PDA

Bekijk Volledige Versie : Google mailserver via IPv6 op Spamhaus blacklist?



DutchTSE
31/01/13, 00:05
Ik vroeg mij af of ik de enige ben of dat jullie hier ook last van hebben:

Sinds enkele dagen lijkt een server van Google (gmail) op de Spamhaus RBL te staan. Het betreft server met IP 2a00:1450:400c:c03::22a.
Gevolg is dat onze mailserver (die gebruik maakt van Spamhaus) de mail weigert en de verzender hier een bericht van krijgt (blocked by Spamhaus). Wanneer de verzender de mail daarna opnieuw stuurt wordt deze wel netjes afgeleverd (via IPv4).

2013-01-27 08:03:51 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] F=<xxxx@gmail.com> rejected RCPT <xxxx@xxxx.nl>: Email blocked by SPAMHAUS
2013-01-27 08:03:51 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] incomplete transaction (QUIT) from <xxxx@gmail.com>
2013-01-28 12:34:11 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] F=<xxxx@gmail.com> rejected RCPT <xxxx@xxxx.com>: Email blocked by SPAMHAUS
2013-01-28 12:34:11 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] incomplete transaction (QUIT) from <xxxx@gmail.com>
2013-01-30 20:34:10 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] F=<xxxx@gmail.com> rejected RCPT <xxxx@xxxx.com>: Email blocked by SPAMHAUS
2013-01-30 20:34:10 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] incomplete transaction (QUIT) from <xxxx@gmail.com>
2013-01-30 20:34:38 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] F=<xxxx@gmail.com> rejected RCPT <xxxx@xxxx.com>: Email blocked by SPAMHAUS
2013-01-30 20:34:38 H=mail-we0-x22a.google.com [2a00:1450:400c:c03::22a] incomplete transaction (QUIT) from <xxxx@gmail.com>

Aangezien Spamhaus uitschakelen geen optie is heb ik IP 2a00:1450:400c:c03::22a in de firewall opgenomen met de gedachte dat de mail dan via IPv4 alsnog de server kan bereiken.
Kom ook nergens een lookup functie bij Spamhaus voor IPv6 IP's tegen..

Dreas
31/01/13, 12:39
Wellicht is het niet het IP adres maar de Spamhaus DBL die het bericht blokkeert? Of een bug in je lookup systeem?

Smart-Guyz
01/02/13, 00:27
OT: Bah, spamhaus!

Ik was even aan het google'en, echt kan ik geen IPv6 invullen op spamhaus om deze te checken in de SBL, XBL of PBL.
Het Blocklist Removal Center van spamhaus ondersteund ook nog geen IPv6, lekker is dat. Wel blocken, maar niet kunnen de-blocken?

Mijn reactie is ondervoorbehoud, het kan zijn dat ik niet goed heb gekeken.

Dreas
01/02/13, 10:39
Ik heb het even voor jullie bij Spamhaus nagevraagd, er zit nog geen (publiekelijke) IPv6 reputatie in hun systeem. Het zal dus OF de DBL zijn, OF een foutieve opzet.

DutchTSE
01/02/13, 17:59
Enorm bedankt voor het navragen! Het betreft een DirectAdmin server, ik heb gister voor de zekerheid de nieuwste exim.conf gedownload (stond er al op, maar je weet maar nooit) maar kreeg vandaag opnieuw te horen dat er wat mails tegengehouden zijn.

Het betreffende IPv6 IP blokkeren bleek ook geen (tijdelijke) oplossing, de betreffende gmail server verzonden hem ipv via ::22A over ::22B en werd alsnog geblokkeerd.

