Grundlagen der DNS-Blocklists

Die Antwort ist ganz einfach: Domain Name System Blocklists (DNSBLs). Wenn DNSBLs jedoch neu für Sie sind, sieht die Sache nicht ganz so einfach aus, zumindest nicht am Anfang. Aber keine Sorge.  Wir beleuchten hier die Grundlagen der Blocklists, damit Sie im Bilde sind.

DNSBL, Blackhole List, Blocklist oder Blacklist?

Als Erstes bringen wir Ordnung in die verwirrenden Begriffe. Heißt es nun Blacklists, Blackhole Lists, Domain Name System Blocklists oder Realtime-Blocklists?

Die Antwort lautet… all das (und vermutlich noch mehr). In unserem Artikel werden wir die Listen jedoch als „DNSBLs“ und einfach als „Blocklist“ bezeichnen.

Was ist eine Blocklist?

Der Name ist Programm. Es ist eine Liste, oder besser gesagt, eine Datenbank, die IP-Adressen, Domains oder Hashes enthält. Diese Listen werden von speziellen Recherche-Teams zusammengestellt, die bei den gelisteten Internetressourcen einen oder mehrere der folgenden Sachverhalte festgestellt haben:

1. Sie sind direkt an bösartigem Verhalten, z. B. Versenden von Spam, Verbreiten von Malware, Hosten von Botnets, Hosten von Phishing-Websites usw. beteiligt, oder
2. ihnen wird eine schlechte Reputation zugeschrieben.

In einer DNS-Zone präsentierte Blocklists können von jedem genutzt werden, der seine eigene E-Mail-Infrastruktur verwaltet. Im Wesentlichen gibt es drei Phasen, in denen Sie DNSBLs anwenden sollten:

1. Beim ersten Aufbau einer Verbindung, d. h. zur Prüfung der die Verbindung aufbauenden IP-Adresse.
2. In der Vor-Datenphase, d. h. beim Verbindungsaufbau im Rahmen des Simple Mail Transfer Protocol (SMTP).
3. In der Nach-Datenphase, d. h. beim Content-Filter.

Wie werden Blocklists erstellt?

Am Anfang stehen Daten. Gigantische Mengen von Daten. Tatsächlich hatte Spamhaus schon mit Big Data zu tun, als noch kaum jemand diesen Begriff kannte.

Kapazitäten innerhalb und außerhalb der Branche teilen ihre Daten mit Spamhaus, von Hosting-Firmen über Internet-Serviceprovider (ISPs) bis hin zu Internet-Regulierungsbehörden.  Natürlich hat Spamhaus außerdem eigene Spam-Fallen und Honeypots.

Mithilfe von manuellen Untersuchungen, maschinellem Lernen und heuristischen Verfahren analysieren unsere Experten diese Daten, um festzustellen, ob sie vorab festgelegte Richtlinien für eine Auflistung erfüllen.

Wie werden die Richtlinien definiert?

Bevor eine DNSBL zusammengestellt wird, legt Spamhaus die Kriterien fest, welche die IP-Adresse, die Domain oder der E-Mail-Inhalt erfüllen muss, um gelistet zu werden. Diese Kriterien werden als „Richtlinien“ bezeichnet.

Selbstverständlich sind diese Richtlinien nicht einfach aus der Luft gegriffen. Vielmehr werden sie in Absprache mit der gesamten Branche (d. h. Absender und Empfänger) entwickelt, um sicherzustellen, dass sie zweckdienlich sind und die Anforderungen der Internetnutzer erfüllen.

Wie viele Daten werden für die Blocklists verarbeitet?

Zum Verständnis der Bandbreite der Daten, die unser Recherche-Team verarbeitet, um verlässliche und effektive Blocklists herzustellen, hier einige Zahlen (pro Tag!):

• 3 Millionen bewertete Domains
• 18.000 verarbeitete Malware-Samples
• 9 Milliarden analysierte SMTP-Verbindungen
• Hunderte angewendete heuristische Verfahren, um die Guten von den Schlechten zu trennen

Wie Blocklists funktionieren

Die mit einer E-Mail assoziierten IPs, Domains oder Hashes können anhand einer DNSBL abgefragt werden, d. h. es wird verglichen, ob diese Daten in der Liste aufgeführt sind. Als Verwalter Ihrer E-Mail-Infrastruktur müssen Sie entscheiden, wie Sie mit solchen potenziell bösartigen E-Mails umgehen möchten. Sie haben folgende Möglichkeiten:

A. Sie können die E-Mail in Echtzeit mit einem geeigneten Zustellcode abweisen, oder

B. Sie können die Nachricht annehmen und sie zwecks zusätzlicher Filterung kennzeichnen.

Lesen Sie ++Den Quellcode einer bösartigen E-Mail verstehen++, um zu erfahren, warum es für bestimmte Teile des Quellcodes einer E-Mail spezifische Blocklists gibt.

Welche Blocklists gibt es?

Wie schon erwähnt, können Blocklists entweder IP-Adressen, Domains oder Hashes enthalten.  Hier eine kurze Übersicht über die Arten von Blocklists, die von Spamhaus erstellt werden:

Spamhaus Blocklist (SBL) – IP-Adressen, bei denen bestimmte Aktivitäten beobachtet wurden, z. B. das Versenden von Spam, Snowshoe Spamming, Botnet Command-and-Controllers (C&Cs) sowie gekaperte IP-Adressräume.

eXploits Blocklist (XBL)– Einzelne IP-Adressen (/32s) die mit Malware, Würmern, Trojanern usw. infiziert sind. Diese Liste hindert Mail-Server daran, Verbindungen von beeinträchtigten Rechnern anzunehmen.

Policy Blocklist (PBL) – IP-Adressen, die keine E-Mails versenden sollten, z. B. IoT-Geräte (Internet der Dinge).  Spamhaus setzt auf die Zusammenarbeit mit der Branche, um die Inhaber von IP-Adressen in die Lage zu versetzen, ihre eigenen Bereiche zugunsten der Sicherheit ihrer Nutzer aufzulisten und zu verwalten.

Auth Blocklist (AuthBL) –IP-Adressen, die bekanntermaßen Bots hosten, die Brute Force oder gestohlene SMTP-AUTH-Anmeldedaten verwenden, um bösartige E-Mails zu versenden.

Domain Blocklist (DBL)– Im Besitz von Spammern befindliche Domains, die zu bösartigen Zwecken verwendet werden.  Wir listen auch Domains auf, die eigentlich legitim sind, aber von Angreifern gehackt wurden und in bösartiger Absicht genutzt werden.

Zero Reputation Domains (ZRD)– Domains, die erst in den vergangenen 24 Stunden registriert wurden. So können Sie E-Mails von Cyberkriminellen herausfiltern, die täglich neue Domains registrieren und sofort nutzen.

Hash Blocklists (HBL) –Eine Content-Blockliste, die kryptografische Hashes nutzt, um E-Mail-Adressen, Cryptowallet-Adressen und Malware-Dateien aufzulisten.

Wie geht es weiter?

Nachdem Sie nun die Grundlagen unserer Blocklists kennen, probieren Sie die Daten am besten einfach aus. Registrieren Sie sich hier für eine kostenlose Testversion.