Realtime Blackhole Lists (RBL) - Reputation des einliefernden Hosts

Im DFN-Mailsupport werden folgende Arten von RBLs verwendet:

  1. IP-Adressen, von denen aus Spam versendet wird.
  2. Domainnamen, die in den Absendeadressen von Spam-Mails verwendet werden.
  3. Domainnamen, die in URLs verwendet werden, die auf Malware zeigen.

Mails mit Merkmalen, die in diesen Listen gespeichert sind, werden von den DFN-Gateways abgelehnt, dies sind je nach Spam-Wetterlage 60% bis 95% des gesamten Mailaufkommens. Folgende RBLs sind derzeit im Einsatz:

Zusätzlich pflegen wir seit 11/2019 noch die Cobalt-Dickens IP- und Domain-Listen in DFN-eigenen RBLs, die nicht öffentlich abfragbar sind:

  • cds.bl.dfn.de (Cobalt-Dickens IP-Adressen)
  • cdd.bl.dfn.de (Cobalt-Dickens Domains)

Die Cobalt-Dickens-Listen stammen vom DFN-CERT, hier finden Sie weitere Informationen:

Sobald wir eine Beschwerde erhalten, dass eine IP-Adresse bzw. eine Domain irrtümlich auf einer der Listen gelandet ist, nehmen wir sie unverzüglich in eine lokale Whitelist auf, die die Einträge in den RBLs überschreibt. Dort bleibt sie solange, bis der Eintrag aus der RBL wieder entfernt wurde.

Aktualisierung

Die Listen von Spamhaus werden jede Minute (per cron und rsync) auf unsere DNS-Server kopiert.

Bei den anderen RBLs greift das Standard-Caching des DNS, also der TTL-Parameter des SOA-Records:

bl.spameatingmonkey.net            60 Sekunden
fresh.spameatingmonkey.net     600 Sekunden
ix.dnsbl.manitu.net.                     60 Sekunden

RBL-Whitelists

Über das interaktive Portal kann der Admin einer Einrichtung RBL-Whitelists einpflegen, um Ausnahmen zu konfigurieren. Näheres siehe Black-/Whitelists.