Spamhaus weigert RBL lookup - Linux en overige clients

woensdag 17 januari 2018 16:33

Acties:

0 Henk 'm!

Mislukt misantroop

Topicstarter

Ik heb Postfix ingesteld om online blacklists te raadplegen, maar Spamhaus weigert mijn verzoeken. Opzoekwerk leert dat Spamhaus heel wat publieke DNS-servers blokkeert (ik vermoed omdat ze het volume van gratis klanten binnen de perken willen houden?). Die van mijn provider (OVH) lijken ook op de zwarte lijst te staan.

Even googlen suggereerde dat andere DNS-servers (of een eigen DNS-server draaien) hier een mouw aan kon passen. Ik heb daarop PowerDNS Recursor geïnstalleerd op de server en 127.0.0.1/::1 als DNS-server ingesteld.. Dat leek heel even goed te gaan (een dag, maar dan was er ook weinig mailverkeer), maar de foutmeldingen duiken opnieuw op.

Helemaal onderaan de foutmeldingen. Kan ik dit op een efficiënte manier oplossen?

code:

Jan 11 13:54:57 atalanta postfix/smtpd[25944]: warning: 5.7.13.195.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=5.7.13.195.zen.spamhaus.org type=A: Host not found, try again
Jan 11 16:06:11 atalanta postfix/smtpd[26699]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again
Jan 11 16:31:21 atalanta postfix/smtpd[26840]: warning: 104.3.107.40.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=104.3.107.40.zen.spamhaus.org type=A: Host not found, try again
Jan 11 18:43:54 atalanta postfix/smtpd[27585]: warning: 109.20.238.195.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=109.20.238.195.zen.spamhaus.org type=A: Host not found, try again
Jan 12 12:24:16 atalanta postfix/smtpd[2220]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again
Jan 12 14:26:20 atalanta postfix/smtpd[2869]: warning: 1.42.27.212.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=1.42.27.212.zen.spamhaus.org type=A: Host not found, try again
Jan 12 14:46:01 atalanta postfix/smtpd[2969]: warning: 30.184.248.178.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=30.184.248.178.zen.spamhaus.org type=A: Host not found, try again
Jan 13 08:33:13 atalanta postfix/smtpd[9951]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again
Jan 13 09:19:46 atalanta postfix/smtpd[10206]: warning: 28.71.74.193.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=28.71.74.193.zen.spamhaus.org type=A: Host not found, try again
Jan 13 09:58:29 atalanta postfix/smtpd[10403]: warning: 184.240.82.81.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=184.240.82.81.zen.spamhaus.org type=A: Host not found, try again
Jan 13 13:00:17 atalanta postfix/smtpd[11854]: warning: 27.71.74.193.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=27.71.74.193.zen.spamhaus.org type=A: Host not found, try again
Jan 13 14:12:02 atalanta postfix/smtpd[12233]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again
Jan 13 17:06:17 atalanta postfix/smtpd[13000]: warning: 28.71.74.193.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=28.71.74.193.zen.spamhaus.org type=A: Host not found, try again
Jan 13 17:16:02 atalanta postfix/smtpd[13053]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again
Jan 13 17:26:35 atalanta postfix/smtpd[13100]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again
Jan 13 17:46:20 atalanta postfix/smtpd[13161]: warning: 217.60.204.212.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=217.60.204.212.zen.spamhaus.org type=A: Host not found, try again

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

woensdag 17 januari 2018 18:31

Acties:

+1 Henk 'm!

d1ng

Je kan op https://www.spamhaus.org/organization/dnsblusage/ even kijken of je voldoet aan de Free Use policy. Anders kan het inderdaad zijn dat je IP adres bewust wordt geblokkeerd.

