Hallo Liste, ich finde in meinen Logs auf einmal massenhaft solche Meldungen:
Dec 15 22:25:05 server postfix/postscreen[20744]: warning: dnsblog reply timeout 10s for zen.spamhaus.org
Hat da Spamhaus ein Problem oder ich?
Ich hab mal versucht das einzukreisen, ob es vielleicht an meinem Unbound liegt.
Auf meinem Hetznerserver mit Unbound:
$ host 74.203.138.62.zen.spamhaus.org ;; connection timed out; no servers could be reached
Auf meinem PC zuhause geht es einwandfrei (DNS vom DSL-Anschluss): $ host 74.203.138.62.zen.spamhaus.org Host 74.203.138.62.zen.spamhaus.org not found: 3(NXDOMAIN)
1. Verdacht: mit meinem Unbound stimmt was nicht. Also mal in /etc/resolv.conf den localhost raus, und dafür die Hetzner Nameserver rein. Ergebnis:
$ host 74.203.138.62.zen.spamhaus.org Host 74.203.138.62.zen.spamhaus.org not found: 2(SERVFAIL)
SERVFAIL ist jetzt auch nicht gerade die korrekte Antwort ;-)
Jemand eine Idee was da los sein könnte?
Gruss Jochen
On 16.12.2017 16:28, J. Fahrner wrote:
Hallo Liste, ich finde in meinen Logs auf einmal massenhaft solche Meldungen:
Dec 15 22:25:05 server postfix/postscreen[20744]: warning: dnsblog reply timeout 10s for zen.spamhaus.org
Hat da Spamhaus ein Problem oder ich?
Ich hab mal versucht das einzukreisen, ob es vielleicht an meinem Unbound liegt.
Auf meinem Hetznerserver mit Unbound:
Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem Vserver. Auch die Nameserver von Hetzner sind davon betroffen. Ist egal, ob per IPv4 oder v6...
Habe mir jetzt eine Forward-Zone in meinem Bind-Server eingerichtet, der Anfragen für Spamhaus an meinen Bind Zuhause weiterleitet und als Fallback in der resolv.conf die 9.9.9.9 mit reingenommen.
Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner (so wie ich Teile von OVH blocke ...)
Grüße, Juri
Am 2017-12-16 17:46, schrieb Juri Haberland:
Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. Ist bei mir auch so
Danke für deine Einschätzung. Hatte auch schon so einen Verdacht, aber zuerst sucht man den Fehler halt immer bei sich selber. ;-)
Gruss Jochen
Hallo Juri, hallo zusammen,
Am Samstag, 16. Dezember 2017, 17:46:50 CET schrieb Juri Haberland:
Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem Vserver.
Kann ich nicht bestätigen - ich habe auf mehreren Hetzner-Rootservern (in diversen IP-Bereichen) "frische" Rejects dank zen.spamhaus.org.
Nameserver ist jeweils ein lokaler unbound.
Auch die Nameserver von Hetzner sind davon betroffen. Ist egal, ob per IPv4 oder v6...
Die Hetzner-Nameserver laufen wohl ins Query-Limit von Spamhaus - das ist auch der Grund, warum ich unbound laufen habe.
Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner
-v bitte - ich hatte zwar auf ein oder zwei Servern "Spaß" mit Hotmail, aber ansonsten habe ich zumindest noch keine Klagen gehört ;-)
Gruß
Christian Boltz
Hatte auch nie Probleme mit Spamhaus und Hetzner Server, wenn du das Limit nicht überschreitest:
1) Your use of the Spamhaus DNSBLs is non-commercial*, /and /2) Your email traffic is less than 100,000 SMTP connections per day, /and /3) Your DNSBL query volume is less than 300,000 queries per day.
Am 17.12.2017 um 13:05 schrieb Christian Boltz:
Hallo Juri, hallo zusammen,
Am Samstag, 16. Dezember 2017, 17:46:50 CET schrieb Juri Haberland:
Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem Vserver.
