[postfix-users] Probleme mit access control
Hallo,
ich bin hier gerade am verzweifeln. Bin mit meinem Server umgezogen von einem Ubuntu Lucid mit Postfix 2.8.5-2 zu einem Server mit Debian 7 und Postfix 2.9.6-2. Die Konfigfiles habe ich alle vom alten Server übernommen.
Nun klappt aber meine Spam-Abwehr nicht mehr. Spams die aufgrund einer Blacklist abgewiesen werden müssten kommen einfach durch. Ich hab keinen Plan was die Ursache sein könnte.
Zum Beispiel diese Mail hier:
Received: from 28-209-136-186.fibertel.com.ar (unknown [186.136.209.28]) by s2.fahrner.name (Postfix) with ESMTP id 6FF6F3426C for xperia@fahrner.name; Wed, 19 Mar 2014 14:56:58 +0100 (CET) Received: from [10.0.0.165] ([10.0.0.165:4538] helo=28-209-136-186.fibertel.com.ar) by A346F6AE4 (envelope-from xperia@fibertel.com.ar) (ecelerity 3.5.1.37854 r(Momo-dev:3.5.1.0)) with ESMTP id F1/14-B5DD6-000E888B; Wed, 19 Mar 2014 10:57:03 -0300 Date: Wed, 19 Mar 2014 10:56:56 -0300 From: "StorePfizer Inc" xperia@fibertel.com.ar Reply-To: xperia@fibertel.com.ar To: xperia@fahrner.name Message-ID: 77D38B12CEF5ED108D597304F6EF49A-2E476A43E39B80766594592269DB44AA@28-209-136-186.fibertel.com.ar Subject: Mr. xperia, Receive 60% OFF MIME-Version: 1.0 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: 7bit X-Mailer: WhatCounts ENVID: WC-6407144644931-8f90de4d1e5d9fc04adaff3759ac-dfd145db89253913e89d4ae6ab6d9dc1 List-Unsubscribe: http://email.fibertel.com.ar/u?id=8f90de4d1e5d9fc04adaff3759ac X-Unsubscribe-Web: http://email.fibertel.com.ar/u?id=8f90de4d1e5d9fc04adaff3759ac
Im Postfix Log steht dazu:
Mar 19 14:56:57 s2 postfix/smtpd[15780]: warning: hostname 28-209-136-186.fibertel.com.ar does not resolve to address 186.136.209.28: Name or service not known Mar 19 14:56:57 s2 postfix/smtpd[15780]: connect from unknown[186.136.209.28] Mar 19 14:56:58 s2 postfix/smtpd[15780]: 6FF6F3426C: client=unknown[186.136.209.28] Mar 19 14:56:58 s2 postfix/cleanup[15785]: 6FF6F3426C: message-id=77D38B12CEF5ED108D597304F6EF49A-2E476A43E39B80766594592269DB44AA@28-209-136-186.fibertel.com.ar Mar 19 14:56:58 s2 postfix/qmgr[14673]: 6FF6F3426C: from=xperia@fibertel.com.ar, size=2269, nrcpt=1 (queue active) Mar 19 14:56:58 s2 spamd[7299]: spamd: connection from localhost [127.0.0.1] at port 41281 Mar 19 14:56:58 s2 spamd[7299]: spamd: setuid to debian-spamd succeeded Mar 19 14:56:59 s2 postfix/smtpd[15780]: disconnect from unknown[186.136.209.28] Mar 19 14:56:59 s2 spamd[7299]: spamd: processing message 77D38B12CEF5ED108D597304F6EF49A-2E476A43E39B80766594592269DB44AA@28-209-136-186.fibertel.com.ar for debian-spamd:112 Mar 19 14:57:00 s2 spamd[7299]: spamd: identified spam (27.7/5.0) for debian-spamd:112 in 1.6 seconds, 2224 bytes. Mar 19 14:57:00 s2 spamd[7299]: spamd: result: Y 27 - FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR2,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_BRBL_LASTEXT,RCVD_IN_PBL,RCVD_IN_PSBL,RCVD_IN_SORBS_WEB,RCVD_IN_XBL,RDNS_NONE,TO_NO_BRKTS_NORDNS_HTML,TVD_RCVD_IP,T_RCVD_IN_SEMBLACK,T_SURBL_MULTI1,T_SURBL_MULTI2,URIBL_AB_SURBL,URIBL_DBL_SPAM,URIBL_JP_SURBL,URIBL_WS_SURBL scantime=1.6,size=2224,user=debian-spamd,uid=112,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=41281,mid=77D38B12CEF5ED108D597304F6EF49A-2E476A43E39B80766594592269DB44AA@28-209-136-186.fibertel.com.ar,autolearn=spam