PDA

Bekijk Volledige Versie : problemen met barracuda rbl



Mikey
24/11/11, 15:14
We hebben een vreemd maar ook een vervelend probleem. Een klant is onverhoopt op de rbl van barracuda terecht gekomen, hier is via het webform een request gedaan om weer eraf gehaald te worden. Dit leek goed te zijn gegaan, echter krijgen we ontzettend veel meldingen dat het ip weer gelist is op b.barracudacentral.org. Dit zijn mailservers die niet gebruik maken van een appliance , maar puur een rbl check doen bij barracuda.

Als we dit ip op dit moment via de weblookup opvragen, dan krijgen we result dat alles schoon is. Echter wanneer een mailserver dus mail binnen krijgt zegt diezelfde rbl dat hij wel listed is.

Ook een check via de command line bevestigt dit probleem. Je kan 100x not found: 3(NXDOMAIN) als resultaat krijgen, en dan ineens heb je weer een hele berg


[root@lci Maildir]# host -t a x.x.x.x.b.barracudacentral.org
x.x.x.x.b.barracudacentral.org has address 127.0.0.2


Ik heb hiervoor een case aangemaakt bij barracuda, daar kreeg ik dus gelijk reply dat we niet gelist zouden zijn. De web check bevestigt dit ook, echter een rbl check geeft andere resultaten weer. Het tweede argument was dat de ontvangers gebruik zouden maken van een appliance, en die dus hun rules zouden moeten bijwerken, echter zijn de ontvangers helemaal geen appliance gebruikers maar rbl users die bijvoorbeeld in directadmin aangegeven hebben gebruik te maken van b.barracudacentral.org. Wanneer er onderbouwing gestuurd wordt, is dit gelijk ook einde contact van barracuda. Mijn klant heeft vandaag precies hetzelfde ondervonden, na onderbouwing ontstaat er struis vogel politiek waarbij er 0 reactie meer retour komt.

Zijn er meerdere die soortgelijke problemen ondervinden, en belangrijker hoe is dit opgelost. Mijn gevoel zegt namelijk sterk dat er binnen de dns cluster van barracuda een machine is die out of sync is, en zorgt voor de problemen, echter krijgen wij dat in ieder geval niet aan het verstand.

Mikey
24/11/11, 15:47
En nu dus met onderbouwing:



[root@lci Maildir]# host -t a x.x.x.x.b.barracudacentral.org ns01.barracudacentral.org
Using domain server:
Name: ns01.barracudacentral.org
Address: 75.101.148.228#53
Aliases:

Host x.x.x.x.b.barracudacentral.org not found: 3(NXDOMAIN)
[root@lci Maildir]# host -t a x.x.x.x.b.barracudacentral.org ns02.barracudacentral.org
Using domain server:
Name: ns02.barracudacentral.org
Address: 75.101.143.130#53
Aliases:

Host x.x.x.x.b.barracudacentral.org not found: 3(NXDOMAIN)
[root@lci Maildir]# host -t a x.x.x.x.b.barracudacentral.org ns03.barracudacentral.org
Using domain server:
Name: ns03.barracudacentral.org
Address: 75.101.130.80#53
Aliases:

x.x.x.x.b.barracudacentral.org has address 127.0.0.2

dreamhost_nl
24/11/11, 21:05
Hoe lang is het geleden dat het IP-adres uit de RBL is gehaald? Misschien dat 75.101.130.80 de entry nog in cache heeft staan en daarvan gebruik maakt ipv. een nieuwere versie.

Mikey
24/11/11, 22:48
Zal stukje uit de e-mail citeren


Yes that IP is clean. Your IP had previously been blocked but was cleared on 2011-10-13 00:52:15.

visser
24/11/11, 22:55
Hoe lang is het geleden dat het IP-adres uit de RBL is gehaald? Misschien dat 75.101.130.80 de entry nog in cache heeft staan en daarvan gebruik maakt ipv. een nieuwere versie.

