Spamassassin ausgehebelt durch DNSWL rate limit  [GELÖST]

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
l_fish
Posts: 164
Joined: Tue 15. Aug 2017, 11:49

Spamassassin ausgehebelt durch DNSWL rate limit

Post by l_fish »

Hallo,

kein Keyhelp-spezifisches Problem (aber auch nicht ganz Off-Topic), aber evtl. für einige hier interessant:

Betrifft: Keyhelp auf Debian 11, also noch mit Spamassassin.

Seit ein paar Tagen kamen bei uns plötzlich so gut wie alle Spam-Mails durch. Ein Blick in die Mail-Header ergab, dass alle Mails jeweils im X-Spam-Status-Header RCVD_IN_VALIDITY_CERTIFIED=-3 und RCVD_IN_VALIDITY_SAFE=-2 stehen hatten. Es wurden also satte 5 Punkte abgezogen.

Also auf die Suche im Internet gemacht und die Ursache gefunden: https://lwn.net/Articles/987566/

Kurz zusammengefasst: Spamassassin nutzt in der Standardkonfiguration von Debian eine DNSWL von validity.com und diese haben im Frühjahr 2024 ein rate limit eingeführt (siehe https://knowledge.validity.com/s/articl ... uage=en_US). Sobald der Mailserver (oder besser gesagt dessen DNS-Resolver) dieses erreicht, antwortet die DNSWL mit einer DNS-Response "Excessive Number of Queries". Das wiederum wertet Spamassassin als "IP steht in der Whitelist => Mail durchlassen".

Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:

Code: Select all

dns_query_restriction deny sa-trusted.bondedsender.org
@Alex: Evtl. kannst du das in die Spamassassin-Config aufnehmen? Eine DNSWL mit rate limit will man ja nicht unbedingt per default aktiv haben (zumal es in keyhelp ja das Feature gibt, selbst festzulegen, welche DNSWLs genutzt werden sollen).


Viele Grüße,
Lars
User avatar
Alexander
Keyweb AG
Posts: 4236
Joined: Wed 20. Jan 2016, 02:23

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Alexander »

Ich habe das RCVD_IN_VALIDITY_CERTIFIED=-3, RCVD_IN_VALIDITY_SAFE=-2 auch in den Headern meines privaten Servers finden können.
Ich hab die Option jetzt mal bei mir aktiviert und schaue es mir ein paar Tage an. Wenn alles okay läuft, dann kann ich es mit in die Standard-Einstellungen übernehmen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Ralph
Posts: 1110
Joined: Mon 30. Mar 2020, 16:14

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Ralph »

l_fish wrote: Fri 22. Nov 2024, 14:14 Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:

Code: Select all

dns_query_restriction deny sa-trusted.bondedsender.org
allerliebst ... :shock:
Danke für die Info!
ollidroll
Posts: 116
Joined: Tue 26. Apr 2016, 20:10

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by ollidroll »

Gilt das auch für Keyhelp unter Debian 12 und/oder Ubuntu 22/24 ?
Und gibt es eine bestimmte Stelle wo man das einbaut? Oder einfach ganz unten einfügen ?
Danke & Viele Grüße
Olli
User avatar
Ralph
Posts: 1110
Joined: Mon 30. Mar 2020, 16:14

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Ralph »

ollidroll wrote: Sun 24. Nov 2024, 19:01 Gilt das auch für Keyhelp unter Debian 12 und/oder Ubuntu 22/24 ?
wohl kaum ... nur wenn da spamassassin statt rspamd drauf laufen sollte :shock:
User avatar
Fezzi
Posts: 199
Joined: Wed 12. Dec 2018, 04:04

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Fezzi »

ollidroll wrote: Sun 24. Nov 2024, 19:01 Gilt das auch für Keyhelp unter Debian 12 und/oder Ubuntu 22/24 ?
Und gibt es eine bestimmte Stelle wo man das einbaut? Oder einfach ganz unten einfügen ?
Nur fuer Systeme mit Spamassassin!

