DNSBL: che cos’è una Domain Name System-based Blackhole List?

L’e-mail rimane un caposaldo della co­mu­ni­ca­zio­ne anche nell’era di Facebook, WhatsApp e altri strumenti pensati per la col­la­bo­ra­zio­ne. Per operare se­re­na­men­te e in sicurezza, oggi come sempre è però im­por­tan­te sapere come ri­co­no­sce­re ed evitare lo spam. Una buona dose di cautela è richiesta anche dopo decenni dall’arrivo dei primi messaggi di spam.

I per­for­man­ti mec­ca­ni­smi di sicurezza catturano oggi un grande numero di e-mail fa­sti­dio­se o dannose, come il grey­li­sting. Un im­por­tan­te requisito di base sono le co­sid­det­te Domain Name System-based Blackhole Lists (DNSBL), delle liste nere di­spo­ni­bi­li in tempo reale degli indirizzi di mittenti di origine dubbia. Di seguito vi spie­ghia­mo cosa sono esat­ta­men­te queste DNS-based Blackhole List, ap­pro­fon­den­do­ne il fun­zio­na­men­to e pre­sen­tan­do­vi i vantaggi e gli svantaggi connessi.

Una Domain Name System-based Blackhole List, ab­bre­via­ta anche in DNS-based Blackhole List o DNSBL, è un servizio che permette al server e-mail di ve­ri­fi­ca­re con facilità e rapidità il po­ten­zia­le di spam degli indirizzi IP. Per riuscirci, una DNSBL dispone di un elenco di indirizzi ri­co­no­sciu­ti come mittenti di spam. Un server di posta ri­chie­den­te può con­sul­ta­re questo elenco in tempo reale con una query DNS.

Una gran parte dei software lato server è con­fi­gu­ra­bi­le in maniera tale da poter ana­liz­za­re più DNS-based Blackhole List con­tem­po­ra­nea­men­te, così da offrire all’utente la migliore pro­te­zio­ne possibile da messaggi di spam in­de­si­de­ra­ti. Se la ricerca eseguita dalla DNSBL ha esito positivo, il messaggio dell’indirizzo e-mail viene bloccato o quan­to­me­no chia­ra­men­te eti­chet­ta­to come spam.

In relazione alla DNSBL si parla sempre anche della Real-time Blackhole List (RBL), tanto che a volte i due termini vengono er­ro­nea­men­te adoperati come sinonimi. La Real-time Blackhole List è solamente una delle possibili DNSBL, anche se in una certa misura una delle più im­por­tan­ti: nel 1997 è diventata la prima DNS-based Blackhole List ufficiale nell’ambito dell’ini­zia­ti­va contro lo spam Mail Abuse Pre­ven­tion Systems (MAPS).

Ori­gi­na­ria­men­te, l’in­for­ma­ti­co dietro alle RBL, Paul Vixie, aveva ri­la­scia­to le liste di blocco antispam (ini­zial­men­te “blacklist”) non come DNSBL ma come feed BGP (Border Gateway Protocol). Il feed conteneva un elenco di indirizzi spam co­no­sciu­ti trasmessi tramite il pro­to­col­lo BGP al router degli abbonati (prin­ci­pal­men­te am­mi­ni­stra­to­ri di rete). Lo svi­lup­pa­to­re che col­la­bo­ra­va con Vixie al progetto MAPS ha in­stra­da­to poco più tardi il passaggio alla ben più efficace tra­smis­sio­ne basata su DNS.

Il fun­zio­na­men­to di un servizio di con­sul­ta­zio­ne DNSBL richiede tre com­po­nen­ti:

• Un dominio che ospiti la Domain Name System-based Blackhole List
• Un name server per il dominio (per la ri­so­lu­zio­ne dell’indirizzo)
• Una lista di indirizzi IP con­sul­ta­bi­le con query DNS

Il compito più difficile in relazione a una DNSBL è senza ombra di dubbio la com­po­si­zio­ne della lista in sé. I gestori devono svi­lup­pa­re una chiara strategia per stabilire lo scopo e dargli con­ti­nui­tà col passare del tempo così da con­qui­sta­re e mantenere la fiducia degli utenti. La policy o linee guida pubbliche ma spe­ci­fi­che servono a far com­pren­de­re l’im­por­tan­za dell’elenco contenuto in una DNSBL, così come dei tre punti so­pra­men­zio­na­ti “obiettivi”, “fonte/i” e “durata dei record”.

