TOR DNSBL - blacklist for Tor servers / Schwarze Liste für Tor Server
Falls Sie aufgrund einer Fehlermeldung auf diese Seite aufmerksam geworden sind: Ihre IP ist evtl. in unserer DNSBL tor.dnsbl.sectoor.de eingetragen.
Information in english:
- Some informations about Tor
- Who gets listed
- Listing types: a tor server
- Listing types: a networking
- How to use this list
Informationen in Deutsch:
- Ein paar Informationen zu Tor
- Wer landet in der Liste
- Listgrund: ein Tor Server
- Listgrund: ein Netz
- Wie verwendet man diese Liste
Some informations about Tor
Tor is a connection-based low-latency anonymous communication system which addresses many flaws in the
original onion routing design.
Tor can be used to "bounce" tcp connections trough some nodes around the world,
leaving the tor network via some exit server. These exit servers are the "peer" you can see in your logs
if someone uses Tor to connect to your server.
Since nobody can control which ports are allowed
on the exit servers (the tor project itself denies smtp by default, but this can be changed) it's a
potential risk that someone abuses the tor network to hide his ip while he's spamming around.
More information can be found on the Tor webpage: http://www.freehaven.net/tor/
Who gets listed
Currently we list two types of hosts:
- IPs running a tor server itself
- Class C Networks they include a tor server
You may ask why we list complete networks? Well, it's because a tor server can do outgoing connections
on other ips (multiple ips per host) than the server runs on. Since normally a server operates in the
same class-c network we chose the listing of the entire class-c as second list type. But we use different
records for the two listing types. This makes it possible to choose what you want to block. You can read
more about this on the "how to use this list" section later.
Listing types: a tor server
We list every IP which is known to run a tor server. All listed IPs get a CNAME record to
torserver.tor.dnsbl.sectoor.de which has an A record of 127.0.0.1 and a TXT record
"TOR Server detected - see http://www.sectoor.de/tor.php for more information."
Listing types: a network
Sometimes we found ips used by tor which where not listed. This was because of every tor node can have
multiple ips. Tor can use a different ip for making outgoing connections then the ip on which the server
is listening on. To cover this, we list every class c network which includes a tor server, too.
To enable every user to choose between the two types, we list entire networks with a CNAME record
to torservernet.tor.dnsbl.sectoor.de which has an A record of 127.0.0.2 and a TXT record
"TOR Server Network detected - see http://www.sectoor.de/tor.php for more information."
How to use this list
To protect yourself or your service against abuse from tor users, you can use our DNSBL. Currently we just
see some use of this list for a few services like IRC Networks using BOPM. Since only a few nodes allow
outgoing SMTP connections, the usage of this list by smtp servers is probably low. To help you setting
up this dnsbl with your service, we'll give you a few examples. For now we'll only cover BOPM and Postfix
but if you have some other examples you want to share, feel free to contact us.
| BOPM: |
|
blacklist { name = "tor.dnsbl.sectoor.de"; type = "A record reply"; reply { 1 = "Tor exit server"; }; ban_unknown = no; kline = "KLINE *@%h :Tor exit server detected."; }; |
You can also add '2 = "Tor network";' in the reply case if you want to block complete networks including a tor server, too.
| Postfix: |
|
smtpd_recipient_restrictions =... reject_rbl_client tor.dnsbl.sectoor.de=127.0.0.1 |
As you can see, you'll have to put the reject_rbl_client option into your smtpd_*_restrictions (recipient restrictions are preferred). With =127.0.0.1 you limit postfix to just reject if the server is directly listed. If you want to block entire networks, too, put a second line into yout main.cf and change the 127.0.0.1 to 127.0.0.2. You also can remove the =127.0.0.1 completely. This will block every connect to your postfix server which is listed in tor.dnsbl.sectoor.de. This may not be what you want cause if we add more types of rejects with different lookup results they may block more than you want.
Ein paar Informationen zu Tor
Tor ist ein verbindungsorientiertes anonymes Kommunikationssystem mit niedriger Verzögerungszeit, das viele
Schwachstellen des ursprünglichen "Onion Routing"-Konzepts beseitigt.
Das Tor Netzwerk kann dazu genutzt werden, TCP Verbindungen über verschiedene Knotenpunkte, die über
die Welt verteilt sind, zu "bouncen" und das Netz dann über sog. "Exit Server" zu verlassen. Diese
Exit Server sind die "Gegenstelle" die in den Logs auftauchen wenn jemand das Tor Netzwerk nutzt.
