關於架設 DBL 的可行性

MarchFun

不知台灣有沒有類似 ORDB 專門提供黑名單的網站，或者是，如果說自行架設不知需要哪些規格咧？

老是用國外的 DBL 黑名單，不見得符合我們使用。有沒有人知道如何架設的？

隨風浮雲

這是對岸 中國反垃圾郵件聯盟 資料 聯結如下：

http://anti-spam.org.cn/references/index.p...ction=Show&ID=1

概述


　　為了有效地拒絕來自惡意的垃圾郵件來源站點和/或被利用的垃圾郵件來源站點所發來的垃圾郵件，最直接和有效的辦法就是拒絕該來源的連接。

　　雖然從理論上說，這樣也有可能會拒絕掉來自該站點的正常郵件，從而造成郵件不能正常的投遞，但是有以下理由支持我們這樣做：

接收任何來源的郵件則有可能導致郵箱中充滿了垃圾郵件，影響了郵件服務器的性能和容量以及帶來高額的帶寬費用，而且導致了收取郵件的人浪費了不必要時間處理這些垃圾郵件；
通過程序過濾垃圾郵件不但從技術上不能保證完全可靠，而且會對服務器帶來很多負載；
通過人工一一分揀郵件基本上是不可行的，不但從工作量上不可承受，而且有可能會帶來隱私問題；
通過拒絕惡意的垃圾郵件站點的連接，可以使垃圾郵件的實際發送量下降，從而縮小了垃圾郵件市場和壓制了垃圾郵件的發展；
通過拒絕被利用的垃圾郵件來源站點的連接，可以使該站點的管理員能充分認識到被利用所帶來的後果，從而消除被利用的條件。

　　綜合以上利弊，我們認為，通過將確認後的垃圾郵件來源站點（無論是否是惡意與否）放入一個黑名單（Blackhole List），然後通過發佈該名單來保護郵件服務器不受到黑名單中站點的侵擾確實是一個目前對抗日益嚴重的垃圾郵件的行之有效的方法。

　　目前在黑名單技術上最流行的是實時黑名單（Realtime Blackhole List，簡稱RBL）技術。通常該技術是通過DNS方式（查詢和區域傳輸）實現的。目前國外流行的幾個主要的實時黑名單服務器都是通過DNS方式提供的，如Mail-Abuse的RBL、RBL+等。國內目前只有本站發佈了公開的RBL服務（參見 CBL/CDL/CBL+）。

　　實時黑名單實際上是一個可供查詢的IP地址列表，通過DNS的查詢方式來查找一個IP地址的A記錄是否存在來判斷其是否被列入了該實時黑名單中。舉例來說，比如如果要判斷一個地址11.22.33.44是否被列入了黑名單，那麼使用黑名單服務的軟件會發出一個DNS查詢到黑名單服務器（如cbl.anti-spam.org.cn），該查詢是這樣的：查找 44.33.22.11.cbl.anti-spam.org.cn 是否存在A記錄？如果該地址被列入了黑名單，那麼服務器會返回一個有效地址的答案。按照慣例，這個地址是127.0.0.0/8內的地址如127.0.0.2（之所以使用這個地址是因為127/8這個地址段被保留用於打環測試，除了127.0.0.1用於打環地址，其它的地址都可以被用來做這個使用，比如有時候還用127.0.0.3等。）。如果沒有列入黑名單，那麼查詢會得到一個否定回答（NXDOMAIN）。

　　有時候，由於郵件服務器非常繁忙，而郵件服務器每收到一封信就要做一個查詢，雖然單個查詢非常快，但是過多的對黑名單服務器的查詢會導致查詢響應遲緩。在這種情況下，可以通過使用DNS的區域傳輸，將黑名單服務器的數據傳輸到本地的DNS服務器，然後對本地的DNS服務器進行查詢即可。區域傳輸可以設置為手工更新、定時更新或自動更新等方式，這依賴於你的應用。

　　黑名單服務器的DNS查詢和區域傳輸，並不是都可以隨意使用的。有些服務器可供任何人查詢和區域傳輸，而有些只對特定的用戶開放。通常實時黑名單服務器都是不開放區域傳輸功能的。中國反垃圾郵件聯盟所提供的CBL/CDL/CBL+都是免費查詢的，不需要申請即可使用；而它們的區域傳輸通常是不開放的。

　　目前大多數的主流郵件服務器都支持實時黑名單服務，如Postfix、Qmail、Sendmail、IMail等等。關於這些服務器如何使用黑名單服務的具體細節請參見本站的其它文章。

　　黑名單服務的提供和黑名單的維護由黑名單服務提供者來提供和維護。所以該名單的權威性和可靠性就依賴於該提供者。通常多數的提供者都是比較有國際信譽的組織，所以對於該名單來說還是可以信任的。

　　不過由於多數的黑名單服務提供者是國外的組織和公司，所以其提供的黑名單並不能有效地反映出國內的垃圾郵件情況，因此國內使用實時黑名單服務的郵件商很少，這也是我們之所以要提供自己的實時黑名單服務的原因。我們希望通過提供一個主要針對國內的垃圾郵件狀況和動態地址分佈的黑名單來為有效地遏制垃圾郵件做些有益的貢獻。

如何架設一個簡易的實時黑名單服務器


　　在有些情況下，你可能需要架設一個自己的實時黑名單服務器，用來為自己的郵件服務器或自己的用戶提供實時黑名單服務。這裡我們簡單說明一下如何架設一個簡易的實時黑名單服務器。



　　前面我們提到，實時黑名單服務通常是通過DNS服務來進行的，那麼本質上說，實時黑名單服務器就是一個有特定數據的DNS服務器。只是如果作為公開的實時黑名單服務運行，要考慮更多的服務特性罷了。





首先，你需要安裝並運行一個DNS服務器。通常，我們使用BIND來做DNS服務器。當然，你可以使用任何一種DNS服務器來做實時黑名單服務，只是有些服務器並不適合提供大量的實時黑名單查詢。

然後，你需要建立黑名單數據區域。比如，你的黑名單服務叫做myrbl.com，那麼你在DNS中建立一個myrbl.com的區域（zone）。你的DNS除了這個區域外，其他的區域也可以存在。

接著，你需要建立黑名單數據，在區域數據檔案中，添加你的黑名單數據。比如，你要將11.22.33.44加入黑名單，那麼你的區域數據檔案中應該有如下一行：
44.33.22.11　　　 IN　　　　A　　　　　 127.0.0.2

如何建立一個合法的區域數據檔案，這裡就不再贅述了，請參考各種DNS的配置手冊。

現在，你可以重新啟動你的DNS服務器了。重啟完成後如果沒有報錯，測試一下你剛剛加入的黑名單是否可以查詢到：
dig 44.33.22.11.myrbl.com.

如果查詢結果中有你解析的地址：127.0.0.2，那麼恭喜你，你的黑名單服務器已經架設成功了。

最後，設置你的郵件服務器使用你自己的黑名單服務器吧。


　　雖然，架設一個黑名單服務器並不是特別困難，但是維護一個黑名單服務器卻要花費較大的精力。而且如果黑名單服務器的訪問量大的話（黑名單服務器要比通常的DNS服務器的訪問量要大的多，一般提供公開服務的黑名單服務器都是多台並行使用的，如本站就使用了5台黑名單服務器），如何微調DNS的行為，甚至對DNS服務器軟件進行修改就需要一些較多的考慮了。

隨風浮雲

另一篇連結如下：
http://anti-spam.org.cn/references/index.p...ction=Show&ID=2

　目前最主要的對抗垃圾郵件的技術是郵件過濾技術（Mail Filter）。實時黑名單技術只是其中的一種特定的方法。

　　郵件過濾按照在郵件系統結構中的角色可以分為三類：

MTA（郵件傳輸代理）過濾
MDA（郵件遞交代理）過濾
MUA（郵件用戶代理）過濾
　　MTA過濾是指MTA在會話過程中對會話的數據進行檢查，對於符合過濾條件的郵件進行過濾處理。郵件會話過程中有兩個階段可以進行過濾：

郵件發送郵件數據前，即在發送DATA指令前的過濾。在發送DATA指令前，郵件對話可以在SMTP連接開始、HELO/EHLO指令、MAIL FROM指令和RCPT TO指令中對會話數據進行檢查。
SMTP連接時，可以檢查客戶端IP地址是不是特定的不允許連接的地址，如被列入黑名單IP就會被立刻拒絕連接。這裡的黑名單可以是實時黑名單（RBL），也可以是訪問列表。
對HELO/EHLO指令所提供的身份，可以檢查是不是FQDN（完全限定域名，包括完整的主機名、域名的地址）、是不是要求的身份等。
對MAIL FROM指令所提供的郵件來源，可以檢查是不是有效域（可以通過DNS反向查詢檢查）、是不是FQDN、是不是符合RFC822格式等。
對RCPT TO指令所提供郵件接收者，可以檢查是不是屬於允許轉發的域、是不是符合RFC822格式、是不是通過認證的發信人等。
如果在檢查中該會話符合過濾的條件，就可以按照過濾規則採取相應的動作，如直接在會話階段斷開連接、發出警告代碼等。

郵件發送郵件數據前的檢查也叫做信封檢查。

郵件發送郵件數據後，即在發送DATA指令後的過濾。在通過一個點的單行結束DATA指令後，可以對DATA指令接收到的數據進行檢查，這包括信頭檢查和信體檢查。在DATA指令所傳送的數據中，信頭和信體是通過一個空行分隔開的。
信頭檢查。通常垃圾郵件在信頭中都有一定的特徵可供識別。通過這些特定信頭字段可以很快地識別為垃圾郵件。
信體檢查。有時候通過信頭檢查還不足以判斷一封郵件是否是垃圾郵件，往往還要針對情況進行信體檢查。
信頭一般都比較小，通常在1KB－10KB之間，檢查信頭也比較快。而信體檢查就要檢查大量的數據，會給郵件服務器帶來很大的負載，所以通常信體檢查放在其他檢查的後面進行。目前最流行的信體檢查是貝葉斯（Bayes）算法的內容概率檢查。

郵件發送郵件數據後的檢查實際上是在郵件數據傳輸基本完畢後進行的，因此並不能節省下被垃圾郵件佔用的帶寬和處理能力，只是可以讓用戶不再收到這些已被過濾的垃圾郵件。

　　MDA過濾是指MDA在從MTA中接收到信件，在本地或遠程進行遞交時進行檢查，對於符合過濾條件的郵件進行過濾處理。

　　很多的MDA都支持在這個過程進行過濾，如Procmail、Maildrop和Cyrus-IMAP等，甚至它們本身就是作為過濾器使用的。這些過濾器使用過濾語言（如Sieve，它是一個標準化的郵件過濾語言，現在已成為IETF標準）來制訂過濾規則，因此配置比較靈活、功能強大。但是由於是在郵件遞交階段進行過濾，同MTA的郵件發送郵件數據後的檢查一樣，並不能節省下被垃圾郵件佔用的帶寬和處理能力，只是可以讓用戶不再收到這些已被過濾的垃圾郵件。

　　MTA和MDA過濾都是郵件服務器端的過濾，而MUA過濾是郵件用戶的客戶端的過濾。多數流行的郵件客戶端，如Outlook、Outlook Express、Netscape Mail、Foxmail等都支持MUA過濾。

　　郵件過濾技術作為一個有效的對抗垃圾郵件的手段，就如同殺毒軟件對病毒的查殺一樣，也是需要不斷根據情況更新郵件過濾規則的。通常都是管理員自行根據垃圾郵件監測情況來更新過濾規則。不過本站所推出的BBL服務可以用於郵件服務器的規則過濾，BBL中的過濾規則是我們經過整理的垃圾郵件受益人列表，詳情請參閱我們的BBL服務。

　　郵件過濾是一項應用的相當早也相當廣泛的技術，因而也發展的比較完善。絕大多數的主流郵件系統都支持郵件過濾，一些不直接支持該功能的郵件系統也可以通過補丁或外置的郵件過濾器來實現郵件過濾。

隨風浮雲

綜合以上理論，站長只要架設一個 liunx DNS伺服器，然後寫一些script 手動/自動加入黑名單就可以讓大家使用了。

不過頻寬可能要非常大!

MarchFun

嗯看起來要架一個不難，也不一定要 Linux，不過後續的維護及你說的...頻寬確實才是頭大的一個問題。

只不過它這裏說的架設方式，不曉得 MDaemon 是否也是遵循這樣的查詢原則。

隨風浮雲

至於MDaemon 是否也是遵循這樣的查詢原則這個問題，我已經在他們的論壇上發問了，不過那裏的論壇好像沒人管似的，問個問題都要等好久才有人回應。

隨風浮雲

颱風天沒事做，又在研究MDAEMON，找了內地資料，終於找到了這一篇，讓大家研究一下：

原創] 在md中增加anti-spam.org.cn 的RBL

MD中默認的RBL都是國外的，針對國內的垃圾郵件的過濾效果不是很好。因此我們可以增加國內的反垃圾郵件組織anti-spam.org.cn 提供的rbl。
增加方式以md7.23為例：
security－>spam bloker->RBL HOSTS

增加新的rbl：
new hosts: cblplus.anti-spam.org.cn
message:　來自$IP$的郵件被拒絕，查看http://anti-spam.org.cn
選擇：add，添加新的RBL.

anti-spam.org.cn的rbl有多種集合，我們可以根據自己的過濾要求自由選擇。
這裡簡單介紹一下，詳細可以查看http://anti-spam.org.cn

實時黑名單服務（RBL）主要包括四個部分：CBL、CDL和CBL+、CBL-。
CBL包含近期中國國內的主要垃圾郵件發送源。
CDL包含中國國內動態分配地址。
CBL+為CBL和CDL的合集。
CBL-是CBL+中去除了中國郵件服務運營商白名單服務（CML）的內容後的黑名單，該黑名單方便於既想使用實時黑名單，而又要保證在任何情況下都能收到來著他們的郵件的用戶。

RBLl hosts中我們可以根據自己的實際情況選擇下面的四種模式中的任意一種。
CBL:　　cbl.anti-spam.org.cn
CDL:　　cdl.anti-spam.org.cn
CBL+:　cblplus.anti-spam.org.cn
CBL-:　 cblless.anti-spam.org.cn

hshletter

可以做的，以前有做过，用的是win2003 Server+DNS服务器，不过黑名单可得你自己慢慢收集。