Die E-Mail ist auch in Zeiten von Facebook, WhatsApp und Kol­la­bo­ra­ti­on-Tools ver­schie­dens­ter Art eine konstante Größe in puncto Kom­mu­ni­ka­ti­on. Für einen sicheren und un­be­schwer­ten Umgang mit dem beliebten Nach­rich­ten­for­mat ist es heute wie eh und je wichtig zu wissen, wie man Spam-Mails erkennt und ihnen vorbeugt. Ein gewisses Maß an Vorsicht ist auch Jahr­zehn­te nach dem Versand der ersten Spam-Nach­rich­ten an­ge­bracht.

In der Praxis fangen heute leis­tungs­star­ke Ab­wehr­me­cha­nis­men wie das weit ver­brei­te­te Grey­lis­ting eine Vielzahl der nervigen oder gar schäd­li­chen Mails ab. Eine wichtige Grund­vor­aus­set­zung hierfür sind so­ge­nann­te Domain Name System-based Blackhole Lists (DNSBL) – in Echtzeit abrufbare Schwarze Listen für Ab­sen­der­adres­sen zwei­fel­haf­ter Herkunft. Im Folgenden klären wir daher die Frage, was eine solche DNS-based Blackhole List ei­gent­lich genau ist, wie sie im Detail funk­tio­niert und welche Vor- und Nachteile eine solche Liste mit sich bringt.

Eigene E-Mail-Adresse erstellen
E-Mail-Kom­plett­pa­ke­te vom deutschen Markt­füh­rer
  • Mit KI schneller zur perfekten E-Mail: schreiben, über­set­zen, um­for­mu­lie­ren
  • Aus Deutsch­land – DSGVO-konform & sicher
  • Nur bei IONOS: Eigene Domain inklusive

Was ist eine DNSBL (DNS-based Blackhole List)?

Bei einer Domain Name System-based Blackhole List, kurz DNS-based Blackhole List bzw. DNSBL, handelt es sich um einen Dienst, mit dem E-Mail-Server einen einfachen, schnellen Check des Spam-Po­ten­zi­als von IP-Adressen durch­füh­ren können. Eine DNSBL verfügt zu diesem Zweck über eine Auf­lis­tung von Adressen, die als Absender von Spam bekannt sind. Ein an­fra­gen­der Mail­ser­ver kann diese in Echtzeit per DNS-Abfrage in­spi­zie­ren. Ein Großteil der Ser­ver­soft­ware ist dabei so kon­fi­gu­rier­bar, dass gleich mehrere DNS-based Blackhole Lists zu Rate gezogen werden, um dem Nutzer den best­mög­li­chen Schutz vor den un­er­wünsch­ten Junk-Nach­rich­ten zu bieten. Ergibt die Abfrage einer DNSBL einen Treffer, wird die Nachricht der je­wei­li­gen E-Mail-Adresse blockiert oder explizit als Spam-Nachricht ge­kenn­zeich­net.

Hinweis

Der Begriff „Blackhole“, also „Schwarzes Loch“, steht im Kontext von Com­pu­ter­netz­wer­ken für eine Ver­bin­dung, die ein­ge­hen­den oder aus­ge­hen­den Da­ten­ver­kehr fallen lässt, anstatt ihn normal wei­ter­zu­lei­ten. Die Da­ten­quel­le wird über das Vorgehen nicht in­for­miert.

Real-time Blackhole List: Die erste Domain Name System-based Blackhole List

Im Zu­sam­men­hang mit DNSBL hört man immer wieder auch von der Real-time Blackhole List (RBL) – manchmal werden die beiden Begriffe auch synonym verwendet, wobei dies nicht ganz korrekt ist. Die Real-time Blackhole List ist lediglich eine der an­ge­bo­te­nen DNSBL, wenn auch zu­ge­ge­be­ner­ma­ßen eine sehr be­deu­ten­de: Im Jahr 1997 wurde sie im Rahmen der Anti-Spam-In­itia­ti­ve Mail Abuse Pre­ven­ti­on Systems (MAPS) zur ersten of­fi­zi­el­len DNS-based Blackhole List.