Kann ich nicht bestätigen - ich habe auf mehreren Hetzner-Rootservern (in diversen IP-Bereichen) "frische" Rejects dank zen.spamhaus.org.
Nameserver ist jeweils ein lokaler unbound.
Auch die Nameserver von Hetzner sind davon betroffen. Ist egal, ob per IPv4 oder v6...
Die Hetzner-Nameserver laufen wohl ins Query-Limit von Spamhaus - das ist auch der Grund, warum ich unbound laufen habe.
Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner
-v bitte - ich hatte zwar auf ein oder zwei Servern "Spaß" mit Hotmail, aber ansonsten habe ich zumindest noch keine Klagen gehört ;-)
Gruß
Christian Boltz
On 17.12.2017 13:11, Ublun wrote:
Hatte auch nie Probleme mit Spamhaus und Hetzner Server, wenn du das Limit nicht überschreitest:
- Your use of the Spamhaus DNSBLs is non-commercial*,
/and /2) Your email traffic is less than 100,000 SMTP connections per day, /and /3) Your DNSBL query volume is less than 300,000 queries per day.
darum empfiehlt sich auch die Reihenfolge zu beachten ...
z.B. aus meiner main.cf
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_hostname, reject_non_fqdn_helo_hostname
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, reject_rbl_client dnsbl.sorbs.net, reject_rhsbl_client dbl.spamhaus.org
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_mx_access cidr:/etc/postfix/drop.cidr, check_sender_ns_access cidr:/etc/postfix/drop.cidr, check_sender_access hash:/etc/postfix/sender_access
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, check_recipient_access hash:/etc/postfix/recipient_access, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain
das ist sicher noch verbesserungswürdig, und damit bekomme ich - sogar ohne SpamAssassin - keinen SPAM ...
auf meinem Server läuft ebenfalls ein lokaler BIND
reject_*****_hostname
damit habe ich Probleme, mit denen die über ein Mobile Hotspot senden, diese Adressen kommen meistens ohne sauberen hostname daher. ich inbegriffen, weil ich zu Hause nur noch mit einer Flat übers Handy surfe, müsste das Android rooten damit könnte ich es wohl umgehen. Vielleicht kommt dann doch noch ein richtiges Linux Handy auf den Markt.
Am 17.12.2017 um 16:28 schrieb Walter H.:
On 17.12.2017 13:11, Ublun wrote:
Hatte auch nie Probleme mit Spamhaus und Hetzner Server, wenn du das Limit nicht überschreitest:
- Your use of the Spamhaus DNSBLs is non-commercial*,
/and /2) Your email traffic is less than 100,000 SMTP connections per day, /and /3) Your DNSBL query volume is less than 300,000 queries per day.
darum empfiehlt sich auch die Reihenfolge zu beachten ...
z.B. aus meiner main.cf
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_hostname, reject_non_fqdn_helo_hostname
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, reject_rbl_client dnsbl.sorbs.net, reject_rhsbl_client dbl.spamhaus.org
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_mx_access cidr:/etc/postfix/drop.cidr, check_sender_ns_access cidr:/etc/postfix/drop.cidr, check_sender_access hash:/etc/postfix/sender_access
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, check_recipient_access hash:/etc/postfix/recipient_access, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain
das ist sicher noch verbesserungswürdig, und damit bekomme ich - sogar ohne SpamAssassin - keinen SPAM ...
auf meinem Server läuft ebenfalls ein lokaler BIND
On 17.12.2017 16:59, Ublun wrote:
reject_*****_hostname
eine sehr wirksame Waffe gegen SPAM-Sender ...
damit habe ich Probleme, mit denen die über ein Mobile Hotspot senden, diese Adressen kommen meistens ohne sauberen hostname daher. ich inbegriffen,
dann einfach permit_sasl_authenticated davor;
weil ich zu Hause nur noch mit einer Flat übers Handy surfe, müsste das Android rooten damit könnte ich es wohl umgehen.
was bringt Dir das, wenn das vom DNS kommt? nebenbei: dein Handy versendet doch nicht direkt sondern mittels eines Smarthosts, oder?
