首先，我们先简单说一下RBL的原理。目前用于垃圾邮件过滤的RBL服务，应该称之为基于DNS的实时黑名单查询，也就是说，这个服务是通过DNS协议来完成的。

         (什么是RBL : http://tt.networkquestions.org/thread-125-1-1.html)

　　具体而言，当一个客户端希望查询某个IP地址（如11.22.33.44）是否在某个RBL（如cbl.anti-spam.org.cn）中时，其实际上是查询如下地址是否存在解析： 44.33.22.11.cbl.anti-spam.org.cn. （IP地址逆转附加在RBL地址后）。DNS的解析分为几种类型，对于RBL查询，通常是查询这个地址是否存在A记录、TXT记录或者任意（ANY）记录。

　　如果该地址被列入了这个RBL，那么查询会返回一个具体的解析结果，根据RBL和查询的不同，可以返回一段文本，也可以返回一个或几个IP地址，也可以同时返回文本和IP。返回的文本通常是一个说明，用来说明这个IP地址被列入了哪个RBL，具体信息去哪里查询等。返回的IP地址并不具有实际意义，只是标识该查询有结果，通常这个IP地址是一个保留IP段的地址，如127.0.0.1、127.0.0.2等。

　　如果该地址没有被列入这个RBL，那么该查询会返回一个查询错误（NXDOMAIN），表示该地址未列入。DNS劫持就发生在这里，具体情况我们下面再详细解释。

　　举例说明这个查询过程：

　　当查询的IP地址不在RBL中时，返回状态为MXDOMAIN。
# dig 44.33.22.11.cbl.anti-spam.org.cn.

; <<>> DiG 9.3.3rc2 <<>> 44.33.22.11.cbl.anti-spam.org.cn.
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 58553
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;44.33.22.11.cbl.anti-spam.org.cn. IN   A

;; AUTHORITY SECTION:
cbl.anti-spam.org.cn.   3600    IN      SOA     cbl.anti-spam.org.cn. wxy.anti-spam.org.cn. 2008061006 14400 3600 14400 3600

;; Query time: 8 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Jun 10 09:28:55 2008
;; MSG SIZE  rcvd: 90

当查询的IP地址在RBL中时，返回状态为NOERRO，并给出具体的结果：127.0.x.x（这和RBL用的server有关，具体可以参考有关RBL的说明。）。例如：
dig 198.150.70.75.bl.spamcop.net  

; <<>> DiG 9.3.4-P1 <<>> 198.150.70.75.bl.spamcop.net
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25768
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;198.150.70.75.bl.spamcop.net.  IN      A

;; ANSWER SECTION:
198.150.70.75.bl.spamcop.net. 760 IN    A       127.0.0.2

;; Query time: 0 msec
;; SERVER: 206.251.73.9#53(206.251.73.9)
;; WHEN: Sat Mar 28 12:53:58 2009
;; MSG SIZE  rcvd: 62
在明白了RBL查询的原理后，我们来看一下RBL劫持的发生原因。

　　由于国内很多用户在使用电信企业的线路连接互联网时，都会使用接入的ISP所提供的DNS，有的是明确设置使用的，有的是通过PPPoE或DHCP分配使用的。最近一些年来，电信企业为了引导用户访问其增值站点或合作站点，通过会对其DNS做一些修改，在接收到一个不存在结果的DNS查询时，总是返回一些特定的IP地址，使用户访问到这些增值站点。比如你在使用ADSL上网时，如果随便在浏览器的地址栏中任意敲入一个无效的域名，通常都会给你重定向到电信企业自己的门户站点。

　　一般而言，这种行为对于用户没有多大的损害，最多只是扭曲了用户意志，强制其访问另外一个站点而已。但是，对于使用RBL来防范垃圾邮件的用户，这种DNS劫持就会带来较大的麻烦。在这种情况下，所有的DNS查询都会返回一个有效的结果，换言之，无论任何发来邮件的IP地址，都会被认为列入到了RBL中，用户将接收不到任何外部邮件。