Ubuntu 22 laeuft noch damit... 24 und Debian 12 laufen schon per default mit rspam
Gruss

Fezzi

Everyone can do something, no one can do everything.
ollidroll
Posts: 116
Joined: Tue 26. Apr 2016, 20:10

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by ollidroll »

Danke Euch.
Danke & Viele Grüße
Olli
l_fish
Posts: 164
Joined: Tue 15. Aug 2017, 11:49

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by l_fish »

l_fish wrote: Fri 22. Nov 2024, 14:14 Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:

Code: Select all

dns_query_restriction deny sa-trusted.bondedsender.org
Nachtrag: Das reicht noch nicht ganz aus, da obige Zeile nur den RCVD_IN_VALIDITY_CERTIFIED Check deaktiviert. Um die anderen validity.com DNS-Listen zu deaktivieren, müssen noch weitere Zeilen in die /etc/spamassassin/local.cf hinzugefügt werden:

Für RCVD_IN_VALIDITY_SAFE: dns_query_restriction deny sa-accredit.habeas.com

Für RCVD_IN_VALIDITY_RPBL: dns_query_restriction deny bl.score.senderscore.com

Komplett also:

Code: Select all

dns_query_restriction deny sa-trusted.bondedsender.org
dns_query_restriction deny sa-accredit.habeas.com
dns_query_restriction deny bl.score.senderscore.com
(Leider kann ich meinen ursprünglichen Beitrag oben nicht mehr editieren)
ollidroll
Posts: 116
Joined: Tue 26. Apr 2016, 20:10

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by ollidroll »

Besten Dank.

Ist es egal an welcher Stelle man das in der /etc/spamassassin/local.cf einfügt ?
Einfach ganz unten ?
Danke & Viele Grüße
Olli
User avatar
Alexander
Keyweb AG
Posts: 4236
Joined: Wed 20. Jan 2016, 02:23

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Alexander »

Ich hatte nach nur "dns_query_restriction deny sa-trusted.bondedsender.org" auch noch beide Einträge RCVD_IN_VALIDITY_CERTIFIED + RCVD_IN_VALIDITY_SAFE im Header.

Mal schauen was die neuen Einträge jetzt bringen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Alexander
Keyweb AG
Posts: 4236
Joined: Wed 20. Jan 2016, 02:23

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Alexander »

ollidroll wrote: Mon 25. Nov 2024, 10:20 Besten Dank.

Ist es egal an welcher Stelle man das in der /etc/spamassassin/local.cf einfügt ?
Einfach ganz unten ?

Nur nicht in den

Code: Select all

ifplugin Mail::SpamAssassin::Plugin::Shortcircuit 
...
...
...
endif # Mail::SpamAssassin::Plugin::Shortcircuit
Block hinein.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
ollidroll
Posts: 116
Joined: Tue 26. Apr 2016, 20:10

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by ollidroll »

Danke!
Danke & Viele Grüße
Olli
User avatar
Ralph
Posts: 1110
Joined: Mon 30. Mar 2020, 16:14

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by Ralph »

l_fish wrote: Mon 25. Nov 2024, 10:07
l_fish wrote: Fri 22. Nov 2024, 14:14 Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:

Code: Select all

dns_query_restriction deny sa-trusted.bondedsender.org
Nachtrag: Das reicht noch nicht ganz aus, da obige Zeile nur den RCVD_IN_VALIDITY_CERTIFIED Check deaktiviert. Um die anderen validity.com DNS-Listen zu deaktivieren, müssen noch weitere Zeilen in die /etc/spamassassin/local.cf hinzugefügt werden:

Für RCVD_IN_VALIDITY_SAFE: dns_query_restriction deny sa-accredit.habeas.com

Für RCVD_IN_VALIDITY_RPBL: dns_query_restriction deny bl.score.senderscore.com

Komplett also:

Code: Select all

dns_query_restriction deny sa-trusted.bondedsender.org
dns_query_restriction deny sa-accredit.habeas.com
dns_query_restriction deny bl.score.senderscore.com
(Leider kann ich meinen ursprünglichen Beitrag oben nicht mehr editieren)
Danke für das Update!
User avatar
Alexander
Keyweb AG
Posts: 4236
Joined: Wed 20. Jan 2016, 02:23

Re: Spamassassin ausgehebelt durch DNSWL rate limit  [GELÖST]

Post by Alexander »

Habe es jetzt ein paar Tage im Einsatz und die Erkennung klappt wieder wie gewohnt.

-> Die Änderung ist dann Teil des kommenden Updates

Danke Lars für Melden!
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
l_fish
Posts: 164
Joined: Tue 15. Aug 2017, 11:49

Re: Spamassassin ausgehebelt durch DNSWL rate limit

Post by l_fish »

Alexander wrote: Tue 3. Dec 2024, 11:44 Habe es jetzt ein paar Tage im Einsatz und die Erkennung klappt wieder wie gewohnt.

-> Die Änderung ist dann Teil des kommenden Updates
Danke fürs Prüfen und schnelle die Übernahme in die Keyhelp-Konfiguration. :)
Post Reply