Mar 19 14:57:00 s2 postfix/pickup[14674]: 5ACCA3468B: uid=112 from=xperia@fibertel.com.ar Mar 19 14:57:00 s2 postfix/cleanup[15785]: 5ACCA3468B: message-id=77D38B12CEF5ED108D597304F6EF49A-2E476A43E39B80766594592269DB44AA@28-209-136-186.fibertel.com.ar Mar 19 14:57:00 s2 postfix/pipe[15786]: 6FF6F3426C: to=jf@fahrner.name, orig_to=xperia@fahrner.name, relay=spamassassin, delay=2, delays=0.39/0.01/0/1.6, dsn=2.0.0, status=sent (delivered via spamassassin service) Mar 19 14:57:00 s2 postfix/qmgr[14673]: 6FF6F3426C: removed Mar 19 14:57:00 s2 postfix/qmgr[14673]: 5ACCA3468B: from=xperia@fibertel.com.ar, size=6763, nrcpt=1 (queue active) Mar 19 14:57:00 s2 spamd[7298]: prefork: child states: II Mar 19 14:57:00 s2 postfix/pipe[15790]: 5ACCA3468B: to=jf@fahrner.name, relay=dovecot, delay=0.13, delays=0.01/0.01/0/0.12, dsn=2.0.0, status=sent (delivered via dovecot service) Mar 19 14:57:00 s2 postfix/qmgr[14673]: 5ACCA3468B: removed
Die IP 186.136.209.28 ist in b.barracudacentral.org und psbl.surriel.com gelistet.
Meine Restrictions sehen so aus:
smtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org reject_rbl_client psbl.surriel.com reject_rbl_client b.barracudacentral.org reject_rbl_client dnsbl.sorbs.net
smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_non_fqdn_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo dbl.spamhaus.org reject_unauth_pipelining
smtpd_sender_restrictions = permit_sasl_authenticated permit_mynetworks reject_non_fqdn_sender reject_unknown_sender_domain reject_sender_login_mismatch reject_unauth_pipelining reject_rhsbl_sender dbl.spamhaus.org check_sender_mx_access cidr:/etc/postfix/bogus_mx
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist check_policy_service inet:127.0.0.1:10023
smtpd_data_restrictions = reject_unauth_pipelining reject_multi_recipient_bounce
Auch das Greylisting hat nicht stattgefunden! In den Whitelists ist die IP natürlich nicht drin. Was ist da bloss los???
Gruss Jochen
Am 19.03.2014 15:21, schrieb JF via postfix-users:
mtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
evtl jetzt bloede Frage
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Best Regards MfG Robert Schetterer
19.03.2014 16:20, Robert Schetterer via postfix-users:
Am 19.03.2014 15:21, schrieb JF via postfix-users:
mtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
evtl jetzt bloede Frage
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Hm, wenn die Kommata den Unterschied machen würden, wäre das meinem Verständnis der Postfix-Doku nach ein Bug:
"[...]Specify a list of restrictions, separated by commas and/or whitespace.[...]"
Z. B.: http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
"Markus Schönhaber via postfix-users" postfix-users@de.postfix.org schrieb:
19.03.2014 16:20, Robert Schetterer via postfix-users:
Am 19.03.2014 15:21, schrieb JF via postfix-users:
mtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
evtl jetzt bloede Frage
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Hm, wenn die Kommata den Unterschied machen würden, wäre das meinem Verständnis der Postfix-Doku nach ein Bug:
"[...]Specify a list of restrictions, separated by commas and/or whitespace.[...]"
