WikiDer > Черный список на основе системы доменных имен

Domain Name System-based Blackhole List

А Черный список на основе системы доменных имен, Черный список системы доменных имен[1] (DNSBL) или Список черных дыр в реальном времени (RBL) - это сервис, в котором с помощью простого DNS-запроса почтовые серверы может проверить, находится ли отправляющий IP-адрес на черный список из IP-адреса считается, что рассылает спам по электронной почте. Большую часть программного обеспечения почтового сервера можно настроить для проверки одного или нескольких таких списков - обычно для отклонения или отметки сообщений, если они поступают с указанного сайта.

DNSBL - это программный механизм, а не конкретный список или политика. Существуют десятки DNSBL,[2] которые используют широкий спектр критериев для включения и исключения адресов. Они могут включать в себя перечисление адресов зомби-компьютеры или другие машины, используемые для рассылки спама, поставщики интернет-услуг (ISP), которые добровольно размещают спамеров, или те, которые отправляли спам на горшок меда система.

С момента создания первого DNSBL в 1998 году работа и политика этих списков часто вызывали разногласия.[3][4] как в Интернете пропаганда а иногда и в судебных процессах. Многие операторы и пользователи почтовых систем[5] считают DNSBL ценным инструментом для обмена информацией об источниках спама, но другие, включая некоторых известных интернет-активистов, возражают против них как от формы цензуры.[6][7][8][9] Кроме того, небольшое количество операторов DNSBL стали объектом судебных исков, поданных спамерами, стремящимися закрыть списки.[10]

История

Первым DNSBL был список черных дыр в реальном времени (RBL), созданный в 1997 году, сначала как Протокол пограничного шлюза (BGP) канал Пол Викси, а затем в качестве DNSBL Эрика Зигаста в рамках проекта Vixie's Система предотвращения злоупотребления почтой (КАРТЫ); Дэйв Рэнд из Abovenet был его первым подписчиком.[11] Самая первая версия RBL не была опубликована как DNSBL, а скорее как список сетей, передаваемых через BGP в маршрутизаторы принадлежат абонентам, чтобы операторы сети могли отказаться от всех TCP / IP трафик для машин, используемых для рассылки спама или хостинга служб поддержки спама, таких как веб-сайт. Изобретателем технологии, позже получившей название DNSBL, был Эрик Зигаст, когда он работал в Vixie Enterprises.

Термин «черная дыра» относится к сеть черная дыра, выражение для ссылки в сети, которая отбрасывает входящий трафик вместо его обычной пересылки. Цель RBL заключалась в том, чтобы сайты, использующие его, отклоняли трафик с сайтов, которые поддерживали спам - либо путем активной рассылки спама, либо другими способами. Прежде чем адрес будет внесен в список RBL, волонтеры и сотрудники MAPS будут неоднократно пытаться связаться с ответственными за него лицами и исправить проблемы. Такие усилия считались очень важными перед тем, как блокировать весь сетевой трафик, но это также означало, что спамеры и провайдеры, поддерживающие спам, могли откладывать включение RBL на длительные периоды времени, пока продолжаются такие обсуждения.

Позже RBL также был выпущен в форме DNSBL, и Пол Викси поощрял авторов Отправить почту и другое почтовое программное обеспечение для реализации поддержки RBL в своих клиентах. Это позволяло почтовому программному обеспечению запрашивать RBL и отклонять почту с перечисленных сайтов для каждого почтового сервера вместо того, чтобы блокировать весь трафик.

Вскоре после появления RBL другие начали разрабатывать свои собственные списки с другой политикой. Одним из первых был Алан Браун Открытая система изменения поведения реле (ШАРЫ). Это использовало автоматическое тестирование для обнаружения и перечисления почтовых серверов, работающих как открытые почтовые реле- эксплуатируется спамеры нести свой спам. ORBS в то время вызывал споры, потому что многие люди считали использование открытого ретранслятора приемлемым, а сканирование Интернета на предмет открытых почтовых серверов могло быть оскорбительным.

В 2003 году ряд DNSBL попал под атаки отказа в обслуживании (DOS). Поскольку ни одна из сторон не призналась в этих атаках и не была обнаружена виновной, их цель является предметом предположений. Однако многие наблюдатели считают, что атаки совершаются спамерами, чтобы помешать работе DNSBL или вынудить их отключиться. В августе 2003 г. Osirusoft, оператор нескольких DNSBL, в том числе одного на основе ОБЗОРЫ набор данных, закрыл свои списки после нескольких недель почти непрерывной атаки.