Dat kan geen excuus zijn.
Een authoritive DNS werkt niet met een cache, die _is_ de bron, en wordt direct geupdate vanaf een backend. (Of het nu files, een database, een hidden master met triggered zonetransfer zijn of iets anders is).

ns03.barracudacentral.org is één van de drie opgegeven authoritive servers voor de b.barracudacentral.org zone, en het out-of-sync zijn ervan is een fout van de operator.
(zie dat Mikey een directe query naar die server gedaan heeft, en er dus geen sprake is van caching in zijn resolver ).

Mikey : Ik vermoed dat de support desk ook kijkt via een interface wat data uit de backend haalt (waar het wel goed staat, aangezien de andere twee DNSen up to date zijn). Ik zou in je support vraag dus heel expliciet vermelden dat ns01/ns02 en ns03 van elkaar afwijken.

Mikey
24/11/11, 23:02
Hi,

Je wilt inmiddels niet weten hoe vaak ik al aangegeven heb met onderbouwing dat de dns rbl out of sync is. Het enige waar ze naar kijken is een of andere tool local die listed / unlisted aangeeft. Ik heb me vanmiddag laten informeren over een escalation process, alle cases worden op dit moment samengevoegd en men gaat nu dus _eindelijk_ op onderzoek uit. Altans dat is toegezegd, we zijn inmiddels 12 uur verder, maar heb nog niets ontvangen in enige vorm van een update.

Het probleem geeft wel aan dat hoe mooi de oplossing ook is, het voor zeer vervelende problemen kan zorgen. En nog veel vervelender is dat de support staff je eigenlijk benaderd als een klein kind waarbij je dus de indruk krijgt dat het _nooit_ maar dan ook _nooit_ bij hun fout kan liggen.

visser
24/11/11, 23:34
Hi,

Je wilt inmiddels niet weten hoe vaak ik al aangegeven heb met onderbouwing dat de dns rbl out of sync is. Het enige waar ze naar kijken is een of andere tool local die listed / unlisted aangeeft. Ik heb me vanmiddag laten informeren over een escalation process, alle cases worden op dit moment samengevoegd en men gaat nu dus _eindelijk_ op onderzoek uit. Altans dat is toegezegd, we zijn inmiddels 12 uur verder, maar heb nog niets ontvangen in enige vorm van een update.

Het probleem geeft wel aan dat hoe mooi de oplossing ook is, het voor zeer vervelende problemen kan zorgen. En nog veel vervelender is dat de support staff je eigenlijk benaderd als een klein kind waarbij je dus de indruk krijgt dat het _nooit_ maar dan ook _nooit_ bij hun fout kan liggen.

Succes...
Helaas, ik heb niet direct een contact bij barracuda om de vraag meteen bij iemand met clue neer te leggen.

Tsja, support... Nu moet ik wel zeggen dat ik heel blij ben om niet op een eerste lijn te zitten, laat staan die van een spam-blacklister, want daar zul je wel snel een heel erg pessimistisch mensbeeld ontwikkelen.
Kortom, als je het maar een beetje snapt wil je snel weg van die frontlinie.
Wel jammer dat ze dan blijkbaar niet voldoende gut-feeling hebben om aan de vraag een "deze door naar de tweede lijn" geval te herkennen.

Ik weet niet hoe je vraag was, maar de ervaring leert dat je het probleem meteen en zo kort mogelijk moet melden.
Dus niet beginnen met een heel verhaal over je listing , maar direct dns out of sync.

Sub : ns03.barracudacentral.org out of sync

Support :

ns03.barracudacentral.org returns different answers than ns01 and ns02 .
IP <a.b.c.d> returns 127.0.0.2 from ns03.barracudacentral.org while returning NXDOMAIN from ns01.barracudacentral.org .

This causes problems because a.b.c.d is supposed to be not listed.

