Frage, Blacklist Prüfung neben Talos?

[Domi]

Hallo Leute, ich weiß... meine Frage passt vielleicht nicht in die Serverdienste / Mail, hinein... aber es betrifft primär die Mailserver Thematik.

Eine Bekannte von mir hat ein Restaurant gepachtet, dazu gehört auch eine restaurant.tld Domain (.de Domain) und der Pächter hat mal eben dem IT Dienstleister des Vertrauens gesagt "Kennwörter ändern" und nun kommt niemand mehr dran. Kein Thema, schnelle Lösung muss her... ich wurde gefragt ob ich eine .com Domain buchen und auf meinem eigenen Server hinterlegen kann.

Kein Thema, nun gibt es neben der .de Domain auch eine .com Domain die vom Verpächter unabhängig ist. Alle Lieferer, Buchhalter etc. wurden per E-Mail angeschrieben, dass sie doch bitte Kontakt über die .com Adresse aufnehmen sollen und fertig ist. Allerdings gibt es bei zwei / drei von ca. 15 Adressen eine folgende Rückmeldung.

Dec 31 00:48:40 srv01 postfix/smtp[21664]: 0C5Fxxx0960: to=<xxxx@xxxx.de>, relay=mobil.xxxx.de[xx.xx.xx.xx]:25, delay=1, delays=0.19/0.01/0.61/0.21, dsn=5.0.0, status=bounced (host mobil.xxxx.de[xx.xx.xx.xx] said: 550 Administrative prohibition (in reply to end of DATA command))

Wenn ich nun die Texte korrekt verstanden habe, sagt "550 Administrative prohibition" aus, dass es keine wirklich definierte Fehlermeldung gibt. OK, dann ist das so. Ich habe bei allen drei Empfängern die postmaster@ Adresse angeschrieben, einer hatte darauf reagiert und das Problem behoben, bei den anderen Beiden ist die postmaster@ sowie hostmaster@ gar nicht eingerichtet.

Parallel habe ich via Talos (ehemals senderbase) mal geschaut ob es Probleme mit meinem Server gibt, aber hab nichts gefunden. Gibt es noch weitere Datenbanken wo man mal seine IP oder den Hostnamen durch jagen kann um Ergebnisse zu erhalten?

Gruß, Domi

 

[greystone]

talos basiert ja hauptsächlich auf blacklists - vermute ich zumindest. Die kann man auch direkt abfragen. z. B. http://multirbl.valli.org/ oder mxtoolbox.com.

Ich habe ansonsten für meine Server noch senderscore im check. Das liefert eine Punktzahl von 0 bis 100. 0 ist das schlechteste 100 ist perfekt. Das ist wohl ein Netzwerk dass u. a. auch Bounces, Spamversand, etc. einfließen lässt. Das ist besonders gut dafür, um Fehler zu sehen, bevor überhaupt blacklistings aufgetreten sind.

Allerdings muss man sich dafür registrieren, um das überhaupt abfragen zu können.

Alternativ diese RDNS-Script:

#!/usr/bin/perl

#
#       check_mk local check senderscore
#
#       fetches all sendercore scores for public ip addresses
#
#       recommended interval: 6 hours
#
#       Needs:
#
#       - perl module Net::DNS::Resolver (Debian/Ubuntu-Package: libnet-dns-perl)
#

use warnings;
use strict;
use Net::DNS::Resolver;
my $resolver = new Net::DNS::Resolver();
my $rbl_addr = "score.senderscore.com";

# add the minimum score for the warn/crit status
my $score_warn = -1;
my $score_crit = -2;

sub get_ips {

        # get ips from ip and ifconfig

        my $ips={};
        my $res = open(my $ifconfig,"/sbin/ifconfig 2>&1|");

        if($res) {
                while(<$ifconfig>)
                        {
                        if(/\b(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\b/) {
                                $ips->{"$1"}=1;
                        }
                }
                close($ifconfig);
        }

        $res = open(my $ip,"ip addr show 2>&1|");
        if($res) {
                while(<$ip>)
                        {
                        if(/\b(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\b/) {
                                $ips->{"$1"}=1;
                        }
                }
                close($ip);
        }

        return $ips;
}
sub ip_rev {

        my $ip = shift;
        my @octets = split /\./,$ip;
        return join(".",reverse(@octets));
}

sub filter_ips {

        # filter out private ips (rfc1918)

        my $ips = shift;
        my $ips_new = {};
        foreach(keys %{$ips}) {
                next if /^192\.168\./;
                next if /^127\./;
                next if /^10\./;
                next if /^172\.([12][0-9]|3[01])\./;
                $ips_new->{"$_"}=1;
        }
        return $ips_new;
}

sub get_score {

        # retrieve the score via dns lookup

        my $ip = shift;
        my $ip_rev = ip_rev($ip);
        my $query_target= "$ip_rev.$rbl_addr";
        my $resolved = $resolver->query($query_target);
        if($resolved) {
                # Perl Net::DNS::Resolver does relyably return the address, so
                # I'm parsing it myself from the text representation of the answer
                # (pebcak?)
                #
                # OUTPUT EXAMPLE
                # ;; ANSWER SECTION (1 record)
                # 5.4.3.2.score.senderscore.com.    10      IN      A       127.0.4.83
                #
                my ($score) = $resolved->string =~ m/$query_target.*IN.*A.*127\.[0-9]+\.[0-9]+\.([0-9]+)/;
                return $score;
        }
}

sub mk_checkmk_line {

        # generate check_mk line

        my ($ip,$score) = @_;
        my $state=0;
        if($score) {
                $score = ($score)?$score:0;
                $state=1 if($score <= $score_warn);
                print "$state senderscore_$ip score=$score Senderscore value for ip $ip is $score\n";
        } else {
                print "0 senderscore_$ip score=0 No senderscore value for ip $ip\n";
        }

