DNS-basierte Blacklists Eintrag lehnt Mails ab [GELÖST]

[BloodOfPanda]

Einen schönen Mittwoch euch gewünscht,
ich habe heute morgen in die DNS-basierte Blacklists (DNSBL) einen Eintrag geschrieben da ich von der Domain (ibta.ru) massiv Spam erhalte.

Dieser Eintrag hatte zufolge das Mails von sämtlichen Anbietern (Outlook, GMail, Private MailServer) abgewiesen wurden.

Code: Select all

SMTP error from remote server for RCPT TO command, host: mail.MEINEDOMAIN.de (188.XX.XX.XX) reason: 554 5.7.1 Service unavailable; Client host [212.227.15.19] blocked using s
ibta.ru

Ich habe eben die Domain überprüft und musste feststellen das die noch nicht vergeben ist.

Wie könnte ich dort nun vorgehen um den Spam abzuwenden?

Grüße Marcel

[Engholm]

Was für einen Eintrag hast Du denn da gesetzt? Hast Du da einfach die Domain eingetragen?

Ich habe die drei Beispiel-Einträge gesetzt, die im DNSBL Hilfe-Text vorgeschlagen werden und fahre damit recht gut:

ix.dnsbl.manitu.net
bl.spamcop.net
b.barracudacentral.org

Es kommt natürlich vereinzelt Spam durch, aber das ist echt überschaubar wenig. Hier sind noch weitere Blacklists gelistet: https://www.dnsbl.info/dnsbl-list.php

[BloodOfPanda]

Guten Morgen,
Exakt ich hatte nur die Domain ibta.ru gesetzt Hintergrund ist das ich durchaus 30-40 Spam Mails vereinzelt über den Tag auf alleine eine Mail Adresse bekommen.

Grüße Marcel

[mhagge]

ibt.ru ist aber keine DNSBL, wenn ich das richtig sehe? Dann wird damit gar nichts gefiltert (je nachdem was da als Antwort kommt kann es zu schwerwiegenden Funktionsstörungen im Mail-Verkehr bei Dir auf dem Server kommen)

Das ist kein Bereich, wo man einzelne Domains "sperren" kann. DNSBL sind quasi über DNS abfragbare Datenbanken von bekannten Spammern (näheres bei der Wikipedia - https://de.wikipedia.org/wiki/DNS-based_Blackhole_List). Das Ergebnis der Abfrage wird gesperrt, nicht die eingegebene Domain.

Allheilmittel sind aber auch DNSBL nicht, zum einen landet nicht jeder Spammer in einer der Sperrlisten, zum anderen besteht durchaus Gefahr, dass man auch erwünschtes sperrt (vor Jahren gab es z.B: mal die Situation, dass so eine DNSBL den Dienst eingestellt hat (mir ist der Name entfallen), als Antwort kam bei jeder Abfrage "ist Spam" - die war noch viel eingebunden weil das wohl viele in der Art "Fire and Forget" in ihre Config eingebaut hatten, die Folge war dass jede Menge auch legitime Mails abgelehnt wurden.

Deswegen ist es wichtig, dass nicht nur einzutragen, sondern auch ein bisschen zu verfolgen und nur Quellen mit guter Reputation zu nutzen.

Mit den 3 genannten Beispielen fährt man aber IMHO ganz gut, mehr dürfte man im Regelfall nicht brauchen

[BloodOfPanda]

Hey,

Das ist kein Bereich, wo man einzelne Domains "sperren" kann.

Hat mir sehr weiter geholfen und auch deine Erklärung dazu, ich hab mich nun mal ein bisschen mehr damit auseinandergesetzt vielen dank dafür.

Grüße Marcel

[RHarms]

(vor Jahren gab es z.B: mal die Situation, dass so eine DNSBL den Dienst eingestellt hat (mir ist der Name entfallen), als Antwort kam bei jeder Abfrage "ist Spam" - die war noch viel eingebunden weil das wohl viele in der Art "Fire and Forget" in ihre Config eingebaut hatten, die Folge war dass jede Menge auch legitime Mails abgelehnt wurden.

