DNSBL

Una DNS-based Blackhole List (anche DNSBL, Real-time Blackhole List o RBL) è un mezzo attraverso il quale è possibile pubblicare una lista di indirizzi IP, in un apposito formato facilmente "interrogabile" tramite la rete Internet. Come suggerisce il nome, il meccanismo di funzionamento è basato sul DNS (Domain Name System). Le DNSBL sono principalmente utilizzate per la pubblicazione di indirizzi IP legati in qualche modo a spammer. La maggior parte dei mail server possono essere configurati per rifiutare o contrassegnare messaggi inviati da host presenti in una o più liste.

Storia delle DNSBL

La prima DNSBL è stata la Real-time Blackhole List (RBL), creata nel 1997 da Paul Vixie come parte del suo Mail Abuse Prevention System (MAPS). Vixie, un autorevole programmatore e amministratore di rete, ha incitato gli autori di Sendmail e di altri mail server ad implementare client RBL nei propri software. Ciò ha permesso a tali software di posta elettronica di interrogare la RBL e rifiutare e-mail inviate da host listati. Tuttavia, lo scopo della RBL non era semplicemente di bloccare lo spam, bensì di educare i provider, e gli amministratori di sistema, circa lo spam ed i suoi problemi, come l'open relay SMTP. Prima che un indirizzo venga inserito nella RBL, dei volontari e lo staff di MAPS provano ripetutamente a contattare i suoi responsabili per risolvere il problema.

Poco dopo l'avvento della RBL, altri hanno iniziato a sviluppare le proprie liste con differenti politiche. Uno dei primi è stato Alan Brown con la sua Open Relay Behavior-modification System (ORBS). Questa utilizzava un sistema automatico di scansione alla ricerca di server open relay, utilizzabili dagli spammer per far transitare il loro spam. ORBS è stata oggetto di alcune polemiche, in quanto diversi soggetti ritenevano che fosse una pratica accettabile configurare un server come open relay e che il meccanismo di scansione utilizzato da ORBS poteva non essere del tutto lecito.

Recentemente (2003) numerose DNSBL sono state oggetto di attacchi denial of service. Il 27 agosto la Osirusoft chiude la propria lista basata su SPEWS dopo settimane di continui attacchi.

Operare una DNSBL

Per operare una DNSBL è necessario disporre di un nome a dominio da utilizzare per la stessa, un name server per il dominio e una lista di indirizzi da pubblicare.

È possibile gestire una DNSBL utilizzando il popolare server DNS BIND. Tuttavia, BIND è inefficiente per zone che contengono un notevole numero di indirizzi, in particolar modo per DNSBL che listano interi blocchi di IP. Per questo motivo sono stati creati appositi software per DNSBL — ad esempio rbldnsd, di Michael J. Tokarev, o rbldns di Daniel J. Bernstein — che risultano essere più veloci ed utilizzare meno risorse di sistema; sono inoltre più semplici e rapidi da configurare del server BIND, dato il loro strettamente specifico utilizzo. Oltre a questi, sono disponibili software commerciali, come quello offerto dalla Simplicita Software.

La parte ardua è la gestione della lista, ovvero l'inserimento e la rimozione degli indirizzi. DNSBL pubbliche hanno solitamente una chiara politica, pubblicata sui propri siti web, ove viene spiegato perché l'indirizzo è stato listato e come richiederne l'eventuale rimozione, se non è automatica.

Query DNS

Quando un server di posta elettronica riceve una connessione da parte di un client, si comporta più o meno come di seguito per interrogare una DNSBL (ad esempio spammers.example.net):

1. ottiene l'indirizzo IP del client e ne inverte i byte — ad esempio l'indirizzo IP 192.168.1.254 diventa 254.1.168.192;
2. appone il dominio della DNSBL all'indirizzo IP invertito appena ricavato: 254.1.168.192.spammers.example.net;
3. esegue una query DNS per l'host name così ottenuto (di tipo "A", ovvero da nome host a indirizzo IP): se la risposta ricevuta è un indirizzo IP il client è listato, in caso contrario riceve una risposta "NXDOMAIN" ("No such domain", ovvero "Dominio non trovato");
4. nel caso in cui il client sia presente nella lista, se appositamente configurato, esegue una query DNS di tipo "TXT" (testo) per lo stesso nome host. La risposta, eventuale, contiene ulteriori informazioni sul listing.

