DNSBL: che cos’è una Domain Name System-based Blackhole List?

L’e-mail rimane un caposaldo della comunicazione anche nell’era di Facebook, WhatsApp e altri strumenti pensati per la collaborazione. Per operare serenamente e in sicurezza, oggi come sempre è però importante sapere come riconoscere ed evitare lo spam. Una buona dose di cautela è richiesta anche dopo decenni dall’arrivo dei primi messaggi di spam.

I performanti meccanismi di sicurezza catturano oggi un grande numero di e-mail fastidiose o dannose, come il greylisting. Un importante requisito di base sono le cosiddette Domain Name System-based Blackhole Lists (DNSBL), delle liste nere disponibili in tempo reale degli indirizzi di mittenti di origine dubbia. Di seguito vi spieghiamo cosa sono esattamente queste DNS-based Blackhole List, approfondendone il funzionamento e presentandovi i vantaggi e gli svantaggi connessi.

Una Domain Name System-based Blackhole List, abbreviata anche in DNS-based Blackhole List o DNSBL, è un servizio che permette al server e-mail di verificare con facilità e rapidità il potenziale di spam degli indirizzi IP. Per riuscirci, una DNSBL dispone di un elenco di indirizzi riconosciuti come mittenti di spam. Un server di posta richiedente può consultare questo elenco in tempo reale con una query DNS.

Una gran parte dei software lato server è configurabile in maniera tale da poter analizzare più DNS-based Blackhole List contemporaneamente, così da offrire all’utente la migliore protezione possibile da messaggi di spam indesiderati. Se la ricerca eseguita dalla DNSBL ha esito positivo, il messaggio dell’indirizzo e-mail viene bloccato o quantomeno chiaramente etichettato come spam.

In relazione alla DNSBL si parla sempre anche della Real-time Blackhole List (RBL), tanto che a volte i due termini vengono erroneamente adoperati come sinonimi. La Real-time Blackhole List è solamente una delle possibili DNSBL, anche se in una certa misura una delle più importanti: nel 1997 è diventata la prima DNS-based Blackhole List ufficiale nell’ambito dell’iniziativa contro lo spam Mail Abuse Prevention Systems (MAPS).

Originariamente, l’informatico dietro alle RBL, Paul Vixie, aveva rilasciato le liste di blocco antispam (inizialmente “blacklist”) non come DNSBL ma come feed BGP (Border Gateway Protocol). Il feed conteneva un elenco di indirizzi spam conosciuti trasmessi tramite il protocollo BGP al router degli abbonati (principalmente amministratori di rete). Lo sviluppatore che collaborava con Vixie al progetto MAPS ha instradato poco più tardi il passaggio alla ben più efficace trasmissione basata su DNS.

Il funzionamento di un servizio di consultazione DNSBL richiede tre componenti:

• Un dominio che ospiti la Domain Name System-based Blackhole List
• Un name server per il dominio (per la risoluzione dell’indirizzo)
• Una lista di indirizzi IP consultabile con query DNS

Il compito più difficile in relazione a una DNSBL è senza ombra di dubbio la composizione della lista in sé. I gestori devono sviluppare una chiara strategia per stabilire lo scopo e dargli continuità col passare del tempo così da conquistare e mantenere la fiducia degli utenti. La policy o linee guida pubbliche ma specifiche servono a far comprendere l’importanza dell’elenco contenuto in una DNSBL, così come dei tre punti sopramenzionati “obiettivi”, “fonte/i” e “durata dei record”.

Dal lato dei server di posta che hanno scelto una DNS-based Blackhole List per il controllo dello spam, un servizio di questo genere funziona in modo piuttosto semplice:

1. La sequenza degli ottetti di un indirizzo IP del mittente da verificare viene invertita. L’indirizzo esemplificativo 192.168.11.12 diventa perciò 12.11.168.192.
2. Il nome di dominio del DNSBL viene aggiunto: 12.11.168.192.dnsbl.esempio.net.
3. Nel name server della blocklist viene effettuata una ricerca per vedere se c’è un record A per l’indirizzo così composto. Se così fosse, il server e-mail riceve in risposta un indirizzo, con l’avviso che il client si trova sulla blocklist. Se l’indirizzo non compare in elenco, il server riceve in risposta il codice “NXDOMAIN”.
4. Se l’IP è nell’elenco DNSBL, il server di posta può ricercare il record TXT (testuale). Spesso, in questo modo è possibile scoprire per quale motivo il client in oggetto è finito sulla lista.

Il metodo più diffuso e più vecchio di impiegare le Domain Name System-based Blackhole List come la Real-time Blackhole List è quello già precedentemente menzionato di filtro contro lo spam dei server di posta. Questi pratici elenchi trovano però utilizzo anche in altri software o per altri scopi.

I software di analisi dello spam basati su regole: per una valutazione più complessa di un grande set dati di DNSBL, vengono usati i programmi antispam basati su regole come SpamAssassin. I software di questo tipo adottano una regola per ogni DNS-based Blackhole List, da utilizzare nella valutazione di un messaggio in entrata, in combinazione con altre regole. In questo modo, le e-mail non vengono suddivise in blocchi solo perché si trovano su una DNSBL, ma finiscono nella cartella dello spam solamente se rispecchiano i criteri prestabiliti. Questo procedimento può però allungare i tempi.

In combinazione con altri tipi di liste: uno dei compiti più importanti nella gestione di una Domain Name System-based Blackhole List consiste nella regolare manutenzione della lista. Se i dati contenuti all’interno non sono aggiornati, nella cartella dello spam finiscono anche messaggi che non dovrebbero. Per impedire che ciò accada, si può ricorrere all’uso di combinazioni di filtri con altri tipi di liste quali le whitelist (allow o pass). In base al software e alle impostazioni, i dati di una whitelist possono avere maggior peso rispetto a quelli (spesso non aggiornati) contenuti in una DNSBL per uno stesso indirizzo.

Le DNS-based Blackhole List sono un’istituzione importante, in modo particolare dal punto di vista dell’utente, per la lotta contro lo spam. Grazie alla possibilità di consultare i dati in elenco tramite DNS, i servizi sono veloci e semplici da usare per i server di posta, così che il filtraggio della posta in arrivo non ha effetti percepibili sulle prestazioni. Per gli sviluppatori e gli amministratori di server di posta il metodo di interrogazione risulta facilmente implementabile.

I servizi DNS sono tuttavia collegati con una serie di problemi e complicazioni, soprattutto in relazione all’affidabilità e all’attualità: per questo non c’è alcuna garanzia che i dati di una DNSBL siano legittimi e che vengano aggiornati regolarmente dal provider DNSBL.

Inoltre, risulta spesso molto complicato eliminare gli indirizzi e-mail dal registro di una DNS-based Blackhole List. Gli utenti il cui IP è stato hackerato in passato e usato per fini di spam, nel peggiore dei casi non hanno nessuna o pochissime possibilità di vedere il proprio indirizzo ripristinato.

Se inviate regolarmente una grande quantità di e-mail, dovreste dunque assolutamente valutare un IP dedicato con il vostro provider di fiducia, così da tenere sotto controllo la reputazione dell’indirizzo e-mail e, in caso di controversie, avere un partner affidabile al vostro fianco.