Letzte Zuckungen der SecuritySage-Blacklist
Die Betreiber der seit Langem inaktiven Hostname-Blacklist blackholes.securitysage.com haben die Notbremse gezogen. Jede Abfrage liefert nun einen Treffer, was die Zustellung von E-Mails an Anwender schlecht gewarteter Mailserver gefährdet.
- Lutz Bonengel
Seit über einem Jahr ist die Hostname-Blacklist blackholes.securitysage.com offline. DNS-Anfragen an diese Liste – etwa mit "host heise.de.blackholes.securitysage.com" – liefen ins Leere und führten zu einer Fehlermeldung "nicht vorhanden". Seit einigen Tagen ist das anders: Jede Anfrage an die SecuritySage-Zone liefert die Adresse 127.0.0.1 zurück – ergänzt um den TXT-Record "This list is offline. Please stop querying for it."
Während halbwegs aktuell gehaltene Mailserver blackholes.securitysage.com schon lange nicht mehr abfragen dürften, hat das für Anwender älterer, schlecht gewarteter Systeme eventuell fatale Folgen. Die Änderung im Antwortverhalten führt nun dazu, dass solche Server jede Mail ablehnen. Während diese "Totalblockaden" recht schnell auffallen (und behoben werden) dürften, sind die Auswirkungen für Anti-Spam-Systeme, die die SecuritySage-Zone als eines von mehreren Bewertungskriterien für eingehende E-Mails benutzen, nicht so offensichtlich. Obwohl regelmäßige Updates – ähnlich wie bei Virenscannern – eigentlich Pflicht sind, dürften derzeit in so manchem Spam-Ordner mehr erwünschte Mails landen als sonst. Administratoren des weit verbreiteten SpamAssassin etwa können Updates mittels "sa-update" einspielen.
Das Vorgehen der SecuritySage-Verantwortlichen erinnert an das des ORDB-Teams. Auch hier wurde etwa ein Jahr nach Einstellung des Dienstes jede noch eingehende Anfrage plötzlich wieder mit einem Treffer beantwortet. Das sollte nachlässige Mailserver-Betreiber dazu bringen, ORDB endlich nicht mehr zu nutzen. (Lutz Bonengel) / (un)
