Spamhaus Probleme

  • OK then, jetzt mit mehr Zeit :)

    Also mein Server ist ein Ubuntu 22.04 LTS, ich habe Postfix 3.6.4 im Einsatz (und Dovecot 2.3.21, was hier mit aber ja nichts zu tun hat).

    Ich hatte früher mal bind9 in Verwendung, da war ich aber noch bei Hosteurope, da hatte ich in der Zone als autoritativen ersten DNS meinen Server eingetragen und als zweiten DNS konnte ich einen von HostEurope nutzen. Dann bin ich mit der Domain zu Tecspace (und dem Server zu Netcup) aber bei tecspace kann man im Zonenintrag nur beide DNS von Tecpsace nehmen oder zwei eigene, aber nicht nur den zweiten von Tecspace (so hab ich mir das aufgeschrieben damals).

    Damals hatte ich auch mit eigenen dynamischen Domains (als Ersatz für dyn.com) herumprobiert, hatte aber nicht funktioniert (brauche ich auch nicht mehr, die myfritz DynDNS Dienste funktionieren zuverlässig).


    Mein Problem ist, dass ich mich nicht ständig mit dem Server befasse, sondern immer nur wenn was anliegt, dann forsche ich, stelle neu ein usw und dann ist wieder gut. Dann komme ich vielleicht mal ein, zwei Jahre später wieder ans selbe Thema und hab das meiste vergessen :( Klar, ich schreib mir auf was geht, aber geläufig ist es mir dann oft nicht mehr so.
    Die DNS Thematik habe ich auch nie vollumfänglich durchblickt, damit habe ich schon viel Zeit verbraten (zB wartend, dass eine Änderung endlich repliziert und es kommt nicht, weil ich was falsch eingetragen hatte, oder sogar auch mal weil Tecspace einen Fehler hatte).

    Resolver, nicht Autoritativer DNS Server...

    Den Unterschied begreife ich zB erst jetzt.

    Also muss ich meinen bind9 als Resolver, nicht als Autoritativen DNS Server nehmen (in der Zone meiner Domain stehen ja auch die NS von tecspace als autoritative NS und nicht mein Server).


    Also habe ich nach einer Anleitung gesucht, wie man auf Ubuntu 22.04 mit bind9 den lokalen DNS als Resolver nutzt und das gefunden:
    Set Up Local DNS Resolver on Ubuntu 22.04/20.04 with BIND9

    Danach bin ich also vorgegangen, also in die /etc/bind/named.conf.options unter options dazu:


    Code
     version "not currently available";
     recursion yes;
     allow-recursion { 127.0.0.1; };
     querylog yes;

    In /etc/systemd/resolved.conf hab ich rein:

    Code
    DNS=127.0.0.1

    Mit dem Befehl dann resolvconf angewiesen den lokalen zu nehmen:

    Code
    (echo 'nameserver 127.0.0.1' ; ) | sudo resolvconf -a eth0.manual

    und es scheint zu funktionieren:



    Ich hab dann den spamhaus Eintrag wieder entkommentiert in der main.cf von Postfix ([2..9] anstatten ..11 wg. PBL, siehe bei Heinlein:(


    Code
    ...
    smtpd_recipient_restrictions =
    reject_rbl_client zen.spamhaus.org=127.0.0.[2..9],
    ...

    und jetzt sehe ich im Maillog (/var/log/mail.log) nur noch solche (erwünschte) Spamhaus Einträge:


    Code
    ...
    
    Jul  1 14:14:48 example.org postfix/smtpd[2883345]: NOQUEUE: reject: RCPT from mout-xforward.gmx.net[82.165.159.41]: 554 5.7.1 Service unavailable; Client host [82.165.159.41] blocked using zen.spam
    haus.org; Listed by SBL, see https://check.spamhaus.org/sbl/query/SBL594404;
    ...


    Auf meinem Server selbst stehen aber immer noch in der resolv.conf am Schluss die Nameserver von Netcup drin:

    Code
    $ cat  /run/systemd/resolve/resolv.conf
    # ...
    nameserver 127.0.0.1
    nameserver 46.38.225.230
    nameserver 46.38.252.230
    search .

    Ich nehme aber an, das macht nichts.

  • ...

    Ich betreibe auch seit vielen Jahren meinen eigenen Mailserver, und habe den gut im Griff. ...

    Eine Frage dazu, etwas OT: hast du Probleme, dass die Microsoft Mailserver deinen kleinen Mailserver als Spam bannen, ohne dass du irgendetwas falsch eingestellt hättest?

