Mail-Blacklist-Überwachung [Update]

DNS-Blocklisten tragen zur wirksamen Spam-Abwehr bei. Doch wenn man selbst auf eine solche Liste gerät, bleibt die abgehende Mail plötzlich stecken. Zwei einfache Skripte informieren den Postmaster automatisch, sobald sein Server fälschlich gelistet wird.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Lesezeit: 6 Min.
Von
  • Johannes Endres
Inhaltsverzeichnis

Update 4.8.09: Wir haben die Liste der Blacklisten erweitert und zwei kleine Fehler in den Skripten korrigiert.

Update 14.1.14: Da der Dienstleister AHBL seinen Service eingestellt hat, haben wir die betreffenden Abfragen und Tabelleneinträge entfernt.

Blocklisten wie NiX-Spam sind eins der Elemente, die zu einer wirksamen Spam-Abwehr beitragen. Der empfangende Mail-Server prüft mit einer DNS-Abfrage, ob der einliefernde Server auf einer der Listen steht und unterbricht dann gegebenenfalls die Verbindung. Wegen dieser Abfragemethode heißen die üblichen Listen DNS-Blacklisten (DNSBL).

Die Kriterien, nach denen eine IP-Adresse auf einer Liste landen, sind sehr unterschiedlich. So versucht die Policy Block List von Spamhaus.org, alle Adressen zu erfassen, die die Provider ihren Kunden bei der Einwahl vergeben. Ein Rechner mit einer solchen dynamischen IP-Adresse ist höchstwahrscheinlich kein regulärer Absender, sondern eher eine per Trojaner gekaperte Spam-Schleuder, sodass es manchem Postmaster sinnvoll erscheint, sie zu blockieren.

Häufiger sind jedoch Listen, auf denen die Adressen von Servern landen, die tatsächlich Spam verschickt haben. So nutzt beispielsweise die NiX-Spam-Liste eine Kombination aus User-Meldungen und Spam-Fallen, die automatisch reagieren.

Auf solchen Listen kann aber auch ein Server landen, der gar keinen Spam versendet. Das passiert zum Beispiel, wenn ein Internet-Nutzer einen Newsletter abonniert hat, dies später vergisst und den eingehenden Newsletter als Spam betrachtet. Wenn er den Absender dann bei einer DNSBL meldet, landet darauf ein Server, der gar nichts Unrechtes getan hat.

Manche Listen sperren (anders als NiX-Spam) keine einzelnen Adressen, sondern immer gleich ganze Blöcke, wenn ein Server daraus Spam verschickt. Bei dedizierten Servern (root-Servern), die sich beim Hoster ein Netzwerk teilen, kann das fatal sein: Wenn nur einer der (Freizeit-)Admins seinen Server nicht unter Kontrolle hat und ihn an einen Spammer verliert, stehen plötzlich auch die besser gesicherten Netz-Nachbarn auf einer DNSBL.

Über diese und andere Wege kann also durchaus auch der Server eines Postmasters, der alles richtig macht und keinen Spam verschickt, auf einer DNSBL landen. Das fällt dann meist eher zufällig auf, wenn die Mail eines Users mit einer Fehlermeldung zurückkommt. Weil aber einige Server so konfiguriert sind, dass sie im Falle eines DNSBL-Treffers die Verbindung ohne Fehlermeldung abbrechen, können die Fehlermeldungen ausbleiben. Dann verschwinden wahrscheinlich allerhand E-Mails im Orkus, bevor der Postmaster etwas merkt.

Daher sollte er regelmäßig prüfen, ob die IP-Adresse seines absendenden Servers blockiert wird. Das muss keine Handarbeit sein, sondern kann ebenso automatisch ablaufen wie die DNSBL-Abfrage im empfangenden Server.

Wir stellen hier Skripte für zwei Methoden vor: Zum einen einen Cron-Job, der sich per Mail meldet, und zum anderen ein Plug-In für das Systemüberwachungssystem Nagios. Daraus lassen sich auch leicht Skripte für andere Umgebungen ableiten.