DNS Sınamaları
Önceki Teknikler Sonraki
DNS Sınamaları
SMTP bağlantısı kurmak isteyen tarafın dürüstlüğünün belirtileri Alan Adı Sistemi'nden doğrudan toplanabilir, hatta bu SMTP komutlarının alınmasından önce yapılabilir. Bunun için, belirli koşulları yerine getirenlerin ya da bunlarla çeliştikleri bilinenlerin IP adreslerini bulmak için çeşitli DNS karalistelerine başvurulabilir ve/veya konağın genel olarak dürüstlüğünün ayırıcı bir belirtisi olan normal/ters DNS çifti arasındaki uyuma bakmak için basit bir DNS sorgusu yapılabilir.
Bununla birlikte, SMTP diyaloğu sırasında sunulan çeşitli veri öğeleri (örn, selamlaşmada belirtilen isim) alındıktan sonra bunlar DNS doğrulamasına konu edilebilir. Bu veri öğelerinin açıklamalarını SMTP Sınamaları bölümünde bulabilirsiniz.
Yalnız, DNS sınamalarının olumsuz sonuçları tek başına spamın belirtisi olarak ele alınamaz (Sınama için kullanılan sunucu bir sorundan dolayı yanıt vermeyebilir). Bununla birlikte, eğer çok meşgul bir site iseniz, her ileti için harcanacak işlem zamanı pahalıya malolabilir. Bu durumda şu söylenebilir, DNS sınamaları oturum açabilmek için yararlı bilgileri elde edebilmek için ve/veya daha karmaşık dürüstlük sınalamarının bir parçası olarak kullanılabilir.
DNS Karalisteleri
DNS karalisteleri, aktarım sırasında spam engelleme amacıyla kullanılmak üzere oluşturulmuş araçlardır[32]
DNS adresine ("A" kaydı) ek olarak bir girdinin "TXT" kaydına da bakmak isterseniz, bir SMTP red yanıtında kullanılabilecek tek satırlık bir liste açıklaması alırsınız. Bunu denemek isterseniz, çoğu Unix ve Linux sisteminde bulunan "host" komutunu kullanabilirsiniz:
host -t txt 2.0.0.127.dnsbl.sorbs.net
Bu listelerin farklı listeleme/listelememe kuralları olan yüzlerce çeşidi vardır. Bazı listeler bu farklı listeleme kurallarının bir bütünü olarak tek bir liste oluşturup, ters DNS sorgularına belirtilen adresin etkilendiği koşullara uyan farklı bir veri ile yanıt verirler. Örneğin, sbl-xbl.spamhaus.org'a yöneltilen bir ters DNS sorgusuna, SpamHaus kadrosu tarafından spamcılara ve onların İSS'lerine ait olduğunu sanılan IP adresleri için 127.0.0.2, Zombi Konaklar için 127.0.0.4 ve Açık Vekil sunucuları için 127.0.0.6 yanıtı döner.
Ne yazık ki, bu listelerden bazıları iyi tanımlanmamış listeleme kurallarıyla listelenen adresler hakkında yanlış bilgiler verirler ve iddia ettikleri çelişkilere uygun olmayan büyük IP bloklarını içerirler[33]. Böyle listelere körükörüne güvenmek çoğunlukla Çevresel Bozunma olarak bilinen (Dolaylı Spam sonucu olmayan) duruma yolaçar.
Bu sebeplerden, DNS karalistelerine bağlı tek bir olumlu yanıta bağlı kalarak posta teslimatlarını reddetmek yerine, çoğu yönetici bu listeleri biraz daha ayrıntılı bir inceleminin konusu yaparlar. Çeşitli listelere başvurup her olumlu yanıta bir puan verirler. Toplam puanın önceden belirlenmiş bir eşiği aşması durumunda bu adresten gelen teslimatı reddederler. DNS listelerinin bu şekilde kullanımı daha çok SpamAssassin (bkz. Spam Tarayıcıları) gibi filtreleme yazılımlarının kullandıkları yöntemi andırır.
