Spamhaus Probleme

  • Mache dich doch bitte mal mit der Funktionsweise von DNSBLs vertraut. Wozu sollte zen.spamhaus.org A/AAAA-Einträge brauchen?

    Scheinbar benötigt der Server zen.spamhaus.org tatsächlich keine A / AAAA Records.


    Denn mit Hilfe dieser Information unter der URL https://www.spamhaus.com/resource-center/... beim Betreiber Spamhaus habe ich das Problem auf meinem Server gelöst bekommen. Der Server zen.spamhaus.org erkennt nun nach einigen Tests die Spamm-Mails richtig.


    Was habe ich gemacht:

    Einfach einen eigenen lokalen DNS auf meinen Server installiert und die bisherigen öffentlich genutzten DNS-Server rausgeschmissen.

  • Hallo zusammen,


    ja, es ist korrekt, dass Spamhaus unsere DNS-Resolver blockiert hat, da diese inzwischen zu viel Traffic auf den Spamhaus-DNS-Servern erzeugen, was bei größeren Providern nicht unüblich ist und sich auch nicht wirklich verhindern lässt.


    Wenn ihr einen eigenen Mailserver betreibt, empfiehlt es sich daher, wie bereits in diesem Thread benannt, einen eigenen DNS-Resolver (z.B. Unbound oder Bind 9) zu installieren und zu nutzen, was das Problem für euren Server lösen sollte.

  • Ich hab das Problem seit gestern spät abends, da hat sich jemand beklagt, dass er diese Fehlermeldung bekommen hätte, als sie ein Mail zu einer Adresse meines Mailservers (postfix) schicken wollte.

    Ich weiß gar nicht, ob das Mail doch angekommen ist, oder ob es nur eine Fehlinterpretation des Mail-Clients war (wie "tab" in #16 vermutet).

    Jedenfalls hab ich erst mal spamhaus aus der main.cf auskommentiert, aber würde es natürlich lieber weiter verwenden.


    ...

    Wenn ihr einen eigenen Mailserver betreibt, empfiehlt es sich daher, wie bereits in diesem Thread benannt, einen eigenen DNS-Resolver (z.B. Unbound oder Bind 9) zu installieren und zu nutzen, was das Problem für euren Server lösen sollte.

    Ich hab als Domain Provider tecspace, also auch deren Nameserver, wo kann ich denn das umstellen auf einen eigenen DNS (mit bind9)?

  • Resolver, nicht Autoritativer DNS Server -> da wo du dein Postfix hast, das ist der DNS Server, den Postfix benutzt um die Empfänger aufzulösen.


    Logfiles?

    Also es ist nicht angekommen, sehe ich mit Hilfe des Logs im Maileingang. Im Log lese ich:


    Code
    ...
    Jun 19 10:53:19 myserver postfix/smtpd[1899775]: connect from mout.gmx.net[212.227.15.19]
    Jun 19 10:53:19 myserver postfix/smtpd[1899775]: discarding EHLO keywords: DSN
    Jun 19 10:53:19 myserver postfix/smtpd[1899775]: Anonymous TLS connection established from mout.gmx.net[212.227.15.19]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDH
    E (P-256) myserver-signature RSA-PSS (2048 bits) myserver-digest SHA256
    Jun 19 10:53:19 myserver postfix/smtpd[1899775]: discarding EHLO keywords: DSN
    Jun 19 10:53:19 myserver postfix/smtpd[1899775]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.15.19]: 554 5.7.1 Service unavailable; Client host [212.227.15.19] blocked using zen.spamhaus.org; Error: open resolver; https://check.spamhaus.org/returnc/pub/46.38.225.230/; from=<sender@gmx.de> to=<recipient@mymyserver.org> proto=ESMTP helo=<mout.gmx.net>
    Jun 19 10:53:19 myserver postfix/smtpd[1899775]: disconnect from mout.gmx.net[212.227.15.19] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7
    ...

    Ich erinnere mich, dass ich früher bind9 im Einsatz hatte, aber ich glaube jetzt nicht mehr.

    Wie kann ich denn einen anderen DNS Server verwenden, damit ich spamhaus wieder verwenden kann?

  • Ich erinnere mich, dass ich früher bind9 im Einsatz hatte, aber ich glaube jetzt nicht mehr.

    Wie kann ich denn einen anderen DNS Server verwenden

    Das kommt ganz darauf an, welche Distribution du verwendest.


    Aber evtl. solltest du dir dadrüber Gedanken machen, ob du wirklich einen eigenen Mailserver betreiben möchtest, wenn du schon bei so grundlegenden Fragen (bei denen du dir übrigens selbst die Antwort schon eine Zeile höher gibst) erst in einem Forum nachfragen musst.

  • Das kommt ganz darauf an, welche Distribution du verwendest.


