DNS-Blacklisting: So konfiguriert man ohne Sorgen

Mit DNS-Blacklisting können Spamfilter deutlich entlastet werden. ZDNet zeigt, wie man Microsoft Exchange und Sendmail richtig konfiguriert und hilft bei der Auswahl der Blacklister.

Die Idee des DNS-Blacklistings beruht auf einem einfachen Prinzip. Absichtlich eingerichtete Spamfallen^[1] entdecken Spam-E-Mails. Die IP-Adresse des Absenders wird in eine Liste eingetragen und per DNS-Abfrage jedermann zur Verfügung gestellt. So kann bei Eingang einer E-Mail abgefragt werden, ob die IP-Adresse des Absenders für Spamming genutzt wird.

Diese E-Mail kann im Positivfall abgelehnt werden, ohne dass sie durch den eigenen Spamfilter laufen muss, da bereits jemand anderes die missbräuchliche Nutzung der Absender-IP festgestellt hat.

Weit über 100 öffentlich zugängliche Blacklister, wie in Bild 1^[3] gezeigt, können heute in Echtzeit abgefragt werden, beispielsweise bei Dnsstuff.com^[4]. Doch die Listingkriterien sind teilweise sehr unterschiedlich. Will man den Spamfilter auf dem eigenen Mailserver entlasten, so muss darauf geachtet werden, dass Blacklisting zwar möglichst viele Spammails abgefängt, jedoch so gut wie keine Falschmeldungen (False Positives) erzeugt.

Wichtig ist, dass man die wichtigsten Kriterien für eine Aufnahme in die Blacklisten kennt und sie richtig einschätzen kann. Die meisten Blacklister verwenden folgende Listing-Kriterien:

• Verified Spamsource: Eine Listung erfolgt, wenn definitiv Spam von einer IP-Adresse gesendet wurde.
• Exploits: Eine Listung erfolgt, wenn eine von einem Spammer nutzbare Sicherheitslücke entdeckt wurde, etwa offene Relays^[5] oder Proxies.
• Policy-based: Eine IP-Adresse wird gelistet, falls sie bestimmten pauschalen Kriterien entspricht, zum Beispiel, wenn sie von einem ISP dynamisch oder generell für den Zugang von Endbenutzern von zuhause vergeben wird (residential IP).
• Subnet-based: Eine Listung erfolgt für ein ganzes Subnetz, wenn von dort eine Mindestanzahl von Spammails ausgeht.

Ebenso wichtig für die Auswahl einer Blackliste sind die Delisting-Kriterien. Viele IP-Adressen werden von Spammern genutzt, sei es durch Anmietung eines Servers in einem Rechenzentrum, durch Ausnutzung einer Sicherheitslücke oder Übernahme eines Rechners mittels Trojanern.

Diese Spammer werden früher oder später identifiziert und eine Nutzung der betreffenden IP-Adressen unterbunden. Deshalb müssen sie wieder von der Liste entfernt werden. Die am häufigsten verwendete Methode ist ein automatisches Delisting, wenn eine Zeit lang kein Spam von dieser IP-Adresse ausgegangen ist. In der Regel sind dies wenige Tage.Am sichersten ist die Verwendung einer Blackliste, die nur auf Verified Spam beruht und eine IP-Adresse nach wenigen Tagen wieder entfernt, wenn von dort keine weiteren Spammails ausgehen. Hierbei werden zwar viele Spam-Mails nicht erkannt, jedoch kann davon ausgegangen werden, dass keine False Positives gemeldet werden. Diese Listen sind in der Regel geeignet, eine E-Mail ohne weitere Prüfung durch einen Spamfilter abzulehnen.

Relativ viele False Positives werden von policy- oder subnet-based-Blacklists gemeldet. Diese Listen sollten in der Regel nur von einem Spamfilter wie Spamassassin^[6] genutzt werden, um die Wahrscheinlichkeit einzustufen, ob eine eingegangene E-Mail Spam ist oder nicht. Dabei erfolgt allerdings keine Entlastung des Spamfilters.Ausnahmen bestätigen auch hier die Regel. Einer der renommiertesten Blacklister ist Spamhaus.org^[7]. Dort wird unter anderem eine policy-based Blacklist^[8] angeboten, die dynamische Adressen und residential-IPs listet.

