Rbl domains

[guggi]

gruess euch,

hat wer noch ein paar rbl_domains die ich abfragen kann,
ausser ordb.org? uns sie sollten nix kosten.

merci für die hilfe

guggi

[dodolin]

Wenn du nur Domains wissen willst, schau dich mal auf http://openrbl.org/ um. Dort gibt es auch Links zu anderen Seiten, die alle bekannten RBLs auflisten.

Falls du auch an (ganz persönlichen) Bewertungen über die Sinnhaftigkeit einzelner RBLs von mir interessiert bist, einfach melden, dann lasse ich mich mal über ein paar aus... :)

[sebbus]

also mich interessiert deine Meinung, also lass dich ruhig aus!!

[guggi]

hey dodolin,

dank erstma.
lass es raus, wir sind doch unter uns :lol:

ne im ernst, deine meinung interessiert mich wirklich.

gruß
guggi

[dodolin]

Zum Rejecten verwende ich im Moment diese 3 (4) DNSBLs:

Code: Select all

dominik@trinity:~$ cat /var/mail/dodolin.de/dominik.dns-blacklist 
bl.dodolin.de
list.dsbl.org
sbl.spamhaus.org
relays.ordb.org

In bl.dodolin.de schreibe ich eigene Hosts und Netze nach Bedarf rein.

[EDIT: Ich hätte es gleich dazuschreiben sollen: bl.dodolin.de ist nicht frei zugänglich, sondern nur für localhost. - Bevor es jetzt noch mehr Leute vergeblich versuchen... :) ]

list.dsbl.org hält extrem viele offene Proxies, Formmail.cgi Skripte, offene Relays und anderes Gesocks ab und sogut wie keine false positives.

sbl.spamhaus.org ist ebenso sehr konservativ und listet bekannte Spamquellen, etc. Es dauert äusserst lange, bis eine IP / ein ISP da drin landet und ist daher auch relativ "sicher" zu verwenden.

relays.ordb.org listet offene Relays und hat eine sehr konservative Policy, sodass auch hier kaum mit false positives gerechnet werden muss.

Diverse andere Listen verwende ich nur im Warning-Mode, d.h. Mails kommen trotzdem durch, werden aber mit einem X-RBL-Warning Header versehen, dem ich dann gegebenenfalls in meinem Spamassassin per eigenen Regeln verschiedene "Strafpunkte" vergebe.

Von Spews z.B. (welches sehr häufig verwendet wird) halte ich äusserst wenig - zumindest nicht zum Blocken, höchstens zum Warnen. Auch von jeglicher Art von DUL-Listen halte ich nichts, ausser zum Warnen.

Am allerwichtigsten bei der Sache ist für mich, dass keine legitimen Mails geblockt werden, egal um welche Anti-Spam-Massnahme es sich handelt. Das ist die oberste Priorität, dem sich alle anderen Massnahmen unterordnen müssen. Es kann nicht angehen, dass legitime Absender unter meinen Anti-Spam-Massnahmen zu leiden haben.

Ansonsten müsst ihr halt mal die Listen nennen, zu denen ihr noch meinen Senf hören wollt... ;)

[nyxus]

sieht bei mir in der RBL ähnlich aus. Aber

Diverse andere Listen verwende ich nur im Warning-Mode, d.h. Mails kommen trotzdem durch, werden aber mit einem X-RBL-Warning Header versehen, dem ich dann gegebenenfalls in meinem Spamassassin per eigenen Regeln verschiedene "Strafpunkte" vergebe.

ist eine klasse Idee. Das werde ich auch umsetzen!

[dodolin]

ist eine klasse Idee. Das werde ich auch umsetzen!

Wer sich die Arbeit ein wenig abkürzen möchte:
-> http://users.dodolin.de/~dominik/conf/s ... user_prefs

Ziemlich unten.

Bisher habe ich aber nur Tests drin, die auf die grundsätzliche Existenz von Warning-Headern meines MTAs testen. Für die RBL-Warnings, werde ich dann nicht mit

Code: Select all

header ... exists:

arbeiten, sondern mit einem Header-Match, sodass ich verschiedene

Code: Select all

X-RBL-Warning: found in <dns-blacklist>

je nach <dns-blacklist> unterschiedlich bewerten kann.

Kommt demnächst... :)

[guggi]

tach jungs,

also diese habe ich auch drin

sbl.spamhaus.org
relays.ordb.org

rausgeschmissen habe ich die oirusoft (oder so ähnlich), denn die hat komischerweise sogar teilweise lokalen mailverkehr geblockt 8O
Innerhalb einer domäne an 2 lokale user, einfach die mailt rejected.
wie geht des?
das mit dem warning mode ist echt ne feine idee.
bin mir noch nicht sicher ob ich das so 100% geschnallt habe, aber ich
werd mir den link mal reinziehn und es ausprobieren.

macht es gut

guggi

[dodolin]

rausgeschmissen habe ich die oirusoft (oder so ähnlich), denn die hat komischerweise sogar teilweise lokalen mailverkehr geblockt

Osirusoft hat ja unzählige verschiedene Teillisten. Es ist quasi eine Sammlung diverse anderer Listen an zentraler Stelle, eine Art Metaliste. Manche davon sind wohl ganz tauglich (z.b. relays.osirusoft oder so), aber wenn ich dann an output. oder spews. denke, dann halt eher nicht so, IMHO.

