Wie wir wissen, Spam kann mehr sein als lästige Marketingkampagnen; Spam ist ein Vektor für Phishing-Versuche und gefälschte Nachrichten. Aus diesem Grund gibt es Realtime Blackhole Listen (RBL), die dem öffentlichen Interesse dienen und Internetnutzern helfen, Cybersicherheitsrisiken zu mindern.

Sie kennen Realtime BlockLists (RBL) vielleicht als Blocklisten oder Blacklists; sie werden auch oft als Domain Name System-basierende Black Lists (DNSBLs) bezeichnet. Es gibt Dutzende von RBLs, die nach unterschiedlichen Kriterien IP-Adressen prüfen und auflisten. Der Hauptzweck einer RBL besteht jedoch darin, bekannte Spam-Ursprünge und Spam-unterstützende ISPs zu identifizieren und zu blockieren, indem bestimmte IPs oder Domains als schlecht oder verdächtig eingestuft werden.

Wie wir wissen, ist Spam eine allgemeine Definition, die mehr sein kann als lästige Marketingkampagnen; Spam ist ein Weg für Malware, Phishing-Versuche und gefälschte Nachrichten. Jede intelligente Information, die Benutzer und Systeme zur Verhinderung von Angriffen nutzen können, ist wertvoll.

Bei den Betreibern von RBL handelt es sich in der Regel um kommerzielle Diensteanbieter oder Forscher, die dem öffentlichen Interesse dienen und Internetnutzern helfen, Risiken im Bereich der Cybersicherheit zu verringern. Die meisten Listen können kostenlos eingesehen werden und es gibt kein einziges E-Mail-System (Sicherheitsgateways, Firewalls, E-Mail-Server), das nicht eine oder mehrere dieser Listen konsultiert, um zu entscheiden, was mit dem eingehenden E-Mail-Verkehr geschehen soll.

Wie funktioniert RBL?

RBL- oder DNSBL-Mechanismen werden in Mailsystemen als Ergänzung zu Inhaltsfiltern eingesetzt. Internet-Mailserver können RBL-Datenbanken in Echtzeit abfragen, um ihre Meinung über die Herkunft einer eingehenden E-Mail einzuholen. Je nach den spezifischen Kriterien des E-Mail-Servers kann er dann entscheiden, was er mit diesen Informationen anfangen will.

Jede Liste hat ihren eigenen Ruf. Systeme halten es für zuverlässiger, die berüchtigtsten (wie Spamhaus, Mailspike, Abusix und Spamcop) zugunsten anderer zu verwenden. Das übliche Verfahren besteht darin, die Antworten mehrerer Listen zu gewichten, um zu einem Ergebnis zu kommen.

Aufgrund dieser Schlussfolgerung kann ein E-Mail-System automatisch entscheiden, alle eingehenden E-Mails von IP-Adressen, die in der RBL aufgeführt sind, zu löschen oder stattdessen die Nachrichten zu akzeptieren und sie durch andere Filter wie Anti-Virus oder eine Inhaltsanalyse laufen zu lassen.

Einige Listen sind ausgefeilter und klassifizieren IPs und Domains auf unterschiedliche Weise. Einige der Listen führen auch Listen mit kürzlich erstellten IPs und Domains (bei denen es keine Aktivitätsgeschichte gibt).

Diese Listen ermöglichen in der Regel die manuelle Löschung einer IP von der Liste. Da diese Überprüfung meist automatisch erfolgt, verzögert das Entfernen einer infizierten IP nur die erneute Aufnahme in die Liste, sobald diese aktualisiert wird. Die automatische Entfernung erfolgt in der Regel nach einer gewissen Zeit, in der keine oder nur gute E-Mails von einem bestimmten Absender zu sehen sind.

Warum ist das wichtig?

Diese Listen sind in der Welt der E-Mail-Sicherheit sehr weit verbreitet. Wenn Ihre IP oder Ihre Domäne auf einer oder mehreren der berüchtigten Listen steht, müssen Sie damit rechnen, dass Ihre E-Mails nicht überall zugestellt werden können, denn alle großen E-Mail-Anbieter wie Google und Microsoft verwenden diese Listen ebenfalls als Teil ihrer Bewertung. Aber nicht nur E-Mail-Anbieter. Infrastrukturdienste wie Amazon AWS oder Oracle Cloud verwenden Listen, um zu prüfen, ob ein System auf ihrer Plattform E-Mails und sogar Webverkehr senden kann. Es wurde von vielen Fällen berichtet, in denen Kunden aufgrund von "schlechtem Verhalten" von diesen Diensten ausgeschlossen wurden.

Was können Sie dagegen tun?

Abgesehen vom Offensichtlichen (vermeiden Sie es, mit Spam versendenden Bots infiziert zu werden), sollten Benutzer und Organisationen darauf achten, wo sie ihre E-Mail-Infrastruktur hosten. Da IPs in der Regel von mehreren Kunden gemeinsam genutzt werden, kann es schwierig werden, E-Mails zu versenden, nur weil andere sich falsch verhalten haben.

E-Mail-Administratoren können ebenfalls zu RBLs beitragen, indem sie IP-Adressen melden, von denen sie glauben, dass sie versuchen, ihre Systeme zu missbrauchen. Einige Anzeichen für Missbrauch können verdächtige Sendemuster sein. Eine gute Website für die Suche nach Ihren Domänen ist Multirbl.valli.org. Es handelt sich um eine kostenlose Suche nach mehreren RBL.

* Beachten Sie, dass wir bei AnubisNetworks Mailspike.org anbieten, einen kostenlosen IP-Blocklisten-Dienst, der weltweit genutzt wird und standardmäßig in Spamassassin-Systemen enthalten ist.