Nedanstående information berör främst serveradministratörer som arbetar med konfiguration av spamfilter.

Att blockera inkommande epost från servers som är listade i olika former av svartlistor, ofta benämnda blacklists eller dnsbl, är ett effektivt sätt att reducera mängden inkommande spam. De flesta svartlistor listar endast enskilda värdar (hosts) som har skickat spam.

Det finns dock en variant på svarlistor som listar hela subnets där det förekommit servers som skickat spam. Tanken är att det i dessa nät ofta kan förekomma servrar på intilliggande IP-adresser som, om de adminstreras av samma ägare, också ligger i riskzonen för att skicka spam. Exempel på sådan subnetbaserade svartlistor är t ex ivmSIP/24 och UCEPROTECT-L2.

Är det då en bra idé att rätt av blockera inkommande epost baserat på subnetbaserade svartlistor på samma sätt som man gör med hostbaserade svartlistor?

Svaret är NEJ. IP-adresser är en bristvara och kan man som organsitation inte motivera tilldelning av ett /24-nät (254 värdar) så kommer man som serverägare att dela detta nät med andra organisationer som man inte har något att göra med.

Om man blockerar epost med hjälp av subnetbaserade svartlistor så gör man det felaktiga och farliga antagandet att alla servrar i ett subnet administreras av samma organisation. Resultatet kommer istället bli att man blockerar inkommande epost från servrar vars ägare inte har med varandra att göra överhuvudtaget.

Bara för att en serverägare har fått sin server kapad och skickat ut spam så finns det absolut ingenting som talar för att man riskerar att få spam från andra servrar i samma subnät. Det enda som sker om man blockerar inkommande epost baserat på subnetbaserade svartlistor är att man riskerar att blockera legitim och viktig epost helt i onödan.

Istället bör dessa subnetbaserade svartlistor enbart användas som ett kriterium i ett poängbaserat spamfilter, som t ex spamassassin.