Spam und UCE - Filter: Relay Block List

Weitere Namen sind: RBL, DUL, ORDB, ORBL.

So funktioniert es

Früher waren die größten Systeme zum Spamversand die offenen Relays. Lange Zeit galt es als höflich, Mails für fremde Personen weiter zu leiten. Speziell in den Anfängen des Internets mit schmalbandigen instabilen Leitungen. Aber die Spammer konnten damit eine Mail an ein Relay senden, und dieses hat die Mails tausendfach verteilt. Daher sind heute offene Relays nicht mehr sinnvoll und senden de facto fast nur Spam. Daher gibt es Listen mit diesen offenen Relays, so dass das Mailsystem eine Verbindung von diesen Systemen von vorneherein ablehnen kann.

Probleme

Durch die Zunahme ungeschützter PCs an DSL-Standleitungen, die durch Trojaner fernsteuerbar sind, kann man mittlerweile von einer ganzen Armee von möglichen "offenen Relays" ausgehen, so dass diese Liste bald nicht mehr aktuell genug sein kann. Zudem mehren sich auch heute schon die Meldungen über irrtümlich aufgeführte Systeme. Jeder Anbieter macht seine eigenen Tests. Standards gibt es nicht.

Insofern landen auch immer wieder unverdächtige Systeme auf einer RBL-Liste was durchaus einen großen Schaden auf die Kommunikation haben kann. Zumal sehr viele Filter hier "absolut" arbeiten, d.h. wenn eine IP-Adresse auf einer RBL-Liste ist, wird die Verbindung bedingungslos abgelehnt.

Dieser Filter wird auch zukünftig sicher gute Dienste leisten aber bedarf der Weiterentwicklung in der Anwendung.

Bewährt hat sich, die RBL-Liste nicht absolut zu verwenden, sondern eine Verbindung erst zu blocken, wenn die IP-Adresse auf mehreren Listen zu finden ist. Noch einen Schritt weiter geht NoSpamProxy, welcher dem Absender zumindest noch die Übertragung der Absender, Empfänger und Header erlaubt und damit erkennen kann, ob es sich z.B.: um eine Antwort auf eine Mail handelt. So kann man die gute Erkennungsrate von RBL im Hinblick auf das ebenfalls höhere False Positive-Risiko vernünftig einsetzen.

Welche RBL-Listen sind gut ?

Dazu gibt es leider keine repräsentativen Aussagen oder Auswertungen. Zumal einige Listen auch wieder verschwinden, neue bereit gestellt werden und die Qualität von Listen auch stark schwanken kann. Eine Auswahl einiger als konservativ bezeichneten Listen sind:

zen.spamhaus.org
ix.dnsbl.manitu.net
bl.spamcop.net
dul.dnsbl.sorbs.net
combined.njabl.org

Wer dann immer noch zu viel Spam bekommt, kann versuchen ein paar Listen zu addieren, die noch mehr IP-Adressen blocken, auch wenn damit ein "False Positive-Risiko" ansteigen kann

bb.barracudacentral.org
db.wpbl.info
drone.abuse.ch

Alle RBL-Listen entbinden sie aber nicht von der Pflicht, einen aktuellen Virenscanner zu betreiben.

RBL für Länderfilter

Andreas Plesner Jacobsen hat auf seiner Seite http://countries.nerd.dk eine nette Lösung geschaffen. Er extrahiert aus der RIPE-Datenbank die vergebenen Subnetze und die damit verbundene Länderkennung und erstellt entsprechende DNS-Zonen für jedes Land.

Wer also die Zone "ru.countries.nerd.dk" mit addiert, sperrt relativ zuverlässig alle russischen IP-Adressen aus.

Wenn Sie also z.B. Absender aus bestimmten Ländern nicht zulassen wollen, dann können Sie einfach diese DNS-Zonen analog zu einer RBL-Liste abfragen und bekommen immer dann eine Antwort, wenn die IP-Adresse zu diesem Land gehört.

Weitere Links

Tote Links

Es gab jede Menge Webseiten und RBL-Anbieter , die früher online und quasi eine Referenz waren. Um so erschreckender ist, dass die Domains komplett "Tod" oder sogar unerreichbar sind. Irgendwann wird ein Spammer den Namen kaufen und seine Hosts natürlich als "nicht böse" auflisten. Wenn Sie als RBL-Listen nutzen, dann gehen Sie davon aus, dass Sie immer mal wieder die Konfiguration anpassen müssen. Es könnte auch sein, dass Spammer und die Zunahme der Fragestelle die Ressourcen der meist kostenfreien Anbieter einfach überlastet habe, so dass Sie den Dienst einstellen mussten.

  • www.orbs.org (Offline seit 31. Mail 2001)
    Open Relay Behaviour-modification System liefert per NSLookup die Antwort, ob die Absenderadresse ein offenes Relay ist. Das Ziel ist, offene Relays zu schließen.
  • http://www.ordb.org Datenbank mit offenen Relays
  • http://www.mail-abuse.org/rbl/ RBL (Realtime Blackhole List)
  • http://maps.vix.com/rbl
  • http://mail-abuse.org/tsi und http://mail-abuse.org/tsi/ar-test.html
  • relays.visi.com