DNSBL : qu’est-ce que le DNS Black Listing ?

Même à l’ère de Facebook, WhatsApp et des ap­pli­ca­tions de mes­sa­ge­rie de toutes sortes, le courrier élec­tro­nique reste un des moyens de com­mu­ni­ca­tion les plus utilisés. Pour garantir un usage sûr et protégé des emails, il est aujourd’hui plus important que jamais de savoir comment re­con­naître les spams et les éviter. Une certaine prudence doit encore être exercée, des décennies après l’envoi des premiers messages de spam.

En pratique, aujourd’hui, de puissants mé­ca­nismes de défense tels que le très répandu grey­lis­ting in­ter­cep­tent un grand nombre d’emails in­dé­si­rables, voire nuisibles. Cette méthode a été rendue possible par une autre méthode plus ancienne : le DNS Black Listing (DNSBL), des « listes noires » d’adresses élec­tro­niques d’ex­pé­di­teurs d’origine douteuse qui peuvent être con­sul­tées en temps réel. Dans ce qui suit, nous cla­ri­fie­rons ce qu’est exac­te­ment le DNS Black Listing, comment ça fonc­tionne en détail et quels avantages et in­con­vé­nients cette méthode apporte.

DNSBL est un acronyme anglais, dans sa forme longue Domain Name System-based Blackhole List (ou DNS-based Blackhole List), c’est à dire une liste noire basée sur le DNS. C’est un service qui permet au serveur de mes­sa­ge­rie de vérifier le potentiel de spam de dif­fé­rentes adresses IP ra­pi­de­ment et fa­ci­le­ment. À cette fin, une DNSBL dispose d’une liste d’adresses connues pour expédier des spams. Un serveur de mes­sa­ge­rie peut l’inspecter en temps réel via une requête DNS. Une grande partie du logiciel serveur peut être con­fi­gu­rée de telle manière que plusieurs listes noires DNS soient con­sul­tées afin d’offrir à l’uti­li­sa­teur la meilleure pro­tec­tion possible contre les messages in­dé­si­rables. Si la requête d’une DNSBL aboutit à une ré­so­lu­tion, le message du cor­res­pon­dant ou l’adresse email est bloquée ou encore marquée comme spam.

Quand on parle de DNSBL, on entend encore souvent parler de la Real-time Blackhole List (RBL). Parfois les deux termes sont utilisés comme synonymes, bien que ce ne soit pas tout à fait correct. La RBL n’est que l’une des méthodes DNSBL proposées, bien qu’une des plus im­por­tantes. En 1997, elle est devenue la première liste of­fi­cielle de DNS Black Listing dans le cadre de l’ini­tia­tive anti-spam Mail Abuse Pre­ven­tion Systems (MAPS).

À l’origine, Paul Vixie, l’in­for­ma­ti­cien derrière RBL, a publié une liste de blocage des spams (appelée alors « blacklist ») non pas en tant que DNSBL, mais en tant que flux BGP (Border Gateway Protocol). Le flux contenait une liste d’adresses de spam connues qui ont été trans­mises aux routeurs des abonnés (prin­ci­pa­le­ment des opé­ra­teurs de réseau) via le protocole BGP. Le dé­ve­lop­peur Eric Ziegast, qui a travaillé avec Vixie sur le projet MAPS, a initié un peu plus tard le passage à la trans­mis­sion DNS, plus efficace.

L’exécution d’un service de requête DNSBL nécessite trois éléments :

• un domaine sous lequel la DNSBL est hébergée
• un serveur-racine pour ce domaine (pour la ré­so­lu­tion de la requête)
• une liste d’adresses IP rendues dis­po­nibles (via une requête DNS)

La tâche la plus difficile dans la prise en charge d’une DNSBL est sans aucun doute la cons­truc­tion de la liste elle-même. Les opé­ra­teurs doivent dé­ve­lop­per une stratégie claire dé­fi­nis­sant ce que le service doit re­pré­sen­ter, et la pour­suivre sur le long terme afin de gagner et de maintenir la confiance des uti­li­sa­teurs. Des di­rec­tives (Policies) spé­ci­fiques publiées donnent un aperçu de ce que signifie une ins­crip­tion dans une DNSBL et éclaire la situation en ce qui concerne les trois points men­tion­nés ci-dessus : « Des­ti­na­tion », « Source(s) » et « Durée de vie ».

