Discussion:
Blacklisten in Spamassassin
(zu alt für eine Antwort)
Tim Ritberg
2024-09-13 09:55:57 UTC
Permalink
Tag Gruppe!

Ich bin gerade dabei meine Wirksamkeit der Spamassassinregeln zu prüfen.

Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf Aussetzer
von RBL hindeutet.

Bei einigen Mails habe ich aber Treffer plus Aussetzer:
URIBL_ABUSE_SURBL=1.25, URIBL_BLOCKED=0.001

Wie geht sowas?

Tim
Marco Moock
2024-09-13 15:03:24 UTC
Permalink
Post by Tim Ritberg
Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf
Aussetzer von RBL hindeutet.
Eine RBL kann nicht erreichbar sein, es kann an deinem DNS-Resolver
liegen, am DNS der RBL oder an sonstwas. Das war ggf. nur temporär der
Fall.
Das ist halt alles Mutmaßung. Um das zu analysieren braucht es einen
kompletten Paketmitschnitt für den Zeitraum, um mal zu analysieren, was
an Pakete überhaupt durch die Gegend ging.
Post by Tim Ritberg
URIBL_ABUSE_SURBL=1.25, URIBL_BLOCKED=0.001
Da war die RBL halt erreichbar und der Query lief durch.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Tim Ritberg
2024-09-13 17:09:37 UTC
Permalink
Post by Marco Moock
Post by Tim Ritberg
Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf
Aussetzer von RBL hindeutet.
Eine RBL kann nicht erreichbar sein, es kann an deinem DNS-Resolver
liegen, am DNS der RBL oder an sonstwas. Das war ggf. nur temporär der
Fall.
In der resolv.conf stand meiner localer DNS und 2 externe, die habe ich
jetzt mal rausgenommen,
Post by Marco Moock
Das ist halt alles Mutmaßung. Um das zu analysieren braucht es einen
kompletten Paketmitschnitt für den Zeitraum, um mal zu analysieren, was
an Pakete überhaupt durch die Gegend ging.
Post by Tim Ritberg
URIBL_ABUSE_SURBL=1.25, URIBL_BLOCKED=0.001
Da war die RBL halt erreichbar und der Query lief durch.
Du meinst eine Query lief durch, die andere nicht.

Tim
Marco Moock
2024-09-13 17:55:05 UTC
Permalink
Post by Tim Ritberg
Post by Marco Moock
Post by Tim Ritberg
Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf
Aussetzer von RBL hindeutet.
Eine RBL kann nicht erreichbar sein, es kann an deinem DNS-Resolver
liegen, am DNS der RBL oder an sonstwas. Das war ggf. nur temporär
der Fall.
In der resolv.conf stand meiner localer DNS und 2 externe, die habe
ich jetzt mal rausgenommen,
Da gibt es noch Optionen wie round-robin und Timeout.
Standardmäßig ist da kein round-robin aktiv und Timeout soll bei 5s
liegen.
Das kann dann schon für einen Abbruch reichen.
Post by Tim Ritberg
Post by Marco Moock
Das ist halt alles Mutmaßung. Um das zu analysieren braucht es einen
kompletten Paketmitschnitt für den Zeitraum, um mal zu analysieren,
was an Pakete überhaupt durch die Gegend ging.
Post by Tim Ritberg
URIBL_ABUSE_SURBL=1.25, URIBL_BLOCKED=0.001
Da war die RBL halt erreichbar und der Query lief durch.
Du meinst eine Query lief durch, die andere nicht.
Ja.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Arno Welzel
2024-09-18 07:04:04 UTC
Permalink
Post by Marco Moock
Post by Tim Ritberg
Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf
Aussetzer von RBL hindeutet.
Eine RBL kann nicht erreichbar sein, es kann an deinem DNS-Resolver
liegen, am DNS der RBL oder an sonstwas. Das war ggf. nur temporär der
Fall.
Und die meisten RBLs erlauben nur eine sehr begrenzte Anzahl an Abfragen
von einer IP-Adresse aus pro Tag. Deshalb ist für sowas sinnvoll, einen
lokalen Nameserver als Cache zu nutzen.
--
Arno Welzel
https://arnowelzel.de
Tim Ritberg
2024-09-18 09:28:39 UTC
Permalink
Post by Arno Welzel
Post by Marco Moock
Post by Tim Ritberg
Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf
Aussetzer von RBL hindeutet.
Eine RBL kann nicht erreichbar sein, es kann an deinem DNS-Resolver
liegen, am DNS der RBL oder an sonstwas. Das war ggf. nur temporär der
Fall.
Und die meisten RBLs erlauben nur eine sehr begrenzte Anzahl an Abfragen
von einer IP-Adresse aus pro Tag. Deshalb ist für sowas sinnvoll, einen
lokalen Nameserver als Cache zu nutzen.
Ich habe einen lokalen Bind laufen. Die TTL der Einträge ist aber nicht
groß, da gibts nicht viel zu cachen...

Die BL NiX scheint am Besten, damit hatte ich nie Probleme.

