DNSBL

Podrobné vysvětlení DNSBL (DNS-based Blackhole List), tedy způsobu evidence potenciálně nebezpečných či škodlivých IP adres v DNS zejména pro boj proti spamu.

Datum: 09.03.2010


Technologie SPF řeší evidenci a distribuci seznamu povolených IP adres, které mohou rozesílat e-maily jménem konkrétní domény. Dnes se však filtrování zdrojů spamů většinou řeší opačným způsobem – evidují se a distribuují seznamy IP adres, které jsou zdrojem spamu a které by měly být blokovány. Většina SMTP serverů nějaké takové blacklisty má – buď mohou být definovány administrátorem serveru, který je však nucen je ručně spravovat a doplňovat, anebo SMTP servery komunikují s blacklist servery, o které se starají buď dobrovolníci anebo poskytování seznamu IP adres spammerů může být založeno na komerčním principu.

Hlavní otázkou je, jak vlastně takové seznamy blokovaných IP adres, často velmi obsáhlých, distribuovat. Buď si může SMTP server k sobě celý seznam stáhnout, používat jej a periodicky provádět aktualizaci tohoto seznamu (takto fungují spíše ty komerční blacklisty), anebo se může SMTP server dotazovat nějakého blacklistu na konkrétní IP adresu až v okamžiku potřeby (při přijetí SMTP spojení).

Poslední zmíněnou variantou se budeme zabývat. Pro ni je nejvíce rozšířena technologie DNSBL (DNS-based Blackhole List). Jak již název napovídá, přítomnost nějaké IP adresy v blacklistu se ověřuje pomocí DNS. Existuje mnoho serverů, které tuto službu zdarma a veřejně nabízí. Stačí zaslat speciálně formulovaný DNS dotaz a dozvíme se, zda danou IP adresu evidují. Jako příklad si vezměme IP adresu 1.2.3.4 a použijeme DNSBL server zen.spamhaus.org. DNS název, na který se budeme ptát, se sestaví tak, že se vezme IP adresa v opačném pořadí a za ní se připojí název DNSBL serveru. A na takto získaný název vzneseme DNS dotaz na A záznam.

4.3.2.1.zen.spamhaus.org

Pokud je tato IP evidována, získáme jeden nebo více A záznamů. Můžeme se spokojit již s existencí těchto A záznamů anebo můžeme dále zkoumat jejich hodnotu a zjistit, z jakého důvodu je tato IP adresa na daném blacklistu. Jako hodnoty se používají speciální lokální IP adresy 127.0.0.X. Jejich význam však není standardizován a každý provozovatel DNSBL je definuje jinak.

Zde je příklad dotazu na IP adresu 88.101.70.219, která je blokována, protože je z rozsahu ADSL:

;; QUESTION SECTION:
;219.70.101.88.zen.spamhaus.org. IN A
;; ANSWER SECTION:
219.70.101.88.zen.spamhaus.org. 900 IN A 127.0.0.11

Ze stránek www.spamhaus.org se dočteme, že jejich databáze, pojmenovaná PBL (Policy Block List), obsahuje seznam IP adres koncových uživatelů, kteří by neměli zasílat kamkoliv e-maily bez použití autorizace a právě tomu odpovídá „návratová hodnota“ 127.0.0.11.

DNSBL lze teoreticky provozovat s použitím libovolného DNS softwaru a v něm vytvářet zóny, obsahující názvy, které odpovídají zakázaným IP adresám. To však není dobré řešení, protože často bývají zakázané celé velké rozsahy IP adres a to může vést k velmi rozsáhlým a špatně udržovatelným souborům. Proto se na to používá speciální software, které eviduje IP adresy lépe, ale navenek se chová jako DNS server. DNSBL samozřejmě těží z mnoha výhod, které DNS přináší – snadno lze rozložit zátěž, delegovat části map IP adres na jiné skupiny DNS serverů atd. Avšak nejpodstatnější výhoda spočívá v tom, že dotazy na DNSBL servery jsou, stejně jako jakékoliv jiné dotazy do DNS, cachovány. A tak pokud se náš mailserver neustále dokola ptá na jednoho odesílatele, měl by číst výsledek z nějaké lokální cache a DNSBL server zbytečně nezatěžovat. Na druhou stranu to znamená, že pokud dosáhneme odstranění naší IP adresy z blacklistu, budeme muset počkat na vypršení TTL oněch A záznamů. Např. spamhaus.org uvádí TTL hodnotu 30 minut.

Největším problémem DNSBL systémů je otázka spolehlivosti evidovaných seznamů IP adres. Pokud někdo skutečně spamuje, tak se nepochybně na jednom nebo více DNSBL serverech brzy objeví. Může se tam však samozřejmě objevit omylem také IP adresa, která ve skutečnosti zdrojem spamu není. Některé DNSBL servery fungují na dobrovolnickém principu, kdy lze spamující IP adresy oznámit dokonce anonymně. Jiné DNSBL zase přes vložením IP adresy do seznamu provádí podrobná ruční šetření.

Další metodou získávání totožnosti spammerů a útočníků jsou tzv. honeypots[12], což jsou obecně počítače či systémy, které se tváří jako skutečné a jsou úmyslně nechráněné či jinak zneužitelné. Ve skutečnosti jsou to však návnady, které hodní uživatelé nikdy nepoužijí, ale útočníci ano a tím padnou do pasti. V našem případě to může být mailserver pro doménu, která nikdy neměla a ani nemá nikde uvedenu jakoukoliv svou e-mailovou adresu. Pokud na ní nějaký e-mail přesto přijde, buď to znamená, že se někdo zmýlil, anebo že se jedná o spammera, který zkouší všechny možné příjemce. Takových honeypots bývá více a teprve poté, co zpráva od jednoho zdroje dorazí na více takových uzlů, je odesílatel prohlášen za zdroj spamu.

Často jsou na některých DNSBL evidovány celé rozsahy IP adres preventivně, aniž by z nich někdy přišel jakýkoliv spam – např. rozsahy používané pro dynamické přidělování IP ADSL klientům, u nichž se předpokládá, že nebudou nikdy posílat e-maily přímo, ale budou využívat oficiální SMTP brány svého ISP. Avšak zásadní problém nastane, když si bude chtít někdo např. přes ono ADSL zapojit svůj vlastní SMTP server a pak zjistí, že je všude zablokován. Pokud je někdo zablokován, má každý DNSBL server postupy, jak provést odblokování, většinou však nejsou IP vymazány automaticky, ale musí o to být zažádáno.

Diskuze k článku

K tomuto článku nebyl dosud vložen žádný diskuzní příspěvek, ale můžete tak učinit jako první.

Přihlášení zákazníka

Nemáte ještě zákaznický účet? Registrace

Copyright © WEDOS, 2017

Facebook RSS