Z. B.: http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
-- Gruß mks
Meines Wissens (habe gerade nur begrenzt Internet hier und kann deswegen nicht nachschlagen) muss man die Parameter wenn sie in einer neuen Zeile stehen mit mindestens einem Whitespace einrücken.
Viele Grüße, toerb
19.03.2014 16:51, Tobias Groß via postfix-users:
"Markus Schönhaber via postfix-users" postfix-users@de.postfix.org schrieb:
19.03.2014 16:20, Robert Schetterer via postfix-users:
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Hm, wenn die Kommata den Unterschied machen würden, wäre das meinem Verständnis der Postfix-Doku nach ein Bug:
"[...]Specify a list of restrictions, separated by commas and/or whitespace.[...]"
Z. B.: http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
Meines Wissens (habe gerade nur begrenzt Internet hier und kann deswegen nicht nachschlagen) muss man die Parameter wenn sie in einer neuen Zeile stehen mit mindestens einem Whitespace einrücken.
Ja, das stimmt: "A logical line starts with non-whitespace text. A line that starts with whitespace continues a logical line."
Hier ging es allerdings darum, wie man mehrere Restrictions innerhalb einer logischen Zeile voneinander trennt (braucht's ein Komma oder nicht).
Am 19.03.2014 16:36, schrieb Markus Schönhaber via postfix-users:
19.03.2014 16:20, Robert Schetterer via postfix-users:
Am 19.03.2014 15:21, schrieb JF via postfix-users:
mtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
evtl jetzt bloede Frage
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Hm, wenn die Kommata den Unterschied machen würden, wäre das meinem Verständnis der Postfix-Doku nach ein Bug:
"[...]Specify a list of restrictions, separated by commas and/or whitespace.[...]"
mach dir das Leben erstmal nicht unnoetig schwer, und teste mit Komma
Z. B.: http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
Best Regards MfG Robert Schetterer
Am 19.03.2014 16:20, schrieb Robert Schetterer via postfix-users:
Am 19.03.2014 15:21, schrieb JF via postfix-users:
mtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
evtl jetzt bloede Frage
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Hallo Robert,
nein, hat bisher ja auch funktioniert, und sollte laut Doku egal sein:
http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
Zitat: " Specify a list of restrictions, separated by commas and/or whitespace."
Hab's trotzdem mal eingebaut und beobachte weiter.
Am 19.03.2014 16:49, schrieb JF via postfix-users:
Am 19.03.2014 16:20, schrieb Robert Schetterer via postfix-users:
Am 19.03.2014 15:21, schrieb JF via postfix-users:
mtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
evtl jetzt bloede Frage
hast du es mit Komma am Ende probiert ?
z.b
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
Hallo Robert,
nein, hat bisher ja auch funktioniert, und sollte laut Doku egal sein:
http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
Zitat: " Specify a list of restrictions, separated by commas and/or whitespace."
Hab's trotzdem mal eingebaut und beobachte weiter.
weiss der Himmel, evtl hat die distro was verschlimmbessert, ansonsten kann ich keine groben Fehler sehen auf die schnelle ( was wie immer nicht heissen mag dass er nicht existiert )
das hier
http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions
... With Postfix versions before 2.10, the rules for relay permission and spam blocking were combined under smtpd_recipient_restrictions, resulting in error-prone configuration ...
kanns eigentlich auch nicht es wurde vers 2.9.6-2 angegeben ausserdem muesste dann auch ein log Eintrag dementsprechend als error existieren
evtl mal die komplette conf posten
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 19.03.2014 17:04, schrieb Robert Schetterer via postfix-users:
evtl mal die komplette conf posten
Kann man Anhänge in die Liste posten?
Ich hab jetzt mal aus den restrictions alles raus was mit "permit" zu tun hat, hab mir dann Testmails geschickt, und dann die Zeilen Stück für Stück wieder aktiviert.
Am postgrey im Log sehe ich ob er es bis dahin schafft. Klappte immer. Das Einzige was jetzt noch auskommentiert ist, ist der "permit_dnswl_client list.dnswl.org". Den kann ich aber schlecht testen, weil ich nur Accounts bei Providern habe die da alle drin sind.