Ur­sprüng­lich hatte der hinter RBL steckende Com­pu­ter­wis­sen­schaft­ler Paul Vixie die Spam-Blacklist aber nicht als DNSBL, sondern als BGP-Feed (Border Gateway Protocol) ver­öf­fent­licht. Der Feed enthielt eine Auf­lis­tung von bekannten Spam-Adressen, die über das BGP-Protokoll an die Router von Sub­scri­bern (vor­wie­gend Netz­werk­be­trei­ber) über­mit­telt wurde. Der gemeinsam mit Vixie am MAPS-Projekt mit­wir­ken­de Ent­wick­ler Eric Ziegast leitete wenig später den Umstieg auf die ef­fek­ti­ve­re DNS-basierte Über­mitt­lung in die Wege.

Hinweis

Heute exis­tie­ren neben der RBL zahl­rei­che weitere DNSBLs wie die Spamhouse Block List (SBL), SORBS (Spam and Open Relay Blocking System) oder ASPEWS (Another Spam Pre­ven­ti­on Early Warning System). Die ver­schie­de­nen Listen un­ter­schei­den sich ins­be­son­de­re hin­sicht­lich ihrer Ziele (welche Art von IP-Adressen – in­di­vi­du­ell, ISPs, Proxies etc. – gelistet wird), ihrer Quelle(n) (von wo die ge­lis­te­ten IPs stammen) und ihrer Le­bens­dau­er (für welchen Zeitraum IPs gelistet werden).

Wie funk­tio­nie­ren DNS-based Blackhole Lists?

Der Betrieb eines DNSBL-Ab­fra­ge­diens­tes erfordert drei Dinge:

  • eine Domain, unter der die Domain Name System-based Blackhole List gehostet wird
  • einen Name­ser­ver für diese Domain (für die Adress­auf­lö­sung)
  • eine Liste von IP-Adressen, die verfügbar gemacht werden soll (via DNS-Abfrage)

Die schwie­rigs­te Aufgabe bei der Betreuung einer DNSBLs ist dabei ohne Zweifel der Aufbau der Liste selbst. Betreiber müssen eine klare Strategie ent­wi­ckeln, wofür der Service stehen soll und diese lang­fris­tig verfolgen, um das Vertrauen der Nutzer zu gewinnen und auf­recht­zu­er­hal­ten. Spe­zi­fi­sche, öf­fent­lich gemachte Richt­li­ni­en (Policies) geben dabei einen Einblick, was eine Auf­lis­tung in der je­wei­li­gen DNSBL bedeutet und wie es um die drei oben genannten Punkte „Ziele“, „Quelle(n) und „Le­bens­dau­er der Einträge“ bestellt ist.

Auf Seiten der Mail­ser­ver, die eine DNS-based Blackhole List für die Spam-Über­prü­fung aus­ge­wählt haben, funk­tio­niert ein solcher Service ganz einfach:

  1. Die Rei­hen­fol­ge der Oktette der IP-Adresse des zu über­prü­fen­den Absenders werden umgekehrt. Aus der ex­em­pla­ri­schen Adresse 192.168.11.12 wird so z. B. 12.11.168.192.
  2. Der Domain-Name der DNSBL wird hin­zu­ge­fügt: 12.11.168.192.dnsbl.beispiel.net.
  3. Im Name­ser­ver der Blacklist wird nun nach­ge­schla­gen, ob es für diese zu­sam­men­ge­setz­te Adresse einen passenden A-Record gibt. Ist dies der Fall, erhält der Mail­ser­ver eine Adresse zurück, die ihm gleich­zei­tig si­gna­li­siert, dass der Client auf der Blacklist steht. Ist die Adresse nicht gelistet, kommt der Code „NXDOMAIN“ zurück.
  4. Ist eine IP in der DNSBL gelistet, kann der Mail­ser­ver den Namen optional als Text­ein­trag (TXT-Record) nach­schla­gen. Häufig lässt sich so in Erfahrung bringen, aus welchem Grund der be­tref­fen­de Client in der Liste vertreten ist.
Hinweis

Die Abfrage in einer DNS-based Blackhole List funk­tio­niert sehr ähnlich wie ein Reverse DNS Lookup. Der Haupt­un­ter­schied zwischen den beiden Ab­fra­ge­ty­pen besteht im ver­wen­de­ten Record-Typ: Bei der rDNS-Abfrage wird statt dem A-Record der PTR-Record nach­ge­schla­gen.

Welchen Nutzen haben DNSBLs?

