Verein für Internet-Benutzer Österreichs     

Home > Nützliches

DNS-Blacklisten: Blockieren von (potentiellen) Spam-Providern

Wer Massen von (unerwünschter) E-Mail verschicken möchte, muß zunächst mal einen Provider finden, über den er sie absetzen kann. Das ist natürlich schwierig. Provider, die offiziell Spam verschicken, sind zudem international bekannt, sodaß viele Empfänger von vorneherein E-Mails solcher Provider ablehnen.

Zur Zeit besonders beliebt ist daher das Mißbrauchen fremder Provider gegen deren Willen. Hierbei wird eine bestimmte Fehlkonfiguration des mißbrauchten Providersystems ausgenutzt. Dieses Verfahren klappt somit nur bei Providern, deren Systeme fehlkonfiguriert sind; bei Providern mit ordentlich gewarteten Konfigurationen hat die Methode keinen Erfolg.

Unerwünschte Spam-Mails, die durch diesen Trick in die Welt gesetzt worden sind, können demnach nur entweder direkt aus fehlkonfigurierten Systemen stammen, oder von Systemen, die E-Mails aus fehlkonfigurierten Systemen übernehmen und (in eigenem Namen) weiterversenden.

Es gibt verschiedene Services, die Listen von falsch konfigurierten Systemen vorhalten. Bei den meisten davon werden nur Systeme aufgenommen, bei denen wenigstens ein Fallbeispiel des Weiterversendens von ihrerseits falsch konfigurierten Systemen vorliegt.

Das sind zum Beispiel:

• Spamhaus (SBL, XBL, ROKSO)
• CBL (Composite Blocking List)
• DSBL (Distributed Sender Blackhole List)
• ORDB (Open Relay Database)
• SORBS (Spam and Open Relay Blocking System)
• ORID
• AHBL (Abusive Hosts Blocking List)
• SPEWS (Spam Prevention Early Warning System)
• NJABL
• OPM Blitzed
• CSMA
• UCEprotect-Network (Bayern)
• SpamCop
• ORBZ - nicht mehr in Betrieb
• ORBS - einer der Vorgänger, hat seinen Dienst nach heftigen Kontroversen aufgegeben
• RSL - tot

URI-Blacklisten:

• SURBL (Spam URI Realtime Blocklists)
• URIBL

Es gibt auch mindestens ein Service, das Listen von Systemen vorhält, die sich nicht an die relevanten Internet-Standards (RFCs) halten:

• RFC-ignorant

Diese Listen sind öffentlich zugänglich. Mit Hilfe dieser Listen kann jetzt jeder Vermutungen aufstellen, ob E-Mails, die bei ihm eingegangen sind, eher UBE sein könnten oder eher nicht. Das geht wie folgt:

• Wenn die E-Mail von einem Rechner geschickt wurde, den eines dieser Services nicht führt, dann ist dieser Rechner nicht dafür bekannt, daß er fehlkonfiguriert ist oder E-Mail aus fehlkonfigurierten Systemen weiterversendet. Die eingegangene E-Mail ist somit vermutlich kein UBE. Wenn sie denn doch UBE ist, dann ist die Fehlkonfiguration des versendenden Systems bei den diversen Services noch nicht aufgefallen.
• Der Umkehrschluß gilt leider nicht. Wenn die E-Mail von einem Rechner geschickt wurde, der doch bei einem der Services geführt wird, dann kann sie durchaus auch von einem rechtmäßigen Benutzer des Rechners stammen. Andererseits kann es genausogut UBE sein; denn die technische Voraussetzung für den Mißbrauchertrick ist vorhanden, und es gibt bei einem der Services sogar ein konkretes Fallbeispiel hierzu.

Es gibt viele Sites, denen die unerwünschte Massenpost so gegen den Strich geht, daß sie gleich alle Post von gelisteten Rechnern ablehnen und automatisch an den Absender zurückschicken. Ihr Argument ist, daß sie kein Interesse an E-Mails haben, die eventuell von fehlkonfigurierten Sites stammen: Sollen die Provider halt ("gefälligst") dafür sorgen, daß ihre Konfiguration stimmt und daß sie nur E-Mails aus richtig konfigurierten Systemen weiterleiten. Und sollen die Netizen ("gefälligst") sehen, daß sie nur bei richtig konfigurierten Providern anheuern. Hauptsache keine Werbepost sozusagen.

Daß das eine sehr drastische Haltung ist, die auch in Kauf nimmt, daß "Unschuldige" Schaden nehmen, sollte aus der vorhergehenden Schilderung klar sein. Zum Beispiel könnte es bei einem der o.a. Services in ihren Listen zu einem Fehler gekommen seinn (was aber anscheinend verschwindend selten vorkommt).

Andererseits sorgen diese Services -- zusammen mit Tatsache, daß es sehr viele "drastisch" eingestellte Sites gibt -- für großen Druck auf die Provider, daß sie ihre Konfiguration in Ordnung halten und fehlkonfigurierte Sites nicht weiterleiten. Provider, die das nicht so eng sehen, fallen früher oder später auf und bekommen dann massig Ärger mit ihren eigenen Benutzern, weil sie deren E-Mails nicht zustellen können.

Es gibt auch Gruppen, die eine Site erst dann listen, wenn sie über längere Zeit keine Anstalten macht, ihre Konfiguration zu reparieren. Leider zeigt die Erfahrung, daß diese Listen dann nicht mehr geeignet sind, vor UBEs zu warnen (weil die meisten UBEs dann schneller kommen als die Einträge in der Liste).

Es gibt auch noch andere, teilweise kostenpflichtige Services, ein Beispiel: MAPS

Links

Blacklists Compared
Vergleichsstatistik
Ein weiterer Blocklisten-Vergleich

Ursprungstext von Peter 'g' Bouillon <bouillon@newton.rhein-neckar.de>
Überarbeitet von Robert Waldner - Februar 2002
Update von Andreas Labres - April 2006

---

http://www.vibe.at/begriffe/dnsbl.html
Anfragen und Kommentare an: info@vibe.at
zuletzt aktualisiert: Thursday, 13-Apr-2006 09:01:55 CEST