Page 1 of 1
Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Fri 22. Nov 2024, 14:14
by l_fish
Hallo,
kein Keyhelp-spezifisches Problem (aber auch nicht ganz Off-Topic), aber evtl. für einige hier interessant:
Betrifft: Keyhelp auf Debian 11, also noch mit Spamassassin.
Seit ein paar Tagen kamen bei uns plötzlich so gut wie alle Spam-Mails durch. Ein Blick in die Mail-Header ergab, dass alle Mails jeweils im X-Spam-Status-Header RCVD_IN_VALIDITY_CERTIFIED=-3 und RCVD_IN_VALIDITY_SAFE=-2 stehen hatten. Es wurden also satte 5 Punkte abgezogen.
Also auf die Suche im Internet gemacht und die Ursache gefunden:
https://lwn.net/Articles/987566/
Kurz zusammengefasst: Spamassassin nutzt in der Standardkonfiguration von Debian eine DNSWL von validity.com und diese haben im Frühjahr 2024 ein rate limit eingeführt (siehe
https://knowledge.validity.com/s/articl ... uage=en_US). Sobald der Mailserver (oder besser gesagt dessen DNS-Resolver) dieses erreicht, antwortet die DNSWL mit einer DNS-Response "Excessive Number of Queries". Das wiederum wertet Spamassassin als "IP steht in der Whitelist => Mail durchlassen".
Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:
Code: Select all
dns_query_restriction deny sa-trusted.bondedsender.org
@Alex: Evtl. kannst du das in die Spamassassin-Config aufnehmen? Eine DNSWL mit rate limit will man ja nicht unbedingt per default aktiv haben (zumal es in keyhelp ja das Feature gibt, selbst festzulegen, welche DNSWLs genutzt werden sollen).
Viele Grüße,
Lars
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Fri 22. Nov 2024, 15:06
by Alexander
Ich habe das RCVD_IN_VALIDITY_CERTIFIED=-3, RCVD_IN_VALIDITY_SAFE=-2 auch in den Headern meines privaten Servers finden können.
Ich hab die Option jetzt mal bei mir aktiviert und schaue es mir ein paar Tage an. Wenn alles okay läuft, dann kann ich es mit in die Standard-Einstellungen übernehmen.
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Fri 22. Nov 2024, 15:43
by Ralph
l_fish wrote: ↑Fri 22. Nov 2024, 14:14
Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:
Code: Select all
dns_query_restriction deny sa-trusted.bondedsender.org
allerliebst ...
Danke für die Info!
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Sun 24. Nov 2024, 19:01
by ollidroll
Gilt das auch für Keyhelp unter Debian 12 und/oder Ubuntu 22/24 ?
Und gibt es eine bestimmte Stelle wo man das einbaut? Oder einfach ganz unten einfügen ?
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Sun 24. Nov 2024, 19:22
by Ralph
ollidroll wrote: ↑Sun 24. Nov 2024, 19:01
Gilt das auch für Keyhelp unter Debian 12 und/oder Ubuntu 22/24 ?
wohl kaum ... nur wenn da spamassassin statt rspamd drauf laufen sollte
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 05:51
by Fezzi
ollidroll wrote: ↑Sun 24. Nov 2024, 19:01
Gilt das auch für Keyhelp unter Debian 12 und/oder Ubuntu 22/24 ?
Und gibt es eine bestimmte Stelle wo man das einbaut? Oder einfach ganz unten einfügen ?
Nur fuer Systeme mit Spamassassin!
Ubuntu 22 laeuft noch damit... 24 und Debian 12 laufen schon per default mit rspam
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 06:55
by ollidroll
Danke Euch.