Технические спецификации для DNSBL появились относительно поздно в RFC5782.[12]

URI DNSBL

А Единый идентификатор ресурса (URI) DNSBL - это DNSBL, в котором перечислены доменные имена, а иногда и IP-адреса, которые находятся в «интерактивных» ссылках, содержащихся в теле спама, но обычно не встречаются в легитимных сообщениях.

URI DNSBL были созданы, когда было определено, что большая часть спама прошла мимо спам-фильтров в течение этого короткого промежутка времени между первым использованием IP-адреса, отправляющего спам, и моментом, когда этот отправляющий IP-адрес был впервые указан в списке основных отправляющих IP-адресов. DNSBL.

Во многих случаях такой неуловимый спам содержит в своих ссылках доменные имена или IP-адреса (вместе именуемые URI), где этот URI был уже обнаружен в ранее обнаруженном спаме и где этот URI не встречается в электронной почте, не являющейся спамом.

Следовательно, когда спам-фильтр извлекает все URI из сообщения и проверяет их на соответствие URI DNSBL, тогда спам может быть заблокирован, даже если отправляющий IP-адрес для этого спама еще не указан ни в одном из отправляющих IP-адресов DNSBL.

Из трех основных URI DNSBL самым старым и популярным является SURBL.[13] После создания SURBL некоторые из добровольцев SURBL запустили второй основной URI DNSBL, URIBL.[14] В 2008 году другой давний волонтер SURBL запустил еще один URI DNSBL, ivmURI.[15] Проект Spamhaus предоставляет черный список доменов Spamhaus (DBL), которые они описывают как домены, «обнаруженные в спам-сообщениях».[16] DBL предназначен как для URIBL, так и для RHSBL для проверки обоих доменов в конверте сообщения и заголовков и доменов в URL-адресах в теле сообщения. В отличие от других URIBL, DBL перечисляет только доменные имена, а не IP-адреса, поскольку Spamhaus предоставляет другие списки IP-адресов.

URI DNSBL часто путают с RHSBL (правая сторона BL). Но они разные. URI DNSBL перечисляет доменные имена и IP-адреса, найденные в теле сообщения. В RHSBL перечислены доменные имена, используемые в адресах электронной почты «от» или «для ответа». Эффективность RHSBL спорна, поскольку во многих спамах используются либо поддельные адреса "от", либо адреса "от", содержащие популярные доменные имена бесплатной почты, такие как @ gmail.com, @ yahoo.com или @ hotmail.com. DNSBL с URI более широко используются. чем RHSBL, очень эффективны и используются большинством спам-фильтров.

Принцип

Для работы DNSBL требуются три вещи: домен, в котором он будет размещен, сервер имен для этого домена и список адресов для публикации.

DNSBL можно обслуживать с помощью любого универсального Программное обеспечение DNS-сервера. Однако это обычно неэффективно для зон, содержащих большое количество адресов, особенно DNSBL, которые перечисляют все сетевые блоки бесклассовой междоменной маршрутизации. Для большого потребления ресурсов при использовании программного обеспечения, предназначенного для роли сервера доменных имен, существуют программные приложения для конкретных ролей, разработанные специально для серверов с ролью черного списка DNS.

Сложная часть работы с DNSBL - это заполнение его адресами. DNSBL, предназначенные для публичного использования, обычно имеют конкретные опубликованные политики в отношении того, что означает листинг, и должны использоваться соответствующим образом для достижения или поддержания общественного доверия.

DNSBL запросы

Когда почтовый сервер получает соединение от клиента и желает проверить этого клиента на соответствие DNSBL (скажем, dnsbl.example.net), он делает примерно следующее:

  1. Возьмите IP-адрес клиента - скажем, 192.168.42.23- и поменять порядок октетов на противоположный, давая 23.42.168.192.
  2. Добавьте доменное имя DNSBL: 23.42.168.192.dnsbl.example.net.
  3. Найдите это имя в DNS как имя домена (запись «A»). Это вернет либо адрес, указывающий, что клиент указан в списке; или код «NXDOMAIN» («Нет такого домена»), указывающий, что клиент не является им.
  4. При желании, если клиент указан в списке, найдите имя как текстовую запись (запись «TXT»). Большинство DNSBL публикуют информацию о том, почему клиент указан как записи TXT.

Таким образом, поиск адреса в DNSBL аналогичен поиску его в обратном DNS. Различия в том, что поиск DNSBL использует тип записи «A», а не «PTR», и использует прямой домен (например, dnsbl.example.net выше), а не специальный обратный домен in-addr.arpa.