Details :

<host / dig ns03>
<host / dig ns02>
<host / dig ns01 >

====

Misschien heb je zoiets al gestuurd, en meer kun je ook niet doen, maar als je begon met een paragraaf tekst over je listing zullen ze dat wel niet verder gelezen hebben.
Het hoort niet uit te maken, maar ook niet te bescheiden zijn in je .signature in een dergelijk geval.
Senior Domain Administrator
Bla Hosting BV

(niet : "C Ya, the Mikester" ) . Er zijn altijd plekken waar de mate van aandacht voor een supportvraag mede bepaald wordt door hoe serieus of capabel de vrager voorkomt , en puberale taal of wegwerp mailadressen zijn dan een negatieve hint.

Mikey
25/11/11, 00:01
Ik had niet echt het idee dat ik eromheem draaide, alle aspecten waren duidelijk aanwezig.

Nadat ik geïnformeerd had over de escalation procedure kon er dus wel fatsoenlijk gereageerd worden.

Ik ben benieuwd wat dus straks de reactie wordt, of ze dus daadwerkelijk toe zullen geven dat de fout bij hun lag. In de cocky mails komen ze aardig arrogant over dat het probleem vooral bij de ander ligt (nou hebben ze wel een branche waar je makkelijker kan wijzen ;))

Mikey
28/11/11, 16:59
Even een kleine update erbij, inmiddels is de situatie nog steeds niet veranderd.

Mikey
28/11/11, 19:45
Inmiddels eindelijk weer response van support


Hello Mike thank you for all the details below. We do apologize for the issues, but it seems we have fixed the syncing issues when it comes to this.

Unfortunately the problem occurred at a time when we had a lack of resources, but I have confirmed that the issues have been fixed. Please attempt to send these emails out again.



Thank you Mike!

We are definitely looking into that now, and once again we apologize for the delay. Engineering is informing us those are fail over and will not impact in any way at the moment. But are looking into it as we speak.


De zogenoemde failover ns03 wordt door bijvoorbeeld google als prefered dns server gezien:



; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> NS b.barracudacentral.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10816
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;b.barracudacentral.org. IN NS

;; ANSWER SECTION:
b.barracudacentral.org. 267 IN NS ns03.barracudacentral.org.
b.barracudacentral.org. 267 IN NS ns01.barracudacentral.org.
b.barracudacentral.org. 267 IN NS ns02.barracudacentral.org.

;; Query time: 18 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Mon Nov 28 18:49:01 2011
;; MSG SIZE rcvd: 97


Het mag in ieder geval duidelijk zijn, als je als regular partij een soort gelijk probleem hebt, je echt wel radeloos zal worden met het van de kast naar de muur methode.

sdetroch
28/11/11, 20:43
Als klant bij Barracuda heb ik wel heel goede ervaringen met hun support afdeling, is eigenlijk qua support de beste firma die ik ken. Bijna nooit moeten spreken met 1ste lijns.
Altijd binnen het uur worden teruggebeld door 2nd of 3rd line (we maken onze tickets online aan, zodat we dat niet moeten dicteren aan de 1ste lijn).

Natuurlijk als niet klant is het moeilijk om daar binnen te geraken (wat ik uiteraard niet goedkeur, zeker niet wanneer zoals hier blijkt dat het probleem zeer duidelijk omschreven wordt)., maar uiteindelijk heb je toch binnen de 4 dagen een fix gekregen. Weet niet of het bij de Belgacom's en KPN's van deze wereld vlotter zou verlopen ????

Mikey
28/11/11, 20:55
Waar staat dat er een fix verkregen is ? Het probleem dateert al vanaf 13-10-2011.

visser
28/11/11, 21:38
Inmiddels eindelijk weer response van support

[..]


O jee. Daaruit begin je te denken dat de engineering club van een DNS BL DNS niet snapt...
Er bestaat geen "failover" of "minder belangrijke" DNS server onder publiek zichtbare NS'en.

Wat dat betreft is de terminologie van "primary" en "secondary" ongelukkig, want die heeft alleen betrekking op wie achter de schermen de informatie verdeelt.
Voor degenen die DNS'en queryen mag er geen zichtbaar verschil zijn.