Ich meine das war AHBL, die war in vielen Grundkonfigurationen enthalten. Nachdem der (public-)Dienst eingestellt wurde, sind alle Anfragen auf Spam positiv beantwortet worden, was den Spam-Score nach oben geschraubt hat.

ibt.ru ist aber keine DNSBL, wenn ich das richtig sehe? Dann wird damit gar nichts gefiltert (je nachdem was da als Antwort kommt kann es zu schwerwiegenden Funktionsstörungen im Mail-Verkehr bei Dir auf dem Server kommen)

Aus sibta.ru im LOG-Auszug (man beachte den Zeilenumbruch) ist bei dem TE ipbta.ru und in der 1. Antwort nun ibt.ru geworden. Mal davon abgesehen das, wie bereits von mhagge beschrieben, unter den DNSBL keine einzelnen Domains eingetragen werden können, ist dann natürlich noch die korrekte Schreibweise zu beachten wenn dort etwas eingetragen wird.


Wie mhagge bereits angedeutet hat, kann man natürlich eine DNSBL eintragen, aber man sollte nicht denken das wäre Set & Forget. Es ist darauf zu achten, ob die Listen ihren Dienst aufrecht erhalten. Server kosten Geld, und die Bereitstellung der Dienste bedeuten Arbeit. Rein kostenlose Projekte sterben daher öfter mal aus. Daher würde ich immer einen Dienst wählen, der ein kostenloses und ein kostenpflichtiges Modell betreibt. Die halten sich in der Regel länger.

[Jolinar]

Wie mhagge bereits angedeutet hat, kann man natürlich eine DNSBL eintragen, aber man sollte nicht denken das wäre Set & Forget. Es ist darauf zu achten, ob die Listen ihren Dienst aufrecht erhalten. Server kosten Geld, und die Bereitstellung der Dienste bedeuten Arbeit. Rein kostenlose Projekte sterben daher öfter mal aus. Daher würde ich immer einen Dienst wählen, der ein kostenloses und ein kostenpflichtiges Modell betreibt. Die halten sich in der Regel länger.

Und wer gerne bastelt, erstellt sich einfach seine eigene Blacklist, z.B. mit rbldnsd

[RHarms]

Was mit zu dem Thema eigentlich einfällt :

Sind die DNSBL, welche man im Keyhelp einträgt, eigentlich Kill-Listen (ein Treffer führt zur Ablehnung der Mail)?
Oder findet eine Gewichtung statt, sprich es wird eine Mail erst abgewiesen wenn mehrere Listen positiv zurück geben?

[Florian]

Hallo,

die Mail wird abgelehnt, sobald die IP des einliefernden Servers auf einer der eingetragenen Blacklists enthalten ist. Egal ob auf einer oder mehreren.

[Engholm]

Moin zusammen,

ich klinke mich hier nochmal ein:

Ich bekomme in den letzten Wochen sehr viele Spammails über die beiden Keymachines, die ich verwalte.
Folgende DNSBL habe ich auf beiden Servern in der KH DNSBL Konfiguration hinterlegt:

Code: Select all

zen.spamhaus.org
ix.dnsbl.manitu.net
bl.spamcop.net
b.barracudacentral.org
cbl.abuseat.org
dnsbl.sorbs.net
spam.dnsbl.sorbs.net
dnsbl.cobion.com
spam.dnsbl.anonmails.de

Leider kommt noch sehr viel durch. Ich reiche möglichst viele SpamMails bei Spamcop ein und dort extrahierten IPs der Spammer habe ich dann mal über den MX Toolbox Blacklist Check laufen lassen mit dem Ergebnis, dass die IPs oftmals schon in diversen DNSBL eingetragen sind. Die im angehängte Screenshot markierten Blacklists habe ich in KH hinterlegt, aber offensichtlich kommen die Mails dort trotzdem noch durch.