Innerhalb einer domäne an 2 lokale user, einfach die mailt rejected.
wie geht des?

Ich würde auf Konfigurationsfehler deinerseits tippen.

In vielen, wenn nicht sogar allen, DNSBLs sind sogenannte Testeintrage vorhanden, um die grundsätzliche Funktionsfähig testen zu können. Das sind meist 127.0.0.2 oder halt manchmal auch 127.0.0.1. Deshalb sollte man seinen MTA auch so konfigurieren, dass er für 127.0.0.0/8 grundsätzlich keine Lookups in Blacklisten macht.

das mit dem warning mode ist echt ne feine idee.
bin mir noch nicht sicher ob ich das so 100% geschnallt habe, aber ich
werd mir den link mal reinziehn und es ausprobieren.

Wenn was unklar ist, fragen kostet nix. :)

[dodolin]

Es kam die Frage, wie ich das mit bl.dodolin.de realisiere. Damit alle was davon haben, will ich das mal in kurz hier öffentlich beschreiben:

named.conf

Code: Select all

// bl.dodolin.de may only be queried from localhost
// and will not get transfered to our slave (ns.schlund.de)

zone "bl.dodolin.de" {
        type master;
        file "/etc/bind/db.bl.dodolin.de";
        allow-query { localhost; };
        allow-transfer { none; };
};

db.bl.dodolin.de

Code: Select all

dominik@trinity:~$ cat /etc/bind/db.bl.dodolin.de
$ORIGIN bl.dodolin.de.
$TTL 2h
@       IN      SOA     ns.dodolin.de.  dominik.dodolin.de.     (
                        2003060300      ; Serial
                        24h             ; Refresh
                        2h              ; Retry
                        30d             ; Expire
                        2h)             ; Negative Cache TTL

                NS      ns.dodolin.de.

2.0.0.127       A       127.0.0.2
                TXT     "DNSBL test entry"

*.43.242.194    A       127.0.0.2
                TXT     "servergroup/artmarket: constant spam source, foad"

Die Delegation in der Zone dodolin.de sieht so aus:

Code: Select all

; Delegation of subdomains
;
bl              NS      ns.dodolin.de.

Alles klar, oder Fragen? ;)

[nyxus]

Es kam die Frage, wie ich das mit bl.dodolin.de realisiere.

mich würde eher interessieren warum Du es über die DNS-Methode realisierst. Mein erster Gedanke dafür wäre, es über Access-Listen zu machen (ich setze mal voraus, daß das jeder Mail-Server kann).

[dodolin]

mich würde eher interessieren warum Du es über die DNS-Methode realisierst. Mein erster Gedanke dafür wäre, es über Access-Listen zu machen (ich setze mal voraus, daß das jeder Mail-Server kann).

Nuja, DNSBLs kann inzwischen auch sogut wie jeder Mailserver. :)
Und ja, ich habe auch Accesslisten, aber es schadet ja nicht, wenn man beide Möglichkeiten hat, oder? ;)

Ne, wenn ich ehrlich bin, habe ich es gemacht, weil man dann unterschiedliche Fehlermeldungen zurückliefern kann, je nach dem TXT Record in der Blackliste. Allerdings wusste ich damals noch nicht, dass man auch unterschiedliche Fehlermeldungen zurückliefern kann, wenn man Accesslisten benutzt. Insofern ist dieses Argument (zumindest für meinen Mailserver Exim 4 - bei anderen weiß ich es nicht) hinfällig.

[guggi]

morgen dodolin,

hatte ein schweres we, deshalb jetzt erst die antwort :?
so ich hätte also meinen mailserver falsch konfiguriert?

da könntest du recht haben :lol:
ich mach es auch über access, aber du hast schon recht, es
schadet bestimmt nicht rbl`s abzufragen.

<dass er für 127.0.0.0/8 grundsätzlich keine Lookups in Blacklisten macht. >
das wär für mich interessant.

gruß
guggi

[dodolin]

<dass er für 127.0.0.0/8 grundsätzlich keine Lookups in Blacklisten macht. >
das wär für mich interessant.

Hast du jetzad Exim?

Einfach im rcpt_acl Statement mit der "dnslist" noch ein "hosts" hinzufügen, z.B.:

Code: Select all

deny dnslist = sbl.spamhaus.org
        hosts = ! 127.0.0.0/8

Syntax nochmal prüfen, habe ich jetzt aus dem Kopf geschrieben. ;)

[guggi]

Hast du jetzad Exim?
nein hab ich nicht. bin ja froh, dass erstmal so alles läuft.
du darfst nicht vergessen, dass ich noch nicht so ne unixleuchte bin.
aber ich arbeite dran, denn mir gefällt das durchschaubare
system.
mir fallen halt immer wieder ein paar kleinigkeiten auf und die muss ich dann erfragen.

