21.6. Использование черных списков DNS

Проблема
Такое впечатление, что вся почта, получаемая от некоторого поставщика (и даже це лой страны), не содержит ничего, кроме спама. В системе настроены белые списки,
и вы хотите избавиться от «мусора», потратив как можно меньше системных ресурсов.
Решение
В Postfix это делается просто. Включите черный список DNS (DNSRBL, DNS Black
Hole List) в файл main.cf, в директиву smtpd_recipient_restrictions:
smtpdrecipientrestrictions rejectrbl_cli ent relays.ordb.org,
reject_rbl client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org.
Эти записи должны быть последними в директиве smtpd_recipient_restrictions,
если в ней имеются другие записи. Список smtpd_recipient_restrictions обрабатыва ется последовательно, поэтому белые списки и другие проверки должны выпол няться в первую очередь, чтобы нужная почта заведомо дошла до получателей.
Комментарий
Выбор DNSRBL — процесс, которому стоит уделить немного времени. Прочитайте
описания политик и почитайте пользовательские форумы. Каждая сдужба руковод ствуется своими критериями включения и исключения нарушителей. Open Relay
Database (http://www.ordb.org) надежна; Spamhaus и Spamcop консервативны; SPEWS
(Spam Prevention Early Warning System) — самая жесткая и неумолимая. Существует
много других ресурсов подобной направленности; начните поиски с этих трех,
а в остальном вам поможет Google. He надейтесь заблокировать весь спам при по мощи списков блокировки, это всего лишь один из инструментов в вашем арсенале.
Преимуществом DNSRBL следует считать то, что отклонение трафика на уров не SMTP создает наименьшую нагрузку на сервер. Потоки спама нарушали рабо ту многих серверов и даже использовались как DoS-атаки (Denial-of-Service). Ран нее отклонение сохраняет пропускную способность канала и системные ресурсы.
С другой стороны, эта мера радикальная — вы можете потерять нужную почту.
В общих чертах списки DNSRBL работают по следующему принципу. В зави симости от критериев, установленных создателями DNSRBL, отдельные IP-адре са или целые сетевые блоки включаются в список блокировки. Идея заключается
не только в блокировке спамерского трафика, потому что отфильтровать только
спам на уровне IP невозможно (более того, это невозможно сделать на любом уров не). Спамеры покупают целые блоки IP-адресов, а затем переключаются между
блоками. DNSRBL преследует две цели: заблокировать ненужный трафик и ока зать давление на поставщиков, заставляя их избавиться от спамеров. Списки бло кировки эффективно работают в обоих отношениях. Если бы не они, ситуация со
спамом была бы еще хуже, чем сейчас.
К сожалению, эффективность DNSRBL снижается широким распространени ем компьютеров с незащищенной системой Windows. В распоряжении спамеров
появляется огромный, распределенный пул посредников рассылки, что усложня ет блокировку спама на любом уровне.
Если в вашей организации ожидается поступление сторонней почты (напри мер, если на веб-сайте опубликованы контактные данные для потенциальных кли ентов), не используйте списки блокировки. В таких ситуациях лучше прибегнуть
к услугам Spam Assassin (см. разделы 21.9 и 21.10).
Спамеры и поставщики сетевых услуг, пострадавшие от DNSRBL, поднимают
шум, называют это нарушением свободы слова и несут прочую чушь. Тем не ме нее на своем сервере вы устанавливаете правила, и они не имеют права нарушать
границы ваших владений.
См. также
Файл Postfix SMTPD_ACCESS_README и access(5); The Spamhaus Project (http://
www.spamhaus.org); SPEWS (http://spews.org); Spamcop (http://www.spamcop.net);
Open Relay Database (http://www.ordb.org).