Het support antwoord doet vrezen dat iemand binnen barracuda denkt dat "secondary DNS servers" secundair zijn, en alleen gebruikt worden als primaries falen.




De zogenoemde failover ns03 wordt door bijvoorbeeld google als prefered dns server gezien:



; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> NS b.barracudacentral.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10816
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;b.barracudacentral.org. IN NS

;; ANSWER SECTION:
b.barracudacentral.org. 267 IN NS ns03.barracudacentral.org.
b.barracudacentral.org. 267 IN NS ns01.barracudacentral.org.
b.barracudacentral.org. 267 IN NS ns02.barracudacentral.org.

;; Query time: 18 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Mon Nov 28 18:49:01 2011
;; MSG SIZE rcvd: 97


Het mag in ieder geval duidelijk zijn, als je als regular partij een soort gelijk probleem hebt, je echt wel radeloos zal worden met het van de kast naar de muur methode.

Nu ja, "preferred" ook alleen bij deze query. Normaal gesproken worden meerdere records in round-robin volgorde gestuurd.
Als je de query een paar keer herhaalt (eventueel met korte wachttijd) zul je een andere volgorde zien.

Ongeveer 1/3 van de mail waarbij deze DNS BL gebruikt wordt zal voor die records dan antwoord krijgen van ns03 .

visser
28/11/11, 21:41
Als klant bij Barracuda heb ik wel heel goede ervaringen met hun support afdeling, is eigenlijk qua support de beste firma die ik ken. Bijna nooit moeten spreken met 1ste lijns.
Altijd binnen het uur worden teruggebeld door 2nd of 3rd line (we maken onze tickets online aan, zodat we dat niet moeten dicteren aan de 1ste lijn).

Natuurlijk als niet klant is het moeilijk om daar binnen te geraken (wat ik uiteraard niet goedkeur, zeker niet wanneer zoals hier blijkt dat het probleem zeer duidelijk omschreven wordt)., maar uiteindelijk heb je toch binnen de 4 dagen een fix gekregen. Weet niet of het bij de Belgacom's en KPN's van deze wereld vlotter zou verlopen ????

Misschien kan je Mikey helpen, als hij per PM het bewuste IP adres/domain stuurt, en een paar mailtjes ervandaan, en jij met de klantenpet op een probleem meldt ...

Mikey
28/11/11, 21:53
No geen reply gehad, maar :)




[root@lci Maildir]# host -t a x.x.x.x.b.barracudacentral.org ns03.barracudacentral.org
;; connection timed out; no servers could be reached





[root@lci Maildir]# host -t a x.x.x.x.b.barracudacentral.org ns03.barracudacentral.org
Using domain server:
Name: ns03.barracudacentral.org
Address: 75.101.130.80#53
Aliases:

Host x.x.x.x.b.barracudacentral.org not found: 3(NXDOMAIN)



Lijkt erop dat eindelijk er schot in de zaak begint te komen. Nu wachten wat de reply is.

Mikey
28/11/11, 21:55
Nu ja, "preferred" ook alleen bij deze query. Normaal gesproken worden meerdere records in round-robin volgorde gestuurd.
Als je de query een paar keer herhaalt (eventueel met korte wachttijd) zul je een andere volgorde zien.

Ongeveer 1/3 van de mail waarbij deze DNS BL gebruikt wordt zal voor die records dan antwoord krijgen van ns03 .

Nou ik krijg voornamelijk ns02 en ns03 als eerste. Ns01 is voor mij ook vele malen trager.

Maar goed, of het nu 1/100 of 1/3 is. Elke e-mail die op deze manier onterecht geblocked word is er een teveel ..

sdetroch
29/11/11, 10:40
Dacht dat het opgelost was, blijkbaar niet dus ;-)
Mickey, je mag me altijd je mailadres pm'en, dan bezorg ik je wel enkele emailadressen van 2nd of 3rd line engineers bij bcuda.