DNS

DNSBL im DNS verständlich erklärt: Spam-Blocklisten

Zuletzt aktualisiert: 21. Juni 2026

Eine DNSBL (DNS-based Blackhole List, oft auch als RBL für Realtime Blackhole List bezeichnet) ist eine Echtzeit-Spam-Blockliste, die im E-Mail-Verkehr zur Identifizierung von Spam-Quellen eingesetzt wird. Das Besondere an DNSBLs ist, dass die Abfrage, ob eine bestimmte IP-Adresse als Spam-Schleuder bekannt ist, komplett über das klassische Domain Name System (DNS) abgewickelt wird.

Wie funktioniert eine DNSBL-Abfrage?

Wenn ein Mailserver eine Verbindung aufbaut, um eine E-Mail zuzustellen, prüft der Empfänger-Server die IP-Adresse des Absenders (z. B. 192.0.2.125) gegen eine oder mehrere DNSBLs (z. B. Spamhaus):

  1. Die IP-Umkehrung: Der Empfänger dreht die IP-Adresse um: 125.2.0.192.
  2. Die DNS-Anfrage: Der Empfänger hängt die Domain der Blockliste an und führt eine standardisierte A-Record-DNS-Abfrage aus: 125.2.0.192.zen.spamhaus.org
  3. Die Auswertung:
    • Nicht gelistet (Szenario A): Der DNSBL-Server antwortet mit dem Status NXDOMAIN (Domain existiert nicht). Der Absender ist sauber, die E-Mail wird angenommen.
    • Gelistet (Szenario B): Der DNSBL-Server liefert eine IP-Adresse zurück (typischerweise im Loopback-Bereich 127.0.0.x). Dies signalisiert dem Empfänger, dass die IP auf der Blacklist steht. Der Empfänger weist die E-Mail ab oder stuft sie direkt als Spam ein.

Die verschiedenen Arten von Blocklisten

  • IP-basierte Blocklisten (DNSBL): Prüfen die IP-Adresse des absendenden Mailservers. Sie blockieren infizierte PCs, offene Mail-Relays oder bekannte Spam-Netzwerke.
  • Domain-basierte Blocklisten (URIBL / SURBL): Prüfen nicht den Absender, sondern scannen den Textinhalt der E-Mail nach verlinkten Domains. Befinden sich in einer E-Mail Links zu Domains, die auf einer URIBL gelistet sind, wird die E-Mail als Spam blockiert.

Was tun bei einem Blacklist-Eintrag?

Landet die IP-Adresse Ihres eigenen Firmen-Mailservers auf einer DNSBL, hat dies katastrophale Auswirkungen auf den Geschäftsbetrieb: E-Mails an Partner und Kunden kommen unzustellbar zurück.

Schritte zur Behebung (Delisting):

  1. Ursachenforschung: IPs landen nicht ohne Grund auf Blocklisten. Suchen Sie nach dem Leck: Gibt es einen infizierten Client im Firmennetzwerk, der Spam versendet? Ist ein Kontaktformular ungesichert und wird für Spam-Zwecke missbraucht?
  2. Behebung: Schliessen Sie die Sicherheitslücke. Solange der Server weiterhin Spam versendet, ist jeder Löschungsversuch zwecklos.
  3. Austragung beantragen (Delisting Request): Besuchen Sie das Lookup-Portal des jeweiligen Listenbetreibers (z. B. Spamhaus, Barracuda). Dort können Sie nach der Beseitigung des Problems eine manuelle Löschung beantragen. Bei vielen Listen erfolgt die Löschung nach einigen Stunden automatisch, sofern kein neuer Spam mehr registriert wurde.

DNSBL-Rückgabecodes im Überblick

Eine gelistete IP liefert keine echte Internetadresse zurück, sondern einen Code im Loopback-Bereich 127.0.0.x. Die letzte Ziffer verschlüsselt den Listungsgrund. Die folgende Tabelle zeigt typische Spamhaus-Codes:

RückgabeBedeutungMassnahme des Empfängers
(NXDOMAIN)nicht gelistetMail annehmen
127.0.0.2verifizierte Spam-Quelle (SBL)Mail abweisen
127.0.0.3Snowshoe-Spam (CSS)Mail abweisen
127.0.0.4.7Exploits/offene Relays (XBL)Mail abweisen
127.0.0.10/.11dynamische IP (PBL)nicht für direkten Versand

Die Unterscheidung ist wichtig: Eine Listung in der PBL (Policy Block List) bedeutet nur, dass eine dynamische Endkunden-IP keine Mails direkt versenden sollte – ein normaler Zustand für Privatanschlüsse. Eine SBL-Listung dagegen ist ein ernstes Reputationsproblem.