Böyle listelerin bir diğer kullanım şekli de, SMTP aktarımına koşullu gecikmeler koymuşsanız (nam-ı diğer "katran çukuru") bunların tetiklenmesi için kullanımıdır. Eğer bir konak DNS karalistesindeyse, bu konağın gönderdiği her komuta bir gecikme ile (örn, 20 saniye) yanıt vermek tercih edilebilir. Bu tür gecikmeleri tetiklemek için kullanılabilen başka önkoşullar da vardır; SMTP Aktarımının Geciktirilmesi bölümüne bakınız.
DNS Düzgünlük Sınamaları
DNS kullanımının diğer bir yolu karşı tarafın IP adresinde bir ters DNS kaydı olup olmadığına bakmaktır. Bu tür sorguların sonucu, böyle bir kayıt varsa, bir alan adı olacaktır. Bu sonuç özgün IP adresini de içeriyorsa, DNS düzgünlüğü doğrulanmış olur. Aksi takdirde, bağlanan konağın DNS bilgileri geçersiz kabul edilir.
Eğer DNS polislerinden biriyseniz, bunu postaların reddedilmesi için bir önkoşul olarak kullanabilirsniz. Kişisel alanınızın posta alıcısını buna göre yapılandırır, meşru posta göndericilerine, sistem yöneticilerinin DNS kayıtlarını düzeltmelerini istemeleri için onlara uyarılar gönderebilirsiniz. Bunun dışında, DNS düzgünlük sınamalarının sonucu daha kapsamlı bir filtrelemenin parametrelerinden biri olarak kullanılabilir. Ancak, yukarıdaki gibi DNS kayıtları yanlış yapılandırılmış konaklar için sırf ters DNS kaydı düzgün değil diye SMTP aktarım gecikmeleri kullanmak iyi bir fikir olmayabilir.


[32] Karaliste denince “mail-abuse.org” anlaşıldığından bunlara DNS karalisteleri - DNSbl - ya da daha tanımlayıcı olarak “Gerçek zamanlı Karadelik Listeleri” denir.
Farklı amaçlar için kullanılan benzer listeler de vardır. Örneğin, “bondedsender.org” bir DNS aklistesidir (DNSwl); bunlarda kayıtlı olan “güvenilir” IP adreslerinin sahipleri kendilerinden bir spam kaynaklandığı takdirde bir ceza ödemeyi (bir senetle) taahhüt etmişlerdir. Diğer listeler, ülkelere ve İSS'lere özel IP adresleri içeren listelerdir.
[33] Örneğin, dünyanın en büyük İSS'sinin, comcast.net'in posta aktarımcıları bu belgenin yazımı sırasında SPEWS'in 1. seviye listesine kaydedilmişti. Comcast'ın kendi müşterilerini kurallara uymaya daha etkin zorlaması gerektiğinden bu tamamen haksız bir uygulama olmasa da, bunun sonuçlarından benim gibi bunda hiç suçu olmayanlarla birlikte, ABD internet kullanıcılarının %30'u etkileniyor.
Duruma açıklık kazandırmak için SPEWS SSS'inde yayınlanmış olan açıklamaya bakalım: 1. seviye listesi ekseriyetle, birkaç meşru müşterisi varmış gibi görünen ama genelde spamcılar veya spam işlemine destek verenlerin sahibi oldukları IP bloklarından oluşur. Teknik olarak, bu bilgi doğrudur, ancak (a) Comcast'ın bir “spam destekçisi” olduğunu, (b) “diğerleri”nin azınlık olduğunu varsayarsanız. Duruma bakınca bu bilginin açıkça yanlış olduğu görülür.
Önceki Üst Ana Başlık Sonraki
SMTP Aktarımının Geciktirilmesi Başlangıç SMTP Sınamaları
Bir Linux Kitaplığı Sayfası