Om te troubleshooten kan je ook even handmatig checken of je contact krijgt met de DNS server van spamhaus.

dig 2.0.0.127.zen.spamhaus.org

Output:

code:

;; ANSWER SECTION:
2.0.0.127.zen.spamhaus.org. 60  IN  A   127.0.0.2
2.0.0.127.zen.spamhaus.org. 60  IN  A   127.0.0.10
2.0.0.127.zen.spamhaus.org. 60  IN  A   127.0.0.4

Anders optie is om spamhaus links te laten liggen en andere DNSBL te configureren. Ervan uitgaande dat je voldoet aan de usage terms.

woensdag 17 januari 2018 20:20

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

Dank je voor de reactie. Ik had moeten vermelden dat ik voldoe aan alledrie de voorwaarden die ze stellen (privé-gebruik, beperkt aantal opzoekingen en minder dan 100k SMTP-verbindingen per dag).

Die eerste dig query werkt ook bij mij zoals verwacht, maar als ik dus een IP opgeef dat in de logs voorkomt (en waarvan de opzoeking door Spamhaus geweigerd wordt) dan is het andere koek:

# dig 2.0.0.127.zen.spamhaus.org

[knip]

;; ANSWER SECTION:
2.0.0.127.zen.spamhaus.org. 15  IN      A       127.0.0.4
2.0.0.127.zen.spamhaus.org. 15  IN      A       127.0.0.2
2.0.0.127.zen.spamhaus.org. 15  IN      A       127.0.0.10

'Live' adres dat vandaag nog in de logs opdook:

code:

Jan 17 14:24:01 atalanta postfix/smtpd[11998]: warning: 133.211.50.65.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=133.211.50.65.zen.spamhaus.org type=A: Host not found, try again

# dig 133.211.50.65.zen.spamhaus.org                                                                                                                           

; <<>> DiG 9.10.3-P4-Debian <<>> 133.211.50.65.zen.spamhaus.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 63324
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;133.211.50.65.zen.spamhaus.org.        IN      A

;; AUTHORITY SECTION:
zen.spamhaus.org.       10      IN      SOA     need.to.know.only. hostmaster.spamhaus.org. 1801171919 3600 600 432000 10

;; Query time: 215 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jan 17 20:20:12 CET 2018
;; MSG SIZE  rcvd: 123

Ik denk dat ik inderdaad naar de Barracuda RBL bv. ga kijken. Ik vind het alleen bizar dat Spamhaus volgens zijn voorwaarden mij gewoon een opzoeking zou moeten laten raadplegen.

Edit: Lees ik deze logs misschien verkeerd en wil dit louter zeggen dat Spamhaus geen entry gevonden heeft voor dit IP-adres? Want daar lijkt het eigenlijk op.

[ Voor 28% gewijzigd door Borromini op 17-01-2018 20:39 ]

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

donderdag 18 januari 2018 20:23

Acties:

0 Henk 'm!

Rhannie

[DPC] Team Black Bulls

Als er geen domein geresolved kan worden bij een lookup bij een DNSBL, dan betekent dat dat het IP niet geblacklist is. Als je een blacklist check doet op het IP adres in je voorbeeld, zie je ook dat deze niet geblacklist is bij Spamhaus: https://mxtoolbox.com/Sup...5.50.211.133&run=toolpage

Het blijft dan wel vreemd dat Postfix foutmeldingen blijft geven, maar misschien dat iemand anders daar meer verstand van heeft dan ik.

donderdag 18 januari 2018 20:30

Acties:

0 Henk 'm!

d1ng

In theorie zou postfix alleen een melding moeten geven als het IP listed is in de DNSBL

Is de postfix loglevel misschien verhoogd?

donderdag 18 januari 2018 21:58

Acties:

0 Henk 'm!

Wolfboy

ubi dubium ibi libertas

Het is jaren geleden dat ik iets met spamhaus gedaan heb dus het kan zijn dat dit normaal is, maar het lijkt mij vreemd dat het server adres er zo uit ziet: 133.211.50.65.zen.spamhaus.org

Het lijkt me dat het ofwel een normale hostname ofwel een IP moet zijn, een IP met als suffix een subdomein is imho nogal apart

Blog [Stackoverflow] [LinkedIn]

donderdag 18 januari 2018 22:06

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

@Wolfboy Zo werkt de RBL lookup. Reverse IP dat dan voor het domein van de blacklist wordt gehangen.