Ik zie geblokkeerde mails via:
mail-we0-x22a.google.com [2a00:1450:400c:c03::22a]
mail-we0-x22b.google.com [2a00:1450:400c:c03::22b]
mail-we0-x22c.google.com [2a00:1450:400c:c03::22c]
mail-we0-x22d.google.com [2a00:1450:400c:c03::22d]
mail-we0-x22f.google.com [2a00:1450:400c:c03::22f]

De afzender maakt gebruik van Google Apps met zijn eigen domein, maar dan komen inkomende emails gewoon via zijn gmail adres bij ons binnen.
Het IP waar afzender op host staat bij Sorbs geregistreerd als spam IP. Nog steeds geen spamhaus dus en inkomende mail komt via gmail binnen.

Mail via andere IPv6 mailservers komt wel gewoon binnen wat een foutieve configuratie in de spam lookup eigenlijk wel uitsluit.

Dreas
08/02/13, 14:50
Dan zal het wellicht de Spamhaus DBL zijn. Die kijkt niet naar IPs maar naar domeinen.

DutchTSE
09/02/13, 11:27
Waarschijnlijk ben ik een flinke stap verder in dit probleem.. nadat ook via IPv4 af en toe legitieme emails werden geblokkeerd en zelfs klanten met eigen servers erover begonnen ben ik eens gaan uitzoeken welk antwoord een RBL dan terug gaf:

Format:
Deny message, afzender domein, blocklist, IP van blocklist, antwoord van blocklist:
Email blocked by NJABL - xxxxx.com , dnsbl.njabl.org , 67.215.65.132 , [niets]
Email blocked by SPAMHAUS - xxxxx.com , zen.spamhaus.org , 67.215.65.132 , [niets]

Bij het zien van 67.215.65.132 ging er meteen een lichtje branden: het IP adres van de "ik ken dit domein niet" server van OpenDNS. (OpenDNS geeft bij mislukte DNS queries een reclame server terug ipv een NXDOMAIN antwoord).

Hoe het niet hoort:
[root@web ~]# nslookup dsasdadssda.nl 208.67.222.222
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
Name: dsasdadssda.nl
Address: 67.215.65.132

Hoe het wel hoort:
[root@web ~]# nslookup dsasdadssda.nl 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53

** server can't find dsasdadssda.nl: NXDOMAIN

En daar ligt waarschijnlijk de oplossing van het probleem: de server doet een lookup naar de NJABL lijst of SpamHaus lijst, krijgt een fout IP terug van OpenDNS, krijgt dus geen (geldig) antwoord en blokkeert de mail. Oplossing is dus OpenDNS gedag zeggen als DNS servers :)

Mark17
09/02/13, 12:03
Het is ook niet handig een externe DNS server te gebruiken voor mailservers om DNSBLs te controleren. Veel DNSBLs hanteren een limiet van het aantal verzoeken per uur/dag en als je er structureel overheen gaat kun je helemaal geen DNS requests meer doen.

DutchTSE
09/02/13, 12:26
Ik gebruik OpenDNS voor de servers zelf. De enige lookup die OpenDNS doet is "op welk IP draait zen.spamhaus.org". De daadwerkelijke lookup in de RBL gebeurd door de server zelf en niet door OpenDNS lijkt me.. (neemt niet weg dat je idee van dit soort shared diensten klopt hoor).

Mark17
09/02/13, 16:33
Ik gebruik OpenDNS voor de servers zelf. De enige lookup die OpenDNS doet is "op welk IP draait zen.spamhaus.org". De daadwerkelijke lookup in de RBL gebeurd door de server zelf en niet door OpenDNS lijkt me.. (neemt niet weg dat je idee van dit soort shared diensten klopt hoor).

Normaal wordt een DNSBL geraadpleegd door voor 127.0.0.1 een aanvraag te doen voor 1.0.0.127.dnsbl (bv A 1.0.0.127.zen.spamhaus.org) en de uitkomst te verwerken. Daarom het advies om op mailservers lokaal (of in ieder geval in je eigen netwerk) een naamserver te draaien voor de DNSBL lookups.

visser
09/02/13, 19:29
Normaal wordt een DNSBL geraadpleegd door voor 127.0.0.1 een aanvraag te doen voor 1.0.0.127.dnsbl (bv A 1.0.0.127.zen.spamhaus.org) en de uitkomst te verwerken. Daarom het advies om op mailservers lokaal (of in ieder geval in je eigen netwerk) een naamserver te draaien voor de DNSBL lookups.

