Die Frage, wann »DNS Abuse« vorliegt, hängt wesentlich von der Art der eingesetzten Blocklisten ab. Das hat die Internet-Verwaltung ICANN festgestellt und warnt zugleich vor blinden Flecken.
Seit geraumer Zeit ist ICANN darum bemüht, das Domain Name System als globale Ressource vor Missbrauch (»DNS Abuse«) zu schützen. Doch schon die Frage, was unter »Abuse« zu verstehen ist, ist hoch streitig. ICANN legt einen engen Begriff zu Grunde:
DNS Abuse means malware, botnets, phishing, pharming, and spam (when spam serves as a delivery mechanism for the other forms of DNS Abuse, namely, malware, botnets, phishing, and pharming).
In der Praxis erfolgt die Einstufung in diese Missbrauchskategorien häufig durch »reputation blocklists«, kurz RBLs; auf diesen Listen finden sich Domain-Namen und/oder IP-Adressen, die als Sicherheitsbedrohung klassifiziert werden. Solche RBLs werden sowohl von kommerziellen Diensteanbieter wie auch gemeinnützigen Organisationen und Forschungsinstituten geführt; zu den bekanntesten zählen die Anti-Phishing Working Group, Spamhaus, Google Safe Browsing, Abuse.ch, SURBL, ThreatStop und URLAbuse. Doch nach den Recherchen von ICANN erfassen nicht alle Blocklisten die gleichen Arten von DNS-Missbrauch. Open-Source-Listen, die von ehrenamtlichen Communities oder öffentlichen Projekten gepflegt werden, basieren auf Nutzerberichten; obwohl sie transparent und allgemein zugänglich sind, übersehen sie oft Missbrauch. Kommerzielle Blocklisten, die von Sicherheitsanbietern verwaltet werden, nutzen dagegen proprietäre Daten und erweiterte Analysefunktionen, um tiefere und schnellere Einblicke in neue Angriffe zu erhalten; ihre Sichtbarkeit wird jedoch durch die Infrastruktur, Kundennetzwerke und Geheimdienstpartnerschaften beeinflusst, was zu blinden Flecken führt.
Je nach eingesetzter Blockliste kann die Frage, ob eine Top Level Domain mit DNS-Missbrauch zu kämpfen hat, zu unterschiedlichen Antworten führen. Ohne die betroffene Domain-Endung konkret zu nennen, hat ICANN folgende Tabelle veröffentlicht:
| \ | kommerzielle RBL | offene RBL |
| TLD_1 | 1 | 1 |
| TLD_2 | 2 | 2 |
| TLD_3 | 3 | 10 |
| TLD_4 | 4 | 14 |
| TLD_5 | 5 | 20 |
| TLD_6 | 6 | 4 |
| TLD_7 | 7 | 12 |
| TLD_8 | 8 | 51 |
| TLD_9 | 9 | 16 |
| TLD_10 | 10 | 7 |
Die Tabelle soll belegen, dass bereits bei der dritten Domain-Endung die Bewertung, ob Missbrauch vorliegt, erheblich differiert; während sie kommerzielle Anbieter auf Platz drei führen, liegt sie bei offenen Anbietern erst auf Rang 10 und erscheint damit deutlich weniger problematisch. Wenn sich die Missbrauchsrankings beispielsweise hauptsächlich auf Open-Source-Listen stützen, kann zudem ein Registrar, der Ziel von raffiniertem Phishing ist, ein geringeres Missbrauchsprofil aufweisen als tatsächlich existierend. Umgekehrt kann ein Registrar mit einer hohen Anzahl von Domains, die mit weniger raffiniertem, »opportunistischem« Phishing in Verbindung gebracht werden, nach außen ein größeres Problem vermitteln, obwohl es sich oft eher um allgemeine Angriffe oder kompromittierte Websites als um gezieltere, wirkungsvollere Phishing-Kampagnen handelt.
Die Nutzung einer begrenzten Anzahl von Sperrlisten könne daher zu erheblichen Lücken in der Missbrauchserfassung führen und die Interpretation verzerren. Helfen soll ein Multi-Source-Ansatz, der offene und kommerzielle RBLs kombiniert. Carlos Hernandez Ganan aus dem Büro des Chief Technology Officer:
Only by acknowledging and addressing these blind spots can we build a more accurate, actionable view of the DNS Abuse landscape – and ensure that our metrics and responses truly reflect reality.