21.6. Использование черных списков DNS

Проблема

Вам кажется, что большая часть почты от некоторых поставщиков или даже из целых стран — это спам. Система настроена с использованием белых списков, но вы хотите максимально сократить объём «мусорной» почты, снизив нагрузку на серверные ресурсы.

Решение

В Postfix черные списки DNS (DNSRBL, DNS Black Hole List) могут быть активированы, добавив их в файл main.cf, в директиву smtpd_recipient_restrictions:

smtpd_recipient_restrictions =
    reject_rbl_client relays.ordb.org,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client sbl.spamhaus.org

Эти записи должны быть последними в директиве smtpd_recipient_restrictions, если в ней имеются другие условия. Так как список обрабатывается последовательно, белые списки и другие фильтры должны выполняться в первую очередь, чтобы нужная почта всегда доставлялась получателям.

Комментарий

Выбор DNSRBL — важный процесс, требующий внимания к деталям. Изучите политики разных служб и прочитайте отзывы пользователей. Каждая служба имеет свои критерии для добавления или исключения адресов. Open Relay Database (http://www.ordb.org) отличается надёжностью, Spamhaus и Spamcop — умеренные в подходе, а SPEWS (Spam Prevention Early Warning System) использует более строгие критерии. Существует много других ресурсов, начните с перечисленных и продолжите искать нужный вам список.

DNSRBL позволяют экономить системные ресурсы, блокируя нежелательные соединения на уровне SMTP. Этот подход снижает нагрузку на сервер и пропускную способность сети. Потоки спама способны создавать значительное напряжение для серверов, вплоть до DoS-атак. Ранняя блокировка спам-трафика позволяет избежать этих проблем. Однако, будьте внимательны — иногда такая фильтрация может привести к блокировке нужной почты.

Списки DNSRBL работают по принципу блокировки отдельных IP-адресов или целых сетевых блоков. Спамеры часто приобретают IP-диапазоны и переключаются между ними, поэтому блокировка осуществляется не только на уровне IP. Цель DNSRBL — снизить спам-трафик и мотивировать поставщиков избавляться от спамеров. Благодаря этим спискам ситуация со спамом не ухудшается ещё сильнее.

Эффективность DNSRBL может снизиться из-за большого количества незащищённых Windows-компьютеров, которые используются спамерами в качестве распределённых посредников. Это затрудняет фильтрацию спама, поэтому для больших организаций с ожиданием входящей почты стоит использовать Spam Assassin или другие методы (см. раздел 21.9).

Некоторые поставщики услуг или компании, пострадавшие от DNSRBL, могут критиковать их, ссылаясь на права и свободу слова. Однако, вы имеете право устанавливать собственные правила на своём сервере, а защита от спама — ваша законная мера для управления ресурсами.

См. также

Файл Postfix SMTPD_ACCESS_README и access(5); The Spamhaus Project (http://www.spamhaus.org); SPEWS (http://spews.org); Spamcop (http://www.spamcop.net); Open Relay Database (http://www.ordb.org).