Die be­lieb­tes­te und älteste Nut­zungs­form von Domain Name System-based Blackhole Lists wie der Real-time Blackhole List ist die in diesem Artikel her­vor­ge­ho­be­ne Funktion als Grundlage für die Spam-Filter von E-Mail-Servern. Die prak­ti­schen Listen werden aber auch in anderer Software bzw. für andere Zwecke verwendet:

Re­gel­ba­sier­te Spam-Analyse-Software: Für eine kom­ple­xe­re Bewertung eines größeren Sets an DNSBLs können re­gel­ba­sier­te Antispam-Programme wie Spamass­as­sin genutzt werden. Derartige Software nutzt für jede DNS-based Blackhole List eine eigene Regel, die – kom­bi­niert mit anderen Regeln – bei der Bewertung einer ein­ge­hen­den Nachricht her­an­ge­zo­gen werden kann. Auf diese Weise werden Mails nicht pauschal aus­sor­tiert, weil sie auf einer DNSBL stehen, sondern landen nur infolge der fest­ge­leg­ten Kriterien im Spam-Ordner. Der Ab­hol­pro­zess neuer Nach­rich­ten nimmt hier aber po­ten­zi­ell mehr Zeit in Anspruch.

Kom­bi­na­ti­on mit anderen Listen-Typen: Eine der wich­tigs­ten Aufgaben bei der Ver­wal­tung einer Domain Name System-based Blackhole List besteht in der re­gel­mä­ßi­gen Pflege der Liste. Sind die Einträge nicht aktuell, landen an­dern­falls Nach­rich­ten fälsch­li­cher­wei­se im Spam-Ordner. Um dem vor­zu­beu­gen, verwenden einige Filter Kom­bi­na­tio­nen mit anderen Listen-Typen wie White­lists. Je nach Tool und Ein­stel­lun­gen können so bei­spiels­wei­se Adress­ein­trä­ge in einer weißen Liste stärker gewertet werden als (in den meisten Fällen veraltete) Einträge der gleichen Adresse in einer DNSBL.

Tipp

Sichern Sie den Da­ten­aus­tausch mit den SSL-Zer­ti­fi­ka­ten von IONOS und stärken Sie so das Vertrauen von Kunden und Besuchern!

DNSBL: Vorteile und Nachteile von Real-time Blackhole List und Co.

DNS-based Blackhole Lists sind ins­be­son­de­re aus Nut­zer­sicht eine wichtige In­sti­tu­ti­on beim Kampf gegen Spam. Dank der Mög­lich­keit, die ge­lis­te­ten Einträge via DNS ab­zu­fra­gen, sind die Dienste für Mail­ser­ver einfach und schnell nutzbar, sodass der ge­fil­ter­te Post­ein­gang keine spürbaren Aus­wir­kun­gen auf die Per­for­mance hat. Für die Ent­wick­ler und Betreiber von E-Mail-Servern ist die Ab­fra­ge­me­tho­de zudem leicht im­ple­men­tier­bar.

Die DNS-Dienste sind al­ler­dings auch mit einer Reihe von Problemen bzw. Schwie­rig­kei­ten verbunden, wobei die Aspekte Ver­trau­ens­wür­dig­keit und Ak­tua­li­tät allen vor­an­ste­hen: So gibt es generell keine Garantie dafür, dass die Einträge einer DNSBL ge­recht­fer­tigt sind und vom DNSBL-Anbieter in aller Re­gel­mä­ßig­keit angepasst werden. Zudem ist es häufig sehr schwierig, Mail­adres­sen wieder aus dem Register einer DNS-based Blackhole List entfernen zu lassen. Nutzer ehemals gehackter IPs, die für Spam zweck­ent­frem­det wurden, haben so im schlimms­ten Fall keine oder nur sehr um­ständ­li­che Mög­lich­kei­ten, ihre Adresse wieder sa­lon­fä­hig zu machen.

Wer re­gel­mä­ßig eine große Menge an Mails ver­schickt, sollte in diesem Zu­sam­men­hang auf jeden Fall über eine de­di­zier­te IP beim Provider des Ver­trau­ens nach­den­ken, um die Re­pu­ta­ti­on der Adresse in der eigenen Hand zu haben und im Streit­fall einen starken Partner an der Seite zu wissen.

Zum Hauptmenü