    Aber evtl. solltest du dir dadrüber Gedanken machen, ob du wirklich einen eigenen Mailserver betreiben möchtest, wenn du schon bei so grundlegenden Fragen (bei denen du dir übrigens selbst die Antwort schon eine Zeile höher gibst) erst in einem Forum nachfragen musst.

    Also ich finde die Frage von franc gut.

    Ich betreibe auch seit vielen Jahren meinen eigenen Mailserver, und habe den gut im Griff. Ich habe aber noch nie einen eigenen DNS-Server aufgesetzt, weil ich das nicht musste - ich habe also keine Ahnung, wie das geht. Natürlich bekomme ich das hin, weil ich mir das ja erarbeiten kann.

    Dazu ziehe ich das Internet zu rate. Ich denke, dass zwei Sätze von jemandem, der das schon mal gemacht hat, und ein guter Link mir Zeit sparen würde. Liegt es deshalb nicht nahe, in einem Forum, wo Leute genau dies diskutieren, um Rat zu fragen? H6G, du musst ja nicht antworten, wenn du keine schnelle Antwort parat hast. Mein Ziel wäre es nie, anderen viel Arbeit zu machen, damit ich ein bisschen Zeit spare.

  • Ich denke, dass zwei Sätze von jemandem, der das schon mal gemacht hat, und ein guter Link mir Zeit sparen würde.

    Es gibt nicht "die Antwort" - und erst recht nicht in zwei Sätzen.

    Wir können das ja mal herunterbrechen.


    Schritt 1: ich muss mich für eine DNS Resolver Software entscheiden, genau so wie ich mich für z.B. einen E-Mail Server entscheiden muss.

    Wie bereits erwähnt, gibt es mehrere Software.

    • bind9
    • unbound
    • PowerDNS Recurser
    • [...]

    Persönlich würde ich z.B. bind9 nicht nutzen, franc hatte aber erwähnt, dass er bind bereits genutzt hat - das wäre zumindest eine logische Wahl.


    Schritt 2: Das Paket installieren - dafür muss ich mich entschieden haben und recherchieren, wie die Pakete in den Paketquellen benannt sind und welchen Paketmanager ich benutze (apt, yum, dnf, snap, apk, pacman).


    Schritt 3: DNS Server konfigurieren - auch das ist wieder abhängig von vielen Faktoren.


    Schritt 4: Linux Betriebssystem auf DNS Server umstellen: Debian nutzt hier resolvconf, Ubuntu nutzt netplan und ggf. systemd-resolved, bei CentOS geht es dann über die netconfig Scripte.


    Klar gibt es hier Links zum Thema "unbound auf Ubuntu 18.04 installieren" aber zum Thema wie betreibe ich E-Mail Server auf unterschiedlichen Linux Distributionen kenne ich keine Links. Für mich ist das stumpfe UNIX Philosophie: ich kombiniere unterschiedliche Bausteine selbst zu einem Gesamtsystem.


    Mein Ziel wäre es nie, anderen viel Arbeit zu machen, damit ich ein bisschen Zeit spare.

    IMHO gibt es da keine Arbeitserleichterung. Ich kann niemandem die Arbeit abnehmen sich z.B. mit der Konfiguration von bind9 zu beschäftigen.

    Mit den vorliegenden Informationen könnte ich nicht mal eine Config für franc recherchieren. Je nach Paketbetreuer sehen nämlich Konfigurationen zwischen unterschiedlichen Distributionen ganz anders aus. Meine Config für OpenLDAP auf Alpine Linux würde auf CentOS gar nicht funktionieren.


    Wie würdest du es formulieren für einen Admin,

    • der nicht weiß, wie er prüft ob eine Mail zugestellt wurde
    • der nicht weiß, welche Pakete er installiert hat und nutzt
    • der nicht weiß, welchen DNS Server sein Mailserver benutzt

    ?

    Da ist überhaupt gar keine Vorarbeit geleistet worden, stattdessen soll ich in meiner Freizeit fremden Admins so wenig Arbeit wie möglich bereiten?

    Eine gewisse Form der Mitarbeit erwarte ich nämlich auch, und dazu gehört auch ein kluges Fragen.

    Beispiel für eine kluge Frage:

  • Genau das hat franc doch gefragt! Nur mit etwas anderen Worten, etwas flapsiger. Aber genau so habe ich es verstanden (und du offensichtlich auch).

  • Genau das hat franc doch gefragt! Nur mit etwas anderen Worten, etwas flapsiger. Aber genau so habe ich es verstanden (und du offensichtlich auch).