Blöderweise kommt jetzt grade kein Spam. Wenn man ihn mal braucht kommt er nicht. :-(
Ich lass das jetzt mal ohne diese Whitelist und schau mir das morgen Früh wieder an.
Gruss Jochen
Am Wed, 19 Mar 2014 15:21:25 +0100 schrieb JF via postfix-users postfix-users@de.postfix.org:
Hallo,
Meine Restrictions sehen so aus:
smtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org reject_rbl_client psbl.surriel.com reject_rbl_client b.barracudacentral.org reject_rbl_client dnsbl.sorbs.net
smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_non_fqdn_helo_hostname reject_invalid_helo_hostname reject_rhsbl_helo dbl.spamhaus.org reject_unauth_pipelining
smtpd_sender_restrictions = permit_sasl_authenticated permit_mynetworks reject_non_fqdn_sender reject_unknown_sender_domain reject_sender_login_mismatch reject_unauth_pipelining reject_rhsbl_sender dbl.spamhaus.org check_sender_mx_access cidr:/etc/postfix/bogus_mx
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining permit_dnswl_client list.dnswl.org check_client_access hash:/etc/postfix/whitelist check_policy_service inet:127.0.0.1:10023
smtpd_data_restrictions = reject_unauth_pipelining reject_multi_recipient_bounce
Gruss Jochen
Überprüf doch mal mit postconf -n, ob die Konfiguration von Postfix richtig eingelesen wird. Wenn nein, kannst du mit postconf -e "name=value1,value2,..." mal versuchen, die Konfiguration zu setzen.
Viele Grüße, toerb
Am 19.03.2014 17:13, schrieb Tobias Groß via postfix-users:
Überprüf doch mal mit postconf -n, ob die Konfiguration von Postfix richtig eingelesen wird. Wenn nein, kannst du mit postconf -e "name=value1,value2,..." mal versuchen, die Konfiguration zu setzen.
Das hatte ich schon geprüft, das passt.
Gibts eigentlich kein Tool mit dem man fehlerhafte Mails (z.B. falsches HELO oder so) simulieren kann?
Gruss Jochen
* JF via postfix-users jf@fahrner.name:
Am 19.03.2014 17:13, schrieb Tobias Groß via postfix-users:
Überprüf doch mal mit postconf -n, ob die Konfiguration von Postfix richtig eingelesen wird. Wenn nein, kannst du mit postconf -e "name=value1,value2,..." mal versuchen, die Konfiguration zu setzen.
Das hatte ich schon geprüft, das passt.
Gibts eigentlich kein Tool mit dem man fehlerhafte Mails (z.B. falsches HELO oder so) simulieren kann?
swaks
p@rick
Am 19.03.2014 17:24, schrieb JF via postfix-users:
Am 19.03.2014 17:13, schrieb Tobias Groß via postfix-users:
Überprüf doch mal mit postconf -n, ob die Konfiguration von Postfix richtig eingelesen wird. Wenn nein, kannst du mit postconf -e "name=value1,value2,..." mal versuchen, die Konfiguration zu setzen.
Das hatte ich schon geprüft, das passt.
Gibts eigentlich kein Tool mit dem man fehlerhafte Mails (z.B. falsches HELO oder so) simulieren kann?
schau mal
http://www.jetmore.org/john/code/swaks/
Gruss Jochen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 19.03.2014 18:15, schrieb Robert Schetterer via postfix-users:
schau mal http://www.jetmore.org/john/code/swaks/
Danke für den Tipp. Habe jetzt mal den smtpd mit der Verbose Option gestartet und mir mit dem Tool Testmails gesendet. Danach sieht es so aus als wenn mein Problem an dem "permit_dnswl_client list.dnswl.org" liegt.