    Ich hab das nämlich und fülle dann immer wieder, alle paar Monate (manchmal nur Wochen) so ein dämliches Formular aus, dann antwortet ein Automat, ich zurück mit "Please unban!" und manchmal passiert es gleich, manchmal nach ein paar Mal dem Automat (oder einer/m ebenso dämlichen MA) antworten wird es dann wieder manuell "mitigated"also freigeschaltet, das hält dann wieder eine Weile.

    Hast du das Problem auch?

    Also mit ...@outlook.com, ...@hotmail.com (wer hat denn das noch???) oder wie sie alle heißen, die MS-Adressen.

  • Ich hab dann den spamhaus Eintrag wieder entkommentiert in der main.cf von Postfix

    [2..9] anstatten ..11 wg. PBL, siehe Achtung: neue Return Codes bei Spamhaus von Heinlein


    Code
    ...
    smtpd_recipient_restrictions =
    reject_rbl_client zen.spamhaus.org=127.0.0.[2..9],
    ...

    Das ist dann auch noch so ein Thema, das ich vertiefen muss, ich glaube ich muss dazu die aktuelle Ausgabe des Postfix Buches von Heinlein wieder mal durcharbeiten :(

  • Eine Frage dazu, etwas OT: hast du Probleme, dass die Microsoft Mailserver deinen kleinen Mailserver als Spam bannen, ohne dass du irgendetwas falsch eingestellt hättest?

    Ich hab das nämlich und fülle dann immer wieder, alle paar Monate (manchmal nur Wochen) so ein dämliches Formular aus, dann antwortet ein Automat, ich zurück mit "Please unban!" und manchmal passiert es gleich, manchmal nach ein paar Mal dem Automat (oder einer/m ebenso dämlichen MA) antworten wird es dann wieder manuell "mitigated"also freigeschaltet, das hält dann wieder eine Weile.

    Hast du das Problem auch?

    Also mit ...@outlook.com, ...@hotmail.com (wer hat denn das noch???) oder wie sie alle heißen, die MS-Adressen.

    Das kommt bei mir auch regelmäßig vor. Teilweise habe ich aufgegeben das entblocken zu lassen.

  • Das ist eigentlich gar nicht so schwierig. Man muss bloß dran bleiben, da antworten teilweise von Bots kommen.

    Ich versende 2x pro Tag per Script Test Mails an t-online und diverse Microsoft Adressen. Das Ganze wird dann per nagios überwacht. So bekomme ich mit, wenn mal wieder was nicht passt.


    Es gibt vom roten H ne gute Docu zum Thema.

  • Habe aber auch nicht so viele Kontakte mit t-online.der oder Mircosoft Emailadressen

    Gerade das soll angeblich bei MS zur häufigeren Sperrung führen. Letztlich sind deren "Regeln" aber wohl nur Voodoo mit Würfeln.

    Was das Ganze doof macht: Immer mehr Firmen benutzen Outlookprotect als Spamfilter für ihre Domains. Diese Mails werden dann auch geblockt...

    War gerade vor ner Woche bei mir (nach etwa 2 Jahren) mal wieder der Fall. War aber nach nem Ticket an den Provider nach 3 Stunden erledigt...

  • Das nervt wirklich!


    Eigentlich wollte ich meinen RS 4000 kündigen und mit meinem Mailserver auf einen neuen ARM CPU Server oder meinem RS 8000 umziehen. Dann bekomme ich eine neue IP und wahrscheinlich Probleme mit den Spamfiltern.


    Deshalb lasse ich alles auf den RS4000. Das läuft richtig gut. Nie Probleme gehabt.


    Never Change A Running System :)

  • Ich war auch geblockt vor einigen Tagen. Mittlerweile ist die Blockierung entweder von Microsoft ohne mein Zutun aufgehoben worden, oder ich habe mich selbst entsperrt :D . Die letzten beiden Wochen ging nichts zu meiner Outlook.deTestadresse. Aber gerade eben dachte ich mir, ich probiere es nochmal. Allerdings habe ich es diesmal anders gemacht. Ich habe mir von der Outlook-Adresse eine Mail geschrieben und darauf dann geantwortet. Das hat funktioniert. Eine weitere Mail mit neuem Betreff, also keine Antwort, hat dann auch funktioniert. Zuletzt habe ich dann von einer anderen Adresse auf dem selben Mailserver geschrieben und das ging dann auch durch.


    Also: Danke Microsoft, netcup oder tab, wer auch immer es war. :/;)

  • Aus diesem Grunde empfiehlt es sich, Failover IPs für Mailserver zu nutzen.

    Das ja, wenn man bei Netcup ist. Leider ist meine persönliche Erfahrung mit selbstgehosteten Mailservern bei Netcup ziemlich mies, daher habe ich diese nun bei der Konkurrenz. Dort sind IPs auch nicht an Maschinen gebunden.

    compi.dev

    Ein Mensch hat zwei Beine, ein Regenwurm hat keine.