Web | http://www.sorbs.net/ |
---|---|
URL pro vyhledávání | http://www.sorbs.net/lookup.shtml |
URL pro odstranění | http://www.sorbs.net/overview.shtml |
URL s FAQ | http://www.sorbs.net/faq |
Kontakt | http://www.sorbs.net/cgi-bin/mail |
Popis
S.O.R.B.S. (The Spam and Open Relay Blocking System) začal poskytovat služby DNS blacklistů roku 1992. SORBS je jedním z největších a nejznámějších DNS blacklistů současnosti.
The SORBS blocking system se postupně vyvinul z jednoduchého programu na kontrolu e-mailů a hostů do systému provozujícího spamové pasti a aktivně publikujícího IP blacklisty obsahující IP adresy počítačů, které jsou součástí botnetů nebo jsou infikovány trojskými koni, rozsahy dynamických IP adres, dobře známe rozsahy IP adres používané spammery a násilně převzaté nebo vyhackované servery.
Natím nedokončený S.O.R.B.S. projekt The SORBS Spam Firewall, bude HW antispamový box, který bude fungovat jako proxy server před primárním SMTP serverem.
SORBS je komunitní projekt a všechny služby jsou poskytovány zdarma. Provoz SORBS je financován z darů a to buď v hotovosti nebo ve formě SW, HW a nebo času dobrovolníků. Blacklisty SORBS jsou neustálým terčem útoků DDOS spammerů s cílem vyřadit jejich služby z provozu. V takových případech někteří poskytovatelé internetových služeb posilují infrastrukturu SORBS a poskytují zdorje pro rozložení zatížení při takovém typu útoku.
SORBS má velmi komplexní webové stránky, které zahrnují velké množství nástrojů, které umožňují administrátorům serverů používat služby SORBS a nebo jim pomáhají v případech kdy jsou jejich servery zalistovány v blacklistech SORBS. Stránky obsahují nástroje pro on-line ověření přítomnosti IP adres v SORBS blacklistech, nástroj pro kontrolu open relay a open proxy, a obecné informace o aktuálních zombie sítích a známých zneužitelných zranitelnostech.
Kritéria pro zařazení
Kritéria pro zařazení do blacklistů SORBS není snadné shrnout protože SORBS
spravuje mnoho rozdílných typů zón blacklistů. Některé ze zón obsahují velké
síťové bloky IP adres - např. zóna s dynamickými IP adresami.
Jiné SORBS blacklisty jsou podobné ostatním hlavním posktovatelům
DNSBL(DNS based balcklistů) a poskytují také podobné služby.
Některé ze SORBS blacklistů jsou navíc rozděleny na jednotlivé zóny založené na časové bázi - obsahují IP adresy hostů které zasílaly spam během posledních 24 hodin, 48 hodin, nebo 28 dnů. To dává administrátorům SMTP serverů dostatečnou granularitu s jakou mohou blokovat spam na svých serverech.
Zóny
SORBS spravuje 17 jednotlivých blacklistů (DNSBL zón).
dnsbl.sorbs.net
blacklist dnsbl.sorbs.net je primární zónou SORBS, a obsahuje data ze všech ostatních blacklistů (zón) SORBS. Kvůli agresivní povaze některých SORBS blacklistů není praktické používat tento blacklist pokud nejste podrobně seznámeni se všemi jeho podzónami.
http.dnsbl.sorbs.net
SORBS blacklist http.dnsbl.sorbs.net obsahuje IP adresy HTTP
proxy serverů, které poskytují anonymní přístup. Spráně nakonfigurovaný HTTP
proxy server umožňuje přístup pouze takovým uživatelům, kterí mají přístup
povolen.
Někteří administrátoři mají chybně konfigurované jejich webové servery
a ponechávají možnost použít proxy každému bez omezení. To sice nepřispívá přímo
k šíření spamu, ale signalizuje to, že server může mít i další problémy včetně
takových, které odesílání nevyžádané pošty (spamu) umožňují.
socks.dnsbl.sorbs.net
Blacklist socks.dnsbl.sorbs.net obsahuje IP adresy SOCKS proxy
serverů, které umožňují anonymní přístup. V porovnání s HTTP proxy servery mohou
ale SOCKS proxy serveru sloužit k přenosu libovolného síťového provozu včetně
SMTP poštovního provozu a tedy k rozesílání e-mailů.