Du côté des serveurs de mes­sa­ge­rie qui ont choisi d’utiliser une DNSBL pour la vé­ri­fi­ca­tion des spams, un tel service fonc­tionne très fa­ci­le­ment :

1. L’ordre des octets de l’adresse IP de l’ex­pé­di­teur à vérifier est inversé. Une adresse 192.168.11.12 devient par ex. 12.11.168.192.
2. Le nom de domaine de la DNSBL est ajouté : 12.11.168.192.dnsbl.exemple.net.
3. Le serveur racine de la liste de blocage est main­te­nant recherché pour voir s’il existe un A-Record cor­res­pon­dant à cette adresse. Si tel est le cas, le serveur de mes­sa­ge­rie reçoit en retour une adresse qui lui signale en même temps que le client est sur la liste de blocage. Si l’adresse n’est pas ré­per­to­riée, le code « NXDOMAIN » est renvoyé.
4. Si une adresse IP est ré­per­to­riée dans la DNSBL, le serveur de mes­sa­ge­rie peut éven­tuel­le­ment re­cher­cher le nom sous la forme d’une entrée de texte (en­re­gis­tre­ment TXT). De cette façon, il est souvent possible de savoir pourquoi le client en question est sur la liste.

L’uti­li­sa­tion la plus populaire et la plus ancienne des DNSBL comme la RBL est la fonction mise en évidence dans cet article, c’est-à-dire la base de filtrage anti-spam des serveurs de mes­sa­ge­rie. Mais les listes ainsi créés sont également utilisées dans d’autres logiciels ou à d’autres fins :

Logiciel d’analyse de spam basé sur des règles : pour une éva­lua­tion plus complexe d’un plus grand nombre de DNSBL, les pro­grammes anti-spam basés sur des règles comme Spa­mas­sas­sin peuvent être utilisés. Un tel logiciel utilise une règle distincte pour chaque DNSBL qui, combinée à d’autres règles, peut être utilisée pour évaluer un message entrant. De cette manière, les emails ne sont pas triés de manière globale, parce qu’ils seraient sur une DNSBL, mais se re­trou­vent dans le dossier spam en raison des critères spécifiés. Cependant, le processus de ré­cu­pé­ra­tion des nouveaux messages prend alors po­ten­tiel­le­ment plus de temps.

Com­bi­nai­son avec d’autres types de listes : l’une des tâches les plus im­por­tantes de l’ad­mi­nis­tra­tion d’une DNSBL est la main­te­nance régulière de la liste. Les messages finiront par erreur dans le dossier spam si les entrées ne sont pas à jour. Pour éviter cela, certains filtres sont utilisés en com­bi­nai­son avec d’autres types de listes, comme les listes d’au­to­ri­sa­tion ou de passage (« listes blanches »). En fonction du logiciel et des pa­ra­mètres par exemple, les entrées d’adresse dans une liste blanche peuvent être mieux notées que les entrées (dans la plupart des cas obsolètes) de la même adresse dans une DNSBL.

Les DNSBL sont une ins­ti­tu­tion en matière de lutte anti-spam, en par­ti­cu­lier du point de vue de l’uti­li­sa­teur. Grâce à la pos­si­bi­lité d’in­ter­ro­ger les entrées ré­per­to­riées via DNS, les services pour les serveurs de mes­sa­ge­rie peuvent être utilisés ra­pi­de­ment et fa­ci­le­ment, de sorte que la boîte de réception filtrée n’a pas d’impact notable sur les per­for­mances. La méthode de requête est également facile à im­plé­men­ter pour les dé­ve­lop­peurs et les opé­ra­teurs de serveurs de mes­sa­ge­rie.

Cependant, les services DNS sont également associés à un certain nombre de problèmes et de dif­fi­cul­tés. Notamment en termes de fiabilité et de rapidité. Il n’y a gé­né­ra­le­ment aucune garantie que les entrées d’une DNSBL soient jus­ti­fiées et ré­gu­liè­re­ment ajustées par le four­nis­seur de Black Listing. En outre, il est souvent très difficile de supprimer des adresses élec­tro­niques du registre d’un DNS Black Listing. Dans le pire des cas, les uti­li­sa­teurs d’adresses IP autrefois piratées, qui ont été dé­tour­nées pour le spam, n’ont que très peu d’options pour rendre leur adresse à nouveau ac­cep­table.

Si vous envoyez ré­gu­liè­re­ment une grande quantité d’emails, vous devez ab­so­lu­ment penser aux IP dédiées chez un four­nis­seur de confiance, afin d’avoir la ré­pu­ta­tion de l’adresse entre vos propres mains et un par­te­naire solide à vos côtés en cas de litige.