Zur Erinnerung meine client restrictions:
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, permit_dnswl_client list.dnswl.org, check_client_access hash:/etc/postfix/whitelist, reject_unknown_client_hostname, reject_rbl_client zen.spamhaus.org, reject_rbl_client psbl.surriel.com, reject_rbl_client b.barracudacentral.org
Meine Testmail liefert folgenden Log:
Mar 20 07:54:33 s2 postfix/smtpd[20315]: >>> START Client host RESTRICTIONS <<< Mar 20 07:54:33 s2 postfix/smtpd[20315]: generic_checks: name=permit_sasl_authenticated Mar 20 07:54:33 s2 postfix/smtpd[20315]: generic_checks: name=permit_sasl_authenticated status=0 Mar 20 07:54:33 s2 postfix/smtpd[20315]: generic_checks: name=permit_mynetworks Mar 20 07:54:33 s2 postfix/smtpd[20315]: permit_mynetworks: ppp-188-174-0-21.dynamic.mnet-online.de 188.174.0.21 Mar 20 07:54:33 s2 postfix/smtpd[20315]: match_hostname: ppp-188-174-0-21.dynamic.mnet-online.de ~? 127.0.0.0/8 Mar 20 07:54:33 s2 postfix/smtpd[20315]: match_hostaddr: 188.174.0.21 ~? 127.0.0.0/8 Mar 20 07:54:33 s2 postfix/smtpd[20315]: match_hostname: ppp-188-174-0-21.dynamic.mnet-online.de ~? 78.46.184.240/28 Mar 20 07:54:33 s2 postfix/smtpd[20315]: match_hostaddr: 188.174.0.21 ~? 78.46.184.240/28 Mar 20 07:54:33 s2 postfix/smtpd[20315]: match_list_match: ppp-188-174-0-21.dynamic.mnet-online.de: no match Mar 20 07:54:33 s2 postfix/smtpd[20315]: match_list_match: 188.174.0.21: no match Mar 20 07:54:33 s2 postfix/smtpd[20315]: generic_checks: name=permit_mynetworks status=0 Mar 20 07:54:33 s2 postfix/smtpd[20315]: generic_checks: name=permit_dnswl_client Mar 20 07:54:33 s2 postfix/smtpd[20315]: permit_dnswl_addr: 188.174.0.21 Mar 20 07:54:33 s2 postfix/smtpd[20315]: permit_auth_destination: jf@fahrner.name Mar 20 07:54:33 s2 postfix/smtpd[20315]: ctable_locate: leave existing entry key jf@fahrner.name Mar 20 07:54:33 s2 postfix/smtpd[20315]: ctable_locate: move existing entry key 21.0.174.188.list.dnswl.org Mar 20 07:54:33 s2 postfix/smtpd[20315]: generic_checks: name=permit_dnswl_client status=1 Mar 20 07:54:33 s2 postfix/smtpd[20315]: >>> START Helo command RESTRICTIONS <<<
Der letzte Check bei den Client Restrictions war der permit_dnswl_client, dann kommen schon die Helo restrictions. Die ganzen RBL checks wurden übersprungen. Meine IP ist aber nicht in dnswl.org. Was läuft da falsch?
Gruss Jochen
Langsam komme ich der Sache näher. Da stimmt was mit dem DNS bei meinem neuen Provider nicht.
Ich bekomme immer die gleiche Antwort für *.list.dnswl.org:
root@s2:/etc/postfix# host 66.180.169.193.list.dnswl.org 66.180.169.193.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 19.134.25.194.list.dnswl.org 19.134.25.194.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 21.0.174.188.list.dnswl.org 21.0.174.188.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 2.0.0.127.list.dnswl.org 2.0.0.127.list.dnswl.org has address 127.0.0.255
Soeben erfahre ich vom Support von Hetzner Online:
"leider sind unsere Adressbereiche bei DNSWL geblockt. In diesem Fall können wir Ihnen leider nicht weiterhelfen."
Diese permanente Blockerei im Internet geht mir langsam auf den Senkel. Jeder meint irgendwas blocken zu müssen. Tor kann man auch schon nicht mehr benutzen, weil immer mehr Seiten Tor-Server blocken. :-(
Am 20.03.2014 10:06, schrieb JF via postfix-users:
Langsam komme ich der Sache näher. Da stimmt was mit dem DNS bei meinem neuen Provider nicht.