Ostranění IP adresy z blacklistu socks.dnsbl.sorbs.net blacklist vyžaduje
zabezpečení SOCK proxy serveru tak aby neumožňoval anonymní přístup.
misc.dnsbl.sorbs.net
SORBS blacklist misc.dnsbl.sorbs.net obsahuje vsechny ostatní proxy servery, které nemohou být klasifikovány jako HTTP nebo SOCKS proxy servery, ale jsou otevřeny pro anonymní přístup.
smtp.dnsbl.sorbs.net
Blacklist smtp.dnsbl.sorbs.net obsahuje IP adresy SMTP serveru umožňující open relay - tj. možnost odesílání pošty bez autorizace odesilatele. Správně nakonfigurovaý SMTP server umožňuje odesílání pošty pouze autorizovaným uživatelům. Naproti tomu open relay SMTP server nevyžaduje od nikoho ani autentizaci (např. jménem a heslem) ani jiné kontroly.
Jakýkoliv server který umožňuje, aby byl pomocí něj odeslán neutentizovaný e-mail bude zařazen do blacklistu smtp.dnsbl.sorbs.net. To se obvykle stane v případě, že někdo server nahlásí jako open relay, nebo některý ze SORBS scannerů objeví, že tento systém umoňuje odeslání e-mailu bez autorizace.
Odstranění IP adresy z blacklistu smtp.dnsbl.sorbs.net vyžaduje zabezpečení serveru. Pokud byl Vá server zalistován opakovaně bude v závislosti na počtu zalistování před odstranšním z blacklistu pravděpodobně nutné vykonat několik následných kroků, které mohou zahrnovat také zaslání daru některé dobročinné orgaznizaci.
web.dnsbl.sorbs.net
Blacklist web.dnsbl.sorbs.net obsahuje IP adresy web serverů
s nezbezpečenými nebo vyhackovanými web form mailery (stránkami soužícími
k odesílání e-mailů), které monou být zneužity k odesílání spamu.
Pokud je zneužitelný server detekován je zařazen do blacklistu web.dnsbl.sorbs.net.
Pro odstranění IP adresy webového serveru z blacklistu je třeba odstranit
nebezpečné skripty a zabezpeči server. Potom bude server znovu ostestován
ze strany SORBS a pokud bude detekován jako zabezpečení bude z blacklistu
odstraněn.
new.dnsbl.sorbs.net
SORBS blacklist new.dnsbl.sorbs.net obsahuje zdroje spamu který byl administrátorům SORBS odeslán během posledních 48 hodin. Zalistování může být také způsobeno zasláním spamu do některé ze spam pastí provozovaných SORBS. Pokud je spam z tohoto zdroje rozesílán i nadále potom je blokován i okolní rozsah IP adres kolem IP adresy tohoto zdroje spamu a tento rozsah je průběžně zvětšován.
Odstranění IP adresy z new.dnsbl.sorbs.net je jedním z kontrovrzních aspektů
tohoto SORBS blacklistu.
V ideálním případě, je zalistování redukováno pouze na jedna IP adresu, ze které
byl detekován první zaslaný spam. Toto zredukování je prováděno bezplatně. Pokud
již celý blok i původní IP adresa odkud byl detekován spam zanechaly zasílání
spamu potom mohou být z blacklistu odstraněny. V takovém případě bude odstranění
provedeno po zaslání daru charitativní organizaci schválené SORBS.
recent.dnsbl.sorbs.net
Blacklist recent.dnsbl.sorbs.net obsahuje všechna data
z blacklistu new.dnsbl.sorbs.net a navíc k tomu
také IP adresy z nichž bylo detekováno oesílání spamu během posledních 28 dnů
Podmínky pro odstranění z blacklistu recent.dnsbl.sorbs.net jsou shodné jako
u blacklistu new.spam.dnsbl.net.