Da diese Blackliste von vielen E-Mail-Anbietern, wie United Internet (1&1, GMX, Schlund und Partner, Web.de) und Microsoft (Hotmail, Windows-Live-Mail, Microsoft.com), genutzt wird, hat ein E-Mail-Server mit einer dort gelisteten IP-Adresse keine Chance, E-Mails an oben genannte Empfänger-Domains zu versenden. Der Betreiber muss ohnehin entsprechende Gegenmaßnahmen einleiten^[9]. Daher kann man sich der Nutzung dieser Liste anschließen.

Allerdings sind policy-based-Blacklists nicht unumstritten. Durch die Zusammenarbeit von Spamhaus.org und ISP^[10] wird bestimmten Kunden der Betrieb eines eigenen SMTP-Servers faktisch verweigert. Hinzu kommen generelle Diskussionen, ob Filterungen und Sperrungen, beispielsweise Portsperren oder IP-Adressfilterungen im Internet toleriert werden dürfen oder nicht.

Fragwürdig sind auf jeden Fall Begriffe wie "Non-MTA-Customers", die bei Spamhaus.org^[8] zu finden sind. Ein ISP sollte seinen Dienst als Zugang zu einem Netzwerk von Computern verstehen und es dem Kunden überlassen, wie er ihn nutzt. Ein Eingreifen sollte nur bei eindeutigem Missbrauch erfolgen. Generell bieten sich die Spamhaus.org-Listen für Blacklisting-Einsteiger an. Folgende Listen werden angeboten:

Listenname Beschreibung Chance auf False Positives sbl.spamhaus.org[11] Listet nur verifizierte Spam-IP-Adressen. Entfernung nach wenigen Tagen, wenn kein Spam versendet wird. Adressen von bekannten Spamgangs können bis zu einem Jahr gelistet werden. ISPs und Netblock-Owner können IP-Adressen unmittelbar löschen lassen. sehr gering xbl.spamhaus.org[12] Listet IP-Adressen mit bekannten Sicherheitslücken, wie offene Proxies und Relays, die von Spammern missbraucht werden. sehr gering pbl.spamhaus.org[8] Listet IP-Adressen, die dynamisch zugewiesen werden oder vom ISP als residential eingestuft wurden. Entfernung für jedermann möglich. gering sbl-xbl.spamhaus.org Kombination aus sbl und xbl. sehr gering zen.spamhaus.org[13] Kombination aller drei Spamhaus-Listen gering

ZDNet hat eine Mail-Domain mit zwei Sendmail-Servern als Frontend im Internet und einem Exchange-Server als Intranet-Backend getestet. In einem Zeitraum von etwa 84 Stunden gingen dort 5268 Mails ein. Davon konnten 3004 von der kombinierten sbl-xbl-Liste als Spam identifiziert werden, wie Bild 6 ^[14]zeigt.

Die Policy-Liste von Spamhaus.org ergab noch einmal 1427 Treffer. Eine Falschmeldung war nicht darunter. Allein die Nutzung der Spamhaus-Listen filterte demnach 84 Prozent aller eingegangenen E-Mails durch DNS-Abfrage, ohne dass der Spam-Filter bemüht werden musste.

Aber es geht noch besser. Durch den Einsatz weiterer renommierter Blacklisten-Anbieter, die ausschließlich verifizierte Spamquellen für einen begrenzten Zeitraum listen und somit fast keine False Positives erzeugen, konnten weitere 412 Mails abgefangen werden, so dass insgesamt 92 Prozent aller eingegangenen Mail korrekt als Spam erkannt wurden.

