Spam und UCE - Filter: Relay Block List

Weitere Namen sind: RBL, DUL, ORDB, ORBL.

So funktioniert es

Früher waren die größten Systeme zum Spamversand die offenen Relays. Lange Zeit galt es als höflich, Mails für fremde Personen weiter zu leiten. Speziell in den Anfängen des Internets mit schmalbandigen instabilen Leitungen. Aber die Spammer konnten damit eine Mail an ein Relay senden, und dieses hat die Mails tausendfach verteilt. Daher sind heute offene Relays nicht mehr sinnvoll und senden de facto fast nur Spam. Daher gibt es Listen mit diesen offenen Relays, so dass das Mailsystem eine Verbindung von diesen Systemen von vorneherein ablehnen kann.

Probleme

Durch die Zunahme ungeschützter PCs an DSL-Standleitungen, die durch Trojaner fernsteuerbar sind, kann man mittlerweile von einer ganzen Armee von möglichen "offenen Relays" ausgehen, so dass diese Liste bald nicht mehr aktuell genug sein kann. Zudem mehren sich auch heute schon die Meldungen über irrtümlich aufgeführte Systeme. Jeder Anbieter macht seine eigenen Tests. Standards gibt es nicht.

Insofern landen auch immer wieder unverdächtige Systeme auf einer RBL-Liste was durchaus einen großen Schaden auf die Kommunikation haben kann. Zumal sehr viele Filter hier "absolut" arbeiten, d.h. wenn eine IP-Adresse auf einer RBL-Liste ist, wird die Verbindung bedingungslos abgelehnt.

Dieser Filter wird auch zukünftig sicher gute Dienste leisten aber bedarf der Weiterentwicklung in der Anwendung.

Bewährt hat sich, die RBL-Liste nicht absolut zu verwenden, sondern eine Verbindung erst zu blocken, wenn die IP-Adresse auf mehreren Listen zu finden ist. Noch einen Schritt weiter geht NoSpamProxy, welcher dem Absender zumindest noch die Übertragung der Absender, Empfänger und Header erlaubt und damit erkennen kann, ob es sich z.B.: um eine Antwort auf eine Mail handelt. So kann man die gute Erkennungsrate von RBL im Hinblick auf das ebenfalls höhere False Positive-Risiko vernünftig einsetzen.

Welche RBL-Listen sind gut ?

Dazu gibt es leider keine repräsentativen Aussagen oder Auswertungen. Zumal einige Listen auch wieder verschwinden, neue bereit gestellt werden und die Qualität von Listen auch stark schwanken kann. Eine Auswahl einiger als konservativ bezeichneten Listen sind:

zen.spamhaus.org
ix.dnsbl.manitu.net
bl.spamcop.net
dul.dnsbl.sorbs.net

Wer dann immer noch zu viel Spam bekommt, kann versuchen ein paar Listen zu addieren, die noch mehr IP-Adressen blocken, auch wenn damit ein "False Positive-Risiko" ansteigen kann

bb.barracudacentral.org
db.wpbl.info
drone.abuse.ch

Alle RBL-Listen entbinden sie aber nicht von der Pflicht, einen aktuellen Virenscanner zu betreiben.

Es passiert nämlich immer mal, das eine Liste wegfällt, langsam antwortet oder sogar "verkauft" wird und Spammer sich damit einen lästigen Verhinderer vom Hals schaffen oder mächtig stören um zu ärgern. So hatte ich früher noch "combined.njabl.org" auf der Liste, die aber wohl nun alles ablehnen.

• Domain der NJABL-RBL hat neuen Besitzer / Rejects bei Mailservern
  https://www.heinlein-support.de/blog/news/alte-njabl-Blockliste-rbl-hat-neuen-besitzer-rejects-bei-mailservern/

RBL für Länderfilter

Andreas Plesner Jacobsen hat auf seiner Seite http://countries.nerd.dk eine nette Lösung geschaffen. Er extrahiert aus der RIPE-Datenbank die vergebenen Subnetze und die damit verbundene Länderkennung und erstellt entsprechende DNS-Zonen für jedes Land. Wer also die Zone "ru.countries.nerd.dk" mit addiert, sperrt relativ zuverlässig alle russischen IP-Adressen aus.