Tim
Marco Moock
2024-09-18 15:21:13 UTC
Permalink
Post by Arno Welzel
Post by Marco Moock
Post by Tim Ritberg
Dabei habe ich einige Treffen für *_BLOCKED gefunden, was auf
Aussetzer von RBL hindeutet.
Eine RBL kann nicht erreichbar sein, es kann an deinem DNS-Resolver
liegen, am DNS der RBL oder an sonstwas. Das war ggf. nur temporär
der Fall.
Und die meisten RBLs erlauben nur eine sehr begrenzte Anzahl an
Abfragen von einer IP-Adresse aus pro Tag. Deshalb ist für sowas
sinnvoll, einen lokalen Nameserver als Cache zu nutzen.
Manche RBLs wie uceprotect bieten auch die Zonendateien zum Download
per rsync an, mit denen man den DNS-Server selbst betreiben kann.

In dem hier geschilderten Fall muss man aber mal nachgucken, was die
eigentliche Ursache ist.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Tim Ritberg
2024-09-18 16:29:42 UTC
Permalink
Post by Marco Moock
Manche RBLs wie uceprotect bieten auch die Zonendateien zum Download
per rsync an, mit denen man den DNS-Server selbst betreiben kann.
Wie gut ist die BL?
Post by Marco Moock
In dem hier geschilderten Fall muss man aber mal nachgucken, was die
eigentliche Ursache ist.
Gibt es vielleicht Quota per Netzbereich?
Meine Server sind eigentlich Low-Traffic.

Tim
Marco Moock
2024-09-18 19:00:39 UTC
Permalink
Post by Tim Ritberg
Post by Marco Moock
Manche RBLs wie uceprotect bieten auch die Zonendateien zum Download
per rsync an, mit denen man den DNS-Server selbst betreiben kann.
Wie gut ist die BL?
Ist uceprotect und ich finde die sehr gut. Bitte aber nur die Listen
nehmen, die das tun, was du haben willst.
Post by Tim Ritberg
Post by Marco Moock
In dem hier geschilderten Fall muss man aber mal nachgucken, was die
eigentliche Ursache ist.
Gibt es vielleicht Quota per Netzbereich?
Meine Server sind eigentlich Low-Traffic.
Prüfe das am besten manuell mit einem gescheiten Logging der
DNS-Anfragen und -Antworten.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Tim Ritberg
2024-09-18 19:31:20 UTC
Permalink
Post by Marco Moock
Ist uceprotect und ich finde die sehr gut. Bitte aber nur die Listen
nehmen, die das tun, was du haben willst.
Über Spamassassin eingebaut?
Post by Marco Moock
Post by Tim Ritberg
Post by Marco Moock
In dem hier geschilderten Fall muss man aber mal nachgucken, was die
eigentliche Ursache ist.
Gibt es vielleicht Quota per Netzbereich?
Meine Server sind eigentlich Low-Traffic.
Prüfe das am besten manuell mit einem gescheiten Logging der
DNS-Anfragen und -Antworten.
Bei einem Mailserver habe ich wirklich ein Problem gefunden.
Bind möchte was über ipv6 machen, aber die Kisten hatte keine ipv6-Adresse.

Ich bekomme den NL vom Handelsblatt, deren IP konnte er nicht immer
auflösen:
dig -x 13.111.12.188

Das geht jetzt.
Der anderer Server hat keine erkennbaren DNS-Probleme, dennoch gibts
URIBL_BLOCKED.

Tim
Marco Moock
2024-09-19 11:09:00 UTC
Permalink
Post by Tim Ritberg
Bind möchte was über ipv6 machen, aber die Kisten hatte keine ipv6-Adresse.
Letzteres lässt sich ändern.
Post by Tim Ritberg
Ich bekomme den NL vom Handelsblatt, deren IP konnte er nicht immer
dig -x 13.111.12.188
Prüfe, ob das Problem bei dir liegt.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Tim Ritberg
2024-09-19 12:45:08 UTC
Permalink
Post by Marco Moock
Post by Tim Ritberg
Bind möchte was über ipv6 machen, aber die Kisten hatte keine ipv6-Adresse.
Letzteres lässt sich ändern.
Weiss ich und hab ich.
Post by Marco Moock
Post by Tim Ritberg
Ich bekomme den NL vom Handelsblatt, deren IP konnte er nicht immer
dig -x 13.111.12.188
Prüfe, ob das Problem bei dir liegt.
Ipv6 abstellen hilft bei dem Problem.

Das Prüfscript für abgelehnte Firewallverbindungen Port 25 läuft auf
einem Server immer noch nicht richtig, soll die IPs zu Namen umsetzen:

124.10.190.188.in-addr.arpa domain name pointer
188-190-10-124.clevhosting.com.
;; communications error to 127.0.0.1#53: timed out
;; communications error to 127.0.0.1#53: timed out
;; no servers could be reached

Bind9 mit Standardeinstellung muss doch reichen.

Tim
Marco Moock
2024-09-19 14:41:20 UTC
Permalink
Post by Tim Ritberg
Ipv6 abstellen hilft bei dem Problem.
Richtig konfigurieren ist aber halt besser.
--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws
Tim Ritberg
2024-09-28 22:16:10 UTC
Permalink
Post by Marco Moock
Post by Tim Ritberg
Ipv6 abstellen hilft bei dem Problem.
Richtig konfigurieren ist aber halt besser.
Hab jetzt gesehen, dass mir Hetzner mit dhcp andere Nameserver in die
resolv.conf gesetzt hat.

Spamassassin ist jetzt auf den lokalen Bind gesetzt. Mal sehen, wie das
wirkt.

Tim

Lesen Sie weiter auf narkive:
Loading...