如何架設一個簡易的實時黑名單服務器

　　在有些情況下，你可能需要架設一個自己的實時黑名單服務器，用來為自己的郵件服務器或自己的用戶提供實時黑名單服務。這里我們簡單說明一下如何架設一個簡易的實時黑名單服務器。

　　前面我們提到，實時黑名單服務通常是通過DNS服務來進行的，那么本質上說，實時黑名單服務器就是一個有特定數據的DNS服務器。只是如果作為公開的實時黑名單服務運行，要考慮更多的服務特性罷了。
 

1. 首先，你需要安裝并運行一個DNS服務器。通常，我們使用BIND來做DNS服務器。當然，你可以使用任何一種DNS服務器來做實時黑名單服務，只是有些服務器并不適合提供大量的實時黑名單查詢。
2. 然后，你需要建立黑名單數據區域。比如，你的黑名單服務叫做myrbl.com，那么你在DNS中建立一個myrbl.com的區域（zone）。你的DNS除了這個區域外，其他的區域也可以存在。
3. 接著，你需要建立黑名單數據，在區域數據文件中，添加你的黑名單數據。比如，你要將11.22.33.44加入黑名單，那么你的區域數據文件中應該有如下一行：
   

   44.33.22.11       IN        A           127.0.0.2

   
   如何建立一個合法的區域數據文件，這里就不再贅述了，請參考各種DNS的配置手冊。
4. 現在，你可以重新啟動你的DNS服務器了。重啟完成后如果沒有報錯，測試一下你剛剛加入的黑名單是否可以查詢到：
   

   dig 44.33.22.11.myrbl.com.

   
   如果查詢結果中有你解析的地址：127.0.0.2，那么恭喜你，你的黑名單服務器已經架設成功了。
5. 最后，設置你的郵件服務器使用你自己的黑名單服務器吧。

　　雖然，架設一個黑名單服務器并不是特別困難，但是維護一個黑名單服務器卻要花費較大的精力。而且如果黑名單服務器的訪問量大的話（黑名單服務器要比通常的DNS服務器的訪問量要大的多，一般提供公開服務的黑名單服務器都是多臺并行使用的，如本站就使用了5臺黑名單服務器），如何微調DNS的行為，甚至對DNS服務器軟件進行修改就需要一些較多的考慮了



為了有效地拒絕來自惡意的垃圾郵件來源站點和/或被利用的垃圾郵件來源站點所發來的垃圾郵件，最直接和有效的辦法就是拒絕該來源的連接。

　　雖然從理論上說，這樣也有可能會拒絕掉來自該站點的正常郵件，從而造成郵件不能正常的投遞，但是有以下理由支持我們這樣做：

• 接收任何來源的郵件則有可能導致郵箱中充滿了垃圾郵件，影響了郵件服務器的性能和容量以及帶來高額的帶寬費用，而且導致了收取郵件的人浪費了不必要時間處理這些垃圾郵件；
• 通過程序過濾垃圾郵件不但從技術上不能保證完全可靠，而且會對服務器帶來很多負載；
• 通過人工一一分揀郵件基本上是不可行的，不但從工作量上不可承受，而且有可能會帶來隱私問題；
• 通過拒絕惡意的垃圾郵件站點的連接，可以使垃圾郵件的實際發送量下降，從而縮小了垃圾郵件市場和壓制了垃圾郵件的發展；
• 通過拒絕被利用的垃圾郵件來源站點的連接，可以使該站點的管理員能充分認識到被利用所帶來的后果，從而消除被利用的條件。

　　綜合以上利弊，我們認為，通過將確認后的垃圾郵件來源站點（無論是否是惡意與否）放入一個黑名單（Blackhole List），然后通過發布該名單來保護郵件服務器不受到黑名單中站點的侵擾確實是一個目前對抗日益嚴重的垃圾郵件的行之有效的方法。

　　目前在黑名單技術上最流行的是實時黑名單（Realtime Blackhole List，簡稱RBL）技術。通常該技術是通過DNS方式（查詢和區域傳輸）實現的。目前國外流行的幾個主要的實時黑名單服務器都是通過DNS方式提供的，如Mail-Abuse的RBL、RBL+等。國內目前只有本站發布了公開的RBL服務（參見 CBL/CDL/CBL+/CBL-）。

　　實時黑名單實際上是一個可供查詢的IP地址列表，通過DNS的查詢方式來查找一個IP地址的A記錄是否存在來判斷其是否被列入了該實時黑名單中。舉例來說，比如如果要判斷一個地址11.22.33.44是否被列入了黑名單，那么使用黑名單服務的軟件會發出一個DNS查詢到黑名單服務器（如cbl.anti-spam.org.cn），該查詢是這樣的：查找 44.33.22.11.cbl.anti-spam.org.cn 是否存在A記錄？如果該地址被列入了黑名單，那么服務器會返回一個有效地址的答案。按照慣例，這個地址是127.0.0.0/8內的地址如127.0.0.2（之所以使用這個地址是因為127/8這個地址段被保留用于打環測試，除了127.0.0.1用于打環地址，其它的地址都可以被用來做這個使用，比如有時候還用127.0.0.3等。）。如果沒有列入黑名單，那么查詢會得到一個否定回答（NXDOMAIN）。

　　有時候，由于郵件服務器非常繁忙，而郵件服務器每收到一封信就要做一個查詢，雖然單個查詢非常快，但是過多的對黑名單服務器的查詢會導致查詢響應遲緩。在這種情況下，可以通過使用DNS的區域傳輸，將黑名單服務器的數據傳輸到本地的DNS服務器，然后對本地的DNS服務器進行查詢即可。區域傳輸可以設置為手工更新、定時更新或自動更新等方式，這依賴于你的應用。

　　黑名單服務器的DNS查詢和區域傳輸，并不是都可以隨意使用的。有些服務器可供任何人查詢和區域傳輸，而有些只對特定的用戶開放。通常實時黑名單服務器都是不開放區域傳輸功能的。中國反垃圾郵件聯盟所提供的CBL/CDL/CBL+/CBL-都是免費查詢的，不需要申請即可使用；而它們的區域傳輸通常是不開放的。

　　目前大多數的主流郵件服務器都支持實時黑名單服務，如Postfix、Qmail、Sendmail、IMail等等。關于這些服務器如何使用黑名單服務的具體細節請參見本站的其它文章。

　　黑名單服務的提供和黑名單的維護由黑名單服務提供者來提供和維護。所以該名單的權威性和可靠性就依賴于該提供者。通常多數的提供者都是比較有國際信譽的組織，所以對于該名單來說還是可以信任的。

　　不過由于多數的黑名單服務提供者是國外的組織和公司，所以其提供的黑名單并不能有效地反映出國內的垃圾郵件情況，因此國內使用實時黑名單服務的郵件商很少，這也是我們之所以要提供自己的實時黑名單服務的原因。我們希望通過提供一個主要針對國內的垃圾郵件狀況和動態地址分布的黑名單來為有效地遏制垃圾郵件做些有益的貢獻。