VIRBL

VIRBL was een anti-virustool die door mailserverbeheerders (zoals serviceproviders of privéorganisaties) gebruikt kon worden om de ontvangst van met virussen besmette mailberichten te verminderen. De naam staat voor VIRus BLacklist.

Principe

De VIRBL is een database met de IP-adressen van mailservers die in het recente verleden ten minste twee besmette mailberichten hebben verstuurd naar een van de servers van de meewerkende providers.^[1]
Om gebruik te maken van de blacklist kan een mailserver geconfigureerd worden dat deze op elk binnenkomend mailbericht het IP-adres van de verzendende server checkt of deze opgenomen is in de blacklist VIRBL. Indien het IP-adres opgenomen is in de lijst, kan de server het binnenkomende bericht weigeren en een melding aan de afzender versturen waarom zijn mailbericht niet is afgeleverd.

Opgenomen worden in de blacklist

Een IP-adres wordt opgenomen in de blacklist als vanaf dat IP-adres ten minste twee besmette mailberichten verstuurd zijn naar de servers van de deelnemende providers. De ontvangende servers bewaren de gegevens 7 dagen, en je wordt opgenomen als er ten minste twee besmette mailtjes in de laatste 24 uur zijn verstuurd vanaf of via betreffende server.

Een probleem met het principe van blacklists is dat het effect van opname van een mailserver van een grote provider volgens sommigen onevenredig verstrekkend is ten opzichte van het vergrijp. Als een mailserver van een heel grote provider opgenomen wordt, omdat er toevallig twee virussen van -bijvoorbeeld- een klant door de bestaande virusscanner heeft laten glippen, kan geen enkele klant van die provider nog mails versturen naar bestemmingen die gebruikmaken van deze dienst. Dit overkwam bijvoorbeeld @Home, onderdeel van Ziggo^[2]. Dit probleem is te voorkomen door opgenomen te worden in de tegenhanger van de blacklist: de whitelist. Mailserverbeheerders die volgens de initiatiefnemers een voldoende sterk beleid hebben om virusverspreiding te voorkomen kunnen opname in de whitelist aanvragen^[3].

Verwijdering uit de lijst

Als er vanaf een bepaalde mailserver minder dan twee besmette berichten verstuurd zijn gedurende de afgelopen 24 uur wordt het IP-adres van die mailserver automatisch verwijderd. In uitzonderlijke gevallen kan handmatig worden ingegrepen.^[2]

Reden van gebruik

Volgens de initiatiefnemers is het gebruik van deze, en andere vergelijkbare blacklists, een methode om de overlast veroorzaakt door besmette mailberichten te verminderen. Een mailserver die deze blacklist gebruikt weigert binnenkomende mailberichten van de servers die in de lijst zijn opgenomen. De virusscanner van de mailserver en/of ontvanger van het mailbericht wordt hierdoor ontlast doordat de potentieel besmette berichten nooit worden ontvangen.
Ook zou het de beheerders van de blacklisted servers dwingen om actie te nemen tegen het verspreiden van virussen via hun mailservers. Als beheerders van mailservers geen maatregelen nemen om verspreiding van virussen via hun mailservers tegen te gaan, worden ze opgenomen in de blacklist en kan geen enkele gebruiker van die server nog mail versturen naar veel andere mailservers (nl. alle servers die de VIRBL database gebruiken). Omdat veel ISP's de blacklist gebruiken zullen beheerders van blacklisted servers klachten krijgen van hun gebruikers.

Technisch

De blacklist werkte, net als diverse andere antivirus- en spamblacklists, op basis van het DNS-protocol. De blacklistserver was eigenlijk een gewone DNS-server maar dan met een speciale database met IP-adressen van opgenomen mailservers.

De database kon op twee manieren worden gebruikt: voor mailservers die betrekkelijk weinig verkeer ontvangen kan rechtstreeks gebruikgemaakt worden van de blacklist-server virbl.dnsbl.bit.nl: elk binnenkomend mailtje op een mailserver resulteert in een request bij deze server. Omdat gebruik wordt gemaakt van het DNS-protocol worden dubbele requests voorkomen: een IP-adres dat recent al is opgevraagd bij de blacklist hoeft niet opnieuw te worden opgevraagd omdat de informatie enige tijd in cache kan worden bewaard.

Voor mailservers die veel verkeer verwerken kan het efficiënter zijn om een eigen kopie van de blacklistserver te gebruiken. Via de website van het project kon de actuele database gedownload worden. De database werd in drie formaten aangeboden:

• BIND - voor BIND DNS-servers of andere servers die dit formaat ondersteunen
• RBLDNSB - voor servers die het file-format gebruiken volgens RBLDNSB: een speciale kleine en snelle DNS-server speciaal voor gebruik als DNSBL ofwel blacklistserver.
• plaintext - voor alle overige toepassingen. Deze lijst is een leesbare ASCII tekstfile die, na een header-regel met timestamp, uitsluitend een opsomming van alle opgenomen IP-adressen bevat, met 1 IP-adres per regel.

Deze laatste keuze kan vervolgens gebruikt worden voor omzetting naar elk gewenst formaat voor de eigen DNS-server of andere toepassing.

Initiatiefnemers

Deze virus-blacklist was een initiatief van een aantal deelnemers van de RIPE bijeenkomst van drie tot zeven mei 2004 in Amsterdam en wordt gehost door internetprovider BIT in Ede. Behalve deze provider stonden er bij zeven andere Nederlandse providers ontvangers die binnenkomende mail checkten op virussen en bij ontvangst van virussen betreffende server rapporteerden voor eventuele opname in de lijst.

Gebruikers

Naast de acht deelnemers gebruikten veel providers deze blacklist. Omdat de genoemde deelnemers Nederlandse providers zijn is de blacklist vooral gericht op Nederland. Een aantal grote en ook kleinere providers gebruikten deze blacklist, al dan niet in combinatie met andere blacklists.

Zie ook

• DNSBL

Bronnen Lijst van deelnemende bedrijven. Meldingen email problemen @Home op 8 oktober 2008 als gevolg van opname Voorwaarden voor opname op de whitelist VIRBL by BIT - hoofdpagina VIRBL