APNIC文摘—利用DNSBL保護電子郵件安全

本APNIC文摘原標題為DNSBLs for email filtering – an introduction,由Matt Stith撰文。

本文為「自營電子郵件伺服器」系列的第二篇,繼上篇「將電子郵件服務外包真的好嗎?」,本篇針對有興趣開始自營電子郵件伺服器的讀者,介紹如何善用封鎖名單保護電子郵件安全。

若希望自營電子郵件伺服器,一定得學會如何設置電子郵件過濾機制。基本上,只要利用簡易郵件傳輸協定(Simple Mail Transfer Protocol,SMTP)交握(handshake)和內容過濾,根據域名系統封鎖名單(Domain Name System Blocklists,DNSBL)過濾郵件,就可以剔除大部分垃圾郵件。

簡單來說,封鎖名單就是儲存DNS區域檔案中包括IP位址、域名、雜湊函數(hash)資料的資料庫。是否將這些資料納入封鎖名單資料庫,則由供應方訂定的政策決定。一般而言,若某筆資料出現在封鎖名單,就表示該筆域名跟發送垃圾郵件及釣魚信件、傳播惡意軟體,或者本身是殭屍網路或釣魚網站等惡意行為有直接關係,也可能是域名的評等信譽不佳。

伺服器隨時可查詢DNSBL並取得即時回應,一旦回應確認該筆域名在封鎖名單中,接收方的電子郵件伺服器可決定要直接封鎖、不接收該郵件,或仍接收但標註警語,以便其他後續過濾程序。

前面提到,封鎖名單裡主要蒐集IP位址、域名和雜湊函數等資料,也有主攻其中單項資料的資料庫,以下簡單介紹這3種資料的內涵:

  • IP位址封鎖名單:包含用來寄送垃圾郵件、或證據顯示已被惡意軟體感染的IP位址。著名封鎖名單資料庫供應業者Spamhaus另設有「政策性封鎖名單」(Policy Blocklist,PBL),供網際網路服務供應商(Internet Service Provider,ISP)依自身需求設定封鎖名單,例如封鎖自物聯網裝置(門鈴、空調溫控等)發送的電子郵件。
  • 域名封鎖名單:包括跟垃圾郵件、釣魚郵件和殭屍網路有關的域名。有些封鎖名單也會列入註冊未滿24小時,還不能用來發送電子郵件的域名,因為很多網路罪犯會利用註冊域名後短暫的「清白期」發送垃圾郵件。
  • 雜湊函數封鎖名單:這個名單涵蓋涉及惡意內容的加密雜湊函數,主要是用來根據內容封鎖電子郵件。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNSBLs for email filtering – an introduction

圖片來源:APNIC網站

回到頂端