Spam, anti-spam, mta, email, fqdn

Blaclists & Whitelists DNS

Posted in Anti-spam, Spam, Techniques by fqdn on 14 octobre 2010

Si les listes noires d’adresses IP sont les plus célèbres, on distingue quatre types de listes : noires, blanches, d’adresses IP et de domaines. On appelle les listes d’adresses IP, LHSBL (Left-Hand Side Based Listing) ou IPSBL (IP Based Listing). Quant aux listes de domaines, on les nomme RHSBL (Right-Hand Side Based Lists) ou HBL (Hostname Based Lists).
Les listes noires d’adresse IP, communément appelées RBL (Realtime Blackhole List) ou DNSBL (DNS Black List), sont des listes de serveurs permettant de soutenir, d’abriter, de faire ou d’échanger des spams. Spamtrap (pot-de-miel, spécifique au spam), whois mal configuré, logiciel antispam analysant les emails comme des spams, dénonciation d’utilisateurs ou système automatisé de vérification de serveurs émetteurs… L’alimentation des RBL sont multiples et variées. Et si tous les utilisateurs peuvent consulter les listes publiques, certaines listes, comme mail-abuse.com (TrendMicro), sont, quant à elles, privées.
Lors d’une requête de consultation de RBL, une adresse IP est retournée. « 127.0.0.2 » souligne la présence d’une IP dans une RBL mais certaines listes sont capables de renvoyer un résultat à valeurs multiples grâce à des IP de retour de type « 127.0.0.<n> ». La liste « combined-HIB.dnsiplists.completewhois.com », par exemple, peut retourner trois informations distinctes :
– « 127.0.0.2 » montre que l’IP contrôlée dépend d’un bloc IP qui n’a pas été alloué et qui est utilisé de façon anormale,
– « 127.0.0.3 » informe que l’IP appartient à un bloc IP détourné,
– « 127.0.0.4 » signale un bloc IP invalide.

Le nombre des blacklists publiques évolue constamment mais on peut estimer que près d’une centaine sont exploitées actuellement dans le monde. Bl.spamcop.net, combined.njabl.org, dnsbl.sorbs.net, list.dsbl.org, sbl-xbl.spamhaus.org, bl.csma.biz, combined-HIB.dnsiplists.completewhois.com et bulk.rhs.mailpolice.com comptent parmi les plus importantes.

Les listes blanches d’adresses IP sont, quant à elles, gérées par des sociétés commerciales qui assurent la qualité d’un serveur de mail. Elles comprennent non seulement des sites et des domaines mais aussi des adresses IP authentifiées. Habeas, Bonded Sender et SuretyMail (ISIPP) font partie des plus fameuses listes blanches.
Certaines listes, ni noires, ni blanches, sont aussi utilisées. Par exemple, une liste, non crédible, répertorie tous les serveurs de Yahoo : « ybl.megacity.org ». D’autres listes, plus intéressantes, autorisent l’identification du pays d’origine de l’IP interrogée : « tr.countries.nerd.dk » ou « <PAYS>.blackholes.us ».
L’utilisation sur Internet des listes de domaines est plus récente malgré leur utilité certaine. Les retours d’analyses obtenus sont enthousiasmants. Ces listes peuvent être utilisées dans deux cas de figure à commencer par le contrôle du domaine expéditeur. Avec la vérification des URL contenues dans un email par l’extraction des URL situées dans le corps des courriers électroniques, ces listes gagnent encore en efficacité.
On admet actuellement qu’il existe une petite trentaine de RHSBL mais leur utilisation est inégale. Les principales sont : rhsbl.sorbs.net, sbl.spamhaus.org, fulldom.rfc-ignorant.org, multi.surbl.org, multi.uribl.com.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :