DNSBL: Was ist eine Domain Name System-based Blackhole List?

Die E-Mail ist auch in Zeiten von Facebook, WhatsApp und Kollaboration-Tools verschiedenster Art eine konstante Größe in puncto Kommunikation. Für einen sicheren und unbeschwerten Umgang mit dem beliebten Nachrichtenformat ist es heute wie eh und je wichtig zu wissen, wie man Spam-Mails erkennt und ihnen vorbeugt. Ein gewisses Maß an Vorsicht ist auch Jahrzehnte nach dem Versand der ersten Spam-Nachrichten angebracht.

In der Praxis fangen heute leistungsstarke Abwehrmechanismen wie das weit verbreitete Greylisting eine Vielzahl der nervigen oder gar schädlichen Mails ab. Eine wichtige Grundvoraussetzung hierfür sind sogenannte Domain Name System-based Blackhole Lists (DNSBL) – in Echtzeit abrufbare Schwarze Listen für Absenderadressen zweifelhafter Herkunft. Im Folgenden klären wir daher die Frage, was eine solche DNS-based Blackhole List eigentlich genau ist, wie sie im Detail funktioniert und welche Vor- und Nachteile eine solche Liste mit sich bringt.

Bei einer Domain Name System-based Blackhole List, kurz DNS-based Blackhole List bzw. DNSBL, handelt es sich um einen Dienst, mit dem E-Mail-Server einen einfachen, schnellen Check des Spam-Potenzials von IP-Adressen durchführen können. Eine DNSBL verfügt zu diesem Zweck über eine Auflistung von Adressen, die als Absender von Spam bekannt sind. Ein anfragender Mailserver kann diese in Echtzeit per DNS-Abfrage inspizieren. Ein Großteil der Serversoftware ist dabei so konfigurierbar, dass gleich mehrere DNS-based Blackhole Lists zu Rate gezogen werden, um dem Nutzer den bestmöglichen Schutz vor den unerwünschten Junk-Nachrichten zu bieten. Ergibt die Abfrage einer DNSBL einen Treffer, wird die Nachricht der jeweiligen E-Mail-Adresse blockiert oder explizit als Spam-Nachricht gekennzeichnet.

Im Zusammenhang mit DNSBL hört man immer wieder auch von der Real-time Blackhole List (RBL) – manchmal werden die beiden Begriffe auch synonym verwendet, wobei dies nicht ganz korrekt ist. Die Real-time Blackhole List ist lediglich eine der angebotenen DNSBL, wenn auch zugegebenermaßen eine sehr bedeutende: Im Jahr 1997 wurde sie im Rahmen der Anti-Spam-Initiative Mail Abuse Prevention Systems (MAPS) zur ersten offiziellen DNS-based Blackhole List.

Ursprünglich hatte der hinter RBL steckende Computerwissenschaftler Paul Vixie die Spam-Blacklist aber nicht als DNSBL, sondern als BGP-Feed (Border Gateway Protocol) veröffentlicht. Der Feed enthielt eine Auflistung von bekannten Spam-Adressen, die über das BGP-Protokoll an die Router von Subscribern (vorwiegend Netzwerkbetreiber) übermittelt wurde. Der gemeinsam mit Vixie am MAPS-Projekt mitwirkende Entwickler Eric Ziegast leitete wenig später den Umstieg auf die effektivere DNS-basierte Übermittlung in die Wege.

Der Betrieb eines DNSBL-Abfragedienstes erfordert drei Dinge:

• eine Domain, unter der die Domain Name System-based Blackhole List gehostet wird
• einen Nameserver für diese Domain (für die Adressauflösung)
• eine Liste von IP-Adressen, die verfügbar gemacht werden soll (via DNS-Abfrage)

Die schwierigste Aufgabe bei der Betreuung einer DNSBLs ist dabei ohne Zweifel der Aufbau der Liste selbst. Betreiber müssen eine klare Strategie entwickeln, wofür der Service stehen soll und diese langfristig verfolgen, um das Vertrauen der Nutzer zu gewinnen und aufrechtzuerhalten. Spezifische, öffentlich gemachte Richtlinien (Policies) geben dabei einen Einblick, was eine Auflistung in der jeweiligen DNSBL bedeutet und wie es um die drei oben genannten Punkte „Ziele“, „Quelle(n) und „Lebensdauer der Einträge“ bestellt ist.

