DNSBL Problem

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

DNSBL Problem

J. Fahrner
Hallo Liste,
ich finde in meinen Logs auf einmal massenhaft solche Meldungen:

Dec 15 22:25:05 server postfix/postscreen[20744]: warning: dnsblog reply
timeout 10s for zen.spamhaus.org

Hat da Spamhaus ein Problem oder ich?

Ich hab mal versucht das einzukreisen, ob es vielleicht an meinem
Unbound liegt.

Auf meinem Hetznerserver mit Unbound:

$ host 74.203.138.62.zen.spamhaus.org
;; connection timed out; no servers could be reached

Auf meinem PC zuhause geht es einwandfrei (DNS vom DSL-Anschluss):
$ host 74.203.138.62.zen.spamhaus.org
Host 74.203.138.62.zen.spamhaus.org not found: 3(NXDOMAIN)

1. Verdacht: mit meinem Unbound stimmt was nicht. Also mal in
/etc/resolv.conf den localhost raus, und dafür die Hetzner Nameserver
rein. Ergebnis:

$ host 74.203.138.62.zen.spamhaus.org
Host 74.203.138.62.zen.spamhaus.org not found: 2(SERVFAIL)

SERVFAIL ist jetzt auch nicht gerade die korrekte Antwort ;-)

Jemand eine Idee was da los sein könnte?

Gruss Jochen
Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Juri Haberland
On 16.12.2017 16:28, J. Fahrner wrote:

> Hallo Liste,
> ich finde in meinen Logs auf einmal massenhaft solche Meldungen:
>
> Dec 15 22:25:05 server postfix/postscreen[20744]: warning: dnsblog reply
> timeout 10s for zen.spamhaus.org
>
> Hat da Spamhaus ein Problem oder ich?
>
> Ich hab mal versucht das einzukreisen, ob es vielleicht an meinem
> Unbound liegt.
>
> Auf meinem Hetznerserver mit Unbound:

Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. Ist
bei mir auch so - sowohl auf meinem physischen als auch auf dem Vserver.
Auch die Nameserver von Hetzner sind davon betroffen. Ist egal, ob per IPv4
oder v6...

Habe mir jetzt eine Forward-Zone in meinem Bind-Server eingerichtet, der
Anfragen für Spamhaus an meinen Bind Zuhause weiterleitet und als Fallback
in der resolv.conf die 9.9.9.9 mit reingenommen.

Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu
sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner (so wie ich
Teile von OVH blocke ...)

Grüße,
  Juri
Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

J. Fahrner
Am 2017-12-16 17:46, schrieb Juri Haberland:

> Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden.
> Ist
> bei mir auch so

Danke für deine Einschätzung. Hatte auch schon so einen Verdacht, aber
zuerst sucht man den Fehler halt immer bei sich selber. ;-)

Gruss Jochen
Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Christian Boltz-2
In reply to this post by Juri Haberland
Hallo Juri, hallo zusammen,

Am Samstag, 16. Dezember 2017, 17:46:50 CET schrieb Juri Haberland:
> Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden.
> Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem
> Vserver.

Kann ich nicht bestätigen - ich habe auf mehreren Hetzner-Rootservern
(in diversen IP-Bereichen) "frische" Rejects dank zen.spamhaus.org.

Nameserver ist jeweils ein lokaler unbound.

> Auch die Nameserver von Hetzner sind davon betroffen. Ist
> egal, ob per IPv4 oder v6...

Die Hetzner-Nameserver laufen wohl ins Query-Limit von Spamhaus - das
ist auch der Grund, warum ich unbound laufen habe.

> Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu
> sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner

-v bitte - ich hatte zwar auf ein oder zwei Servern "Spaß" mit Hotmail,
aber ansonsten habe ich zumindest noch keine Klagen gehört ;-)


Gruß

Christian Boltz
--
Ein Killfile ist der natürliche Lebensraum von Trollen und Elchen.  Wenn
sich jemand zu ihnen gesellt, entstehen lustige Geräusche, wie PLONK.
Manchmal machts auch PLATSCH, wenn der Lebensraum bereits überbevölkert
ist. [David Dahlberg]

Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Ublun

Hatte auch nie Probleme mit Spamhaus und Hetzner Server, wenn du das Limit nicht überschreitest:

1) Your use of the Spamhaus DNSBLs is non-commercial*,
    and
2) Your email traffic is less than 100,000 SMTP connections
    per day, and
3) Your DNSBL query volume is less than 300,000 queries
    per day.