    Soweit ich das sehe, erwähnt der User franc nicht einmal das verwendete Betriebssystem. Wie soll man ohne diese wichtige Info auch nur annähernd helfen? :/


    Und falls Du ebenfalls Hilfe erwartest: Du hast diese Info bisher ebenfalls nicht genannt…

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

    Like 2
  • Ich habe nun ein paar Stunden rumgebaut und versuche mich in einer kurzen Antwort:


    Hier ist eine Anleitung für die Einrichtung von unbound unter Debian: https://blog.to.com/dns-resolver-installieren/. Das funktioniert ähnlich sicher auch auf anderen Systemen.

    Da der Rebound-Server nur für den eigenen Server nötig ist, brauchst du nicht die beschriebenen Änderungen an der Konfiguration vornehmen.

    Nicht vergessen, den Nameserver unter /ect/resolvconf anzupassen, damit unbound aktiv wird.

    Damit geht bei mir zen.spamhaus.org nun wieder!


    Falls ich etwas vergessen habe, u.a. bezüglich Security, bin ich über Verbesserungsvorschläge natürlich dankbar!

  • Anleitung:


    Unbound installieren. Das kommt mit einer brauchbaren Konfiguration. Auf Debian-basierten System gibt man als Root (also nach su oder mit sudo) ein:

    apt install unbound


    Dann noch 127.0.0.1 als den DNS-Resolver einstellen. Das geht genau so, als wollte man 8.8.8.8 oder einen anderen öffentlichen Resolver einstellen.


    Fertig. Soll ich das als Tutorial einreichen?

  • Ich hatte genau das selbe Problem wie im Eingangspost geschrieben, aufgetreten plötzlich vor ca. 1-2 wochen


    bei mir lag es an diesen "veralteten einträgen in der postfix main.cf

    smtpd_recipient_restrictions =

    • reject_rhsbl_helo dbl.spamhaus.org,
    • reject_rhsbl_reverse_client dbl.spamhaus.org,
    • reject_rhsbl_sender dbl.spamhaus.org,

    permit


    nachdem ich die Einträte auf aktuellen stand gebracht habe, funktioniert der Spamhaus Service wieder ganz normal

    die korrekten/aktuellen EInträge lauten

    • reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99],
    • reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99],
    • reject_rhsbl_reverse_client dbl.spamhaus.org=127.0.1.[2..99],


    LG

  • nachdem ich die Einträte auf aktuellen stand gebracht habe, funktioniert der Spamhaus Service wieder ganz normal

    Nein, damit hast du die Spamhaus-Listen abgeschaltet, wenn du einen von Spamhaus identifizierten öffentlichen DNS-Resolver verwendest. Spamhaus liefert dann einen Fehler in Form einer IP-Adresse, die außerhalb dieser Ranges liegt. Ohne die Konfigurationsänderung wird das als "listed" interpretiert, mit der Änderung wird die Antwort ignoriert. In keinem Fall bekommst du eine Auskunft über den Status des Absenders in der Spamhaus Liste. Du musst einen anderen Resolver nutzen, um weiter die Spamhaus DNSBL verwenden zu können.

  • habe aktuell die gleiche Problematik mit Spamhaus.org....


    Ich verwende schon seit geraumer Zeit dnsmasq. In der Config habe ich die 2 DNS Server von Netcup angegeben. Wie gehe ich vor, dass die Spamhaus Anfragen direkt an die DNS Server von Spamhaus gehen. Durch den Reverse dürfte ich ja dann autorisiert sein, da die Anfragen ja wenige pro Tag wären. Aber ich bekomme das einfach nicht hin. Oder ist dnsmasq nicht geeignet die ganze DNS Abfragen wie Bind9 z.B nachzubilden? Vielleicht hat ja jemand ähnliche Konfiguration.


    Andreas

  • Ich verwende schon seit geraumer Zeit dnsmasq

    Dnsmasq ist kein "recursive resolver", d.h. der stellt nur Anfragen mit "recursion requested", weil der sich nicht selbst vom DNS Root ausgehend durchhangeln kann. Die DNS-Server von Spamhaus weigern sich wie die meisten anderen autoritativen Server, solche Anfragen zu beantworten. Du kannst mit Dnsmasq also die Server von Spamhaus nicht direkt abfragen. Für Dnsmasq bräuchtest du einen anderen Resolver, der einerseits Rekursion erlaubt und andererseits von Spamhaus nicht als öffentlich angesehen wird. Solche Server dürften schwer zu finden sein, und auch von Spamhaus gesperrt werden, wenn sie bekannter werden. Du kommst also wahrscheinlich nicht darum herum, einen eigenen recursive Resolver aufzusetzen. Wie das geht, habe ich etwas weiter oben schon am Beispiel von Unbound beschrieben.

  • Dnsmasq ist kein "recursive resolver", d.h. der stellt nur Anfragen mit "recursion requested", weil der sich nicht selbst vom DNS Root ausgehend durchhangeln kann.

    super, genau das war auch meine Vermutung. Dann werde ich mir dem Unbound mal anschauen. Vielen Dank nochmals.