old.dnsbl.sorbs.net
SORBS blacklist old.dnsbl.sorbs.net obsahuje všechna data
z blacklistů recent.dnsbl.sorbs.net
a new.dnsbl.sorbs.net a navíc k tomu také IP adresy, ze kterých
bylo detekováno zasílání spamu za poslední rok.
old.dnsbl.sorbs.net je posledním blacklistem, ve kterém je ještě
možné požádat o vyřazení z blacklistu. Pravděpodobnost vyřazení je ale poměrně
malá a IP adresa zřejmě zůstane trvali zalistována v SORBS.
spam.dnsbl.sorbs.net
Blacklist spam.dnsbl.sorbs.net je poslední instancí mezi SORBS blacklisty. spam.dnsbl.sorbs.net obsahuje všechna data z blacklistu old.dnsbl.sorbs.net, který obsahuje všechna data z recent.dnsbl.sorbs.net a new.dnsbl.sorbs.net.
To znamená, že v blacklistu spam.dnsbl.sorbs.net jsou pouze IP adresy u nichž není pravděpodobné že přestanou odesílat spam. Tyto IP adresy nebudou v žádném případě odstraněny ze SORBS blacklistů.
escalations.dnsbl.sorbs.net
Blacklist escalations.dnsbl.sorbs.net obsahuje bloky IP adres
ISP a poskytovatelů hostingu, kteří jsou "více tolerantní ke spammerům než ostatní".
To znamená že v blacklistu escalations.dnsbl.sorbs.net budou
pravděpodobně zalistováni někteří z velkých poskytovatelů hostingu jako například
DreamHost, RackSpace, BlueHost nebo GoDaddy. To může často znamenat stovky tisíc
IP adres které budou v blacklistu escalations.dnsbl.sorbs.net zařazeny.
Jde o kontroverzní blacklist, protože jeden jediný spamer je schopen pro všechny klienty stejného poskytovatele u něhož je připojen (např. GoDaddy) zablokovat v blacklistech SORBS. Na druhou stranu pokud se hostingová společnost v seznamu spamerů, snaží se aktivně zrušit všechny spamerské účty, potom zařazení může být zabráněno. Na to je ale třeba vyvinout značné úsilí a nese to s sebou značné náklady,
block.dnsbl.sorbs.net
Některým administrátorům serverů nevyhovuje způsob jakým funguje SORBS
a požadují aby jejich systémy nebyly skenovánz ze strany SORBS. SORBS jejich
požadavek respektuje a síťové bloky jejich IP adres vynechává ze skenování.
Nicméně tyto IP adresy umísťuje SORBS do blacklistu
block.dnsbl.sorbs.net.
Tento blacklist může být kýmkoliv používán jako klasifikate hostů, které
nechtějí být skenovány. Interpretaci toho co tento požadavek znamená je ponechán
na administrátorech, kteří si zvolí že budou blacklist block.dnsbl.sorbs.net
používat.
zombie.dnsbl.sorbs.net
Blacklist zombie.dnsbl.sorbs.net blacklist onsahuje IP adresy
všech známých případů strojů, které byly nějakým způsobem zkompromitovány.
Zombie je počítačnebo server, který není již pod plnou kontrolou svého původního
majitele. Na těchto kompromitovaných systémech bývá obvykle nainstalován
škodlivý software. Takto infokované stroje mohou být vzdáleně ovládány
a používány jako open relay pro šíření spamu nebo jako část rozsáhlého botnetu.
Zombie jsou obvykle velmi rychle zabezpečeny a opraveny jakmile se jejich
administrátor o problému dozví. Zombie počírače mohou často používat kritická
data jako jsou klientské nebo bankovní informace, či jiná citlivá nebo osobní
data.
To znamená, že je v administrátorově zájmu odpojit stroj od sítě do doby
než je opraven a obnoven do původního nenapadeného stavu.
dul.dnsbl.sorbs.net
SORBS blacklist dul.dnsbl.sorbs.net obsahuje IP adresy veškerého
známeho dynamického IP adresního prostoru.
Protože nikdo kdo má dynamicky přidělenou adresu by neměl provozovat na takovém
připojení poštovní server, je často bezpečné blokovat všechny e-maily které byly
odeslány z dynamického adresního prostoru.