Am 17.12.2017 um 13:05 schrieb Christian Boltz:
Hallo Juri, hallo zusammen,

Am Samstag, 16. Dezember 2017, 17:46:50 CET schrieb Juri Haberland:
Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden.
Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem
Vserver. 
Kann ich nicht bestätigen - ich habe auf mehreren Hetzner-Rootservern 
(in diversen IP-Bereichen) "frische" Rejects dank zen.spamhaus.org.

Nameserver ist jeweils ein lokaler unbound.

Auch die Nameserver von Hetzner sind davon betroffen. Ist
egal, ob per IPv4 oder v6...
Die Hetzner-Nameserver laufen wohl ins Query-Limit von Spamhaus - das 
ist auch der Grund, warum ich unbound laufen habe.

Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu
sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner 
-v bitte - ich hatte zwar auf ein oder zwei Servern "Spaß" mit Hotmail, 
aber ansonsten habe ich zumindest noch keine Klagen gehört ;-)


Gruß

Christian Boltz

Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Juri Haberland
In reply to this post by Christian Boltz-2
On 17.12.2017 13:05, Christian Boltz wrote:
> Am Samstag, 16. Dezember 2017, 17:46:50 CET schrieb Juri Haberland:

>> Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden.
>> Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem
>> Vserver.
>
> Kann ich nicht bestätigen - ich habe auf mehreren Hetzner-Rootservern
> (in diversen IP-Bereichen) "frische" Rejects dank zen.spamhaus.org.
>
> Nameserver ist jeweils ein lokaler unbound.

Habe einen lokalen Bind - sollte keinen Unterschied machen...

>> Auch die Nameserver von Hetzner sind davon betroffen. Ist
>> egal, ob per IPv4 oder v6...
>
> Die Hetzner-Nameserver laufen wohl ins Query-Limit von Spamhaus - das
> ist auch der Grund, warum ich unbound laufen habe.

Möglich - allerdings lief das bisher problemlos; und schlagartig sind nicht
nur die Nameserver von Hetzner blockiert, sondern auch meine beiden Server
in unterschiedlichen Netzen - und der V-Server macht keinerlei Anfragen bei
Spamhaus - weder direkt noch indirekt.
Und, wie gesagt, egal, ob ich über IPv4 oder IPv6 direkt Spamhaus abfrage,
auf beiden Maschinen laufe ich in einen Timeout.

>> Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu
>> sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner
>
> -v bitte - ich hatte zwar auf ein oder zwei Servern "Spaß" mit Hotmail,
> aber ansonsten habe ich zumindest noch keine Klagen gehört ;-)

Naja, ich bin seit einem halben Jahr dort, und mußte die IP, die ich
bekommen hatte, erstmal von diversen Listen runternehmen lassen, Hotmail
sowieso und habe immer noch einige Server, die kategorisch ablehnen, aus
diesem Netz auch nur eine Mail anzunehmen. Deshalb habe ich mir den
V-Server als Relay angemietet (und zum Testen).

Hier mal eine entsprechende Absage:
> No.  Your server is in 88.198/16, a poorly managed network that gushes
> spam.  I don't accept any mail from it at all.

Das habe ich so bei meinem alten Hoster nie erlebt...

Gruß,
  Juri
Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Walter H.
In reply to this post by Ublun
On 17.12.2017 13:11, Ublun wrote:

Hatte auch nie Probleme mit Spamhaus und Hetzner Server, wenn du das Limit nicht überschreitest:

1) Your use of the Spamhaus DNSBLs is non-commercial*,
    and
2) Your email traffic is less than 100,000 SMTP connections
    per day, and
3) Your DNSBL query volume is less than 300,000 queries
    per day.

darum empfiehlt sich auch die Reihenfolge zu beachten ...

z.B.  aus meiner main.cf

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_hostname, reject_non_fqdn_helo_hostname

smtpd_client_restrictions = permit_mynetworks, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, reject_rbl_client dnsbl.sorbs.net, reject_rhsbl_client dbl.spamhaus.org

smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_mx_access cidr:/etc/postfix/drop.cidr, check_sender_ns_access cidr:/etc/postfix/drop.cidr, check_sender_access hash:/etc/postfix/sender_access

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, check_recipient_access hash:/etc/postfix/recipient_access, reject

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain

das ist sicher noch verbesserungswürdig,
und damit bekomme ich - sogar ohne SpamAssassin - keinen SPAM ...

auf meinem Server läuft ebenfalls ein lokaler BIND


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Ublun
reject_*****_hostname

damit habe ich Probleme, mit denen die über ein Mobile Hotspot senden,
diese Adressen kommen meistens ohne sauberen hostname daher. ich
inbegriffen, weil ich zu Hause nur noch mit einer Flat übers Handy
surfe, müsste das Android rooten damit könnte ich es wohl umgehen.
Vielleicht kommt dann doch noch ein richtiges Linux Handy auf den Markt.