Существует неформальный протокол для адресов, возвращаемых запросами DNSBL, которые совпадают. Большинство DNSBL возвращают адрес в 127.0.0.0/8 IP. петля сеть. Адрес 127.0.0.2 указывает на общий список. Другие адреса в этом блоке могут указывать на что-то конкретное в листинге - что он указывает на открытый ретранслятор, прокси, хост, принадлежащий спамеру и т. Д. Подробнее см. RFC 5782.

URI DNSBL

Запрос URI DNSBL (и запрос RHSBL) довольно прост. Имя домена для запроса добавляется к хосту списка DNS следующим образом:

example.net.dnslist.example.com

где dnslist.example.com является хостом списка DNS и example.net это запрашиваемый домен. Обычно, если возвращается запись A, указывается имя.

Политики DNSBL

У разных DNSBL разные политики. Политики DNSBL отличаются друг от друга по трем направлениям:

  • Цели. Что означает DNSBL стремиться к списку? Это список почтовых серверов с открытой ретрансляцией или открытых прокси - или IP-адресов, которые, как известно, рассылают спам, - или, возможно, IP-адресов, принадлежащих интернет-провайдерам, укрывающим спамеров?
  • Номинация. Как работает DNSBL обнаружить адреса перечислить? Используются ли номинации, представленные пользователями? Адреса спам-ловушек или приманки?
  • Срок службы листинга. Как долго длится листинг последний? Срок их действия истек автоматически или они удаляются только вручную? Что может сделать оператор указанного хоста, чтобы его исключить из списка?

Типы

В дополнение к различным типам перечисленных объектов (IP-адреса для традиционных DNSBL, имена хостов и доменов для RHSBL, URI для URIBL) существует широкий спектр семантических вариаций между списками в отношении того, что означает перечисление. Сами специалисты по сопровождению списков разделились по вопросу о том, следует ли рассматривать их списки как утверждение объективного факта или субъективного мнения и как лучше всего использовать их списки. В результате не существует окончательной таксономии для DNSBL. Некоторые имена, определенные здесь (например, «Желтый» и «NoBL»[17]) являются разновидностями, которые не получили широкого распространения, поэтому сами названия не имеют широкого распространения, но должны быть признаны многими специалистами по борьбе со спамом.

Белый список
Листинг является подтверждением абсолютного доверия
Черный список
Листинг является отрицательным признаком абсолютного недоверия
Серый список
Чаще всего рассматривается как одно слово (серый список или серый список), не связанное напрямую с DNSBL, но использующее временную отсрочку отправки почты из незнакомых источников для создания общественной репутации (например, списков DNSBL) или для предотвращения спама, ориентированного на скорость. Иногда используется для обозначения фактических DNSBL, списки которых обозначают отдельные неабсолютные уровни и формы доверия или недоверия.
Желтый список
В списке указано, что источник, как известно, создает смесь спама и не-спама до такой степени, что проверка других DNSBL любого типа становится бесполезной.
Список NoBL
Список указывает на то, что источник считается не рассылающим спам и не должен подвергаться тестированию в черном списке, но он не так надежен, как источник из белого списка.

Применение

  • Наиболее агенты передачи сообщений (MTA)[nb 1] можно настроить на абсолютную блокировку или (реже) на прием электронной почты на основе списка DNSBL. Это самая старая форма использования DNSBL. В зависимости от конкретного MTA могут быть тонкие различия в конфигурации, которые делают типы списков, такие как Yellow и NoBL, полезными или бессмысленными из-за того, как MTA обрабатывает несколько DNSBL. Недостатком использования прямой поддержки DNSBL в большинстве MTA является то, что источники, не включенные ни в один из списков, требуют проверки всех используемых DNSBL с относительно небольшой полезностью для кэширования отрицательных результатов. В некоторых случаях это может вызвать значительное замедление доставки почты. Использование белых, желтых и NoBL списков во избежание некоторых поисков может использоваться для облегчения этого в некоторых MTA.
  • DNSBL могут использоваться в программном обеспечении для анализа спама на основе правил, например Spamassassin где у каждого DNSBL есть свое правило. Каждое правило имеет определенный положительный или отрицательный вес, который комбинируется с другими типами правил для оценки каждого сообщения. Это позволяет использовать правила, которые действуют (в соответствии с критериями, доступными в конкретном программном обеспечении) для «белого списка» почты, которая в противном случае была бы отклонена из-за внесения в список DNSBL или из-за других правил. Это также может иметь проблему из-за большой нагрузки поиска DNS без каких-либо полезных результатов, но это может не задерживать почту так сильно, потому что оценка позволяет выполнять поиск параллельно и асинхронно, пока фильтр проверяет сообщение на соответствие другим правилам.
  • Некоторые наборы инструментов позволяют сочетать подходы бинарного тестирования и взвешенных правил. Один из способов сделать это - сначала проверить белые списки и принять сообщение, если источник находится в белом списке, минуя все другие механизмы тестирования. Методика, разработанная фильтром нежелательной почты[18] использует желтые списки и списки NoBL для уменьшения ложных срабатываний, которые обычно возникают при использовании черных списков, которые не ведутся тщательно, чтобы избежать их.
  • Некоторые DNSBL созданы не для фильтрации спама, а для демонстрационных, информационных, риторических и контрольных целей. Примеры включают «Список без ложных отрицательных значений», «Список счастливых семерок», «Список Фибоначчи», различные списки, кодирующие информацию GeoIP, и списки случайного выбора, масштабируемые для соответствия охвату другого списка, что полезно в качестве элемента управления для определения того, являются ли эффекты этого списка отличим от случайных отказов.