Auf Seiten der Mailserver, die eine DNS-based Blackhole List für die Spam-Überprüfung ausgewählt haben, funktioniert ein solcher Service ganz einfach:

1. Die Reihenfolge der Oktette der IP-Adresse des zu überprüfenden Absenders werden umgekehrt. Aus der exemplarischen Adresse 192.168.11.12 wird so z. B. 12.11.168.192.
2. Der Domain-Name der DNSBL wird hinzugefügt: 12.11.168.192.dnsbl.beispiel.net.
3. Im Nameserver der Blacklist wird nun nachgeschlagen, ob es für diese zusammengesetzte Adresse einen passenden A-Record gibt. Ist dies der Fall, erhält der Mailserver eine Adresse zurück, die ihm gleichzeitig signalisiert, dass der Client auf der Blacklist steht. Ist die Adresse nicht gelistet, kommt der Code „NXDOMAIN“ zurück.
4. Ist eine IP in der DNSBL gelistet, kann der Mailserver den Namen optional als Texteintrag (TXT-Record) nachschlagen. Häufig lässt sich so in Erfahrung bringen, aus welchem Grund der betreffende Client in der Liste vertreten ist.

Die beliebteste und älteste Nutzungsform von Domain Name System-based Blackhole Lists wie der Real-time Blackhole List ist die in diesem Artikel hervorgehobene Funktion als Grundlage für die Spam-Filter von E-Mail-Servern. Die praktischen Listen werden aber auch in anderer Software bzw. für andere Zwecke verwendet:

Regelbasierte Spam-Analyse-Software: Für eine komplexere Bewertung eines größeren Sets an DNSBLs können regelbasierte Antispam-Programme wie Spamassassin genutzt werden. Derartige Software nutzt für jede DNS-based Blackhole List eine eigene Regel, die – kombiniert mit anderen Regeln – bei der Bewertung einer eingehenden Nachricht herangezogen werden kann. Auf diese Weise werden Mails nicht pauschal aussortiert, weil sie auf einer DNSBL stehen, sondern landen nur infolge der festgelegten Kriterien im Spam-Ordner. Der Abholprozess neuer Nachrichten nimmt hier aber potenziell mehr Zeit in Anspruch.

Kombination mit anderen Listen-Typen: Eine der wichtigsten Aufgaben bei der Verwaltung einer Domain Name System-based Blackhole List besteht in der regelmäßigen Pflege der Liste. Sind die Einträge nicht aktuell, landen andernfalls Nachrichten fälschlicherweise im Spam-Ordner. Um dem vorzubeugen, verwenden einige Filter Kombinationen mit anderen Listen-Typen wie Whitelists. Je nach Tool und Einstellungen können so beispielsweise Adresseinträge in einer weißen Liste stärker gewertet werden als (in den meisten Fällen veraltete) Einträge der gleichen Adresse in einer DNSBL.

DNS-based Blackhole Lists sind insbesondere aus Nutzersicht eine wichtige Institution beim Kampf gegen Spam. Dank der Möglichkeit, die gelisteten Einträge via DNS abzufragen, sind die Dienste für Mailserver einfach und schnell nutzbar, sodass der gefilterte Posteingang keine spürbaren Auswirkungen auf die Performance hat. Für die Entwickler und Betreiber von E-Mail-Servern ist die Abfragemethode zudem leicht implementierbar.

Die DNS-Dienste sind allerdings auch mit einer Reihe von Problemen bzw. Schwierigkeiten verbunden, wobei die Aspekte Vertrauenswürdigkeit und Aktualität allen voranstehen: So gibt es generell keine Garantie dafür, dass die Einträge einer DNSBL gerechtfertigt sind und vom DNSBL-Anbieter in aller Regelmäßigkeit angepasst werden. Zudem ist es häufig sehr schwierig, Mailadressen wieder aus dem Register einer DNS-based Blackhole List entfernen zu lassen. Nutzer ehemals gehackter IPs, die für Spam zweckentfremdet wurden, haben so im schlimmsten Fall keine oder nur sehr umständliche Möglichkeiten, ihre Adresse wieder salonfähig zu machen.

Wer regelmäßig eine große Menge an Mails verschickt, sollte in diesem Zusammenhang auf jeden Fall über eine dedizierte IP beim Provider des Vertrauens nachdenken, um die Reputation der Adresse in der eigenen Hand zu haben und im Streitfall einen starken Partner an der Seite zu wissen.