Am 17.12.2017 um 16:28 schrieb Walter H.:

> On 17.12.2017 13:11, Ublun wrote:
>>
>> Hatte auch nie Probleme mit Spamhaus und Hetzner Server, wenn du das
>> Limit nicht überschreitest:
>>
>> 1) Your use of the Spamhaus DNSBLs is non-commercial*,
>> /and
>> /2) Your email traffic is less than 100,000 SMTP connections
>>     per day, /and
>> /3) Your DNSBL query volume is less than 300,000 queries
>>     per day.
>>
> darum empfiehlt sich auch die Reihenfolge zu beachten ...
>
> z.B.  aus meiner main.cf
>
> smtpd_helo_restrictions = permit_mynetworks,
> permit_sasl_authenticated, reject_unknown_hostname,
> reject_non_fqdn_helo_hostname
>
> smtpd_client_restrictions = permit_mynetworks,
> reject_unknown_client_hostname,
> reject_unknown_reverse_client_hostname, reject_rbl_client
> dnsbl.sorbs.net, reject_rhsbl_client dbl.spamhaus.org
>
> smtpd_sender_restrictions = reject_non_fqdn_sender,
> reject_unknown_sender_domain, check_sender_mx_access
> cidr:/etc/postfix/drop.cidr, check_sender_ns_access
> cidr:/etc/postfix/drop.cidr, check_sender_access
> hash:/etc/postfix/sender_access
>
> smtpd_recipient_restrictions = permit_mynetworks,
> permit_sasl_authenticated, reject_non_fqdn_recipient,
> reject_unauth_destination, reject_unknown_recipient_domain,
> reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net,
> check_recipient_access hash:/etc/postfix/recipient_access, reject
>
> smtpd_relay_restrictions = permit_mynetworks,
> permit_sasl_authenticated, reject_unauth_destination,
> reject_unknown_recipient_domain
>
> das ist sicher noch verbesserungswürdig,
> und damit bekomme ich - sogar ohne SpamAssassin - keinen SPAM ...
>
> auf meinem Server läuft ebenfalls ein lokaler BIND
>

Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Walter H.
On 17.12.2017 16:59, Ublun wrote:
> reject_*****_hostname
eine sehr wirksame Waffe gegen SPAM-Sender ...
> damit habe ich Probleme, mit denen die über ein Mobile Hotspot senden,
> diese Adressen kommen meistens ohne sauberen hostname daher. ich
> inbegriffen,
dann einfach permit_sasl_authenticated davor;
> weil ich zu Hause nur noch mit einer Flat übers Handy surfe, müsste
> das Android rooten damit könnte ich es wohl umgehen.
was bringt Dir das, wenn das vom DNS kommt?
nebenbei: dein Handy versendet doch nicht direkt sondern mittels eines
Smarthosts, oder?
> Vielleicht kommt dann doch noch ein richtiges Linux Handy auf den Markt.
eher ein gekochter Eislutscher


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DNSBL Problem

Ublun
Danke Walter, permit_sasl_authenticated hat weiter geholfen.

Sende/Empfange keine Mails vom Handy, ausser gmail,  brauche Handy nur
als Hotspot, die Mails kommen dann vom Desktop mit Thunderbird direkt
auf meinen Mailserver.

Mit der Anpassung von permit_sasl_authenticated , kann ich jetzt auch
die ganzen reject Regeln in der main.cf gebrauchen, tolle Sache, danke.


Am 17.12.2017 um 19:11 schrieb Walter H.:

> On 17.12.2017 16:59, Ublun wrote:
>> reject_*****_hostname
> eine sehr wirksame Waffe gegen SPAM-Sender ...
>> damit habe ich Probleme, mit denen die über ein Mobile Hotspot
>> senden, diese Adressen kommen meistens ohne sauberen hostname daher.
>> ich inbegriffen,
> dann einfach permit_sasl_authenticated davor;
>> weil ich zu Hause nur noch mit einer Flat übers Handy surfe, müsste
>> das Android rooten damit könnte ich es wohl umgehen.
> was bringt Dir das, wenn das vom DNS kommt?
> nebenbei: dein Handy versendet doch nicht direkt sondern mittels eines
> Smarthosts, oder?
>> Vielleicht kommt dann doch noch ein richtiges Linux Handy auf den Markt.
> eher ein gekochter Eislutscher
>