Partner
TOR DNSBL - blacklist for Tor servers / Schwarze Liste für Tor Server

If you where sent to this page due to an error message: your ip may be listed on tor.dnsbl.sectoor.de.

Falls Sie aufgrund einer Fehlermeldung auf diese Seite aufmerksam geworden sind: Ihre IP ist evtl. in unserer DNSBL tor.dnsbl.sectoor.de eingetragen.

You use and like this service?

Information in english:

Informationen in Deutsch:


Tor is a connection-based low-latency anonymous communication system which addresses many flaws in the original onion routing design.
Tor can be used to "bounce" tcp connections trough some nodes around the world, leaving the tor network via some exit server. These exit servers are the "peer" you can see in your logs if someone uses Tor to connect to your server.
Since nobody can control which ports are allowed on the exit servers (the tor project itself denies smtp by default, but this can be changed) it's a potential risk that someone abuses the tor network to hide his ip while he's spamming around.
More information can be found on the Tor webpage: http://www.freehaven.net/tor/

Currently we list every tor node which allows clients to connect to the following ports:
25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999
Every node gets listed twice:
- The IP running the tor server itself
- Class C Networks which include the tor server
You may ask why we list complete networks? Well, it's because a tor server can do outgoing connections on other ips (multiple ips per host) than the server runs on. Since normally a server operates in the same class-c network we chose the listing of the entire class-c as second list type. But we use different records for the two listing types. This makes it possible to choose what you want to block. You can read more about this on the "how to use this list" section later.

We list every IP which is known to run a tor server and allow their clients to connect to one of the following ports:
25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999
All listed IPs get a CNAME record to torserver.tor.dnsbl.sectoor.de which has an A record of 127.0.0.1 and a TXT record "TOR Server detected - see http://www.sectoor.de/tor.php for more information."

Sometimes we found ips used by tor which where not listed. This was because of every tor node can have multiple ips. Tor can use a different ip for making outgoing connections then the ip on which the server is listening on. To cover this, we list every class c network which includes a tor server, too. To enable every user to choose between the two types, we list entire networks with a CNAME record to torservernet.tor.dnsbl.sectoor.de which has an A record of 127.0.0.2 and a TXT record "TOR Server Network detected - see http://www.sectoor.de/tor.php for more information."

To protect yourself or your service against abuse from tor users, you can use our DNSBL. Currently we just see some use of this list for a few services like IRC Networks using BOPM. Since only a few nodes allow outgoing SMTP connections, the usage of this list by smtp servers is probably low. To help you setting up this dnsbl with your service, we'll give you a few examples. For now we'll only cover BOPM and Postfix but if you have some other examples you want to share, feel free to contact us.
BOPM:
blacklist {
   name = "tor.dnsbl.sectoor.de";
   type = "A record reply";
   reply {
      1 = "Tor exit server";
   };
   ban_unknown = no;
   kline = "KLINE *@%h :Tor exit server detected. Please visit http://www.sectoor.de/tor.php?ip=%i for more information.";
};
If you want, please add "&network=$yournetworknamehere" to the tor.php URL as its easier for us to see where someone was banned.
You can also add '2 = "Tor network";' in the reply case if you want to block complete networks including a tor server, too (please see warning below!).

Users of Neostats opsb should not use tor.dnsbl.sectoor.de as opsb isn't able to filter the reply type. We created a list only containing the tor nodes without the subnet. This is already fixed in opsb cvs version. If you run the latest stable, please use "exitnodes.tor.dnsbl.sectoor.de" instead!

Postfix:
smtpd_recipient_restrictions =...
      reject_rbl_client tor.dnsbl.sectoor.de=127.0.0.1
As you can see, you'll have to put the reject_rbl_client option into your smtpd_*_restrictions (recipient restrictions are preferred). With =127.0.0.1 you limit postfix to just reject if the server is directly listed. If you want to block entire networks, too, put a second line into yout main.cf and change the 127.0.0.1 to 127.0.0.2. You also can remove the =127.0.0.1 completely. This will block every connect to your postfix server which is listed in tor.dnsbl.sectoor.de. This may not be what you want cause if we add more types of rejects with different lookup results they may block more than you want.
Warning: the /24 listing of subnets containing a tor node isn't usefull for direct blocking users. Use this only for "scoring" or to alert you when a connect comes from a subnet which contains a tor node. If you use the subnet listing for banning people from your service, expect false positives!

Every user of one of our DNS Blacklists should subscribe our Mailinglist. We'll announce changes or other important things on this list. The list is "read-only". To join the list, just send a mail to dnsbl-announce+subscribe@lists.sectoor.de.


Tor ist ein verbindungsorientiertes anonymes Kommunikationssystem mit niedriger Verzögerungszeit, das viele Schwachstellen des ursprünglichen "Onion Routing"-Konzepts beseitigt.
Das Tor Netzwerk kann dazu genutzt werden, TCP Verbindungen über verschiedene Knotenpunkte, die über die Welt verteilt sind, zu "bouncen" und das Netz dann über sog. "Exit Server" zu verlassen. Diese Exit Server sind die "Gegenstelle" die in den Logs auftauchen wenn jemand das Tor Netzwerk nutzt.
Da niemand wirklich kontrollieren kann welche Ports ein Exit Server erlaubt (das Tor Projekt selbst verbietet z.B. SMTP per default, aber das kann jeder Serveradministrator ändern), besteht ein potentielles Risiko das jemand das Tor Netzwerk missbraucht um seine IP bei Spam-Aktionen zu verbergen.
Mehr Informationen finden Sie auf der Tor Webseite: http://www.freehaven.net/tor/