Wenn Sie also z.B. Absender aus bestimmten Ländern nicht zulassen wollen, dann können Sie einfach diese DNS-Zonen analog zu einer RBL-Liste abfragen und bekommen immer dann eine Antwort, wenn die IP-Adresse zu diesem Land gehört.

Weitere Links

• RMX
• ReverseDNS
• Microsoft Spamschutz
• O365 Anti-Spam IP Delist Portal
  https://sender.office.com/
• How can I configure Exchange Server 2003 to block spam
  http://www.petri.co.il/block_spam_with_exchange_2003.htm
• http://www.abuse.net/relay.html
• http://www.mxtoolbox.com/
  http://www.mxtoolbox.com/SuperTool.aspx
  Prüfung von Mailserver und RBL-Listen
• http://maps.vix.com/ MAPS Project (Mail Abuse Prevention System)
• telnet:relay-test.mail-abuse.org
• http://moensted.dk/spam
  Liste mit über 377 Relay Block Listen
• Weitere Server, die Relaydatenbanken anbieten:
  relays.osirusoft.com, spews.relays.osirusoft.com, xbl.selwerd.cx, orbs.dorkslayers.com, bl.spamcop.net, , dev.null.dk, spammers.v6net.org, blackholes.five-ten-sg.com, inputs.orbz.org, outputs.orbz.org, blackholes.wirehub.net, dynablock.wirehub.net, block.blars.org, ipwhois.rfc-ignorant.org
• Exchange Filtersoftware (RBL etc.)
  Exchange 2003 kann selbst RBL nutzen.
  http://www.nemx.com/products/powerpac
  http://relays.osirusoft.com/mtafix/
• http://wiki.openrbl.org/
• http://www.dnsbl.com/
  Infoseite zu Blocklists
  http://stats.dnsbl.com/ Statistiken verschiedener Listen.
• http://www.UCEprotect.net
  http://www.UCEprotect.net/en/rblcheck.php
  Angeblich seit 2001 eine aktive Liste, die gelistete IPs nach 7 Tagen alleine wieder löscht. Finanziert sich durch Spenden (PayPal) und der Option, eine gelistete IP gegen Geld (50 Euro) schneller entfernen zu lassen.
  Schade ist, dass vom Betreiber keine Adresse per Impressum o.ä. zu erfahren ist, wo er doch wohl auch http://www.Administratoren.ws/ und eine Appliance unter http://www.UCEprotect.com/ verkauft. Selbst die Preisliste enthält keine Adressangabe und als Disclaimer kommt www.disclaimer.de zum Einsatz. Da frage ich mich dann, wie weit die "Referenzkunden" vielleicht nur den RBL-Server kostenfrei abfragen. Wenn ich als Firma etwas kaufen möchte, dann reicht mit eine 0180er Nummer sicher nicht aus.

Tote Links

Es gab jede Menge Webseiten und RBL-Anbieter , die früher online und quasi eine Referenz waren. Um so erschreckender ist, dass die Domains komplett "Tod" oder sogar unerreichbar sind. Irgendwann wird ein Spammer den Namen kaufen und seine Hosts natürlich als "nicht böse" auflisten. Wenn Sie als RBL-Listen nutzen, dann gehen Sie davon aus, dass Sie immer mal wieder die Konfiguration anpassen müssen. Es könnte auch sein, dass Spammer und die Zunahme der Fragestelle die Ressourcen der meist kostenfreien Anbieter einfach überlastet habe, so dass Sie den Dienst einstellen mussten.

• www.orbs.org (Offline seit 31. Mail 2001)
  Open Relay Behaviour-modification System liefert per NSLookup die Antwort, ob die Absenderadresse ein offenes Relay ist. Das Ziel ist, offene Relays zu schließen.
• http://www.ordb.org Datenbank mit offenen Relays
• http://www.mail-abuse.org/rbl/ RBL (Realtime Blackhole List)
• http://maps.vix.com/rbl
• http://mail-abuse.org/tsi und http://mail-abuse.org/tsi/ar-test.html
• relays.visi.com