Vielleicht kommt dann doch noch ein richtiges Linux Handy auf den Markt.
eher ein gekochter Eislutscher
Danke Walter, permit_sasl_authenticated hat weiter geholfen.
Sende/Empfange keine Mails vom Handy, ausser gmail, brauche Handy nur als Hotspot, die Mails kommen dann vom Desktop mit Thunderbird direkt auf meinen Mailserver.
Mit der Anpassung von permit_sasl_authenticated , kann ich jetzt auch die ganzen reject Regeln in der main.cf gebrauchen, tolle Sache, danke.
Am 17.12.2017 um 19:11 schrieb Walter H.:
On 17.12.2017 16:59, Ublun wrote:
reject_*****_hostname
eine sehr wirksame Waffe gegen SPAM-Sender ...
damit habe ich Probleme, mit denen die über ein Mobile Hotspot senden, diese Adressen kommen meistens ohne sauberen hostname daher. ich inbegriffen,
dann einfach permit_sasl_authenticated davor;
weil ich zu Hause nur noch mit einer Flat übers Handy surfe, müsste das Android rooten damit könnte ich es wohl umgehen.
was bringt Dir das, wenn das vom DNS kommt? nebenbei: dein Handy versendet doch nicht direkt sondern mittels eines Smarthosts, oder?
Vielleicht kommt dann doch noch ein richtiges Linux Handy auf den Markt.
eher ein gekochter Eislutscher
On 17.12.2017 13:05, Christian Boltz wrote:
Am Samstag, 16. Dezember 2017, 17:46:50 CET schrieb Juri Haberland:
Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. Ist bei mir auch so - sowohl auf meinem physischen als auch auf dem Vserver.
Kann ich nicht bestätigen - ich habe auf mehreren Hetzner-Rootservern (in diversen IP-Bereichen) "frische" Rejects dank zen.spamhaus.org.
Nameserver ist jeweils ein lokaler unbound.
Habe einen lokalen Bind - sollte keinen Unterschied machen...
Auch die Nameserver von Hetzner sind davon betroffen. Ist egal, ob per IPv4 oder v6...
Die Hetzner-Nameserver laufen wohl ins Query-Limit von Spamhaus - das ist auch der Grund, warum ich unbound laufen habe.
Möglich - allerdings lief das bisher problemlos; und schlagartig sind nicht nur die Nameserver von Hetzner blockiert, sondern auch meine beiden Server in unterschiedlichen Netzen - und der V-Server macht keinerlei Anfragen bei Spamhaus - weder direkt noch indirekt. Und, wie gesagt, egal, ob ich über IPv4 oder IPv6 direkt Spamhaus abfrage, auf beiden Maschinen laufe ich in einen Timeout.
Hetzner scheint nicht wirklich die beste Wahl für einen Mail-Server zu sein. Viele Mail-Systeme blocken ganze IP-Ranges von Hetner
-v bitte - ich hatte zwar auf ein oder zwei Servern "Spaß" mit Hotmail, aber ansonsten habe ich zumindest noch keine Klagen gehört ;-)
Naja, ich bin seit einem halben Jahr dort, und mußte die IP, die ich bekommen hatte, erstmal von diversen Listen runternehmen lassen, Hotmail sowieso und habe immer noch einige Server, die kategorisch ablehnen, aus diesem Netz auch nur eine Mail anzunehmen. Deshalb habe ich mir den V-Server als Relay angemietet (und zum Testen).
Hier mal eine entsprechende Absage:
No. Your server is in 88.198/16, a poorly managed network that gushes spam. I don't accept any mail from it at all.
Das habe ich so bei meinem alten Hoster nie erlebt...
Gruß, Juri
participants (5)
-
Christian Boltz -
J. Fahrner -
Juri Haberland -
Ublun -
Walter H.