Momentan werden alle Tor-Server gelistet, die Clienten eine Verbindung zu den folgenden Ports erlauben:
25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999
Jeder Tor-Server führt zu einer doppelten Listung:
- Die IP auf der ein Tor Server läuft
- Das Class C Netzwerke in dem ein Tor Server steht
Falls Sie sich fragen warum wir komplette Netzwerke listen? Der Grund dafür ist, das ein Tor Server unterschiedliche IPs (bei mehreren IPs pro Server) für ausgehende Verbindungen verwenden kann als die, auf denen der Server selbst läuft. Normalerweise liegen diese verwendeten IPs im selben Class-C Netz, daher haben wir uns entschlossen auch das komplette Netz zu listen. Allerdings verwenden wir dafür unterschiedliche List-Typen. Damit kann jeder selbst entscheiden ob er nur die Tor Server IPs blocken möchte oder auch die kompletten Netze. Darüber später mehr in "Wie verwendet man diese Liste".

Wir listen jede IP die als Tor Server bekannt ist und Verbindungen zu den folgenden Ports erlaubt: 25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999
Jede gelistete IP bekommt ein CNAME Record auf torserver.tor.dnsbl.sectoor.de der einen A Record auf 127.0.0.1 und ein TXT Record "TOR Server detected - see http://www.sectoor.de/tor.php for more information." besitzt.

Wir haben vereinzelt IPs gefunden, die nicht gelistet waren, aber von Tor genutzt wurden. Grund dafür war, das ein Tor Server mehrere IPs haben kann. Tor kann entsprechend unterschiedliche IPs für ausgehende Verbindungen nutzen. Um diese Server trotzdem zu listen, haben wir auch die Class-C Netze in denen ein Tor Server steht in unsere Liste aufgenommen. Um jedem User die entscheidung selbst zu überlassen ob er auch komplette Netze blocken möchte, listen wir komplette Netzwerke mit einem CNAME Record auf torservernet.tor.dnsbl.sectoor.de. Dieser Host hat einen A Record auf 127.0.0.2 und einen TXT Record: "TOR Server Network detected - see http://www.sectoor.de/tor.php for more information.".

Um sich oder seine Server vor solchen Usern zu schützen, kann unsere DNSBL genutzt werden. Momentan wird sich der Nutzen dieser Liste auf wenige Anwendungsgebiete, wie z.B. IRC-Netzwerke die BOPM verwenden, beschränken. Da nur wenige Tor Server ausgehende SMTP Verbindungen erlauben, ist der Nutzen dieser Liste für SMTP Server wohl eher gering. Um Ihnen beim Einrichten dieser DNSBL Liste zu helfen, haben wir hier einige Beispiele aufgelistet. Momentan existieren nur Beispiele fuer BOPM und Postfix, falls Sie aber weitere Beispiele haben, können Sie uns diese gern zusenden.
BOPM:
blacklist {
   name = "tor.dnsbl.sectoor.de";
   type = "A record reply";
   reply {
      1 = "Tor exit server";
   };
   ban_unknown = no;
   kline = "KLINE *@%h :Tor exit server detected. Please visit http://www.sectoor.de/tor.php?ip=%i for more information.";
};
Wenn möglich, bitte noch ein "&network=$netzwerknamehiereinsetzen" an die tor.php URL anhängen. Damit ist es einfacher für uns zu erfahren, wo jemand gebannt wurde.
Wer möchte kann unter reply auch '2 = "Tor network";' hinzufügen um komplette Netze mit einem Tor Server zu blocken (bitte dazu die Warnung weiter unten beachten!).

Nutzer des opsb von Neostats sollten tor.dnsbl.sectoor.de nicht benutzen. Mit opsb ist es nicht möglich auf reply typen zu prüfen. Damit opsb Nutzer trotzdem unsere Liste verwenden können, haben wir eine DNSBL die nur Tor Nodes selbst (ohne die Subnetze) enthält. In der aktuellen CVS Version von opsb wurde dies bereits berücksichtigt. Wer die letzte stable Version von opsb verwendet, sollte anstelle von tor.dnsbl.sectoor.de bitte "exitnodes.tor.dnsbl.sectoor.de" eintragen.

Postfix:
smtpd_recipient_restrictions =...
      reject_rbl_client tor.dnsbl.sectoor.de=127.0.0.1
Bei Postfix muss die reject_rbl_client option in den smtpd_*_restrictions (recipient restrictions eignen sich am besten) eingetragen werden. Mit =127.0.0.1 wird Postfix angewiesen nur zu rejecten, wenn der Server direkt gelistet ist. Falls komplette Netze gelistet werden sollen, muss eine 2. Zeile der reject_rbl_client Option hinzugefügt werden. Dort muss dann entsprechend 127.0.0.1 in 127.0.0.2 abgeändert werden. Alternativ kann man auch =127.0.0.1 komplett weglassen. Dies würde allerdings alle Verbindungen von Servern verbieten die in tor.dnsbl.sectoor.de gelistet sind. Da wir möglicherweise in Zukunft noch weitere Listinggründe hinzufügen werden, könnten dadurch mehr Server geblockt werden als erwünscht.
Warnung: Das Listing von Subnetzen (/24) die einen Tor Node enthalten ist nicht sinnvoll um es zum direkten blocken von Nutzern zu verwenden. Das Subnetzlisting sollte lediglich zum "Scoring" bzw. alamieren verwendet werden. Wer das Subnetzlisting verwendet, riskiert sogenannte "false positives"!

Jedem Nutzer unserer DNS BlackLists wird empfohlen, die Mailingliste zu abonieren. Dort werden Neuerungen/Änderungen bekannt gegeben. Die Liste ist "Read-Only". Um der Liste beizutreten, schicken Sie einfach eine Mail an dnsbl-announce+subscribe@lists.sectoor.de.