Realtime Blackhole Lists (RBL) - Reputation des einliefernden Hosts
Im DFN-Mailsupport werden folgende Arten von RBLs verwendet:
- IP-Adressen, von denen aus Spam versendet wird.
- Domainnamen, die in den Absendeadressen von Spam-Mails verwendet werden.
- Domainnamen, die in URLs verwendet werden, die auf Malware zeigen.
Mails mit Merkmalen, die in diesen Listen gespeichert sind, werden von den DFN-Gateways abgelehnt, dies sind je nach Spam-Wetterlage 60% bis 95% des gesamten Mailaufkommens. Folgende RBLs sind derzeit im Einsatz:
- zen.spamhaus.org
- dbl.spamhaus.org
- bl.spameatingmonkey.net
- fresh.spameatingmonkey.net
- ix.dnsbl.manitu.net
Zusätzlich pflegen wir seit 11/2019 noch die Cobalt-Dickens IP- und Domain-Listen in DFN-eigenen RBLs, die nicht öffentlich abfragbar sind:
- cds.bl.dfn.de (Cobalt-Dickens IP-Adressen)
- cdd.bl.dfn.de (Cobalt-Dickens Domains)
Die Cobal-Dickens-Listen stammen vom DFN-CERT, hier finden Sie weitere Informationen:
- https://www.dfn-cert.de/aktuell/silent-librarian.html
- https://www.secureworks.com/blog/cobalt-dickens-goes-back-to-school-again
Sobald wir eine Beschwerde erhalten, dass eine IP-Adresse bzw. eine Domain irrtümlich auf einer der Listen gelandet ist, nehmen wir sie unverzüglich in eine lokale Whitelist auf, die die Einträge in den RBLs überschreibt. Dort bleibt sie solange, bis der Eintrag aus der RBL wieder entfernt wurde.
Aktualisierung
Die Listen von Spamhaus werden jede Minute (per cron und rsync) auf unsere DNS-Server kopiert.
Bei den anderen RBLs greift das Standard-Caching des DNS, also der TTL-Parameter des SOA-Records:
bl.spameatingmonkey.net 60 Sekunden
fresh.spameatingmonkey.net 600 Sekunden
ix.dnsbl.manitu.net. 60 Sekunden
RBL-Whitelists
Über das interaktive Portal kann der Admin einer Einrichtung RBL-Whitelists einpflegen, um Ausnahmen zu konfigurieren. Näheres siehe Black-/Whitelists.