policyd-weight & spamhaus

[wurzlhaerbert]

Moin,

seit Kurzem habe ich beim policyd-weight ein Problem mit Spamhaus.
Hier zwei Stückchen aus dem Log:

Code: Select all

ZEN_SPAMHAUS=ERR(-1.5) IN_SPAMCOP=3.75 NOT_IN_BL_NJABL=-1.5 IN_IX_MANITU=4.75
ZEN_SPAMHAUS=SKIP(-1.5) NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5

Aus irgendeinem Grund funktioniert der Spamhaus-Check nicht mehr. Wie man sieht habe ich das @dnsbl_score Array verändert, jedoch hat die config seit Wochen funktioniert. Seit einem Serverumzug heute Nacht tut es das allerdings nicht mehr.

Hat jemand eine Ahnung, wie ich der Sache auf den Grund gehen kann?

cu.. wuRzL

PS:
Nachdem Spamhaus die Verwendung von zen.spamhaus.org empfiehlt habe ich folgende Änderungen vorgenommen, die meiner Meinung nach nicht für den Fehler verantwortlich sind:

Code: Select all

## DNSBL settings
   @dnsbl_score = (
#    HOST,                    HIT SCORE,  MISS SCORE,  LOG NAME
    'zen.spamhaus.org',       4.35,       -1.5,        'ZEN_SPAMHAUS',
    'bl.spamcop.net',         3.75,       -1.5,        'SPAMCOP',
    'dnsbl.njabl.org',        4.25,       -1.5,        'BL_NJABL',
    'list.dsbl.org',          4.35,          0,        'DSBL_ORG',
    'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU'
);

[Roger Wilco]

Klappt eine manuelle Abfrage der Spamhaus RBL von deinem Server aus?

[Joe User]

Du solltest mal wieder updaten, die aktuelle Stable-Version enthält bereits Spamhaus:

Code: Select all

## DNSBL settings
my @dnsbl_score = (
#    HOST,                    HIT SCORE,  MISS SCORE,  LOG NAME
    'pbl.spamhaus.org',       3.25,          0,        'DYN_PBL_SPAMHAUS',
    'sbl-xbl.spamhaus.org',   4.35,       -1.5,        'SBL_XBL_SPAMHAUS',
    'bl.spamcop.net',         3.75,       -1.5,        'SPAMCOP',
    'dnsbl.njabl.org',        4.25,       -1.5,        'BL_NJABL',
    'list.dsbl.org',          4.35,          0,        'DSBL_ORG',
    'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU'
);

[Roger Wilco]

Du solltest mal wieder updaten, die aktuelle Stable-Version enthält bereits Spamhaus

Dafür ist dsbl.org noch drin, die es schon eine Weile nicht mehr gibt.

[Joe User]

dsbl.org ist in der Devel-Version entsorgt.

[wurzlhaerbert]

Moin,

soweit ich das sehen kann, sieht der manuelle Test gut aus:

Code: Select all

nslookup 2.0.0.127.zen.spamhaus.org
Server:         85.25.255.10
Address:        85.25.255.10#53

Non-authoritative answer:
Name:   2.0.0.127.zen.spamhaus.org
Address: 127.0.0.2
Name:   2.0.0.127.zen.spamhaus.org
Address: 127.0.0.10
Name:   2.0.0.127.zen.spamhaus.org
Address: 127.0.0.4

--> reject !

oder auch:

Code: Select all

nslookup 2.0.0.127.dnsbl.inps.de
Server:         85.25.128.10
Address:        85.25.128.10#53

Non-authoritative answer:
Name:   2.0.0.127.dnsbl.inps.de
Address: 127.0.0.2

--> reject !

Von wegen der Updates...
Das verstehe ich nicht so ganz, denn:

Code: Select all

emerge policyd-weight -pv
[ebuild   R   ] mail-filter/policyd-weight-0.1.14.17  54 kB

(Für alle nicht-gentoo-user: Das bedeutet, dass ich die aktuelle stable-version habe.)
Außerdem ist die ~x86 Version die gleiche.

Es könnte höchstens sein, dass ich beim cfg-update was verschusselt habe. Ich besorg mir mal die aktuelle config.

cu... wURzL

[Joe User]

Gentoo stellt nur ebuilds für die Stable-Version von policyd-weight bereit. Für die Devel-Version machst Du als root einfach:

Code: Select all

wget http://policyd-weight.org/policyd-weight-devel
/etc/init.d/policyd-weight stop
mv policyd-weight-devel /usr/lib/postfix/policyd-weight
chmod 0755 /usr/lib/postfix/policyd-weight
/etc/init.d/policyd-weight start

Zudem solltest Du die Default-Config von policyd-weight nicht ändern, ausser Du weisst genau, was Du tust...