Критика

Некоторые конечные пользователи и организации обеспокоены концепцией DNSBL или особенностями их создания и использования. Некоторые из критических замечаний включают:

  • Законные электронные письма заблокированы вместе со спамом с общих почтовых серверов. Когда на общем почтовом сервере провайдера есть одна или несколько скомпрометированных машин, отправляющих спам, он может быть включен в список DNSBL. Конечные пользователи, которым назначен тот же общий почтовый сервер, могут обнаружить, что их электронная почта заблокирована, получая почтовые серверы, использующие такой DNSBL.[19] В мае 2016 года система SORBS блокировала SMTP-серверы Telstra Australia, крупнейшего поставщика интернет-услуг Австралии. Это неудивительно, так как в любой момент к этому почтовому серверу будут подключены тысячи компьютеров, зараженных вирусами зомби, рассылающими спам. Эффект заключается в том, чтобы отключить все законные электронные письма от пользователей системы Telstra Australia.
  • Списки динамических IP-адресов. Этот тип DNSBL перечисляет IP-адреса, представленные поставщиками услуг Интернета, как динамические и, следовательно, предположительно непригодные для прямой отправки электронной почты;[7] конечный пользователь должен использовать почтовый сервер ISP для всей отправки электронной почты. Но эти списки также могут случайно включать статические адреса, которые могут законно использоваться владельцами малого бизнеса или другими конечными пользователями для размещения небольших серверов электронной почты.[20]
  • Списки, которые включают «операции поддержки спама», такие как MAPS RBL.[21] Операция по поддержке спама - это сайт, который не может напрямую рассылать спам, но предоставляет коммерческие услуги для спамеров, например, размещение веб-сайтов, рекламируемых в спаме. Отказ принимать почту от службы поддержки спама рассматривается как бойкотировать побуждать такие сайты к прекращению сотрудничества со спамерами за счет создания неудобств тем, кто не занимается спамом и которые используют тот же сайт в качестве спамеров.
  • Некоторые списки имеют нечеткие критерии включения в список, и исключение из списка может произойти не автоматически и не быстро. Некоторые операторы DNSBL запросят оплату (например, uceprotect.net)[22] или пожертвование (например, СОРБЫ). Некоторые из многих политик листинга / исключения из списка можно найти в Сравнение черных списков DNS статья.
  • Поскольку в списках используются различные методы добавления IP-адресов и / или URI, отправителям может быть сложно настроить свои системы надлежащим образом, чтобы избежать включения в список DNSBL. Например, UCEProtect DNSBL, кажется, перечисляет IP-адреса только после того, как они подтвердили адрес получателя или установили TCP-соединение, даже если спам-сообщение никогда не доставляется.[23]

Несмотря на критику, мало кто возражает против принципа, согласно которому принимающие почту сайты должны иметь возможность систематически отклонять нежелательную почту. Один человек, который делает это Джон Гилмор, который сознательно управляет открытый почтовый ретранслятор. Гилмор обвиняет операторов DNSBL в нарушении антимонопольное закон.

