DNSBL
DNSBL (domain name system blacklist), také známý jako DNS blacklist je seznam potenciálně nebezpečných IP adres, které mohou rozesílat nevyžádanou poštu, tzv. spam. Spíše než seznam IP adres, je DNSBL software, který podle určitých kritérií tyto IP adresy zařazuje na černou listinu. Zařazeny mohou být ISP adresy, nebo adresy od systémů honeypot.
Historie DNSBL editovat
První DNSBL seznam vznikl v roce 1997 s názvem RBL (Real-time BlackHole List). Jako BGP feed ho vytvořil Paul Vixie. Další byl DNSBL od Erica Ziegasta jako součást MAPS (Mail Abuse Prevention System). První oficiální verze RBL nebyla vydána jako DNSBL. Název Blackhole vznikl, díky termínu BlackHole v počítačových sítích. Jde o místo propojení v síti, kde je provoz pomalu snížen, aniž by byl informován odesílatel. Při zkoumáni topologie jsou BlackHole prakticky nezjistitelné, jelikož k nim dochází nahodile. Díky tomuto jevu v počítačových sítí byl vytvořen první RBL, který byl schopen odmítnout příjem emailů ze stránek podporujících spam.
Později byl vydán RBL v první DNSBL formě od Paula Vixieho. Emailové softwary začali podporovat implementaci s tímto RBL. Brzy poté se začaly rozvíjet různé druhy softwarové politiky pro tyto seznamy. První takový SW byl od Alana Browna ORBS. ORBS byl v dané době často odsuzován, protože spousta uživatelů se cítilo poškozených, když skenovali poštovní servery s jejich emaily.
V roce 2003 se spoustu DNSBL serverů dostalo pod DDoS útok. Převážně firma Osirusoft, která musela své servery shodit, protože byla celý týden pod DDoS útoky. Jeho účel je stále věc spekulování, jelikož se k nim nikdo nepřihlásil, ani z nich nebyl nikdo obviněn. Dodnes se neví, kdo za útoky stojí, nicméně spousta teorií tvrdí, že za nimi stojí spammeři, kteří se snaží tyto servery shodit, aby měli pak přístup k více uživatelům. Pro emailové provozovatele je tento seznam cenným pomocníkem, naproti tomu někteří aktivisté vznesli námitky, aby se seznamy cenzurovaly. Bylo vzneseno i několik žalob, aby byly tyto seznamy vypnuty. Ale žádná neuspěla.
Princip DNSBL editovat
Základní 3 komponenty DNSBL jsou: IP adresa, server a seznam adres. Výskyt IP adresy v DNSBL se ověřuje pomocí DNS serveru, které tyto služby většinou nabízejí zdarma. Zjištění, zda je IP adresy v blacklistu, je provedeno odesláním speciálního dotazu na DNS. Vezme se IP adresa v opačném pořadí (např. 127.0.0.0), a za ní se připojí název DNSBL serveru (např. zen.spamhaus.org). Tento dotaz se odešle DNSBL serveru, tedy: 0.0.0.127.zen.spamhaus.org. Pokud je IP adresa uvedena v blacklistu, dostaneme odpověď s jedním, nebo více záznamy a je jen na nás, zda nám to bude stačit, nebo budeme zjišťovat, proč se IP adresa vyskytla v blacklistu.
Přidávání IP adres do DNSBL editovat
Není však stoprocentní, jestli se daná IP adresa v DNSBL objevila z důvodu spamu. IP adresa spammera se časem na jednom nebo více DNSBL serverech vyskytne. Nicméně je možný výskyt IP adresy, které nemá se spamem nic společného. Některé DNSBL servery pracují na principu oznámení, kdy je IP adresa oznámena anonymně. Jiná druh přidání je ručním přidáním.
Často jsou velké rozsahy IP adres preventivně evidovány, aniž by z nich byl odeslán spam. Jsou to především rozsahy pro dynamické přidělení IP klientům ADSL. U nich je předpokládáno, že nebudou odesílat emaily přímo, ale pomocí SMTP brány svého ISP. Z DNSBL seznamu může být adresa vymazána. Nelze to však automaticky a je nutné postupovat podle pokynů daného serveru. Na DNSBL je dobré použít speciální software, který se navenek chová jako obyčejný DNS, ale eviduje IP adresy spammerů. Poměrně dobrým způsobem jsou tzv. honeypot systémy. Což jsou počítačové nebo softwarové zombie zachytávající škodlivý malware, které se chovají jako reálné systémy. Jsou však minimálně chráněni, a tak je jejich zneužití velice jednoduché. Což přiláká spammery, to je také jejich účel. Příkladem je mailserver domény, které nemá nikde uvedenou emailovou adresu k této doméně. Honeypoty tvoří síť, a pokud zpráva dojde do více emailům, útočník je lapen, označen za spammera a přidán do DNSBL. Pokud email dojde pouze do jedné schránky, pravděpodobně se jedná o uživatele, který se překlepl.