DNSBL : qu’est-ce que le DNS Black Listing ?

Même à l’ère de Facebook, WhatsApp et des applications de messagerie de toutes sortes, le courrier électronique reste un des moyens de communication les plus utilisés. Pour garantir un usage sûr et protégé des emails, il est aujourd’hui plus important que jamais de savoir comment reconnaître les spams et les éviter. Une certaine prudence doit encore être exercée, des décennies après l’envoi des premiers messages de spam.

En pratique, aujourd’hui, de puissants mécanismes de défense tels que le très répandu greylisting interceptent un grand nombre d’emails indésirables, voire nuisibles. Cette méthode a été rendue possible par une autre méthode plus ancienne : le DNS Black Listing (DNSBL), des « listes noires » d’adresses électroniques d’expéditeurs d’origine douteuse qui peuvent être consultées en temps réel. Dans ce qui suit, nous clarifierons ce qu’est exactement le DNS Black Listing, comment ça fonctionne en détail et quels avantages et inconvénients cette méthode apporte.

DNSBL est un acronyme anglais, dans sa forme longue Domain Name System-based Blackhole List (ou DNS-based Blackhole List), c’est à dire une liste noire basée sur le DNS. C’est un service qui permet au serveur de messagerie de vérifier le potentiel de spam de différentes adresses IP rapidement et facilement. À cette fin, une DNSBL dispose d’une liste d’adresses connues pour expédier des spams. Un serveur de messagerie peut l’inspecter en temps réel via une requête DNS. Une grande partie du logiciel serveur peut être configurée de telle manière que plusieurs listes noires DNS soient consultées afin d’offrir à l’utilisateur la meilleure protection possible contre les messages indésirables. Si la requête d’une DNSBL aboutit à une résolution, le message du correspondant ou l’adresse email est bloquée ou encore marquée comme spam.

Quand on parle de DNSBL, on entend encore souvent parler de la Real-time Blackhole List (RBL). Parfois les deux termes sont utilisés comme synonymes, bien que ce ne soit pas tout à fait correct. La RBL n’est que l’une des méthodes DNSBL proposées, bien qu’une des plus importantes. En 1997, elle est devenue la première liste officielle de DNS Black Listing dans le cadre de l’initiative anti-spam Mail Abuse Prevention Systems (MAPS).

À l’origine, Paul Vixie, l’informaticien derrière RBL, a publié une liste de blocage des spams (appelée alors « blacklist ») non pas en tant que DNSBL, mais en tant que flux BGP (Border Gateway Protocol). Le flux contenait une liste d’adresses de spam connues qui ont été transmises aux routeurs des abonnés (principalement des opérateurs de réseau) via le protocole BGP. Le développeur Eric Ziegast, qui a travaillé avec Vixie sur le projet MAPS, a initié un peu plus tard le passage à la transmission DNS, plus efficace.

L’exécution d’un service de requête DNSBL nécessite trois éléments :

• un domaine sous lequel la DNSBL est hébergée
• un serveur-racine pour ce domaine (pour la résolution de la requête)
• une liste d’adresses IP rendues disponibles (via une requête DNS)

La tâche la plus difficile dans la prise en charge d’une DNSBL est sans aucun doute la construction de la liste elle-même. Les opérateurs doivent développer une stratégie claire définissant ce que le service doit représenter, et la poursuivre sur le long terme afin de gagner et de maintenir la confiance des utilisateurs. Des directives (Policies) spécifiques publiées donnent un aperçu de ce que signifie une inscription dans une DNSBL et éclaire la situation en ce qui concerne les trois points mentionnés ci-dessus : « Destination », « Source(s) » et « Durée de vie ».

Du côté des serveurs de messagerie qui ont choisi d’utiliser une DNSBL pour la vérification des spams, un tel service fonctionne très facilement :

1. L’ordre des octets de l’adresse IP de l’expéditeur à vérifier est inversé. Une adresse 192.168.11.12 devient par ex. 12.11.168.192.
2. Le nom de domaine de la DNSBL est ajouté : 12.11.168.192.dnsbl.exemple.net.
3. Le serveur racine de la liste de blocage est maintenant recherché pour voir s’il existe un A-Record correspondant à cette adresse. Si tel est le cas, le serveur de messagerie reçoit en retour une adresse qui lui signale en même temps que le client est sur la liste de blocage. Si l’adresse n’est pas répertoriée, le code « NXDOMAIN » est renvoyé.
4. Si une adresse IP est répertoriée dans la DNSBL, le serveur de messagerie peut éventuellement rechercher le nom sous la forme d’une entrée de texte (enregistrement TXT). De cette façon, il est souvent possible de savoir pourquoi le client en question est sur la liste.

L’utilisation la plus populaire et la plus ancienne des DNSBL comme la RBL est la fonction mise en évidence dans cet article, c’est-à-dire la base de filtrage anti-spam des serveurs de messagerie. Mais les listes ainsi créés sont également utilisées dans d’autres logiciels ou à d’autres fins :

Logiciel d’analyse de spam basé sur des règles : pour une évaluation plus complexe d’un plus grand nombre de DNSBL, les programmes anti-spam basés sur des règles comme Spamassassin peuvent être utilisés. Un tel logiciel utilise une règle distincte pour chaque DNSBL qui, combinée à d’autres règles, peut être utilisée pour évaluer un message entrant. De cette manière, les emails ne sont pas triés de manière globale, parce qu’ils seraient sur une DNSBL, mais se retrouvent dans le dossier spam en raison des critères spécifiés. Cependant, le processus de récupération des nouveaux messages prend alors potentiellement plus de temps.

Combinaison avec d’autres types de listes : l’une des tâches les plus importantes de l’administration d’une DNSBL est la maintenance régulière de la liste. Les messages finiront par erreur dans le dossier spam si les entrées ne sont pas à jour. Pour éviter cela, certains filtres sont utilisés en combinaison avec d’autres types de listes, comme les listes d’autorisation ou de passage (« listes blanches »). En fonction du logiciel et des paramètres par exemple, les entrées d’adresse dans une liste blanche peuvent être mieux notées que les entrées (dans la plupart des cas obsolètes) de la même adresse dans une DNSBL.

Les DNSBL sont une institution en matière de lutte anti-spam, en particulier du point de vue de l’utilisateur. Grâce à la possibilité d’interroger les entrées répertoriées via DNS, les services pour les serveurs de messagerie peuvent être utilisés rapidement et facilement, de sorte que la boîte de réception filtrée n’a pas d’impact notable sur les performances. La méthode de requête est également facile à implémenter pour les développeurs et les opérateurs de serveurs de messagerie.

Cependant, les services DNS sont également associés à un certain nombre de problèmes et de difficultés. Notamment en termes de fiabilité et de rapidité. Il n’y a généralement aucune garantie que les entrées d’une DNSBL soient justifiées et régulièrement ajustées par le fournisseur de Black Listing. En outre, il est souvent très difficile de supprimer des adresses électroniques du registre d’un DNS Black Listing. Dans le pire des cas, les utilisateurs d’adresses IP autrefois piratées, qui ont été détournées pour le spam, n’ont que très peu d’options pour rendre leur adresse à nouveau acceptable.

Si vous envoyez régulièrement une grande quantité d’emails, vous devez absolument penser aux IP dédiées chez un fournisseur de confiance, afin d’avoir la réputation de l’adresse entre vos propres mains et un partenaire solide à vos côtés en cas de litige.