Spamhaus DBL und ZRD

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Spamhaus DBL und ZRD

michael.stroehle
Hallo,

wir verwenden seit jeher Spamhaus ZEN (Kombi aus SBL, XBL, PBL), die wohl effizienteste RBL: https://www.intra2net.com/en/support/antispam/index.php_sort=accuracy_order=desc.html

Seit einigen Wochen haben wir auch Domain Reputation DBL und ZRD konfiguriert, eingebunden via Spamassassin local.cf:

#Spamhaus Account
header __RCVD_IN_ZEN        eval:check_rbl('zen', 'key.zen.dq.spamhaus.net.')
header RCVD_IN_XBL                eval:check_rbl('zen-lastexternal', 'key.zen.dq.spamhaus.net.', '127.0.0.[45678]')
header RCVD_IN_PBL                eval:check_rbl('zen-lastexternal', 'key.zen.dq.spamhaus.net.', '127.0.0.1[01]')
uridnssub URIBL_SBL                key.zen.dq.spamhaus.net. A 127.0.0.2
urirhssub URIBL_DBL_SPAM        key.dbl.dq.spamhaus.net. A 127.0.1.2
urirhssub URIBL_DBL_ERROR        key.dbl.dq.spamhaus.net. A 127.0.1.255
urirhssub URIBL_ZRD                key.zrd.dq.spamhaus.net. A 127.0.2.2


Während wir Rejects für ZEN sehr wohl sehen, kam uns bis jetzt kein einziger Reject betreffend DBL oder ZRD unter.
Auf Anfrage beim Spamhaus Support ob die Konfiguration denn i.O. wäre, kam bisweilen keine entsprechende Antwort.

Verwendet jemand von euch bereits DBL und ZRD und sieht entsprechende Ergebnisse in seinen Logs?


Danke und Grüße
Ing. Michael Ströhle
Systems Engineering / UNIX Systems

Allgemeines Rechenzentrum GmbH
A-6020 Innsbruck, Tschamler-Straße 2
Tel.: +43 / (0)50 4009-1481
http://www.arz.at


Reply | Threaded
Open this post in threaded view
|

Re: Spamhaus DBL und ZRD

Ralf Hildebrandt
* [hidden email] <[hidden email]>:

> uridnssub URIBL_SBL             key.zen.dq.spamhaus.net. A 127.0.0.2
> urirhssub URIBL_DBL_SPAM        key.dbl.dq.spamhaus.net. A 127.0.1.2
> urirhssub URIBL_DBL_ERROR       key.dbl.dq.spamhaus.net. A 127.0.1.255
> urirhssub URIBL_ZRD             key.zrd.dq.spamhaus.net. A 127.0.2.2
>
> Während wir Rejects für ZEN sehr wohl sehen, kam uns bis jetzt kein
> einziger Reject betreffend DBL oder ZRD unter.
> Auf Anfrage beim Spamhaus Support ob die Konfiguration denn i.O. wäre, kam
> bisweilen keine entsprechende Antwort.

DBL ist standardmäßig in den SA Regeln drin, ich sehe:

/var/log/mail.log-20170908.xz:217
/var/log/mail.log-20170909.xz:82
/var/log/mail.log-20170910.xz:42
/var/log/mail.log-20170911.xz:180
/var/log/mail.log-20170912.xz:266
/var/log/mail.log-20170913.xz:237
/var/log/mail.log-20170914:464
/var/log/mail.log:60

> Verwendet jemand von euch bereits DBL und ZRD und sieht entsprechende
> Ergebnisse in seinen Logs?

ZRD finde ich quasi nix nutzbares im Netz, ich habe mir jetzt:

*** snip ***
urirhssub       URIBL_ZRD   zrd.spamhaus.org. A 127.0.2.2
body            URIBL_ZRD   eval:check_uridnsbl('URIBL_ZRD')
describe        URIBL_ZRD   Contains a recently registered domain listed in the ZRD blocklist
tflags          URIBL_ZRD   net domains_only

score URIBL_ZRD 0 2.5 0 2.5
*** snip ***

aus den Fingern gesogen!