Ich bekomme immer die gleiche Antwort für *.list.dnswl.org:
root@s2:/etc/postfix# host 66.180.169.193.list.dnswl.org 66.180.169.193.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 19.134.25.194.list.dnswl.org 19.134.25.194.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 21.0.174.188.list.dnswl.org 21.0.174.188.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 2.0.0.127.list.dnswl.org 2.0.0.127.list.dnswl.org has address 127.0.0.255
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 20.03.2014 12:32, schrieb JF via postfix-users:
Soeben erfahre ich vom Support von Hetzner Online:
"leider sind unsere Adressbereiche bei DNSWL geblockt. In diesem Fall können wir Ihnen leider nicht weiterhelfen."
Diese permanente Blockerei im Internet geht mir langsam auf den Senkel. Jeder meint irgendwas blocken zu müssen. Tor kann man auch schon nicht mehr benutzen, weil immer mehr Seiten Tor-Server blocken. :-(
ich hab jetzt nicht alles mitbekommen, aber du solltest per se einen dns cache nutzen , und um "DANE" spaeter nutzen zu koennen bietet sich unbound als extrem einfache Loesung an, du bist ja nicht primaer auf die Hetzner DNS Server angewiesen
Am 20.03.2014 10:06, schrieb JF via postfix-users:
Langsam komme ich der Sache näher. Da stimmt was mit dem DNS bei meinem neuen Provider nicht.
Ich bekomme immer die gleiche Antwort für *.list.dnswl.org:
root@s2:/etc/postfix# host 66.180.169.193.list.dnswl.org 66.180.169.193.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 19.134.25.194.list.dnswl.org 19.134.25.194.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 21.0.174.188.list.dnswl.org 21.0.174.188.list.dnswl.org has address 127.0.0.255 root@s2:/etc/postfix# host 2.0.0.127.list.dnswl.org 2.0.0.127.list.dnswl.org has address 127.0.0.255
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 20.03.2014 12:55, schrieb Robert Schetterer via postfix-users:
ich hab jetzt nicht alles mitbekommen, aber du solltest per se einen dns cache nutzen , und um "DANE" spaeter nutzen zu koennen bietet sich unbound als extrem einfache Loesung an, du bist ja nicht primaer auf die Hetzner DNS Server angewiesen
Wenn die Hetzner Adressbereiche bei dnswl gesperrt sind wird auch ein eigener DNS-Server daran nichts ändern.
Wer oder was ist "DANE"?
Am 20.03.2014 13:05, schrieb JF via postfix-users:
Wer oder was ist "DANE"?
http://www.postfix.org/TLS_README.html#client_tls_dane
Best Regards MfG Robert Schetterer
Am 20.03.2014 13:05, schrieb JF via postfix-users:
Wenn die Hetzner Adressbereiche bei dnswl gesperrt sind wird auch ein eigener DNS-Server daran nichts ändern.
... Abusive use of dnswl.org infrastructure - new method to enforce limits ...
To see whether you are affected, use “dig -t txt amiblocked.dnswl.org” on the mailserver (or other machine which uses the same nameserver setup).
