dual 2007-11-5 11:10
《梭子鱼用户大学》系列课程:第三章 第二节
[b][size=4][color=red]第三章 第二节:rbl的原理,使用,以及补充手段[/color][/size][/b]
[size=2][b]rbl名词解释[/b][/size]: [size=2]rbl即实时黑名单列表,或者叫做动态黑名单列表。是指使用一个独立的或第三方组织提供的实时动态更新的黑名单库,当反垃圾邮件设备接受邮件时通过对来源ip在rbl库中查询比对,来确认此来源发送地址是否为发垃圾邮件者的惯用ip地址,从而进行快速阻断发垃圾邮件企图的技术。[/size]
[size=2][b]rbl的查询原理[/b]:当你使用rbl进行判断ip是否为黑名单地址的时候,其实是通过dns查询来实现的,你的反垃圾邮件爱你设备将要判断的的ip地址和提供rbl的组织的地址/域名组合成一个地址通过你设置的dns进行查询,比如国内著名的rbl,中国反垃圾邮件联盟的cbl地址是:cbl.anti-spam.org.cn,现在有个202.96.205.64的地址发邮件请求过来,反垃圾邮件设备将这个地址提交到cbl上进行查询:[/size][size=2]首先组合成地址 202.96.205.64.cbl.anti-spam.org.cn 通过本机设置的dns服务器,如电信的dns202.96.209.5 发送查询请求,通过dns缓存或递归查询到cbl.anti-spam.org.cn的地址,将202.96.205.64做为子域的形式提交查询,根据cbl.anti-spam.org.cn返回的结果来判断是否这个ip被加入了该rbl中,一般情况下如果返回无效记录/空记录的,证明这个地址不在这个rbl那,返回具体内容的表示该ip在该rbl中(一般的rbl都返回一个127.0.0.1的本机地址表示)。[/size]
[size=2]这里附带介绍下dns劫持的产生:通过上面的rbl查询过程描述,大家应该清楚了,dns劫持就是发生在电信dns在返回由rbl组织服务器发回的无效记录/空记录德时候,将无效记录/空记录改成了其自己的地址,从而将查询请求劫持到其臭名昭著的“互联星空”或“114”上。关于这方面如果需要进一步详细了解的,可以参考下面这篇由一位梭子鱼代理商工程师写的非常好的文章:[/size][size=2][color=#666666][url=http://www.5dmail.net/html/2007-3-14/2007314190104.htm]http://www.5dmail.net/html/2007-3-14/2007314190104.htm[/url][/color][/size]
[size=2][b]rbl的使用[/b]:[/size]
[size=2]由此可见,使用rbl进行过滤的时候,dns的性能和选择是很重要的。要顺利的使用rbl服务,除了要有一个良好的网络宽带环境外,dns服务器的选择和设置,防火墙上允许相关的dns端口等的设置都是很有关系的,大家在使用下面的常用rbl列表中的rbl服务器的时候,可以考虑使用网通等的dns做解析。[/size]
[size=2][b]常用的rbl列表[/b]:[/size]
[size=2]**l.spamhaus.org[/size]
[size=2]xbl.spamhaus.org spamhaus是目前世界上最大的也是最权威的第三方rbl组织之一,它提供了**l和xbl两个动态黑名单列表[/size]
[size=2]relays.ordb.org [url=http://www.ordb.org/][color=#666666]www.ordb.org[/color][/url]提供的开发转发地址列表,一个老牌的rbl[/size]
[size=2]bl.spamcop.net 位于俄国的反垃圾邮件组织spamcop提供的rbl[/size]
[size=2]cbl.anti-spam.org.cn[/size]
[size=2]cdl.anti-spam.org.cn 中国反垃圾邮件联盟提供的rbl,分为cbl+,cbl,cdl等多个动态黑名单列表[/size]
[size=2]其他还有:
infinite-monkeys proxies.relays.monkeys.com
njabl dn**l.njabl.org
osirusoft.com relays.osirusoft.com
maps-rbl blackholes.mail-abuse.org
maps-dul dialups.mail-abuse.org
maps-rss relays.mail-abuse.org
maps-rbl+ rbl-plus.mail-abuse.ja.net
easynet-dn**l blackholes.easynet.nl
easynet-proxies proxies.blackholes.easynet.nl
easynet-dynablock dynablock.easynet.nl
osirusoft-spews spews.relays.osirusoft.com
等100多个([url=http://www.declude.com/junkmail/support/ip4r.htm][color=#666666]http://www.declude.com/junkmail/support/ip4r.htm[/color][/url])。[/size]
[size=2][b]梭子鱼黑名单(bbl):[/b]
[/size][size=3][/size]
[size=3][size=2]由业界最著名的反垃圾邮件公司梭子鱼提供的全球黑名单列表:bbl——barracuda block list。[/size][/size]
[size=3][size=2]梭子鱼公司凭借其强大的实力,以全球4万多台梭子鱼设备和许多的蜜罐为基础,收集和创建了bbl,此前已经正式在梭子鱼所有客户设备上开始工作了。[/size][/size]
[size=3][size=2]如果由于受dns劫持影响而罢工的常用rbl,可以关闭他们,只启用bbl。梭子鱼中心提供了bbl库的查询和撤销通道:[url=http://www.barracudacentral.com/index.cgi?p=iplookup][color=#666666]http://www.barracudacentral.com/index.cgi?p=iplookup[/color][/url][/size][/size]
[size=3][size=2][color=#666666][/color][/size][/size]
[size=3][size=2][b]静态黑白名单(ip黑白名单)设定[/b]:[/size][/size]
[size=3][size=2]由于rbl是针对ip进行屏蔽的,快速高效的同时,难以避免会有误判的情况发生,因此做为补充手段,梭子鱼以及大部分反垃圾邮件设备都提供了这个静态黑白名单的设置做为补充。[/size][/size]
[size=3][size=2]需要清楚的是,这里的静态黑白名单的设置优先级是高于rbl动态黑白名单服务的。因此可以手动添加一些ip地址来避免和排除在rbl的阻断之外。 [/size] [/size]
[b]注:新的一些梭子鱼版本(3.4.10.x以上)已经添加了一个专用的“排除rbl列表”的设置,来专门用于设置排除的这类ip。[/b]