Weet je het zeker ?
Want ik zie niet hoe met deze query het aanbiedende IP adres , of domein meegegeven wordt.
De DNSBL ziet alleen een query, en het IP van de DNS server die de lookup doet.

Met deze stijl zou ik dan eerder verwachten dat <ip.van.aangeboden.mail>.zen.spamhaus.org , en dat in het antwoord (127.0.0.x een status gecodeerd zit.

(checking .... inderdaad zit in het antwoord van 127.0.0.x een status , zie de spamhaus faq. nog even verder kijken hoe de query eruit ziet ...
En inderdaad, hoe ik (be)dacht dat het moest werken klopt :
http://www.spamhaus.org/faq/section/DNSBL%20Usage#202
A query voor <revip afzender>.zen.spamhaus.org

Mark17
09/02/13, 20:54
Weet je het zeker ?
Want ik zie niet hoe met deze query het aanbiedende IP adres , of domein meegegeven wordt.
De DNSBL ziet alleen een query, en het IP van de DNS server die de lookup doet.

Met deze stijl zou ik dan eerder verwachten dat <ip.van.aangeboden.mail>.zen.spamhaus.org , en dat in het antwoord (127.0.0.x een status gecodeerd zit.

(checking .... inderdaad zit in het antwoord van 127.0.0.x een status , zie de spamhaus faq. nog even verder kijken hoe de query eruit ziet ...
En inderdaad, hoe ik (be)dacht dat het moest werken klopt :
http://www.spamhaus.org/faq/section/DNSBL%20Usage#202
A query voor <revip afzender>.zen.spamhaus.org

Dat is wat ik aangeef, enkel is mijn voorbeeld mogelijk ongelukkig gekozen. Voor IP heb ik in mijn voorbeeld 127.0.0.1 gebruikt. Blijft over dat al deze verzoeken wel via OpenDNS gaan in deze situatie met het gebruik van OpenDNS.

visser
10/02/13, 01:36
Dat is wat ik aangeef, enkel is mijn voorbeeld mogelijk ongelukkig gekozen. Voor IP heb ik in mijn voorbeeld 127.0.0.1 gebruikt. Blijft over dat al deze verzoeken wel via OpenDNS gaan in deze situatie met het gebruik van OpenDNS.

Mail from localhost als voorbeeld voor een dnsbl lookup is te verwarrend om te gebruiken ja ;-)

( RFC3330 definieert TEST-NET, 192.0.2.0/24 als IP subnet wat als voorbeeld, of in code examples te gebruiken is zonder dat het in gebruik is, of super speciaal zoals 127/8 en dus overlast of verwarring geeft.).

Inderdaad zal een dergelijke lookup gewoon via het hele name lookup pad gaan (libc, nsswitch.conf ,files) en dan de DNSen die op de server ingesteld staan als resolvers, wat bij DutchTSE dan OpenDNS blijkt te zijn.

Dreas
12/02/13, 17:13
Vanuit Spamhaus:


It has come to our attention that sometime around Feb 7, OpenDNS appears
to have commenced hijacking NXDOMAIN returns from DNSBL lookups. We've seen
this in at least one and possibly several more occasions where already existing
CBL/OpenDNS installations that were working fine suddenly started rejecting
email based on an alleged listing, whereas the lookup pages and the CBL DNS
infrastructure show that the ip is NOT listed.
We've confirmed that this is occuring with other DNSBLs such as spamhaus
(except possibly Zen), spamcop etc.

Feel free to share this. Further information as it becomes available
will be on http://cbl.abuseat.org


Zie ook: http://forums.opendns.com/comments.php?DiscussionID=11693