Il nome host ottenuto (254.1.168.192.spammers.example.net) è simile al nome host associato al record DNS inverso (reverse) per l'indirizzo IP, che in questo caso sarebbe 254.1.168.192.in-addr.arpa. Il dominio speciale in-addr.arpa viene sostituito con il dominio della DNSBL e la query non è di tipo "PTR" ma di tipo "A".

Viene utilizzato uno standard non ufficiale per gli indirizzi IP di risposta associati ai client listati. La quasi totalità delle DNSBL risponde con un indirizzo IP nel range assegnato al network di loopback 127.0.0.0/8. L'indirizzo 127.0.0.2 indica che il client è genericamente listato. Altri indirizzi vengono utilizzati per specifici listing, ad esempio per open relay o proxy. [1]

Politiche delle DNSBL

Differenti DNSBL hanno differenti politiche. Sostanzialmente differiscono per tre punti chiave:

• Scopo. Che cosa cerca di listare questa lista? È una lista di server open relay o di proxy? Contiene indirizzi IP dai quali origina spam? Sono presenti indirizzi IP di provider che favoriscono lo spam?
• Metodo di listing. La lista accetta segnalazioni da parte degli utenti? Queste vengono controllate o vengono gestite automaticamente? Sono invece utilizzate spam-trap o honeypot?
• Tempo di listing. I record permangono nella lista o vengono rimossi automaticamente? È possibile rimuoverli manualmente?

Terminologia

Il termine "RBL" viene spesso erroneamente utilizzato in sostituzione del generico "DNSBL". RBL è un servizio offerto dalla MAPS LLC, il cui marchio è registrato. Alcuni software hanno parametri di configurazione per l'utilizzo di "RBL" o "domini RBL" utilizzati per impostare le DNSBL. Questa pratica può produrre un indebolimento del marchio.

Nota: la Trend Micro ha acquisito MAPS LLC nel giugno 2005.

Una RHSBL o Right-Hand-Side Blackhole List è una DNSBL che contiene domini invece di indirizzi IP. Il termine indica la parte destra (right-hand side) dell'indirizzo e-mail, ovvero quella seguente il simbolo @, che è appunto il nome a dominio.

Polemiche

Gli utenti di posta elettronica a cui viene respinto un messaggio da parte di un server che fa uso di DNSBL talvolta protestano rumorosamente, arrivando ad attaccare l'esistenza delle liste stesse. Le seguenti tipologie di DNSBL sono spesso oggetto di polemica:

• Liste contenenti indirizzi IP dinamici e dial-up. Alcuni siti scelgono di non ricevere e-mail inviate da indirizzi dinamici, in quanto questi sono spesso utilizzati da spammer, anche con l'ausilio di worm. Questo tuttavia potrebbe creare disagi ad utenti che scelgono di utilizzare il proprio server e-mail all'interno della loro rete domestica.
• Liste che includono "operazioni di supporto allo spam", come MAPS RBL. Questa tipologia di DNSBL contiene indirizzi IP appartenenti a soggetti legati a spammer, ad esempio il provider che ospita un sito web pubblicizzato in una e-mail di spam. Lo scopo di questi listing è evitare che tali soggetti cessino di vendere prodotti agli spammer, arrecando però disagio a tutti gli altri utenti che utilizzano tale provider.
• Liste predittive ("early warning"), come ad esempio SPEWS. Queste liste contengono indirizzo che appartengono a soggetti legati a spammer, come il provider da loro utilizzato, ipotizzando che questi indirizzi saranno utilizzati in futuro per l'invio di spam.

Gli spammer hanno più volte intentato causa contro i gestori di DNSBL. Nel 2003 un'organizzazione che si presentava come "EmarketersAmerica" ha promosso azioni legali contro diversi gestori di DNSBL in Florida. Le richieste sono state rigettate.

Note

Collegamenti esterni

• (EN) DNSBL Lookup, su dnsbllookup.com.
• (EN) DNSBL Spam Check, su dnsbl.info.
• (EN) Spamhaus Block List, su spamhaus.org.
• (EN) Sorbs DNSBL, su sorbs.net.