Wichtige Blocklisten und ihr Fokus

Nicht jede DNSBL prüft dasselbe. Für eine aussagekräftige Diagnose lohnt sich der Blick auf mehrere Listen:

BlocklistePrüft primärCharakter
Spamhaus ZENIP (SBL/XBL/PBL kombiniert)Branchenstandard, sehr einflussreich
Barracuda (BRBL)IP-Reputationweit verbreitet
SURBL / URIBLDomains in Mail-Linksinhaltsbasiert
SpamCopaktuelle Spam-Reportsreagiert schnell, kurzlebig

Falls Ihre IP nur bei einer einzigen, wenig genutzten Liste auftaucht, ist der Schaden gering. Eine Listung bei Spamhaus ZEN hingegen führt fast überall zu Zustellproblemen und muss sofort behoben werden.

Praxisbeispiel: Firmen-Mailserver wird gelistet

Ein Unternehmen stellt fest, dass Mails an Kunden zurückkommen:

  • Ursache: Ein kompromittierter PC im internen Netz versendet über den Firmen-Mailserver Spam. Die Server-IP landet auf Spamhaus SBL (127.0.0.2). Gleichzeitig fällt auf, dass der PTR-Record generisch ist und kein sauberer SPF-Record existiert – beides verschlimmert die Reputation.
  • Lösung: Der infizierte Client wird isoliert, die Sicherheitslücke geschlossen. Anschliessend werden ein korrekter PTR, ein strikter SPF-Record und eine DMARC-Policy eingerichtet. Nach dem Delisting-Antrag bei Spamhaus wird die IP innerhalb weniger Stunden ausgetragen.

Die Lehre: Ein DNSBL-Eintrag ist immer ein Symptom, nie die Ursache. Erst die Beseitigung der Spam-Quelle plus saubere E-Mail-Authentifizierung stellt die Zustellbarkeit dauerhaft wieder her.

Checkliste: DNSBL-Einträge vermeiden

  • Reverse DNS pflegen: Ein korrekter PTR-Record, der auf den Mail-Hostnamen zeigt, ist Pflicht.
  • SPF, DKIM und DMARC setzen: Die E-Mail-Authentifizierung verhindert Spoofing in Ihrem Namen.
  • Offene Relays schliessen: Der Mailserver darf nur für authentifizierte Nutzer Mails annehmen.
  • Endgeräte absichern: Infizierte Clients sind die häufigste Spam-Quelle im Firmennetz.
  • Reputation überwachen: Regelmässige Blocklisten-Checks erkennen Probleme, bevor Kunden sie melden.

[!TIP] Die Überwachung der eigenen IP-Reputation ist ein Kernbestandteil der E-Mail-Infrastrukturpflege. Prüfen Sie, ob Ihre Mailserver-IP auf den weltweit wichtigsten Spam-Blocklisten steht, mit dem Tool Mail Deliverability Suite auf balou.tools.

Häufig gestellte Fragen (FAQ)

Warum nutzen Spam-Blocklisten das DNS?

DNS-Abfragen sind extrem schlank, schnell und werden weltweit gecached. Ein Mailserver kann eine IP-Abfrage über das DNS in Millisekunden ausführen, ohne eine langsame und rechenintensive HTTP-API aufrufen zu müssen.

Was bedeutet die Rückgabe-IP 127.0.0.2 bei einer DNSBL-Abfrage?

DNSBLs geben bei einer erfolgreichen Listung Adressen im lokalen Bereich (`127.0.0.x`) zurück. Die `127.0.0.2` steht standardmässig für eine verifizierte Spam-Quelle, während andere Endziffern (z. B. .4) für offene Mail-Relays stehen.

Wie lange bleibt eine IP-Adresse auf einer DNSBL?

Das hängt von der Liste ab. Viele Blocklisten tragen eine IP automatisch nach einigen Stunden bis Tagen wieder aus, sofern kein neuer Spam mehr registriert wird. Bei hartnäckigen oder wiederholten Verstössen ist jedoch ein manueller Delisting-Antrag nötig, der erst nach Behebung der Ursache erfolgreich ist.

Schützen SPF, DKIM und DMARC vor einem DNSBL-Eintrag?

Nur indirekt. SPF, DKIM und DMARC verhindern, dass Dritte in Ihrem Namen Mails versenden, und schützen so Ihre Reputation. Sie verhindern aber nicht, dass Ihr eigener Server bei einer Kompromittierung selbst Spam verschickt. Eine saubere Authentifizierung senkt das Risiko einer Listung deutlich, ersetzt aber kein Monitoring.

Weiterführende Artikel

Ptr Record

Artikel lesen

Reverse Dns

Artikel lesen

Spf Record

Artikel lesen

Dmarc Record

Artikel lesen