Noções básicas de lista de bloqueio de DNS

A resposta é simples: as listas de bloqueio de sistema de nome de domínio (DNSBL). Contudo, se você não está familiarizado com DNSBLs, não vai parecer muito simples, pelo menos no começo. Mas não se preocupe,  vamos recapitular alguns fundamentos para lhe dar uma noção básica sobre listas de bloqueio.

DNSBL, lista de buraco negro, lista de bloqueio ou lista negra?

Primeiramente, vamos tentar acabar com a confusão sobre terminologia. Elas são chamadas “listas negras”, “listas de buraco negro”, “listas de bloqueio de sistema de nome de domínio” ou “listas de bloqueio em tempo real”?

A resposta é… todas as alternativas anteriores (e provavelmente outras mais). Contudo, para fins deste artigo, vamos nos referir a elas como “DNSBLs” e usar a versão simplificada “lista de bloqueio”.

O que é uma lista de bloqueio?

Como o próprio nome diz, é uma lista, ou melhor dizendo, um banco de dados que contém endereços IP, domínios ou hashes. Essas listas são compiladas por equipes de pesquisa especializadas que observaram recursos da internet listados que:

1. Estão envolvidos diretamente em comportamentos maliciosos, ou seja, envio de spam, distribuição de malware, hospedagem de botnets, hospedagem de sites de phishing, etc., ou
2. Têm uma baixa reputação associada a eles.

Presentes em uma zona DNS, as listas de bloqueio podem ser utilizadas por qualquer um que gerencie sua própria infraestrutura de e-mail. Basicamente, há três estágios em que você deveria usar DNSBLs:

1. Na configuração inicial de uma conexão com base no endereço IP de conexão
2. Na “fase pré-dados”, ou seja, durante a conexão SMTP (Simple Mail Transfer Protocol)
3. Na “fase pós-dados”, ou seja, no estágio de filtragem de conteúdo.

Como as listas de bloqueio são compiladas?

Tudo começa com os dados. Vastas quantidades de dados. De fato, a Spamhaus já lidava com “big data” antes de o “big data” ser popular como é hoje.

A indústria e outros setores compartilham dados com a Spamhaus, que vão de empresas de hospedagem até provedores de serviços de internet (ISPs) e órgãos responsáveis pela internet.  Logicamente, além disso, a Spamhaus tem seus próprios honeypots e intercepções de spam.

Por meio de investigações manuais, machine learning e processos heurísticos, nossos pesquisadores analisam os dados para confirmar se atendem a políticas predefinidas para listagem.

Como as políticas são definidas?

Antes de preparar uma DNSBL, a Spamhaus decide os critérios que o IP, domínio ou conteúdo de e-mail deve atender para ser listado. Esses critérios são chamados de “políticas”.

Desnecessário dizer que essas políticas não aparecem simplesmente do nada. Muito pelo contrário. Elas são formadas através de uma ampla consultoria com a indústria da internet (tanto emissores como receptores) para assegurar que atendam ao propósito estabelecido e às necessidades dos usuários da internet.

Quantos dados são processados para gerar listas de bloqueio?

Para entender a amplitude dos dados processados por nossa equipe de pesquisa para gerar listas de bloqueio confiáveis e eficientes, eis aqui alguns números diários:

• 3 milhões de domínios avaliados
• 18.000 amostras de malware processadas
• 9 bilhões de conexões SMTP analisadas
• centenas de processos heurísticos usados para separar os bons dos maus

Como funcionam as listas de bloqueio

Os IPs, domínios ou hashes associados a um e-mail podem ser consultados em relação a uma DNSBL para confirmar que estejam listados. Caso você gerencie a infraestrutura de e-mail, fica a seu critério decidir como lidar com um e-mail possivelmente malicioso. Você pode:

A. Rejeitar o e-mail em tempo real, com um código de entrega apropriado, ou

B. Aceitar a mensagem e marcá-la para filtragem adicional.

Leia ++Entendendo o código-fonte de um e-mail malicioso Entendendo o código-fonte de um e-mail malicioso para entender por que são aplicadas listas de bloqueio específicas a certas partes do código-fonte de um e-mail.

Quais listas de bloqueio estão disponíveis?

Como mencionado anteriormente, as listas de bloqueio contêm IPs, domínios ou hashes.  Eis aqui um resumo dos tipos de listas de bloqueio produzidas pela Spamhaus:

Spamhaus Blocklist (SBL) – Endereços IP observados envolvidos em inúmeras atividades, incluindo envio de spam, spamming snowshoe, comando e controle de botnet, além de espaço de IP sequestrado.

Lista de bloqueio de eXploits (XBL)– IPs individuais (/32s) que estão infectados com malwares, worms, cavalos de troia, etc. Essa lista evita que servidores de e-mail aceitem conexões de dispositivos computacionais comprometidos.

Lista de bloqueio de política (PBL)–Endereços IP que não deveriam enviar e-mail, como os dispositivos da Internet das Coisas (IoT).  A Spamhaus trabalha em conjunto com a indústria, capacitando os proprietários de IP a listar e gerenciar seus próprios intervalos para a sua segurança.

Lista de bloqueio Auth (AuthBL) –Endereços IP conhecidos como hospedeiros de bot usando força bruta ou credenciais SMTP-AUTH roubadas para enviar e-mails maliciosos.

Lista de bloqueio de domínio (DBL) –Domínios de propriedade de remetentes de spam, usados para fins nefastos.  Também listamos domínios que são legítimos, mas que foram invadidos por hackers e estão sendo usados com más intenções.

Domínios de Reputação Zero (ZRD)– Domínios que foram registrados nas últimas 24 horas, ajudando você a filtrar e-mails de cibercriminosos que registram e, imediatamente, usam diferentes domínios diariamente.

Lista de bloqueio de hash (HBL) –Uma lista de bloqueio de conteúdo que usa hashes criptográficos para listar endereços de e-mail, endereços de carteira de criptomoeda e arquivos de malware.

O que vem agora?

Após ler os conceitos básicos sobre algumas listas de bloqueio, por que não tentar trabalhar com os dados? Cadastre-se para uma avaliação gratuita ++aqui++.

After this tour of some blocklist basics, why not try the data yourself. Sign up for a free trial here.