Bei DNS-basierten Sperrlisten (DNSBL), auch als DNS-based Blackhole List oder Domain Name System Black List bekannt, handelt es sich um ein Verfahren, um eingehende E-Mails anhand der IP-Adresse des sendenden Mailservers auf potentiellen Spam zu überprüfen. Dieser Check findet während der E-Mail-Zustellung im SMTP-Dialog statt. Zur Überprüfung wird die IP-Adresse des einliefernden Servers an Anbieter von Blacklists gesendet. Ist der Server auf einer Blacklist, wird die E-Mail-Zustellung abgelehnt. Die DNSBL-Prüfung führt keine Content Filterung oder andere Anti-Spam-Maßnahmen durch.
Für die Einrichtung von DNSBL müssen auf dem Exchange Edge oder Frontend Transport-Server die Antispam-Agenten aktiviert werden. Ob sie bereits installiert sind lässt sich herausfinden.
PS C:\> Get-TransportAgent Identity Enabled Priority -------- ------- -------- Transport Rule Agent True 1 DLP Policy Agent True 2 Retention Policy Agent True 3 Supervisory Review Agent True 4 Text Messaging Routing Agent True 5 Text Messaging Delivery Agent True 6 System Probe Drop Smtp Agent True 7 System Probe Drop Routing Agent True 8
Wurden sie noch nicht installiert, startet man in einer administrativen Powershell das Installationsskript im Programmordner vom Exchange Server.
PS C:\> & 'C:\Program Files\Microsoft\Exchange Server\V15\Scripts\install-AntispamAgents.ps1' PS C:\> Restart-Service MSExchangeTransport
Nach dem Neustart des Transport-Dienstes sind die Agents eingebunden und man kann die ersten Anbieter über die Exchange Management Shell hinzufügen.
PS C:\> Add-IPBlockListProvider -Name Spamhaus -LookupDomain zen.spamhaus.org PS C:\> Add-IPBlockListProvider -Name SpamCop -LookupDomain bl.spamcop.net -IPAddressesMatch 127.0.0.2
Die Rückgabecodes sind vordefiniert und müssen in der Regel nicht angegeben werden. Die Provider liefern üblicherweise eine IP-Adresse aus dem Loopback-Netz 127.0.0.0/24, wenn es sich um eine bekannte Spamschleuder oder einen verdächtigen Server handelt. Da eine Mail nur dann angenommen wird, wenn der Rückgabewert leer ist bzw. den Wert NXDOMAIN (non existing domain name) zurückliefert, ist eine manuelle Konfiguration in der Regel nicht notwendig sein. Weitere Infos zu DNSBL gibt es im englischsprachigen Wiki. Über die jeweiligen Codes informiert jeder Provider auf seiner Webseite, so wie bspw. Spamhaus.
Die Liste kann beliebig um weitere Provider ergänzt werden. In der Praxis sind ein bis zwei Anbieter vollkommen ausreichend.
PS C:\> Get-IPBlockListProvider Name LookupDomain Priority ---- ------------ -------- Spamhaus zen.spamhaus.org 1 SpamCop bl.spamcop.net 2 Sorbs dnsbl.sorbs.net 3 UseProtect dnsbl-1.uceprotect.net 4
Ob das ganze Konstrukt auch funktioniert, lässt sich über das Cmdlet Test-IPBlockListProvider herausfinden. Gibt es keinen (negativen) Match, werden E-Mails von dieser IP angenommen.
PS C:\> Test-IPBlockListProvider -Identity SpamCop -IPAddress 94.199.90.77
RunspaceId : 9a824aa4-ce3f-4da0-b0ce-fbf7a72591c4
Provider : SpamCop
ProviderResult : {}
Matched : False
Anders sieht es bei einem positiven Befund wie im folgenden Beispiel aus.
PS C:\> Test-IPBlockListProvider -Identity Spamhaus -IPAddress 46.5.55.123
RunspaceId : 9a824aa4-ce3f-4da0-b0ce-fbf7a72591c4
Provider : Spamhaus
ProviderResult : {127.0.0.10}
Matched : TrueDie Abfrage wird vom Provider mit 127.0.0.10 beantwortet. Der einliefernde Server befindet sich demnach auf der Policy Block List (PBL) von Spamhaus. In dieser Liste finden sich IP-Adressen aus den Endverbraucher- bzw. Privatkunden-Netzwerken. Solche Netzwerke beherbergen für gewöhnlich keine konventionellen Mailserver, daher werden sie blockiert. E-Mails von dieser IP werden abgelehnt.
Kommt es beim Zustellversuch zum Match, lehnt der Exchange Server die E-Mail mit SMTP Error 550 5.7.107 ab. Zusätzlich kann man der Gegenstelle weitere Informationen über den Ablehnungsgrund mitgeben.
PS C:\> Set-IPBlockListProvider Spamhaus -RejectionResponse "No spam please! Your message was rejected because the IP address of the sending server {0} is blacklisted by Spamhaus. Check it here: https://www.spamhaus.org/lookup/"
Exchange protokolliert diese Vorgänge im AgentLog der jeweiligen Transportrolle. Wurde der Agent auf einem Hubtransportserver aktiviert, liegen die Logs im Ordner C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog. Alternativ kann das Verzeichnis über Powershell ermittelt werden.
PS C:\> Get-FrontendTransportService | fl Id,*agentlog* Id : Frontend AgentLogMaxAge : 180.00:00:00 AgentLogMaxDirectorySize : 250 MB (262,144,000 bytes) AgentLogMaxFileSize : 10 MB (10,485,760 bytes) AgentLogPath : E:\Log\FE\AgentLog AgentLogEnabled : True
⇒ Fazit: Wer auf seinen Systemen Spam eindämmen will und eine günstige Alternative zu Enterprise Lösungen sucht, ist mit den Antispam Agenten gut bedient. Die DNSBL-Einrichtung ist unkompliziert und schnell abgeschlossen. Es gibt ein breites Angebot an Blacklist Providern. Für Privatkunden und bei nicht kommerzieller Verwendung sind diese Dienste kostenlos. In größeren Umgebungen kann die Nutzung von DNSBL eine sinnvolle Ergänzung zu bestehenden Lösungen sein.
Quelle: https://www.heise.de/ix/meldung/DNS-Blacklist-AHBL-stellt-Betrieb-ein-2513094.html
https://www.heise.de/news/Spamcop-verbaselt-seinen-Domainnamen-5042358.html
0 Kommentare