Gibt es eine Möglichkeit einzusehen, ob die hinterlegten DNS Blacklists überhaupt greifen? Oder ist es normal, dass trotzdem noch was durchkommt? Es ist momentan wie gesagt extrem viel. Mir persönlich ist das egal, aber einige Kunden reagieren bereits genervt :/

[stfn116]

cat /var/log/mail.log | grep b.barracudacentral.org

[nikko]

da ich selbst noch keine Blacklisten nutze, kann ich dir aktuell auf die Funktion & Funktionsprüfung in KH nicht antworten.

Nebenbei: Kann es auch Spam von den verwendeten Kontaktformularen sein?

SpamAssasin ist aber lernfähig, d.h. der Spam sollte irgendann auch mit ***SPAM*** gekennzeichnet werden. Zudem kannst du Spamempfindlichkeit je Postfach festlegen - je kleiner der Wert, desto empfindlicher wird reagiert. Dann lege ich bei dem Kunden eine Regel in Roundcube an, welche die betreffenden Mails gleich in einen bestimmten Ordner verschiebt.
Damit gaben sich die meisten bisher zufrieden.

[Engholm]

Danke @ stfn116!

Offensichtlich haben lediglich ix.dnsbl.manitu.net und b.barracudacentral.org gefiltert
Alle anderen BL tauchen in der Abfrage nicht auf, obwohl definitv mehrfach Mails durchgerutscht sind, deren Absender IPs auf mehreren Listen vorhanden sind. Ist die Anzahl der eingesetzt Listen irgendwie begrenzt? Und weiß jemand, wo die Einträge hinterlegt sind?

Nebenbei: Kann es auch Spam von den verwendeten Kontaktformularen sein?

Nope, der Spam kommt auf Adressen an, die nicht in Kontaktformularen hinterlegt sind.

SpamAssasin ist aber lernfähig, d.h. der Spam sollte irgendann auch mit ***SPAM*** gekennzeichnet werden. Zudem kannst du Spamempfindlichkeit je Postfach festlegen - je kleiner der Wert, desto empfindlicher wird reagiert. Dann lege ich bei dem Kunden eine Regel in Roundcube an, welche die betreffenden Mails gleich in einen bestimmten Ordner verschiebt.
Damit gaben sich die meisten bisher zufrieden.

Das möchte ich aber nicht meinen Kunden zumuten zumal ich Kunden habe, die mehrere hundert Postfächer habe. Deshalb möchte ich gerne Möglichkeiten finden, die ich global einstellen kann.

[Jolinar]

Alle anderen BL tauchen in der Abfrage nicht auf, obwohl definitv mehrfach Mails durchgerutscht sind, deren Absender IPs auf mehreren Listen vorhanden sind. Ist die Anzahl der eingesetzt Listen irgendwie begrenzt?

Über welchen DNS-Resolver fragt dein Server das DNS-System ab?
Zumindest spamhaus.org hat diesbezüglich Limits:

Check what DNS resolvers you are using: If you are using a free "open DNS resolver" service such as the Google Public DNS (8.8.8.8) and others (eg. Alternate DNS, Comodo Secure, DNS.Watch, DynDNS, FreeDNS, Hurricane, NeuStar DNS Advantage, Norton ConnectSafe, OpenNIC, Puncat, Quad9, SafeDNS, Uncensored, Verisign, Yandex.DNS), or large cloud/outsourced public DNS servers, such as Level3's, Verizon's or AT&T's to resolve your DNSBL requests, in most cases you will receive a "not listed" (NXDOMAIN) reply from Spamhaus' public DNSBL servers. We recommend using your own DNS servers when doing DNSBL queries to Spamhaus.

Quelle: https://www.spamhaus.org/faq/section/DNSBL%20Usage#261

[stfn116]

Danke @ stfn116!

sehr gern, ich habe auch nicht alle Listen, die bei mir Anwendung finden, bzw. wo Mails geblacklistet werden.

Das möchte ich aber nicht meinen Kunden zumuten zumal ich Kunden habe, die mehrere hundert Postfächer habe. Deshalb möchte ich gerne Möglichkeiten finden, die ich global einstellen kann.

schau mal hier, vielleicht sparst du dir damit ein paar Stunden arbeit.