DNSBL: Was ist eine Domain Name System-based Blackhole List?

Die E-Mail ist auch in Zeiten von Facebook, WhatsApp und Kollaboration-Tools verschiedenster Art eine konstante Größe in puncto Kommunikation. Für einen sicheren und unbeschwerten Umgang mit dem beliebten Nachrichtenformat ist es heute wie eh und je wichtig zu wissen, wie man Spam-Mails erkennt und ihnen vorbeugt. Ein gewisses Maß an Vorsicht ist auch Jahrzehnte nach dem Versand der ersten Spam-Nachrichten angebracht.

In der Praxis fangen heute leistungsstarke Abwehrmechanismen wie das weit verbreitete Greylisting eine Vielzahl der nervigen oder gar schädlichen Mails ab. Eine wichtige Grundvoraussetzung hierfür sind sogenannte Domain Name System-based Blackhole Lists (DNSBL) – in Echtzeit abrufbare Schwarze Listen für Absenderadressen zweifelhafter Herkunft. Im Folgenden klären wir daher die Frage, was eine solche DNS-based Blackhole List eigentlich genau ist, wie sie im Detail funktioniert und welche Vor- und Nachteile eine solche Liste mit sich bringt.

Was ist eine DNSBL (DNS-based Blackhole List)?

Bei einer Domain Name System-based Blackhole List, kurz DNS-based Blackhole List bzw. DNSBL, handelt es sich um einen Dienst, mit dem E-Mail-Server einen einfachen, schnellen Check des Spam-Potenzials von IP-Adressen durchführen können. Eine DNSBL verfügt zu diesem Zweck über eine Auflistung von Adressen, die als Absender von Spam bekannt sind. Ein anfragender Mailserver kann diese in Echtzeit per DNS-Abfrage inspizieren. Ein Großteil der Serversoftware ist dabei so konfigurierbar, dass gleich mehrere DNS-based Blackhole Lists zu Rate gezogen werden, um dem Nutzer den bestmöglichen Schutz vor den unerwünschten Junk-Nachrichten zu bieten. Ergibt die Abfrage einer DNSBL einen Treffer, wird die Nachricht der jeweiligen E-Mail-Adresse blockiert oder explizit als Spam-Nachricht gekennzeichnet.

Hinweis

Der Begriff „Blackhole“, also „Schwarzes Loch“, steht im Kontext von Computernetzwerken für eine Verbindung, die eingehenden oder ausgehenden Datenverkehr fallen lässt, anstatt ihn normal weiterzuleiten. Die Datenquelle wird über das Vorgehen nicht informiert.

Real-time Blackhole List: Die erste Domain Name System-based Blackhole List

Im Zusammenhang mit DNSBL hört man immer wieder auch von der Real-time Blackhole List (RBL) – manchmal werden die beiden Begriffe auch synonym verwendet, wobei dies nicht ganz korrekt ist. Die Real-time Blackhole List ist lediglich eine der angebotenen DNSBL, wenn auch zugegebenermaßen eine sehr bedeutende: Im Jahr 1997 wurde sie im Rahmen der Anti-Spam-Initiative Mail Abuse Prevention Systems (MAPS) zur ersten offiziellen DNS-based Blackhole List.

Ursprünglich hatte der hinter RBL steckende Computerwissenschaftler Paul Vixie die Spam-Blacklist aber nicht als DNSBL, sondern als BGP-Feed (Border Gateway Protocol) veröffentlicht. Der Feed enthielt eine Auflistung von bekannten Spam-Adressen, die über das BGP-Protokoll an die Router von Subscribern (vorwiegend Netzwerkbetreiber) übermittelt wurde. Der gemeinsam mit Vixie am MAPS-Projekt mitwirkende Entwickler Eric Ziegast leitete wenig später den Umstieg auf die effektivere DNS-basierte Übermittlung in die Wege.

Hinweis

Heute existieren neben der RBL zahlreiche weitere DNSBLs wie die Spamhouse Block List (SBL), SORBS (Spam and Open Relay Blocking System) oder ASPEWS (Another Spam Prevention Early Warning System). Die verschiedenen Listen unterscheiden sich insbesondere hinsichtlich ihrer Ziele (welche Art von IP-Adressen – individuell, ISPs, Proxies etc. – gelistet wird), ihrer Quelle(n) (von wo die gelisteten IPs stammen) und ihrer Lebensdauer (für welchen Zeitraum IPs gelistet werden).

Wie funktionieren DNS-based Blackhole Lists?

Der Betrieb eines DNSBL-Abfragedienstes erfordert drei Dinge:

  • eine Domain, unter der die Domain Name System-based Blackhole List gehostet wird
  • einen Nameserver für diese Domain (für die Adressauflösung)
  • eine Liste von IP-Adressen, die verfügbar gemacht werden soll (via DNS-Abfrage)

Die schwierigste Aufgabe bei der Betreuung einer DNSBLs ist dabei ohne Zweifel der Aufbau der Liste selbst. Betreiber müssen eine klare Strategie entwickeln, wofür der Service stehen soll und diese langfristig verfolgen, um das Vertrauen der Nutzer zu gewinnen und aufrechtzuerhalten. Spezifische, öffentlich gemachte Richtlinien (Policies) geben dabei einen Einblick, was eine Auflistung in der jeweiligen DNSBL bedeutet und wie es um die drei oben genannten Punkte „Ziele“, „Quelle(n) und „Lebensdauer der Einträge“ bestellt ist.