@Rhannie daar heb je gelijk in, ik ga mezelf de komende dagen wat mails sturen op de server om te zien wat Postfix terugkrijgt. Vandaag nog wat extra achtergrond opgezocht maar de output die Spamhaus zelf toont in hun FAQ bij een functionele query op een domein dat niet op de blacklist staat is nog steeds anders dan wat ik momenteel krijg.

@d1ng Er staat meer dan één blacklist ingesteld in Postfix, de andere blacklists geven inderdaad geen entries in het logboek als de IPs niet op hun zwarte lijst staan. Daar is het dus wel duidelijk. Loglevel moet ik nog es dubbelchecken maar is vziw niet verhoogd.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

donderdag 18 januari 2018 23:51

Acties:

0 Henk 'm!

Wolfboy

ubi dubium ibi libertas

Borromini schreef op donderdag 18 januari 2018 @ 22:06:
@Wolfboy Zo werkt de RBL lookup. Reverse IP dat dan voor het domein van de blacklist wordt gehangen.

Ah, dan heb ik niets gezegd

Blog [Stackoverflow] [LinkedIn]

vrijdag 19 januari 2018 14:13

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

@d1ng Loglevels staan normaal, ik heb het wel voor smtp_tls_loglevel en smtpd_tls_loglevel op 1 staan zodat ik basisinfo krijg over te TLS-verbindingen. Dat heeft geen invloed op DNS lookups. Overige loglevels staan op 0.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

vrijdag 19 januari 2018 18:02

Acties:

0 Henk 'm!

d1ng

Ben benieuwd wat je eigenlijk terugkrijgt van dig met bijvoorbeeld deze (listed) IP https://www.spamhaus.org/query/ip/23.254.128.57

Weet je zeker dat powerdns rechtstreeks van de root servers ophaalt en niet vanaf de forwarder van OVH?

vrijdag 19 januari 2018 21:07

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

Die geeft ie wel, dus dat lijkt dan weer wel te werken...

# dig 57.128.254.23.zen.spamhaus.org

; <<>> DiG 9.10.3-P4-Debian <<>> 57.128.254.23.zen.spamhaus.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57983
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;57.128.254.23.zen.spamhaus.org.        IN      A

;; ANSWER SECTION:
57.128.254.23.zen.spamhaus.org. 892 IN  A       127.0.0.4

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Jan 19 21:03:59 CET 2018
;; MSG SIZE  rcvd: 75

Ik heb in /etc/resolv.conf alleen de lokale recursor ingesteld. De IP's van de OVH DNS-servers zijn verwijderd. Kan ik nog ergens anders checken waar PowerDNS de mosterd haalt?

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zaterdag 20 januari 2018 11:42

Acties:

0 Henk 'm!

d1ng

Dat ziet er inderdaad goed uit en werkt dus gewoon als verwacht. Betekent dus dat je DNS zelf in orde is, maar op een of andere manier heeft postfix daar lak aan... Wellicht gaat er iets mis in de manier waarop postfix de DNS opvraagt bij je systeem.

Zou je je postfix configuratie willen posten?

postconf -n

In powerdns zou het overigens de setting 'forward-zones' moeten zijn, maar aangezien daar niks aan gewijzigd is, én de DNS goed werkt, lijkt me dat uitgesloten.

zaterdag 20 januari 2018 12:38

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

Daar is inderdaad niks aan gewijzigd:

# grep forward-zones /etc/powerdns/recursor.conf
# forward-zones Zones for which we forward queries, comma separated domain=ip pairs
# forward-zones=
# forward-zones-file    File with (+)domain=ip pairs for forwarding
# forward-zones-file=
# forward-zones-recurse Zones for which we forward queries with recursion bit, comma separated domain=ip pairs
# forward-zones-recurse=