auf meinem hetzner test server
root@mail /etc/postfix # dig -t txt amiblocked.dnswl.org
; <<>> DiG 9.9.5-2-Ubuntu <<>> -t txt amiblocked.dnswl.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13469 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;amiblocked.dnswl.org. IN TXT
;; ANSWER SECTION: amiblocked.dnswl.org. 86400 IN TXT "no"
ich wuerde hetzners Antowort so verstehen das deren Nameserver geblocked sind, dass ergaebe Sinn, aber nicht deren ganzes Netz, darin sehe ich keinen Sinn
Best Regards MfG Robert Schetterer
Am 20.03.2014 13:34, schrieb Robert Schetterer via postfix-users:
ich wuerde hetzners Antowort so verstehen das deren Nameserver geblocked sind, dass ergaebe Sinn, aber nicht deren ganzes Netz, darin sehe ich keinen Sinn
Stimmt. Wird mit eigenem Nameserver nicht geblockt. Offensichtlich hat Hetzner zu viele Kunden die DNSWL nutzen. Und offenbar merken die es nicht, sonst würden sie es nicht mehr nutzen. ;-)
Am 20.03.2014 13:48, schrieb JF via postfix-users:
Und offenbar merken die es nicht, sonst würden sie es nicht mehr nutzen. ;-)
vermute es sind spamassassin installationen mit einer DNSWL rule, da faellt das erstmal nicht auf
Best Regards MfG Robert Schetterer
Am 20.03.2014 13:55, schrieb Robert Schetterer via postfix-users:
Am 20.03.2014 13:48, schrieb JF via postfix-users:
Und offenbar merken die es nicht, sonst würden sie es nicht mehr nutzen. ;-)
vermute es sind spamassassin installationen mit einer DNSWL rule, da faellt das erstmal nicht auf
Zuverlässig ist was anderes. Jetzt krieg ich:
Mar 20 15:07:36 s2 postfix/smtpd[24313]: connect from uslec-66-255-59-82.cust.uslec.net[66.255.59.82] Mar 20 15:07:36 s2 postfix/smtpd[24313]: warning: 82.59.255.66.list.dnswl.org: RBL lookup error: Host or domain name not found. Name service error for name=82.59.255.66.list.dnswl.org type=A: Host not found, try again
root@s2:/etc# host 2.0.0.127.list.dnswl.org Host 2.0.0.127.list.dnswl.org not found: 2(SERVFAIL)
sowohl mit unbound als auch mit den Hetzner Nameservern. Was zur Folge hat dass meine Regeln wieder ausgehebelt werden.
Ich hau den DNSWL Mist wieder raus und baue mir meine eigene Whitelist auf.
Am 20.03.2014 15:26, schrieb JF via postfix-users:
Am 20.03.2014 13:55, schrieb Robert Schetterer via postfix-users:
Am 20.03.2014 13:48, schrieb JF via postfix-users:
Und offenbar merken die es nicht, sonst würden sie es nicht mehr nutzen. ;-)
vermute es sind spamassassin installationen mit einer DNSWL rule, da faellt das erstmal nicht auf
Zuverlässig ist was anderes. Jetzt krieg ich:
Mar 20 15:07:36 s2 postfix/smtpd[24313]: connect from uslec-66-255-59-82.cust.uslec.net[66.255.59.82] Mar 20 15:07:36 s2 postfix/smtpd[24313]: warning: 82.59.255.66.list.dnswl.org: RBL lookup error: Host or domain name not found. Name service error for name=82.59.255.66.list.dnswl.org type=A: Host not found, try again
root@s2:/etc# host 2.0.0.127.list.dnswl.org Host 2.0.0.127.list.dnswl.org not found: 2(SERVFAIL)
sowohl mit unbound als auch mit den Hetzner Nameservern. Was zur Folge hat dass meine Regeln wieder ausgehebelt werden.
Ich hau den DNSWL Mist wieder raus und baue mir meine eigene Whitelist auf.
spekulation, du hast eine Ip "geerbt" die "limited" ist
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 20.03.2014 15:51, schrieb Robert Schetterer via postfix-users:
spekulation, du hast eine Ip "geerbt" die "limited" ist
Nein, bei der Limitierung war die Reaktion anders, da lautete die Antwort 127.0.0.10. Diesmal gab es ein Serverfail!
* JF via postfix-users jf@fahrner.name:
Am 20.03.2014 15:51, schrieb Robert Schetterer via postfix-users:
spekulation, du hast eine Ip "geerbt" die "limited" ist
Nein, bei der Limitierung war die Reaktion anders, da lautete die Antwort 127.0.0.10. Diesmal gab es ein Serverfail!
Hast Du unbound vielleicht nicht vollständig aufgesetzt? Root Hint runtergeladen und ihm verfüttert?
p@rick
Am 20.03.2014 16:18, schrieb Patrick Ben Koetter via postfix-users:
Hast Du unbound vielleicht nicht vollständig aufgesetzt? Root Hint runtergeladen und ihm verfüttert? p@rick
Doch, habe ich! Alle anderen Abfragen funktionieren ja auch tadellos. Und anfangs ging ja auch dnswl, nur eine halbe Stunde später nicht mehr.