Auf Seiten der Mailserver, die eine DNS-based Blackhole List für die Spam-Überprüfung ausgewählt haben, funktioniert ein solcher Service ganz einfach:

  1. Die Reihenfolge der Oktette der IP-Adresse des zu überprüfenden Absenders werden umgekehrt. Aus der exemplarischen Adresse 192.168.11.12 wird so z. B. 12.11.168.192.
  2. Der Domain-Name der DNSBL wird hinzugefügt: 12.11.168.192.dnsbl.beispiel.net.
  3. Im Nameserver der Blacklist wird nun nachgeschlagen, ob es für diese zusammengesetzte Adresse einen passenden A-Record gibt. Ist dies der Fall, erhält der Mailserver eine Adresse zurück, die ihm gleichzeitig signalisiert, dass der Client auf der Blacklist steht. Ist die Adresse nicht gelistet, kommt der Code „NXDOMAIN“ zurück.
  4. Ist eine IP in der DNSBL gelistet, kann der Mailserver den Namen optional als Texteintrag (TXT-Record) nachschlagen. Häufig lässt sich so in Erfahrung bringen, aus welchem Grund der betreffende Client in der Liste vertreten ist.
Hinweis

Die Abfrage in einer DNS-based Blackhole List funktioniert sehr ähnlich wie ein Reverse DNS Lookup. Der Hauptunterschied zwischen den beiden Abfragetypen besteht im verwendeten Record-Typ: Bei der rDNS-Abfrage wird statt dem A-Record der PTR-Record nachgeschlagen.

Welchen Nutzen haben DNSBLs?

Die beliebteste und älteste Nutzungsform von Domain Name System-based Blackhole Lists wie der Real-time Blackhole List ist die in diesem Artikel hervorgehobene Funktion als Grundlage für die Spam-Filter von E-Mail-Servern. Die praktischen Listen werden aber auch in anderer Software bzw. für andere Zwecke verwendet:

Regelbasierte Spam-Analyse-Software: Für eine komplexere Bewertung eines größeren Sets an DNSBLs können regelbasierte Antispam-Programme wie Spamassassin genutzt werden. Derartige Software nutzt für jede DNS-based Blackhole List eine eigene Regel, die – kombiniert mit anderen Regeln – bei der Bewertung einer eingehenden Nachricht herangezogen werden kann. Auf diese Weise werden Mails nicht pauschal aussortiert, weil sie auf einer DNSBL stehen, sondern landen nur infolge der festgelegten Kriterien im Spam-Ordner. Der Abholprozess neuer Nachrichten nimmt hier aber potenziell mehr Zeit in Anspruch.

Kombination mit anderen Listen-Typen: Eine der wichtigsten Aufgaben bei der Verwaltung einer Domain Name System-based Blackhole List besteht in der regelmäßigen Pflege der Liste. Sind die Einträge nicht aktuell, landen andernfalls Nachrichten fälschlicherweise im Spam-Ordner. Um dem vorzubeugen, verwenden einige Filter Kombinationen mit anderen Listen-Typen wie Whitelists. Je nach Tool und Einstellungen können so beispielsweise Adresseinträge in einer weißen Liste stärker gewertet werden als (in den meisten Fällen veraltete) Einträge der gleichen Adresse in einer DNSBL.

Tipp

Sichern Sie den Datenaustausch mit den SSL-Zertifikaten von IONOS und stärken Sie so das Vertrauen von Kunden und Besuchern!

DNSBL: Vorteile und Nachteile von Real-time Blackhole List und Co.

DNS-based Blackhole Lists sind insbesondere aus Nutzersicht eine wichtige Institution beim Kampf gegen Spam. Dank der Möglichkeit, die gelisteten Einträge via DNS abzufragen, sind die Dienste für Mailserver einfach und schnell nutzbar, sodass der gefilterte Posteingang keine spürbaren Auswirkungen auf die Performance hat. Für die Entwickler und Betreiber von E-Mail-Servern ist die Abfragemethode zudem leicht implementierbar.

Die DNS-Dienste sind allerdings auch mit einer Reihe von Problemen bzw. Schwierigkeiten verbunden, wobei die Aspekte Vertrauenswürdigkeit und Aktualität allen voranstehen: So gibt es generell keine Garantie dafür, dass die Einträge einer DNSBL gerechtfertigt sind und vom DNSBL-Anbieter in aller Regelmäßigkeit angepasst werden. Zudem ist es häufig sehr schwierig, Mailadressen wieder aus dem Register einer DNS-based Blackhole List entfernen zu lassen. Nutzer ehemals gehackter IPs, die für Spam zweckentfremdet wurden, haben so im schlimmsten Fall keine oder nur sehr umständliche Möglichkeiten, ihre Adresse wieder salonfähig zu machen.

Wer regelmäßig eine große Menge an Mails verschickt, sollte in diesem Zusammenhang auf jeden Fall über eine dedizierte IP beim Provider des Vertrauens nachdenken, um die Reputation der Adresse in der eigenen Hand zu haben und im Streitfall einen starken Partner an der Seite zu wissen.

Email Marketing Tool von IONOS

Mit Newslettern können Sie 40 Mal effektiver als mit Beiträgen in sozialen Netzwerken kommunizieren. Hohe Wirkung zu geringen Kosten. Probieren Sie es aus!

Einfach
Effizient
24/7 Support

Black Friday Angebote
Starke Rabatte auf unsere Lösungen für Ihren digitalen Erfolg. Angebote gültig bis Cyber Monday, 30.11.2020.
Bis zu 98% sparen