Die folgenden Blacklisten-Provider können für einen Einsatz ohne weitere Prüfung durch einen Spam-Filter empfohlen werden:

Listenname Beschreibung Chance auf false Positives ix.dnsbl.manitu.net[15] Listet nur verifizierte Spam-IP-Adressen. Automatische Entfernung nach 4 Tagen, wenn kein Spam mehr versendet wurde. sehr gering bl.spamcop.net[16] Listet nur verifizierte Spam-IP-Adressen. Automatische Entfernung nach 24 Stunden, wenn kein Spam mehr versendet wurde. sehr gering safe.dnsbl.sorbs.net[17] Listet verifizierte Spam-IP-Adressen, offene Relays und Proxies, Zombie-Netzwerke[18] und dynamische IP-Adressen. Automatische Entfernung nach 28 Tagen, wenn kein Spam mehr versendet wurde. gering psbl.surriel.com[19] Listet nur verifizierte Spam-IP-Adressen. Automatische Entfernung nach "einigen Wochen", wenn kein Spam mehr versendet wurde. gering

Fast alle SMTP-Mail-Transfer-Agents (MTA)^[20] bieten die Nutzung von DNS-Blacklisting an, unabhängig von einem installierten Spamfilter. In der Unix-Welt ist Sendmail am weitesten verbreitet. In der M4-Konfigurationsdatei^[21], meist /etc/mail/sendmail.mc, können Blacklisten einfach eingetragen werden.

Das generelle Format ist:

FEATURE(`dnsbl', `dns-adresse.blacklist.provider',`"550 5.7.1 Ablehnungsinfo für den Absender"')dnl

Um die kombinierte Verified-Spam- und Exploits-Liste von Spamhaus zu verwenden, wäre beispielsweise einzutragen:

FEATURE(`dnsbl', `sbl-xbl.spamhaus.org', `"550 5.7.1 Your host "$&{client_name}" is suspected to be used for spamming. This is reported by http://www.spamhaus.org/query/bl?="$&{client_addr}" Please use an SMTP-server provided by your ISP."')dnl

Das eingebaute Makro dnsbl.m4^[22] weist die E-Mail immer dann zurück, wenn die direkte Absender-IP-Adresse auf der Blacklist steht. Wird bei der Abfrage der Liste ein Rückgabewert zurückgegeben, warum diese IP-Adresse auf der Liste steht, kann dies mit dem Standard-Makro nicht ausgewertet werden.

Bei Microsoft Exchange werden Blacklisten im System Manger konfiguriert. Minimum Version ist hier Exchange 2003 SP2. Zunächst muss Connection Filtering generell aktiviert werden, wie in Bild 2^[23] gezeigt.

Als nächstes werden, gemäß Bild 3^[24], alle IP-Adressen von den SMTP-Servern eingetragen, die direkt E-Mails aus dem Internet annehmen. Dies ermöglicht eine Filterung, auch wenn der Exchange-Server die E-Mail nicht direkt aus dem Internet erhält oder nicht als einziger SMTP-Server erhält, indem die Received-By-Einträge im Mail-Header^[25] ausgewertet werden.

Dieses Feature ist mit Vorsicht zu genießen, da der Spammer den Mail-Header fälschen kann. Dies ist jedoch unwahrscheinlich, da er jeden Header individuell auf den Empfänger zuschneiden müsste. Am sichersten ist die Ausstattung jedes einzelnen Frontend-Servers mit einem Blacklisten-Filter.

Sendmail dagegen ist darauf angewiesen, dass jeder Front-End-SMTP-Server mit DNS-Blacklist-Filtering ausgestattet wird, da es nur die IP-Adressen auswertet, von denen es die E-Mails direkt erhält. Kommen E-Mails beispielsweise von einem Backup MX-Server^[26], so kann Sendmail den Weg nicht mehr rückverfolgen.

Zu guter Letzt werden die Regeln, wie in Bild 4^[27] gezeigt, eingetragen. Exchange kann standardmäßig Returncodes auswerten, so dass leichter kombinierte Listen verwendet werden können.

Generell bietet Exchange einige Features mehr als Sendmail, jedoch ist man im Wesentlichen auf die eingebauten Möglichkeiten beschränkt. Sendmail bietet demjenigen, der eigene M4-Macros verwendet, die größte Flexibilität, siehe Bild 5^[22]. Für andere MTAs, wie Postfix^[28] oder Exim^[29], bietet der Blacklister Sorbs^[30] eine gute Konfigurationshilfe^[17]. DNS-Blacklisting ist eine wirkungsvolle Methode, Spam auf dem eigenen Mailserver zu bekämpfen und dabei den Spamfilter zu entlasten. Entscheidend ist, die richtigen Blacklisten-Anbieter auszuwählen und deren Listing- und Delisting-Kriterien zu kennen.