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 10:07
by l_fish
l_fish wrote: ↑Fri 22. Nov 2024, 14:14
Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:
Code: Select all
dns_query_restriction deny sa-trusted.bondedsender.org
Nachtrag: Das reicht noch nicht ganz aus, da obige Zeile nur den RCVD_IN_VALIDITY_CERTIFIED Check deaktiviert. Um die anderen validity.com DNS-Listen zu deaktivieren, müssen noch weitere Zeilen in die /etc/spamassassin/local.cf hinzugefügt werden:
Für RCVD_IN_VALIDITY_SAFE: dns_query_restriction deny sa-accredit.habeas.com
Für RCVD_IN_VALIDITY_RPBL: dns_query_restriction deny bl.score.senderscore.com
Komplett also:
Code: Select all
dns_query_restriction deny sa-trusted.bondedsender.org
dns_query_restriction deny sa-accredit.habeas.com
dns_query_restriction deny bl.score.senderscore.com
(Leider kann ich meinen ursprünglichen Beitrag oben nicht mehr editieren)
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 10:20
by ollidroll
Besten Dank.
Ist es egal an welcher Stelle man das in der /etc/spamassassin/local.cf einfügt ?
Einfach ganz unten ?
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 10:24
by Alexander
Ich hatte nach nur "dns_query_restriction deny sa-trusted.bondedsender.org" auch noch beide Einträge RCVD_IN_VALIDITY_CERTIFIED + RCVD_IN_VALIDITY_SAFE im Header.
Mal schauen was die neuen Einträge jetzt bringen.
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 10:25
by Alexander
ollidroll wrote: ↑Mon 25. Nov 2024, 10:20
Besten Dank.
Ist es egal an welcher Stelle man das in der /etc/spamassassin/local.cf einfügt ?
Einfach ganz unten ?
Nur nicht in den
Code: Select all
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
...
...
...
endif # Mail::SpamAssassin::Plugin::Shortcircuit
Block hinein.
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 10:36
by ollidroll
Danke!
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Mon 25. Nov 2024, 11:13
by Ralph
l_fish wrote: ↑Mon 25. Nov 2024, 10:07
l_fish wrote: ↑Fri 22. Nov 2024, 14:14
Als Abhilfe kann man die DNSWL von validity deaktiveren, dazu in /etc/spamassassin/local.cf folgendes hinzufügen:
Code: Select all
dns_query_restriction deny sa-trusted.bondedsender.org
Nachtrag: Das reicht noch nicht ganz aus, da obige Zeile nur den RCVD_IN_VALIDITY_CERTIFIED Check deaktiviert. Um die anderen validity.com DNS-Listen zu deaktivieren, müssen noch weitere Zeilen in die /etc/spamassassin/local.cf hinzugefügt werden:
Für RCVD_IN_VALIDITY_SAFE: dns_query_restriction deny sa-accredit.habeas.com
Für RCVD_IN_VALIDITY_RPBL: dns_query_restriction deny bl.score.senderscore.com
Komplett also:
Code: Select all
dns_query_restriction deny sa-trusted.bondedsender.org
dns_query_restriction deny sa-accredit.habeas.com
dns_query_restriction deny bl.score.senderscore.com
(Leider kann ich meinen ursprünglichen Beitrag oben nicht mehr editieren)
Danke für das Update!
Re: Spamassassin ausgehebelt durch DNSWL rate limit [GELÖST]
Posted: Tue 3. Dec 2024, 11:44
by Alexander
Habe es jetzt ein paar Tage im Einsatz und die Erkennung klappt wieder wie gewohnt.
-> Die Änderung ist dann Teil des kommenden Updates
Danke Lars für Melden!
Re: Spamassassin ausgehebelt durch DNSWL rate limit
Posted: Wed 4. Dec 2024, 08:56
by l_fish
Alexander wrote: ↑Tue 3. Dec 2024, 11:44
Habe es jetzt ein paar Tage im Einsatz und die Erkennung klappt wieder wie gewohnt.
-> Die Änderung ist dann Teil des kommenden Updates
Danke fürs Prüfen und schnelle die Übernahme in die Keyhelp-Konfiguration.