[wurzlhaerbert]

Moin,

durch die neueste Version hat sich auch nichts geändert. Hier die Ausgabe des debug-log:

Code: Select all

Dec 14 12:53:00 (16) postfix/policyd-weight[18876]: cache_query: ask 84.102.104.64  ikapok@muohio.edu muohio.edu
Dec 14 12:53:00 (16) postfix/policyd-weight[18876]: cache_query: "ask84.102.104.64ikapok@muohio.edu 0" vs "ask84.102.104.64ikapok@muohio.edu "
Dec 14 12:53:00 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.pbl.spamhaus.org, 15024
Dec 14 12:53:02 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.pbl.spamhaus.org, 15024
Dec 14 12:53:04 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.pbl.spamhaus.org, 15024
Dec 14 12:53:06 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.sbl-xbl.spamhaus.org, 8151
Dec 14 12:53:08 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.sbl-xbl.spamhaus.org, 8151
Dec 14 12:53:10 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.sbl-xbl.spamhaus.org, 8151
Dec 14 12:53:12 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.bl.spamcop.net, 43750
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: 64.104.102.84.bl.spamcop.net vs 64.104.102.84.bl.spamcop.net, 43750 vs 43750,  anc == 1
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.dnsbl.njabl.org, 52936
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: 64.104.102.84.dnsbl.njabl.org vs 64.104.102.84.dnsbl.njabl.org, 52936 vs 52936, anc == 0
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.list.dsbl.org, 27071
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: 64.104.102.84.list.dsbl.org vs 64.104.102.84.list.dsbl.org, 27071 vs 27071, anc == 0
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: sending: 64.104.102.84.ix.dnsbl.manitu.net, 36419
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: rbl_lookup: 64.104.102.84.ix.dnsbl.manitu.net vs 64.104.102.84.ix.dnsbl.manitu.net, 36419 vs 36419,  anc == 1
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: cache_query: nadd 84.102.104.64 8.5
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: cache_query: "nadd84.102.104.64 0" vs "nadd84.102.104.64 "
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: weighted check:  DYN_PBL_SPAMHAUS=ERR(0) SBL_XBL_SPAMHAUS=ERR(-1.5) IN_SPAMCOP=3.75 NOT_IN_BL_NJABL=-1.5 IN_IX_MANITU=4.75; <instance=49e2.4944f39c.d7d43.084.102.104.64ikapok@muohio.edu> <client=84.102.104.64> <helo=64.104.102-84.rev.gaoland.net> <from=ikapok@muohio.edu> <to=me@mydomain.de>; rate: 5.5
Dec 14 12:53:13 (16) postfix/policyd-weight[18876]: decided action=550 Your MTA is listed in too many DNSBLs; check http://www.robtex.com/rbl/84.102.104.64.html; <instance=49e2.4944f39c.d7d43.0> <client=84.102.104.64> <helo=64.104.102-84.rev.gaoland.net> <from=ikapok@muohio.edu> <to=me@mydomain.de>; delay: 13s

Ich bin jetzt erstmal zur stable version zurückgekehrt.

cu.. wURzL

[wurzlhaerbert]

Moin,

ich habe eine neue Theorie:
Wäre es denkbar, dass die Spamhaus-Anfragen über den DNS des Hosters gehen?
Dadurch wäre die Anfrage aus Spamhaus-Sicht immer die gleiche IP - für das ganze Rechenzentrum. Somit würde also diese 100.000 Abfragen Regel greifen, falls noch mehr Server Spamhaus nutzen.

cu... wURzL

[wurzlhaerbert]

Moin,

also es lag definitiv am DNS meines Hosters. Der fragt anscheinend etwas zu oft bei spamhaus nach.
Hier die Lösung:

A) dnsmasq installieren

Code: Select all

emerge dnsmasq

B) Die config anpassen (/etc/dnsmasq.conf)

Code: Select all

# Add other name servers here, with domain specs if they are for
# non-public domains.
#server=/localnet/192.168.0.1
server=/spamhaus.org/204.16.254.40
server=/spamhaus.org/61.129.74.36
server=/spamhaus.org/218.189.175.50
server=/spamhaus.org/220.181.15.205

# For debugging purposes, log each DNS query as it passes through
# dnsmasq.
log-queries

C) dnsmasq starten
Dabei passiert ersteinmal nichts, weil den lokalen DNS ja noch kein Dienst verwendet

Code: Select all

/etc/init.d/dnsmasq start
rc-update add dnsmasq default

D) DNS Test

Code: Select all

dig @127.0.0.1 121.202.129.86.pbl.spamhaus.org

Die Antwort ist "127.0.0.10", also passt alles

Code: Select all

; <<>> DiG 9.4.2-P2 <<>> @127.0.0.1 121.202.129.86.pbl.spamhaus.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34063
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;121.202.129.86.pbl.spamhaus.org. IN    A

;; ANSWER SECTION:
121.202.129.86.pbl.spamhaus.org. 1733 IN A      127.0.0.10

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Jan  4 18:30:19 2009
;; MSG SIZE  rcvd: 65

E) Dem policy-weightd den lokalen DNS anbieten

Code: Select all

   $NS              = '127.0.0.1';
                            # A list of space separated NS IPs
                            # This overrides resolv.conf settings
                            # Example: $NS = '1.2.3.4 1.2.3.5';
                            # DEFAULT: empty

F) Log anschauen

Code: Select all

postfix/policyd-weight[12247]: weighted check:  IN_DYN_PBL_SPAMHAUS=3.25 IN_SBL_XBL_SPAMHAUS=4.35 IN_SPAMCOP=3.75; <client=123.24.144.156> <helo=localhost> <from=shinobuj@barryland.com> <to=bkuldaslinn@mydomain.de>; rate: 11.35

Zu guter Letzt: Freude

cu... wURzL

PS: Falls diese DNS Sonderlocke mal nicht klappt (Spamhaus ändert die IPs) ist das auch nicht weiter schlimm, denn dann funktioniert Spamhaus halt nicht - so wie vorher.