Postfix-configuratie:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
default_process_limit = 20
delay_warning_time = 4h
disable_vrfy_command = yes
header_size_limit = 51200
home_mailbox = Maildir/
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = all
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 51200000
message_size_limit = 10485760
milter_default_action = accept
milter_protocol = 6
mydestination = volatilesystems.org
mydomain = volatilesystems.org
myhostname = volatilesystems.org
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = $smtpd_milters
queue_minfree = 20971520
readme_directory = /usr/share/doc/postfix
recipient_delimiter = *
smtp_host_lookup = dns, native
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = volatilesystems.org ESMTP $mail_name (Debian/GNU)
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
smtpd_client_restrictions = permit_mynetworks, reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unauth_destination, reject_unauth_pipelining, reject_rbl_client b.barracudacentral.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org, permit
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, permit
smtpd_milters = unix:var/run/opendkim/opendkim.sock,unix:var/run/opendmarc/opendmarc.sock
smtpd_recipient_limit = 10
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = hash:/etc/postfix/virtual
smtpd_tls_CAfile = /etc/letsencrypt/ssl/fullchain.bundle
smtpd_tls_cert_file = /etc/letsencrypt/ssl/cert.pem
smtpd_tls_key_file = /etc/letsencrypt/ssl/cert.pem
smtpd_tls_loglevel = 1
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
virtual_alias_domains = arnesegers.be arnesegers.com
virtual_alias_maps = hash:/etc/postfix/virtual

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zaterdag 20 januari 2018 20:14

Acties:

0 Henk 'm!

d1ng

Is er een specifieke reden dat 'native' is opgenomen in de smtp_host_lookup?

Anders kun je kijken of het helpt om deze te veranderen naar:

code:

1	smtp_host_lookup = dns

Met 'dns,native' worden hosts, die niet in 'dns' zijn gevonden, opgezocht met 'native'. Best kans dat de meldingen in je log verschijnen omdat 'native' de spamhaus IP's niet kan resolven.

http://www.postfix.org/postconf.5.html#smtp_host_lookup

[ Voor 16% gewijzigd door d1ng op 20-01-2018 21:23 ]

zaterdag 20 januari 2018 23:09

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

Dat stond tot paar dagen terug op 'dns'. Ik heb daar toen 'native' aan toegevoegd, met het idee van 'het is het proberen waard'. Aangezien native alleen als fallback gebruikt wordt zou het ook geen kwaad mogen doen.

Ik moet ook een beschamende vaststelling doen - ik heb er nu pas aan gedacht om één van de IPs zelf te checken in de logs (waar Postfix ze sowieso met de hostname rapporteert) en dat is het IP dat het frequentst opdook in die Spamhaus-foutmeldingen is van een mailing list waar ik vaak meerdere keren per dag mail van ontvang. De laatste Spamhaus-foutmelding dateert van 17 januari. Tenzij die DNS-resultaten lokaal gecached worden (en zelfs als dat gedaan wordt, dan vermoed ik niet langer dan 24u?) lijkt het dus goed te lopen.

Ik heb de afgelopen dagen nog wat andere veranderingen aan de Postfix-configuratie toegevoegd (ongerelateerd aan dit probleem), dus ik kan het exacte moment waarop ik 'native' toegevoegd heb niet meer traceren - of zien of het matcht met de laatste foutmelding

.

Ik ga 'native' er terug uithalen en zien of de foutmeldingen dan terug opduiken. Als ze wegblijven dan deed 'native' niks en dan vermoed ik dat het een probleem van tijdelijke aard was... De instellingen van PowerDNS zijn 13/1 voor het laatst gewijzigd, dus daar is sinds ik dit topic geopend heb niks aan veranderd.

Alvast bedankt voor jullie hulp - ik hou de logs nog een paar dagen in de gaten hier en ik rapporteer over een paar dagen weer.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

donderdag 25 januari 2018 21:16

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

Topicstarter

OK. Vandaag is dezelfde foutmelding opnieuw opgedoken, alleen nu met Barracuda Central en niet met Spamhaus...

code:

atalanta postfix/smtpd[8103]: warning: 132.20.238.195.b.barracudacentral.org: RBL lookup error: Host or domain name not found. Name service error for name=132.20.238.195.b.barracudacentral.org type=A: Host not found, try again

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje