Listy RBL.

Czym są listy BL i jak to działa ?

Poniżej wyjaśnienie zasad działania czarnych list rbl.polspam.pl.

W przeciwieństwie do list RHSBL, które są niczym innym jak nazwami domenowymi spamerów, listy BL są zbiorami adresów IP tworzonymi automatycznie, na podstawie list RHSBL i tak:

• rhsbl.rbl.polspam.pl jest źródłem domen dla bazy adresów IP bl.rbl.polspam.pl
• rhsbl-h.rbl.polspam.pl jest źródłem domen dla bazy adresów IP bl-h1.rbl.polspam.pl
• bl-h2.rbl.polspam.pl jest listą tworzoną półautomatycznie i zawierającą klasy/zakresy adresów IP w celu zatrzymania spamu od jednej firmy/organizacji posiadającej wiele adresów IP w tak zwanej puli adresowej. Często cała firma czy organizacja reklamuje się poprzez rozsyłanie spamu i listowanie ich wszystkich adresów IP daje pożądane efekty powstrzymania spamu.
• bl-h3.rbl.polspam.pl jest listą zawierającą AS-y czyli adresy zbiorów sieci pod wspólną administracją i ze wspólnym routingiem, które są podstawowymi składnikami, zbiorami adresów sieci dla protokołu BGP. Inaczej są to adresy niezależnych od siebie, autonomicznych operatorów, którzy często albo spamują sami albo nie dbają o reputację obsługiwanych klientów. Są to często AS-y z Azji lub Afryki wysyłające spam w językach azjatyckich, nie przeznaczony dla nas lub nawet nie wiadomo w jakim celu te maile są nam dostarczane. Jeżeli spam wychodzi z jakiegoś kraju, możemy zasugerować odmowę przyjmowania poczty z tego rejonu poprzez listowanie całych krajów.
• cnkr.rbl.polspam.pl jest listą klas adresowych zarejestrowanych w Chinach lub Korei Płd.

Mechanizm list BL działa w następujący sposób:

Wyobraź sobie, że wysłałeś spam z reklamą czegokolwiek, ofertę usług finansowych lub podobne tego typu niezamówione wiadomości. Jeden z administratorów, wolontariuszy polspam.pl jako pierwszy odebrał tę wiadomość np. na skrzynkę spamtrap lub pozyskał informację o takiej wiadomości od swoich użytkowników. Wolontariusze nie pracują dla nikogo, a jedynie czyszczą ze spamu skrzynki mailowe będące pod ich opieką, dzieląc się tą informacją z bazą rbl.polspam.pl i nic więcej. Działania wolontariuszy nie są koordynowane. Każdy z nich działa na własną rękę aby oczyścić ze spamu własne przedpole.

Gdy wolontariusz, administrator otrzyma informację n/t takiego maila i gdy upewni sie, że to niezamówiona informacja handlowa, czyli nic innego jak spam, niezwłocznie, im szybciej tym lepiej, dopisuje adres domeny spamera do bazy danych RHSBL na serwerze rbl.polspam.pl. Jeżeli adres domeny jest już dopisany w bazie przez innego, szybszego kolegę to kolejne dopisanie nie dojdzie do skutku.
Wysłanie wielu wiadomości SPAM trwa wiele dni albo tygodni i od szybkości reakcji wolontariusza polspam.pl zależy czy uda się powstrzymać kampanię spamu na jej jak najwcześniejszym etapie. Zwykle na jednej kampanii się nie kończy i spamer co jakiś czas będzie próbował nam wcisnąć kolejne pseudo oferty w kolejnych turach mailingu.

Od tej chwili czynności dzieją się automatycznie. Server rbl.polspam.pl sprawdza adres IP aktualnie dopisanej domeny i umieszcza go na liście BL na okres 7 dni. Każde kolejne wysłanie dowolnego maila z tego samego adresu domenowego powoduje przedłużenie okresu listowania adresu IP do pełnych 7 dni. Jeżeli spamer przeniesie domenę na inny adres IP to i drugi adres IP zostanie dodany do bazy BL z własnym licznikiem czasu. Poprzedni adres IP będzie oczekiwał 7 dni na wygaśnięcie, a nowy adres IP zostanie od razu listowany na 7 dni na liście BL gdyż odpowiada nazwie domeny umieszczonej w RHSBL.

Reasumując: spamer użyje swojej domeny tylko raz po czym stanie się ona bezużyteczna gdyż gdziekolwiek ją przeniesie, zmieni adres IP, to natychmiast zostanie rozpoznany i kolejny adres IP będzie listowany w bazie BL serwera rbl.polspam.pl.

Spamer będzie miał również problem z ponownym użyciem własnego adresu IP przez okres 7 dni od ostatniego wysłania jakiegokolwiek maila z tamtej ”spalonej” domeny, listowanej w RHSBL. Zakup nowej domeny i użycie jej na tych ”spalonych” adresach IP nie ma sensu gdyż maile będą odrzucane w serwerach MTA po zgodnym z bazą BL adresie IP.

Adres IP nie pozostanie spalony na zawsze. Jeżeli spamer nie użyje listowanej domeny już nigdy, po prostu porzuci ją, to adresy IP zostaną oczyszczone z zarzutów bycia spamerskimi i wrócą do normalnej eksploatacji po 7 dniach. Niestety, jeżeli z tego samego adresu IP proceder będzie się powtarzał gdy adres IP samoczynnie oczyści się, to adres taki zostanie przeniesiony do bazy BL-H1, H2 lub H3 i pozostanie tam na dłużej. Stanie się bezużyteczny do celów mailingowych. Jest to duże utrudnienie dla spamera gdyż na każdą kampanię mailingową będzie potrzebował czystego, w żargonie spamerów, jak oni to nazywają ”wygrzanego” adresu IP i za każdym razem nowej domeny. Nawet te ”wygrzane” adresy IP nie będą mogły być obok siebie, będą musiały pochodzić z różnych pul adresowych, nierzadko z innych krajów, gdyż łatwo będzie zaproponować listowanie jakiegoś ich zakresu lub nawet całego AS-a.

Istnieje jeszcze grupa spamerów, rozsyłających niezamówioną informację handlową z serwerów współdzielonych z innymi domenami na tym samym adresie IP. Jest to najbardziej nierozsądne działanie, gdyż przez własne spamowanie zablokują na 7 dni możliwość korzystania z maila setkom czy tysiącom innych domen. Należy zaznaczyć, że na współdzielonych serwerach poczta i tak dobrze nie działa, bo część z domen spamuje więc pozostała, uczciwa część zastanawia się czemu ich maile nie dochodzą albo trafiają do spamu mimo że sami nigdy nie spamowali. Jest to zapewne wielokrotnie listowany adres IP na wielu RBL-ach i delistowanie jest niemożliwe. Najpierw musi ustać źródło spamu. Gdyby nawet uporczywy spamer posiadał wiedzę i środki na codzienną zmianę adresu IP i domeny, aby do chwili zauważenia spamu wszystko działało mu jak z zaufanego serwera pocztowego, to jest jeszcze trzecia opcja. Nie możemy przecież listować całego internetu za to, że jego część spamuje. Możemy za to ustalić kto zleca spam, czyli producenta, importera, usługodawcę reklamowanych dóbr i jego samego, firmę X, listować w bazach RHSBL i BL serwera rbl.polspam.pl jako reklamującego się poprzez rozsyłanie spamu. Trafią tam też produkty firmy X, które mają swoje marki, nazwy towarowe i swoje promujące je strony internetowe.

Oczywiście każdy z administratorów MTA sam decyduje jak postępować z listowaną w bazie rbl.polspam.pl domeną czy adresem IP spamera. Jedni odbijają maila w całości, inni przenoszą do zakładki ze spamem, jeszcze inni zwracają błąd o przepełnionej skrzynce, a wszystko to zależy i tak od administratora MTA.