Wo findet man Infos, welche Returncodes diese BL liefert? 127.0.2.2
habe ich nirgendwo gefunden, Doku ist nicht-existent.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Spamhaus DBL und ZRD

Werner Flamme
Ralf Hildebrandt [15.09.2017 10:44]:

>
> ZRD finde ich quasi nix nutzbares im Netz, ich habe mir jetzt:
>
> *** snip ***
> urirhssub       URIBL_ZRD   zrd.spamhaus.org. A 127.0.2.2
> body            URIBL_ZRD   eval:check_uridnsbl('URIBL_ZRD')
> describe        URIBL_ZRD   Contains a recently registered domain listed in the ZRD blocklist
> tflags          URIBL_ZRD   net domains_only
>
> score URIBL_ZRD 0 2.5 0 2.5
> *** snip ***
>
> aus den Fingern gesogen!
>
> Wo findet man Infos, welche Returncodes diese BL liefert? 127.0.2.2
> habe ich nirgendwo gefunden, Doku ist nicht-existent.
>
Ich vermute, Du kannst den Support fragen, wenn Du eine Testfreigabe auf
<https://www.spamhaustech.com/protecting-mail-streams/domain-reputation-for-email/zrd/>
beantragst ;)

Werner

--


signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Spamhaus DBL und ZRD

michael.stroehle
In reply to this post by Ralf Hildebrandt
Ralf Hildebrandt <[hidden email]> wrote on 15.09.2017
10:44:13:

> DBL ist standardmäßig in den SA Regeln drin, ich sehe:
>
> /var/log/mail.log-20170908.xz:217
> /var/log/mail.log-20170909.xz:82
> /var/log/mail.log-20170910.xz:42
> /var/log/mail.log-20170911.xz:180
> /var/log/mail.log-20170912.xz:266
> /var/log/mail.log-20170913.xz:237
> /var/log/mail.log-20170914:464
> /var/log/mail.log:60

Danke, ich checke das nochmal.
 

> ZRD finde ich quasi nix nutzbares im Netz, ich habe mir jetzt:
>
> *** snip ***
> urirhssub       URIBL_ZRD   zrd.spamhaus.org. A 127.0.2.2
> body            URIBL_ZRD   eval:check_uridnsbl('URIBL_ZRD')
> describe        URIBL_ZRD   Contains a recently registered domain
> listed in the ZRD blocklist
> tflags          URIBL_ZRD   net domains_only
>
> score URIBL_ZRD 0 2.5 0 2.5
> *** snip ***
>
> aus den Fingern gesogen!
>
> Wo findet man Infos, welche Returncodes diese BL liefert? 127.0.2.2
> habe ich nirgendwo gefunden, Doku ist nicht-existent.

Ging mir genauso, ZRD als neues Feature angepriesen bekommen, Doku analog
ZEN jedoch keine verfügbar.
Retourncodes für ZRD:

dig zrdtest.com.<key>.zrd.dq.spamhaus.net

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41598
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;zrdtest.com.<key>.zrd.dq.spamhaus.net. IN A

;; ANSWER SECTION:
zrdtest.com.<key>.zrd.dq.spamhaus.net. 60 IN A 127.0.2.2

Die fehlende Doku ist natürlich schwach.


Danke
Ing. Michael Ströhle
Systems Engineering / UNIX Systems

Allgemeines Rechenzentrum GmbH
A-6020 Innsbruck, Tschamler-Straße 2
Tel.: +43 / (0)50 4009-1481
http://www.arz.at



Reply | Threaded
Open this post in threaded view
|

Re: Spamhaus DBL und ZRD

Ralf Hildebrandt
> > *** snip ***
> > urirhssub       URIBL_ZRD   zrd.spamhaus.org. A 127.0.2.2
> > body            URIBL_ZRD   eval:check_uridnsbl('URIBL_ZRD')
> > describe        URIBL_ZRD   Contains a recently registered domain
> > listed in the ZRD blocklist
> > tflags          URIBL_ZRD   net domains_only
> >
> > score URIBL_ZRD 0 2.5 0 2.5
> > *** snip ***

War übrigens falsch:
uridnsbl        URIBL_ZRD   zrd.spamhaus.org. A
statt
urirhssub       URIBL_ZRD   zrd.spamhaus.org. A 127.0.2.2

Ich habe jetzt mal bei DFN angefragt, die haben für uns alle (?) Spamhaus
Zonen lizensiert...

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de