Da niemand
wirklich kontrollieren kann welche Ports ein Exit Server erlaubt (das Tor Projekt selbst verbietet z.B.
SMTP per default, aber das kann jeder Serveradministrator ändern), besteht ein potentielles Risiko das
jemand das Tor Netzwerk missbraucht um seine IP bei Spam-Aktionen zu verbergen.
Mehr Informationen finden Sie auf der Tor Webseite: http://www.freehaven.net/tor/
Wer landet in der Liste
Im Moment listen wir zwei Arten von Hosts:
- IPs auf denen ein Tor Server läuft
- Class C Netzwerke in denen ein Tor Server steht
Falls Sie sich fragen warum wir komplette Netzwerke listen? Der Grund dafür ist, das ein Tor Server
unterschiedliche IPs (bei mehreren IPs pro Server) für ausgehende Verbindungen verwenden kann als
die, auf denen der Server selbst läuft. Normalerweise liegen diese verwendeten IPs im selben Class-C
Netz, daher haben wir uns entschlossen auch das komplette Netz zu listen. Allerdings verwenden wir dafür
unterschiedliche List-Typen. Damit kann jeder selbst entscheiden ob er nur die Tor Server IPs blocken möchte
oder auch die kompletten Netze. Darüber später mehr in "Wie verwendet man diese Liste".
Listgrund: ein Tor Server
Wir listen jede IP die als Tor Server bekannt ist. Jede gelistete IP bekommt ein CNAME
Record auf torserver.tor.dnsbl.sectoor.de der einen A Record auf 127.0.0.1 und ein TXT Record
"TOR Server detected - see http://www.sectoor.de/tor.php for more information."
besitzt.
Listgrund: Ein Netzwerk
Wir haben vereinzelt IPs gefunden, die nicht gelistet waren, aber von Tor genutzt wurden. Grund dafür
war, das ein Tor Server mehrere IPs haben kann. Tor kann entsprechend unterschiedliche IPs für
ausgehende Verbindungen nutzen. Um diese Server trotzdem zu listen, haben wir auch die Class-C Netze
in denen ein Tor Server steht in unsere Liste aufgenommen. Um jedem User die entscheidung selbst zu
überlassen ob er auch komplette Netze blocken möchte, listen wir komplette Netzwerke mit
einem CNAME Record auf torservernet.tor.dnsbl.sectoor.de. Dieser Host hat einen A Record auf 127.0.0.2
und einen TXT Record: "TOR Server Network detected - see http://www.sectoor.de/tor.php for more information.".
Wie verwendet man diese Liste
Um sich oder seine Server vor solchen Usern zu schützen, kann unsere DNSBL genutzt werden. Momentan
wird sich der Nutzen dieser Liste auf wenige Anwendungsgebiete, wie z.B. IRC-Netzwerke die BOPM verwenden,
beschränken. Da nur wenige Tor Server ausgehende SMTP Verbindungen erlauben, ist der Nutzen dieser Liste
für SMTP Server wohl eher gering. Um Ihnen beim Einrichten dieser DNSBL Liste zu helfen, haben wir
hier einige Beispiele aufgelistet. Momentan existieren nur Beispiele fuer BOPM und Postfix, falls Sie
aber weitere Beispiele haben, können Sie uns diese gern zusenden.
| BOPM: |
|
blacklist { name = "tor.dnsbl.sectoor.de"; type = "A record reply"; reply { 1 = "Tor exit server"; }; ban_unknown = no; kline = "KLINE *@%h :Tor exit server detected."; }; |
Wer möchte kann unter reply auch '2 = "Tor network";' hinzufügen um komplette Netze mit einem Tor Server zu blocken.
| Postfix: |
|
smtpd_recipient_restrictions =... reject_rbl_client tor.dnsbl.sectoor.de=127.0.0.1 |
Bei Postfix muss die reject_rbl_client option in den smtpd_*_restrictions (recipient restrictions eignen sich am besten) eingetragen werden. Mit =127.0.0.1 wird Postfix angewiesen nur zu rejecten, wenn der Server direkt gelistet ist. Falls komplette Netze gelistet werden sollen, muss eine 2. Zeile der reject_rbl_client Option hinzugefügt werden. Dort muss dann entsprechend 127.0.0.1 in 127.0.0.2 abgeändert werden. Alternativ kann man auch =127.0.0.1 komplett weglassen. Dies würde allerdings alle Verbindungen von Servern verbieten die in tor.dnsbl.sectoor.de gelistet sind. Da wir möglicherweise in Zukunft noch weitere Listinggründe hinzufügen werden, könnten dadurch mehr Server geblockt werden als erwünscht.