Viele Blacklister, wie Uceprotect^[31] oder Apews^[32], listen pauschal Subnetze, ohne die Netzblockzugehörigkeit bei der zuständigen Internet-Registry zu überprüfen. Dies führt schnell zu vielen False Positives. Legitime E-Mails werden bei unbedachtem Einsatz zurückgewiesen. Wiederum andere Blacklister listen IP-Adressen ganzer Länder oder lassen die Einträge in ihrer Blackliste nicht verfallen.

Verwendet man ausschließlich Blacklister, die entsprechendes Ansehen genießen und sinnvolle Maßnahmen gegen False Positives ergreifen, so kann man durch einfache DNS-Abfragen etwa 90 Prozent aller Spam-Mails identifizieren. Dabei werden so geringe False Positives gemeldet, wie man es auch bei einem deutlich ressourcenintensiveren Spamfilter erwarten kann.

Blacklisting kann allerdings den Spamfilter nie komplett ersetzen. Die bekannten Spam-Gangs^[33] arbeiten eifrig an neuen Botnet-Strategien^[34], um nicht gelistete IP-Adressen herauszufinden. Im Zweifel ist daher eine Strategie zu wählen, die eher mehr E-Mails durch den Blacklisten-Filter durchlässt und dafür keine False Positives erzeugt.

URLs in diesem Artikel:
[1] = http://en.wikipedia.org/wiki/Spamtrap
[2] = http://www.zdnet.de/galerie/39160859/konfiguration-von-blacklisten.htm#sid=39160907
[3] = http://www.zdnet.de/enterprise/server/0,39035443,39160859-1,00.htm
[4] = http://www.dnsstuff.com/
[5] = http://de.wikipedia.org/wiki/Offenes_Mail-Relay
[6] = http://de.wikipedia.org/wiki/SpamAssassin
[7] = http://www.spamhaus.org/
[8] = http://www.spamhaus.org/pbl/index.lasso
[9] = http://www.zdnet.de/security/praxis/0,39029462,39160890,00.htm
[10] = http://de.wikipedia.org/wiki/Internetdienstanbieter
[11] = http://www.spamhaus.org/sbl/policy.html
[12] = http://www.spamhaus.org/xbl/index.lasso
[13] = http://www.spamhaus.org/zen/index.lasso
[14] = http://www.zdnet.de/enterprise/server/0,39035443,39160859-6,00.htm
[15] = http://www.heise.de/ix/nixspam/dnsbl/
[16] = http://www.spamcop.net/
[17] = http://www.de.sorbs.net/using.shtml
[18] = http://www.de.sorbs.net/faq/zombie.shtml
[19] = http://psbl.surriel.com/faq/
[20] = http://en.wikipedia.org/wiki/Mail_Transfer_Agent
[21] = http://www.oreilly.de/german/freebooks/linag2/netz1804.htm
[22] = http://www.zdnet.de/enterprise/server/0,39035443,39160859-5,00.htm
[23] = http://www.zdnet.de/enterprise/server/0,39035443,39160859-2,00.htm
[24] = http://www.zdnet.de/enterprise/server/0,39035443,39160859-3,00.htm
[25] = http://de.wikipedia.org/wiki/Header_(E-Mail)
[26] = http://www.msexchangefaq.de/internet/backupmx.htm
[27] = http://www.zdnet.de/enterprise/server/0,39035443,39160859-4,00.htm
[28] = http://de.wikipedia.org/wiki/Postfix_(Mail_Transfer_Agent)
[29] = http://de.wikipedia.org/wiki/Exim
[30] = http://www.de.sorbs.net/
[31] = http://www.uceprotect.net/de/index.php
[32] = http://www.apews.org/
[33] = http://www.spamhaus.org/rokso/index.lasso
[34] = http://de.wikipedia.org/wiki/Botnet