Der Ausfall war ja auch mit den Hetzner Nameservern. Das hätte nicht sein dürfen.
Um false negatives zu vermeiden, antworten sie bei Überschreitung des Limits einfach mit 127.0.0.10. Tun also so als wäre jede IP in der Whitelist. Das führte dann ja bekanntlich dazu dass meine RBL Checks nicht mehr ausgeführt wurden.
In dem vorigen Fall war das anders, da gabs einfach nur ein Serverfail.
Mir ist der Dienst zu unzuverlässig, ich werde ihn nicht nutzen. Ist mir sowieso vom Grundprinzip her suspekt. Da habe ich einerseits Blacklists um Spam zu erkennen, und weil die Großen, wie T-Online, nicht in der Lage sind den Mßbrauch ihrer Mailserver zu stoppen, führt man dann Whitelists ein. Außerdem ist es völlig intransparent wer denn alles auf diesen Whitelists ist. Das ist doch krank und kontraproduktiv. :-(
Am 20.03.2014 16:27, schrieb JF via postfix-users:
Mir ist der Dienst zu unzuverlässig, ich werde ihn nicht nutzen
das ist ja auch nicht zwingend notwendig, ich hatte allerdings noch keine Probleme damit, aber man kann auch gut ohne ihn leben
Best Regards MfG Robert Schetterer
* JF via postfix-users jf@fahrner.name:
Am 20.03.2014 13:34, schrieb Robert Schetterer via postfix-users:
ich wuerde hetzners Antowort so verstehen das deren Nameserver geblocked sind, dass ergaebe Sinn, aber nicht deren ganzes Netz, darin sehe ich keinen Sinn
Stimmt. Wird mit eigenem Nameserver nicht geblockt. Offensichtlich hat Hetzner zu viele Kunden die DNSWL nutzen. Und offenbar merken die es nicht, sonst würden sie es nicht mehr nutzen. ;-)
Ah JETZT habe ich die Frage verstanden.
* JF via postfix-users jf@fahrner.name:
Soeben erfahre ich vom Support von Hetzner Online:
"leider sind unsere Adressbereiche bei DNSWL geblockt. In diesem Fall können wir Ihnen leider nicht weiterhelfen."
Diese permanente Blockerei im Internet geht mir langsam auf den Senkel. Jeder meint irgendwas blocken zu müssen. Tor kann man auch schon nicht mehr benutzen, weil immer mehr Seiten Tor-Server blocken. :-(
Wie kann man auf einer WHITLIST geblockt sein? Vielleicht verstehe ich das nicht ganz.
Am 20.03.2014 14:35, schrieb Ralf Hildebrandt via postfix-users:
Wie kann man auf einer WHITLIST geblockt sein? Vielleicht verstehe ich das nicht ganz.
Die DNS-Server von Hetzner sind geblockt und dürfen keine Anfragen stellen.
* JF via postfix-users jf@fahrner.name:
Am 20.03.2014 14:35, schrieb Ralf Hildebrandt via postfix-users:
Wie kann man auf einer WHITLIST geblockt sein? Vielleicht verstehe ich das nicht ganz.
Die DNS-Server von Hetzner sind geblockt und dürfen keine Anfragen stellen.
Jupp, hab's jetzt auch gesehen. Also bitte lokalen Resolver nutzen (unbound o.ä.)
Am 20.03.2014 14:37, schrieb Ralf Hildebrandt via postfix-users:
Jupp, hab's jetzt auch gesehen. Also bitte lokalen Resolver nutzen (unbound o.ä.)
Und da muss man erst mal drauf kommen. Man wundert sich warum das access restrictions Regelwerk nicht funktioniert, und die Ursache ist dass die bei dnswl einfach alle Anfragen positiv beantworten, nur weil der Nameserver auf deren Blacklist steht. :-(
participants (6)
-
JF via postfix-users -
Markus Schönhaber via postfix-users
-
Patrick Ben Koetter via postfix-users
-
Ralf Hildebrandt via postfix-users
-
Robert Schetterer via postfix-users
-
Tobias Groß via postfix-users