Einfach im rcpt_acl Statement mit der "dnslist" noch ein "hosts" hinzufügen, z.B.:

aha :roll:
ging es, sollte es deine zeit zulassen, a bisl genauer?

merci dodolin

gruß
guggi

[dodolin]

nein hab ich nicht. bin ja froh, dass erstmal so alles läuft.
du darfst nicht vergessen, dass ich noch nicht so ne unixleuchte bin.

Ok, dann kann ich nix groß machen, denn meine Kenntnisse im MTA-Bereich beschränken sich im Prinzip auf Exim + halt allgemeine Dinge. Wenn es so detaillierte Konfigurationsfragen sind, muss dir bei Postfix oder was auch immer du jetzt hast, wohl wer anders weiterhelfen. Ich wage es nicht, da was zu sagen, die Chance ist einfach zu groß, dass ich Bulllshit rede. ;)

aber ich arbeite dran, denn mir gefällt das durchschaubare
system.

Jepp. Exim 4 finde ich absolut klasse, vor allem das Konzept mit den ACLs. Das ist durchschaubar und unvergleichlich flexibel. Daher eignet es sich halt hervorragend auch zur Spamabwehr.

Ich hatte letztens ein etwas verdracktes Problem mit unserem Uni-Mailserver, der mir die dortigen Mails auf meinem Server forwarded. Schwupps, ein bisschen an meinen ACLs gedreht, eine einzige Zeile an der richtigen Stelle eingefügt, und schon läuft wieder alles perfekt.

Einfach im rcpt_acl Statement mit der "dnslist" noch ein "hosts" hinzufügen, z.B.:

aha
ging es, sollte es deine zeit zulassen, a bisl genauer?

a) Wäre nett, wenn du die quote-Tags benutzen würdest. Käme der Lesbarkeit sehr zugute.
b) Was genau meinst du mit genauer, was willst du wissen? Ich meine, ich hatte ja schon ein fertiges Beispiel genannt... Oder willst du wissen, was das Beispiel macht?

Es tut genau das von dir gewünschte: Für sender mit IP in 127.0.0.0/8 werden keine RBLs abgefragt.

[guggi]

"Es tut genau das von dir gewünschte: Für sender mit IP in 127.0.0.0/8 werden keine RBLs abgefragt."

jo genau das wollt ich haben, nur noch ne kleine frage oder besser gesagt für mein hintergrundwissen.
welchen grund hat es für die 127.0.0.0/8 rbls abzufragen?
damit meine ich von lokalen zu lokalen user. nicht von extern auf lokal.
das macht doch keinen sinn.
kennst du postfix gut? ist exim + deiner meinung nach besser?
auf jeden fall probier ich mal dein beispiel aus.

bis dann dodo
gruß
guggi

[dodolin]

welchen grund hat es für die 127.0.0.0/8 rbls abzufragen?
damit meine ich von lokalen zu lokalen user. nicht von extern auf lokal.
das macht doch keinen sinn.

Eben, es hat keinen Sinn. :)

kennst du postfix gut?

Nein.

ist exim + deiner meinung nach besser?

Das kann man so nicht sagen. ;)

Bei Exim würde ich inzwischen halt behaupten, dass ich halbwegs den Durchblick habe, wie das alles zusammenspielt... und ein MTA ist halt nunmal ziemlich komplex. Von Postfix habe ich halt keine Ahnung, also nehme ich Exim.

Ich würde mal behaupten (ohne jetzt konkrete Beweise liefern zu können und zu wollen), dass Exim minimal flexibler ist bzw. etwas mehr Features als Postfix hat, wohingegen Postfix angeblich (habe ich so schon des öfteren gehört) bei extrem viel Traffic etwas mehr Leistung haben soll und halt vom "Design" her schöner, weil modular ist. Exim ist halt eher monolithisch, unter diesen Umständen aber auch recht sicher, da er wo immer möglich seine Privilegien abgibt.

Das einzigste, was mich an Exim stört, ist dass er keine Umwandlung 7bit <-> 8bit macht. Daher werde ich irgendwann in absehbarer Zeit für einen Smarthost mal Postfix aufsetzen müssen und mich dann auch näher mit Postfix beschäftigen.

[guggi]

ok keinen sinn, wie so oft in dieser welt. :(

nun gut solltest du mal fragen zu postfix haben, vielleicht kann ich dir da helfen.
bin zwar nicht der chef, aber es geht schon.
war schön mich revanchieren zu können.

kennst du dich mit confixx aus?
da hab ich momentan ein neues problem?
werd ich es mal in der richtigen sparte posten.

gruß
guggi