　　那么如何应对这种情况呢？有两种办法：

　　一是使用一个可信的，没有被DNS劫持的DNS服务器。国内电信企业的DNS被劫持的情形比较多，尤其是做接入的ISP的DNS服务器，很多都存在劫持问题。可以考虑使用国外的公开DNS、或者一些未劫持的DNS服务器。但是要注意的是，不能使用不支持公开解析请求的DNS，即那种只解析特定域名的DNS服务器是不能用来解析其他域名的；类似的，根域服务器（*.ROOT-SERVERS.NET）也是不提供这种公开解析请求的功能的。可以通过nslookup或dig以及其它工具来测试一个DNS服务器是否可以提供公开解析功能，以及是否被劫持。

    如何确定一个DNS是否有劫持？

    首先查询1个不存在的域名或主机名，例如：
dig aaaaa-extmail.org

; <<>> DiG 9.3.4-P1 <<>> aaaaa-extmail.org
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 44066
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;aaaaa-extmail.org.             IN      A

;; AUTHORITY SECTION:
org.                    0       IN      SOA     a0.org.afilias-nst.info. noc.afilias-nst.info. 2008589985 1800 900 604800 86400

;; Query time: 14 msec
;; SERVER: 206.251.73.9#53(206.251.73.9)
;; WHEN: Sat Mar 28 12:56:33 2009
;; MSG SIZE  rcvd: 98
这里返回了NXDOMAIN结果，表明该服务器没有被DNS劫持。

而当我们使用了一个被劫持的DNS来查询一个不存在的域名：aaa-extmail.org ，查询返回结果是一个特定的IP ： 61.140.3.66（这是一个电信地址），实际指向了电信的网站！
dig aaa-extmail.org. @202.96.128.86     

; <<>> DiG 9.2.4 <<>> aaa-extmail.org. @202.96.128.86
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21176
;; flags: qr; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;aaa-extmail.org.               IN      A

;; ANSWER SECTION:
aaa-extmail.org.        128     IN      A       61.140.3.66

;; Query time: 97 msec
;; SERVER: 202.96.128.86#53(202.96.128.86)
;; WHEN: Sat Mar 28 02:17:35 2009
;; MSG SIZE  rcvd: 49
　当使用该DNS查询一个存在的域名是能正确返回其IP地址。这种针对不存在的域名强制劫持到一个特定的IP的行为导致了RBL的查询返回错误。

　　二是对RBL查询结果进行验证。基本上所有的RBL服务都会返回特定的查询结果，即每次都返回同样的一个或几个IP地址，而且这种IP地址通常都是特定的保留IP，不会出现在正常的DNS查询中，如127.0.0.2、127.0.8.2等。目前绝大多数支持RBL查询的邮件服务器都支持对查询结果进行验证，你可以根据RBL服务所公示的查询结果来设置你的RBL查询。

以下是我服务器用ISP所在地区的dns测试，及谷歌dns测试结果：
[root@mail ~]# dig 35.209.167.119.cbl.anti-spam.org.cn

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-2.el6_1.P3.3 <<>> 119.167.209.35.cbl.anti-spam                                                                                        .org.cn
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46879
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;119.167.209.35.cbl.anti-spam.org.c. IN A

;; ANSWER SECTION:
119.167.209.35.cbl.anti-spam.org.c. 3600 IN A   123.129.254.15

;; AUTHORITY SECTION:
.                       10800   IN      SOA     a.root-servers.net. nstld.veris                                                                                        ign-grs.com. 2011121200 1800 900 604800 86400

;; Query time: 38 msec
;; SERVER: 202.102.134.68#53(202.102.134.68)
;; WHEN: Mon Dec 12 15:56:04 2011
;; MSG SIZE  rcvd: 143

[root@mail ~]# dig 35.209.167.119.cbl.anti-spam.org.cn

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-2.el6_1.P3.3 <<>> 119.167.209.35.cbl.anti-spam                                                                                        .org.cn
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 19596
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;119.167.209.35.cbl.anti-spam.org.c. IN A

;; AUTHORITY SECTION:
.                       1800    IN      SOA     a.root-servers.net. nstld.veris                                                                                        ign-grs.com. 2011121200 1800 900 604800 86400

;; Query time: 57 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Dec 12 15:56:37 2011
;; MSG SIZE  rcvd: 127

以上说明我服务器所使用的dns存在劫持，换谷歌~

原文来自：http://www.extmail.org/forum/thread-10198-1-1.html 在原有基础加以增删。