.
      • –3
        Бросайте уже эти рассылки, они из эпохи Веб1.0. Сейчас юзают RSS
        • 0
          в rss нет обратной связи, а рассылки рулят, тематические
        • 0
          Жаль, наши пользователи об этом не знают.
  • 0
    в своё время очень сильно настрадался из-за этих блэк листов. попав в него, каким-то загадочным образом без объяснения причин… :(

    беда ещё заключалась в том, что некоторые «хостеры» достаточно редко обновляют блэк-листы. и приходится писать хостеру, чтобы он тебя «вычеркнул». так что до сих пор даже случаются случаи что почта «не ходит» — и это спустя 2-3-года.
    << Вы, конечно же, первым делом спрашиваете от кого было письмо, затем смотрите в логи и гордо сообщаете пользователю: “Ваш отправитель попал в черный список, ничего поделать не могу, проблема на их стороне”. С Вас взятки гладки, поскольку это ведь не Вы, а отправитель попал в черный список, но тем не менее вопрос недоставки честных писем остается не решенным. >> (http://woland.pl.ua/3-pochemu-ya-ne-ispolzuyu-dnsbl-v-pomoshh-nachinayushhemu-postmasteru/)

    в общем, спам как приходил, так и приходит, а нужная почта страдает.

    фиговый метод защиты от спама. простой и тупой(и не факт что эффективный) для админа, но приносящий головную боль всем остальным. тем более проблемы возрастают в кватрате если человек не знает что такое DNS/IP и слово домен для него это что-то абстрактное.
  • +1
    SPF рулит :) ну и серые списки
    • 0
      Свои черные списки надо вести и ни от кого не зависеть :)
      • 0
        мне кажется свои не получится, у них будет очень маленькая актуальность.
        Вот опубликовали бы свои списки майл.ру и яндекс, было бы проще :)
        • 0
          Я свой веду — почти 30 тыщ адресов :) пополняется каждый день на тыщу-две…
          • 0
            а отбор идет скриптом каким нить или вручную?
            • 0
              Скрипт в пару десятков строк.
  • 0
    Большая часть пользователей-администраторов просто не понимает что такое чёрные списки и как их использовать. Тот же sorbs представляет и параноидальные, и объективные списки, но почему-то горе-админы этого не хотят понять.

  • 0
    RBL это технология, _гораздо_ более распространенная, чем Greylisting.
    • 0
      К сожалению многие люди не могут понять, что RBL это именно технология, а не конкретные люди, и отождествляют все RBL с каким нибуть одним, негодным RBL утверждая что все RBL одинаково плохие. Таких людей легком можно увидеть в комментариях выше.
  • 0
    Статья прекрасная без лишних деталей но: где Вы видели такой IP 111.222.333.444?
    Разве там не 4 байтовый числа (0-255)?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.