Для Джо Блоу отказ от электронной почты является законным (хотя это плохая политика, похожая на «стрелять в посыльного»). Но если Джо и десять миллионов друзей объединятся, чтобы составить черный список, они осуществляют незаконную монопольную власть.[24]

Ряд партий, таких как Фонд электронных рубежей и Мирный огонь, выразили озабоченность по поводу использования DNSBL Интернет-провайдеры. Одно совместное заявление, выпущенное группой, включающей EFF и Peacefire, касалось «скрытой блокировки», когда интернет-провайдеры используют DNSBL или другие методы блокировки спама, не информируя своих клиентов.[25]

Спамеры подали иски против операторов DNSBL на аналогичных основаниях:

  • В 2003 году недавно созданная корпорация, назвавшая себя "EmarketersAmerica", подала иск против ряда операторов DNSBL в Флорида суд. При поддержке спамера Эдди Марин, компания утверждала, что является торговой организацией "маркетологов электронной почты" и что операторы DNSBL Спамхаус и SPEWS занимались ограничение торговли. В итоге иск был отклонен из-за отсутствия стоя.[26]
  • В 2006 году суд США обязал Spamhaus выплатить спамеру «e360 Insight LLC» компенсацию в размере 11 715 000 долларов. Приказ был вынесен по умолчанию, поскольку Spamhaus (которая является операцией в Великобритании) отказался признать юрисдикцию суда и не защищал себя в e360 иск. Это решение было позже отменено апелляционный суд.

Смотрите также

Заметки

  1. ^ По состоянию на июль 2016 г. 30 из 41 MTA, перечисленных в Сравнение почтовых серверов # Функции защиты от спама известно, что они поддерживают DNSBL, 1 - нет, а остальные 10 - неизвестны.

использованная литература

  1. ^ "Что такое DNSBL". DNSBL.info. Получено 21 июн 2020.
  2. ^ "Черные списки DNS и RHS". Архивировано из оригинал 21.03.2013. Получено 2013-03-26.
  3. ^ Льюис, Крис; Сержант, Мэтт. Обзор лучших методов работы со списком адресов электронной почты на основе DNS (DNSBL). Дои:10.17487 / RFC6471. RFC 6471. Получено 2020-05-25.
  4. ^ "RBLMon.com: Что такое RBL и как они работают?". Архивировано из оригинал на 2017-09-04. Получено 2013-03-26.
  5. ^ «Выявление членства в ботнетах с помощью контрразведки DNSBL» (PDF). Получено 2013-03-26.
  6. ^ "Критика РБЛ". Получено 2013-03-26.
  7. ^ а б "Electronic Frontier Foundation, EFFector, Vol. 14, No. 31, 16 октября 2001 г.". Получено 2013-03-26.
  8. ^ "Verio затыкает основателя EFF из-за спама". Получено 2013-03-26.
  9. ^ "Выбор спама вместо цензуры". Архивировано из оригинал на 2003-04-21. Получено 2013-03-26.
  10. ^ "EMarketersAmerica.org подает в суд на группы по борьбе со спамом". Получено 2013-03-26.
  11. ^ Макмиллан, Роберт (декабрь 1997 г.). «Что остановит спам ?:». Получено 2008-05-16.
  12. ^ "RFC5782".
  13. ^ "СУРБЛ". SURBL. Получено 2012-05-06.
  14. ^ «УРИБЛ». URIBL. Получено 2012-05-06.
  15. ^ "ivmURI". Dnsbl.invaluement.com. 31 мая 2008 г. Архивировано из оригинал на 2012-05-05. Получено 2012-05-06.
  16. ^ «Черный список доменов». Проект Spamhaus. Получено 2014-10-10.
  17. ^ Перкель, Марк. «Новая парадигма списков на основе DNS». Архивировано из оригинал на 2013-01-28. Получено 2012-03-20.
  18. ^ «Фильтр нежелательной почты». Wiki.junkemailfilter.com. 2012-02-17. Получено 2012-05-06.
  19. ^ "Объяснение проблем с доставкой электронной почты". Получено 2013-03-26.
  20. ^ «Проект Spamhaus, черный список политик». Получено 2013-03-26.
  21. ^ "Карты руб.". Mail-abuse.com. 2012-03-03. Получено 2012-05-06.
  22. ^ UCEPROTECT. «UCEprotect.net». UCEprotect.net. Получено 2012-05-06.
  23. ^ Симпсон, Кен. «Попасть в черный список без рассылки спама». Блог MailChannels. MailChannels Corporation. Архивировано из оригинал на 2011-09-19. Получено 2011-09-16.
  24. ^ "TOAD.com". TOAD.com. Архивировано из оригинал на 2012-05-03. Получено 2012-05-06.
  25. ^ Заявление коалиции против "скрытной блокировки""". Peacefire.org. 2001-05-17. Получено 2012-05-06.
  26. ^ "Linxnet.com". Linxnet.com. Получено 2012-05-06.

внешние ссылки