Die Idee des DNS-Blacklistings beruht auf einem einfachen Prinzip. Absichtlich eingerichtete Spamfallen entdecken Spam-E-Mails. Die IP-Adresse des Absenders wird in eine Liste eingetragen und per DNS-Abfrage jedermann zur Verfügung gestellt. So kann bei Eingang einer E-Mail abgefragt werden, ob die IP-Adresse des Absenders für Spamming genutzt wird.
Diese E-Mail kann im Positivfall abgelehnt werden, ohne dass sie durch den eigenen Spamfilter laufen muss, da bereits jemand anderes die missbräuchliche Nutzung der Absender-IP festgestellt hat.
Weit über 100 öffentlich zugängliche Blacklister, wie in Bild 1 gezeigt, können heute in Echtzeit abgefragt werden, beispielsweise bei Dnsstuff.com. Doch die Listingkriterien sind teilweise sehr unterschiedlich. Will man den Spamfilter auf dem eigenen Mailserver entlasten, so muss darauf geachtet werden, dass Blacklisting zwar möglichst viele Spammails abgefängt, jedoch so gut wie keine Falschmeldungen (False Positives) erzeugt.
Wichtig ist, dass man die wichtigsten Kriterien für eine Aufnahme in die Blacklisten kennt und sie richtig einschätzen kann. Die meisten Blacklister verwenden folgende Listing-Kriterien:
- Verified Spamsource: Eine Listung erfolgt, wenn definitiv Spam von einer IP-Adresse gesendet wurde.
- Exploits: Eine Listung erfolgt, wenn eine von einem Spammer nutzbare Sicherheitslücke entdeckt wurde, etwa offene Relays oder Proxies.
- Policy-based: Eine IP-Adresse wird gelistet, falls sie bestimmten pauschalen Kriterien entspricht, zum Beispiel, wenn sie von einem ISP dynamisch oder generell für den Zugang von Endbenutzern von zuhause vergeben wird (residential IP).
- Subnet-based: Eine Listung erfolgt für ein ganzes Subnetz, wenn von dort eine Mindestanzahl von Spammails ausgeht.
Ebenso wichtig für die Auswahl einer Blackliste sind die Delisting-Kriterien. Viele IP-Adressen werden von Spammern genutzt, sei es durch Anmietung eines Servers in einem Rechenzentrum, durch Ausnutzung einer Sicherheitslücke oder Übernahme eines Rechners mittels Trojanern.
Diese Spammer werden früher oder später identifiziert und eine Nutzung der betreffenden IP-Adressen unterbunden. Deshalb müssen sie wieder von der Liste entfernt werden. Die am häufigsten verwendete Methode ist ein automatisches Delisting, wenn eine Zeit lang kein Spam von dieser IP-Adresse ausgegangen ist. In der Regel sind dies wenige Tage.
