DNSBL

  DNS, Domeny i DNS, Teoria DNS

Technologia SPF rejestruje i dystrybuuje listę adresów IP, które mogą wysyłać e-maile w imieniu danej domeny. Obecnie, filtrowanie źródeł spamu odbywa się w odwrotny sposób – rejstruje się i dystrybuuje listy adresów IP, które są źródłem spamu i powinny zostać zablokowane. Większość serwerów SMTP ma tego typu blacklisty – mogą one być zdefiniowane przez administratora serwera, który jest odpowiedzialny za manualne zarządzanie i aktualizację listy, lub też serwery SMTP komunikują się z blacklist serwerami, którymi zajmują się ochotnicy. Udostępnianie listy adresów IP spamerów może odbywać się także na komercyjnych zasadach.

Główne pytanie dotyczy sposobu dystrybucji list z zablokowanymi adresami IP, które często są bardzo obszerne. Serwer SMTP może pobrać całą listę, z której będzie korzystał, i którą będzie cyklicznie aktualizował (w ten sposób działają przede wszystkim komercyjne blacklisty), bądź też wysłać w razie potrzeby zapytanie o kontrolę konkretnego adresu IP (przy przyjęciu połączenia SMTP).

Zajmiemy się teraz drugim z wymienionych wariantów, w przypadku którego najczęściej stosowaną technologią jest DNSBL (DNS-based Blackhole List). Jak sama nazwa wskazuje, obecność danego adresu IP na blackliście jest weryfikowana za pomocą DNS. Istnieje wiele serwerów, które udostępniają tę usługę za darmo. Wystarczy przesłać odpowiednio sformułowane zapytanie DNS, a dowiemy się, czy dany adres IP znajduje się na liście. Dla przykładu użyjemy adresu IP 1.2.3.4 i serwera bazy DNSBL zen.spamhaus.org. Nazwa DNS, o którą będziemy pytać, składa się z adresu IP w odwrotnej kolejności oraz adresu serwera DNSBL. Dla tej nazwy wysyłamy zapytanie DNS dla rekordu A.

4.3.2.1.zen.spamhaus.org

Jeśli adres IP znajduje się na liście, otrzymamy jeden lub kilka rekordów A. Możemy poprzestać na pozyskaniu informacji o istniejących rekordach A, bądź kontynuować badanie ich wartości oraz przyczyny umieszczenia adresu IP na danej liście. Jako wartości używane są specjalne, lokalne adresy IP 127.0.0.X. Ich znaczenie nie jest jednak ustandaryzowane, a każdy operator DNSBL definiuje je w inny sposób.

Poniżej zamieszczamy przykład dla zapytania o adres IP 88.101.70.219, który jest zablokowany, ponieważ znajduje się w zakresie ADSL:

;; QUESTION SECTION:
;219.70.101.88.zen.spamhaus.org. IN A
;; ANSWER SECTION:
219.70.101.88.zen.spamhaus.org. 900 IN A 127.0.0.11 

Na stronie www.spamhaus.org możemy znaleźć informacje, że ich baza danych o nazwie PBL (Policy Block List), zawiera listę adresów IP użytkowników końcowych, którzy nie mieliby wysyłać żadnej wiadomości e-mail bez autoryzacji. Dokładnie o tym informuje „wartość zwrotna” 127.0.0.11.

DNSBL można teoretycznie uruchomić przez użycie dowolnego software’u DNS, w którym utworzymy strefy zawierające nazwy odpowiadające zablokowanym adresom IP. Nie jest to jednak idealne rozwiązanie, ponieważ często zdarza się, że zablokowane nie są pojedyncze adresy, ale obszerne zakresy adresów IP, co może prowadzić do generowania bardzo obszernych i trudnych do zarządzania plików. Dlatego wykorzystywany jest specjalny software, który lepiej rejestruje adresy IP, a z zewnątrz zachowuje się jak serwer DNS. DNSBL korzysta z wygód, które przynosi DNS – rozłożenia obciążenia w łatwy sposób, przekierowania części adresów IP na inne grupy serwerów DNS itp. Największą zaletą jest jednak to, że zapytania DNSBL podobnie jak jakiekolwiek inne zapytania DNS są cachowane. W przypadku nieustających zapytań o nadawcę wysyłanych przez serwer poczty, wynik miałby być pobierany z lokalnego cache, dzięki czemu serwer DNSBL nie będzie zbędnie obciążany. Z drugiej strony należy pamiętać, że w przypadku usunięcia naszego adresu IP z blacklisty, należy poczekać na wygaśnięcie TTL danych rekordów A. Np. spamhaus.org podaje wartość TTL 30 minut.

Największym problemem systemu DNSBL jest kwestia niezawodności list adresów IP. Jeśli ktoś naprawdę spamuje, bez wątpienia pojawi się na jednym lub kilku serwerach DNSBL. Przez pomyłkę może się tam jednak pojawić także adres IP, który tak naprawdę nie jest źródłem spamu. Niektóre serwery DNSBL działają na zasadzie dobrowolności, gdzie spamujące adresy IP można zgłaszać anonimowo. Inne serwery DNSBL przed dodaniem adresu IP do listy prowadzą szczegółową analizę.

Kolejną metodą pozyskiwania tożsamości spamerów i atakujących są tzw. honeypots [12], stanowiącymi zwykle komputery lub systemy, stwarzające wrażenie rzeczywistych, a jednocześnie celowo niechronione lub nadużywane w inny sposób. W rzeczywistości działają jako wabik, z którego nigdy nie skorzystałby uczciwy użytkownik, a jedynie atakujący, który wpada tym samym w pułapkę. W naszym przypadku może to być serwer poczty dla domeny, której adres e-mail nigdy nie był, i w dalszym ciągu nie jest nigdzie udostępniony. Jeśli pomimo tego, na adres e-mail przyjdzie jakaś wiadomość, może to oznaczać, że ktoś wysłał ją przez pomyłkę, lub jest za to odpowiedzialny spamer, który wyszukuje wszystkich możliwych odbiorców. Takich honeypots jest zwykle więcej i dopiero po dotarciu wiadomości z jednego źródła do kilku takich węzłów, nadawca zostaje uznany za źródło spamu.

Niektóre DNSBL rejestrują prewentywnie całe zakresy adresów IP, nawet w przypadku, gdy nie były one dotychczas źródłem spamu – np. zakresy używane do dynamicznego przydzielania adresów IP klientom ADSL, u których zakłada się, że nigdy nie będą wysyłać e-maili bezpośrednio, ale będą używać oficjalnych bram SMTP swojego dostawcy usług internetowych. Zasadniczy problem pojawia się w momencie, gdy ktoś chce podłączyć własny serwer SMTP, na przykład przez ADSL, a potem dowiaduje się, że jest on wszędzie blokowany. Każdy serwer DNSBL ma zdefiniowane procedury odblokowania. W większości przypadków usunięcie adresu IP nie jest jednak automatyczne, o zniesienie blokady należy poprosić.