Dal lato dei server di posta che hanno scelto una DNS-based Blackhole List per il controllo dello spam, un servizio di questo genere funziona in modo piuttosto semplice:

1. La sequenza degli ottetti di un indirizzo IP del mittente da ve­ri­fi­ca­re viene invertita. L’indirizzo esem­pli­fi­ca­ti­vo 192.168.11.12 diventa perciò 12.11.168.192.
2. Il nome di dominio del DNSBL viene aggiunto: 12.11.168.192.dnsbl.esempio.net.
3. Nel name server della blocklist viene ef­fet­tua­ta una ricerca per vedere se c’è un record A per l’indirizzo così composto. Se così fosse, il server e-mail riceve in risposta un indirizzo, con l’avviso che il client si trova sulla blocklist. Se l’indirizzo non compare in elenco, il server riceve in risposta il codice “NXDOMAIN”.
4. Se l’IP è nell’elenco DNSBL, il server di posta può ricercare il record TXT (testuale). Spesso, in questo modo è possibile scoprire per quale motivo il client in oggetto è finito sulla lista.

Il metodo più diffuso e più vecchio di impiegare le Domain Name System-based Blackhole List come la Real-time Blackhole List è quello già pre­ce­den­te­men­te men­zio­na­to di filtro contro lo spam dei server di posta. Questi pratici elenchi trovano però utilizzo anche in altri software o per altri scopi.

I software di analisi dello spam basati su regole: per una va­lu­ta­zio­ne più complessa di un grande set dati di DNSBL, vengono usati i programmi antispam basati su regole come Spa­mAs­sas­sin. I software di questo tipo adottano una regola per ogni DNS-based Blackhole List, da uti­liz­za­re nella va­lu­ta­zio­ne di un messaggio in entrata, in com­bi­na­zio­ne con altre regole. In questo modo, le e-mail non vengono suddivise in blocchi solo perché si trovano su una DNSBL, ma finiscono nella cartella dello spam solamente se ri­spec­chia­no i criteri pre­sta­bi­li­ti. Questo pro­ce­di­men­to può però allungare i tempi.

In com­bi­na­zio­ne con altri tipi di liste: uno dei compiti più im­por­tan­ti nella gestione di una Domain Name System-based Blackhole List consiste nella regolare ma­nu­ten­zio­ne della lista. Se i dati contenuti all’interno non sono ag­gior­na­ti, nella cartella dello spam finiscono anche messaggi che non do­vreb­be­ro. Per impedire che ciò accada, si può ricorrere all’uso di com­bi­na­zio­ni di filtri con altri tipi di liste quali le whitelist (allow o pass). In base al software e alle im­po­sta­zio­ni, i dati di una whitelist possono avere maggior peso rispetto a quelli (spesso non ag­gior­na­ti) contenuti in una DNSBL per uno stesso indirizzo.

Le DNS-based Blackhole List sono un’isti­tu­zio­ne im­por­tan­te, in modo par­ti­co­la­re dal punto di vista dell’utente, per la lotta contro lo spam. Grazie alla pos­si­bi­li­tà di con­sul­ta­re i dati in elenco tramite DNS, i servizi sono veloci e semplici da usare per i server di posta, così che il fil­trag­gio della posta in arrivo non ha effetti per­ce­pi­bi­li sulle pre­sta­zio­ni. Per gli svi­lup­pa­to­ri e gli am­mi­ni­stra­to­ri di server di posta il metodo di in­ter­ro­ga­zio­ne risulta fa­cil­men­te im­ple­men­ta­bi­le.

I servizi DNS sono tuttavia collegati con una serie di problemi e com­pli­ca­zio­ni, so­prat­tut­to in relazione all’af­fi­da­bi­li­tà e all’attualità: per questo non c’è alcuna garanzia che i dati di una DNSBL siano legittimi e che vengano ag­gior­na­ti re­go­lar­men­te dal provider DNSBL.

Inoltre, risulta spesso molto com­pli­ca­to eliminare gli indirizzi e-mail dal registro di una DNS-based Blackhole List. Gli utenti il cui IP è stato hackerato in passato e usato per fini di spam, nel peggiore dei casi non hanno nessuna o po­chis­si­me pos­si­bi­li­tà di vedere il proprio indirizzo ri­pri­sti­na­to.

Se inviate re­go­lar­men­te una grande quantità di e-mail, dovreste dunque as­so­lu­ta­men­te valutare un IP dedicato con il vostro provider di fiducia, così da tenere sotto controllo la re­pu­ta­zio­ne dell’indirizzo e-mail e, in caso di con­tro­ver­sie, avere un partner af­fi­da­bi­le al vostro fianco.