Většina uživatelů internetu má svoje připojení od internetových poskytovatelů (ISP)
a převážně od nich obdrží dynamickou IP adresu. Tato dynamická adresa se může
čas od času měnit. To znamená že není dobrý nápad provozovat mailserver s tímto
typem adresy.
Většina poskytovatelů připojení k internetu neumožňuje provoz mailserveru na
dynamických IP adresách již ve smlouvě, kterou se svými zákazníky uzavírají.
Blacklist dul.dnsbl.sorbs.net se neustále vyvíjí, roste
a mění se. Pokud jsou v něm nalezeny nějaké chyby tak po jejich oznámení
a ověrení ze strany SORBS jsou obvykle chybně zařazené adresy odstraněny.
rhsbl.dnsbl.sorbs.net
Blacklist rhsbl.dnsbl.sorbs.net je kombinací všech pravostranných zón SORBS blacklistů.
Dotazy do DNS blacklistů mohou být pokládány několika způsoby. V závislosti
na tom jsou některé blacklisty označovány jako "pravostranné" a některé jako
"levostranné".
Rozdíl mezi nimi je jednoduchý a zvisí na tom jak se díváme na data vrácená
jako výsledek DNS dotazu.
Je-li výsledek vrácen na pravé straně odpovědi jde o pravostranný blacklist.
Je-li výsledek vráccen na straně levé potom jde o blacklist levostranný.
Protože většína SORBS blacklistů vrací IP adresy, jde tedy většinou
o blacklisty pravostranné. To znamená že pokud es dotazujete DNS serveru
na něco jako je ip.ad.re.sa.rhsbl.dnsbl.sorbs.net potom se díváte na
pravou stranu vráceného "A" DNS záznamu v odpovědi.
Odpovědí na DNS dotaz obecně bude nějaká pozitovní DNS odpověď obsahující
IP adresu jako například 127.0.0.1.
badconf.rhsbl.sorbs.net
SORBS blacklist badconf.rhsbl.sorbs.net obsahuje IP adresy nebo hosty jejichž A nebo MX DNS záznamy ukazují na neplatnou IP adresu.
Zdaleka ne všdechny IP adresy v síti internet jsou platné. některé z nich jsou neroutovatelné jako například 127.0.0.1 což je IP adresa lokální smyčky. Existují další adresy ke kterým se nemůže žádný počítač připojit. Tyto adresy jsou používány pro interní privátní a nebo testovací sítě. Obecně nejsou přístupné ze sítě internet a tudíž nedává žádný smysl přijímat email od systému, který propaguje že běží na některé z těchto adres.
nomail.rhsbl.sorbs.net
Blacklist nomail.shsbl.sorbs.net obsahuje IP adresy hostů jejichž vlastník ví že z jejich IP adresy nebudou odcházet žádné e-maily.
Ne každý server v síti internet totiž potřebuje odesílat e-maily. některé z nich
mohou být určeny výhradně pro takové úlohy jako supercomputing nebo pro účely
vzdělávání.
Pokud někdy spammer podvrhne IP adresu, která je zařazena v tomto blacklistu,
tento blacklist je schopen takový spam zachytit pomoci takový spam odfiltrovat.
Odstranění z blacklistů SORBS
Vzhledem k velkému počtu zón blacklistů v SORBS je politika odstraňování IP adres
komplikovaná a těžko shrnutelná.
Některé blacklisty jsou statické a není možné z nich IP adresu odstranit (například
blacklist obsahující rozsahy dynamických IP adres). Jiné, jako například open
relay blacklisty umožní odstranění IP adresy až poté co proběhnou automatizované
kontroly, které zjistí že sysém již není otevřený a že byl zabepečen.
Nicméně, ve většině případů, pokud odstraníte původce spamu může být Vaše adresa
odstraněna ze SORBS blacklistů.
SORBS poskytuje komplexní nástroje, které umožňují zjistit příčinu zablokování.
Máte také přístup k mailinglistům a můžete kontaktovat administrátory SORBS,
kteří jsou schopni Vám pomoci naučit se jaklépe zabezpečit Váš SMTP server.