uCheckeruChecker

Чёрный список DNSBL: как работает и чем грозит отправителю

DNSBL (DNS-based Blackhole List) - публичная база IP-адресов или доменов, замеченных в рассылке спама, фишинге или другой нежелательной активности. Почтовые серверы обращаются к этим базам при каждом входящем соединении: если IP отправителя найден в списке, письмо отклоняется или уходит в папку «Спам». Старое название - RBL (Realtime Blackhole List), но сейчас чаще используют термин DNSBL.

Механизм работы

DNSBL устроен просто. Оператор списка ведёт DNS-зону, в которой каждой заблокированной записи соответствует A-запись. Когда почтовый сервер принимает входящее соединение, он берёт IP отправителя, «разворачивает» его октеты и отправляет DNS-запрос к зоне списка.

Пример: IP отправителя 192.0.2.99, список - zen.spamhaus.org. Сервер формирует запрос 99.2.0.192.zen.spamhaus.org. Если ответ получен (обычно 127.0.0.x), IP в списке. Если ответ NXDOMAIN - IP чист. Весь процесс занимает миллисекунды, потому что работает через кэширующий DNS-резолвер.

Последний октет ответа указывает на причину попадания. У Spamhaus, например, 127.0.0.2 означает SBL (прямые источники спама), 127.0.0.4 - XBL (скомпрометированные хосты), 127.0.0.10 - PBL (IP, не предназначенные для прямой отправки почты).

Основные DNSBL-списки

Существуют десятки DNSBL, но реальное влияние на доставляемость оказывают несколько крупнейших. Именно их проверяют Gmail, Yahoo, Outlook, Mail.ru и большинство корпоративных серверов.

  • Spamhaus ZEN - объединённый запрос к SBL, XBL и PBL. Самый распространённый DNSBL в мире. По данным Spamhaus, его используют провайдеры, обслуживающие более 3 миллиардов почтовых ящиков.
  • Barracuda BRBL - список, который ведёт Barracuda Networks. Популярен среди корпоративных почтовых систем и аппаратных антиспам-шлюзов.
  • SpamCop - формируется автоматически на основе жалоб пользователей. IP попадает в список быстро, но и выходит быстро - если жалобы прекращаются, запись удаляется через 24-48 часов.
  • SORBS - набор списков: спам, открытые прокси, динамические IP. Менее влиятелен, чем Spamhaus, но некоторые серверы всё ещё его проверяют.
  • Spamhaus DBL - отдельный случай. Это не IP-список, а доменный. Проверяет доменные имена в теле письма, ссылках и заголовке From. Если домен из вашей рассылки попал в DBL, это влияет на доставку независимо от репутации IP.

Почему IP попадает в чёрный список

Общий принцип: DNSBL фиксирует факт нежелательной активности с конкретного IP. Источники данных - спам-ловушки, жалобы пользователей, анализ трафика и honeypot-сети.

  • Отправка на спам-ловушки. Pristine trap (адрес, который никогда не принадлежал человеку) - одно попадание может привести к мгновенной блокировке. Recycled trap (заброшенный ящик, переделанный в ловушку) - менее строго, но регулярные попадания тоже ведут к включению.
  • Массовые жалобы. Если получатели нажимают «Это спам» чаще обычного, данные агрегируются через feedback loop и попадают к операторам DNSBL.
  • Скомпрометированный сервер. Взлом, уязвимый плагин CMS, ботнет - сервер начинает рассылать спам без ведома владельца. XBL фиксирует это автоматически.
  • Общий IP с плохими соседями. На shared-хостинге или в пуле ESP один недобросовестный отправитель может испортить репутацию IP для всех.

Как проверить нахождение в DNSBL

Ручная проверка возможна через DNS-запрос. В терминале достаточно выполнить dig 99.2.0.192.zen.spamhaus.org (подставив свой развёрнутый IP). Если ответ содержит A-запись - IP в списке.

На практике удобнее использовать агрегаторы, которые проверяют десятки DNSBL одним запросом: MXToolbox Blacklist Check, MultiRBL.valli.org, Spamhaus Lookup. Google Postmaster Tools не показывает конкретные DNSBL, но сигнализирует о проблемах с репутацией, которые часто связаны с попаданием в списки.

Для мониторинга в продакшене имеет смысл автоматизировать проверку. Скрипт, который раз в час делает DNS-запросы к ключевым DNSBL, предупредит о проблеме раньше, чем вы заметите рост bounces.

Делистинг: как выйти из чёрного списка

Каждый DNSBL имеет свою процедуру. Общая логика: сначала устранить причину, потом подать запрос.

  • Spamhaus SBL - запрос через форму на сайте Spamhaus. Команда рассматривает вручную. Если причина устранена, делистинг занимает от нескольких часов до суток. Если проблема повторяется - повторное включение и более строгие условия снятия.
  • Spamhaus XBL/PBL - автоматический делистинг. XBL снимает запись, когда вредоносная активность прекращается. PBL позволяет владельцу IP-диапазона удалить запись самостоятельно.
  • Barracuda - форма делистинга на barracudacentral.org. Обработка - до нескольких дней.
  • SpamCop - автоматическое удаление через 24-48 часов после прекращения жалоб. Ручной делистинг не предусмотрен.

Подавать запрос на делистинг без устранения причины бесполезно. Операторы видят историю IP и могут ужесточить условия или отказать. Некоторые DNSBL в случае повторного нарушения переводят IP в категорию, из которой автоматический выход невозможен.

Влияние на доставляемость

Попадание в крупный DNSBL - одна из самых серьёзных проблем для отправителя. Последствия зависят от конкретного списка. Spamhaus SBL фактически блокирует доставку на большинство мировых провайдеров. SpamCop действует мягче - многие серверы используют его данные как один из факторов скоринга, а не как единственное основание для отказа.

Даже нахождение в менее известном DNSBL опасно. Корпоративные почтовые серверы часто используют несколько списков одновременно, и попадание хотя бы в один повышает spam score письма. Результат - часть аудитории перестаёт получать ваши сообщения, хотя формально bounce не происходит. Письмо принимается, но тихо складывается в спам.

Профилактика

Предотвратить попадание в DNSBL проще, чем выбираться из него. Набор действий стандартный, но требует регулярности:

  1. Валидация базы перед рассылкой. Каждый невалидный адрес - потенциальный bounce или спам-ловушка. Проверка списка до отправки убирает оба риска.
  2. Контроль complaint rate. Google рекомендует держать процент жалоб ниже 0,1%. Превышение этого порога - прямой путь к DNSBL.
  3. Мониторинг DNSBL. Автоматическая проверка IP по основным спискам (Spamhaus, Barracuda, SpamCop) каждые 1-2 часа. Раннее обнаружение сокращает время простоя.
  4. Безопасность сервера. Обновления ПО, закрытые порты, SMTP AUTH, отключённый open relay. Скомпрометированный сервер попадёт в XBL в течение часов.
  5. Выделенный IP. Если объём рассылок позволяет (от 50 000 писем в месяц), dedicated IP изолирует вашу репутацию от соседей.

uChecker проверяет email-адреса до отправки и отсекает невалидные, заброшенные и потенциально опасные контакты. Чистая база - меньше bounces, меньше попаданий на спам-ловушки, ниже вероятность оказаться в DNSBL.

DNSBLчёрный списокRBLSpamhausBarracudaдоставляемостьблокировка IPделистинг
← Глоссарий