}

sub main {
        my $ips = filter_ips(get_ips());
        foreach(keys %{$ips}) {
                mk_checkmk_line($_,get_score($_));
        }
}

main();

 

[Domi]

Ich habe ansonsten für meine Server noch senderscore im check.

Moin, ich vermute mal du meinst senderscore.org, oder irre ich mich? Denn in dem Script wird ja score.senderscore.com abgefragt...

Ich habe ja meine Server unterteilt. Server 01 für E-Mail (Netcup), Server 02 für Webseiten (Hetzner) und als ich 2019 den Netcup Server gebucht hatte, war es ja erst einmal das übliche Szenario, die IP von den Blocklisten (Telekom sowie Outlook.com) zu bekommen. Denn mittlerweile haben ja "die großen" fast jedes Netz pauschal blockiert GMX, GMAIL, WEB und Co. sind da aktuell noch nicht so, dass sie fast alles gesperrt haben.

Dank mxtoolbox mache ich auch einen SPF Record Test, dann schaue ich auch ob DKIM korrekt validiert (klappt auch alle), aber es scheint auch noch Anbieter zu geben, wo meine IP gut und gerne als SPAM zugeordnet wird.

Gruß, Domi

p.s. Falls es mal jemanden neues interessiert. Wenn man einen neuen Server mit neuer IP Adresse bekommt und diese von der Telekom (t-online.de) blockiert ist, kann man die ja einfach anschreiben. Aber die (Telekom) verlangen, dass die Domain ein Impressum besitzt Hab nämlich im Herbst bei ins in der Firma einen neuen Server geholt und musste die IP bei t-online.de freischalten lassen und da schrieb man zurück, dass die Domain meines PTR kein Impressum besitzt. Kannte ich so auch noch nicht.

Edit: Hab das Skript mal durchgeführt... wenn du sagst "0 ist schlecht", dann hab ich wohl ein Problem...

0 senderscore_xx.xx.xx.233 score=0 No senderscore value for ip xx.xx.xx.233

 

[greystone]

Hab das Skript mal durchgeführt... wenn du sagst "0 ist schlecht", dann hab ich wohl ein Problem...

Nein. Du hast kein Problem. Die 0 ist in diesem Fall ein Dummy-Wert, wenn halt nix zurück kommt. Das soll auch durch den Ausdruck "No senderscore value for ip ..." ausgedrückt werden. Das bedeutet, dass es keinen Score für Deinen Server gibt, weil zu wenig Aktivität über Deine Server-IP registriert wurde. Du kannst das als neutrale Wertung ansehen: weder gut noch schlecht.

Moin, ich vermute mal du meinst senderscore.org, oder irre ich mich? Denn in dem Script wird ja score.senderscore.com abgefragt...

www.senderscore.com leitet auf www.senderscore.org um. Also dürfte das zur gleichen Firma gehören.

 

[Lord Gurke]

Da die Mail "after end of DATA" abgelehnt wurde, könnte es theoretisch auch am Inhalt liegen - denn dann wurde die Mail bereits einmal vollständig übertragen, dann aber nicht angenommen.
Hast du irgendwelche URLs in deiner E-Mail drin stehen, die nicht zu deiner Domain zeigen? Schlechtestenfalls eventuell welche von Kurz-URL-Diensten (z.B. bitly)?

 

[Domi]

Moin... Ja, in der Signatur ist ein Link zu der .de Domain von der Homepage und zu der Facebook Seite!

An sich hat die Bekannte von mir ihren Lieferanten nur kurz und knapp in einem Dreizeiler geschrieben, dass die neue E-Mail Adresse nicht mehr info@domain.de sondern info@domain.com lautet. Aber am Ende der Mail steht noch "Internet: www.domain.de" sowie der (eben erwähnte) Link zu der Facebook Seite.

 

[Lord Gurke]

Das sollte eigentlich nicht unbedingt das Problem sein. Kann natürlich sein, dass da irgendwas Phishing interpretiert, wenn es die selbe Domain mit verschiedenen TLDs sieht, aber...
Wenn du willst, kannst du mir mal eine Mail schicken, ich kann dann mal schauen, was mein Rspamd so dazu meint. Vielleicht ergibt sich da ein Ansatz was gammelig ist. E-Mail-Adresse würde ich dir dann bei Interesse per PN schicken.

 

[Domi]

Moin, andere Meinungen können nicht schaden. Ich habe selbst mal geschaut was RSPAMD bei mir (ein anderer Server) zu den Mails sagt und da schlug "SEM_URIBL_FRESH15" und "BAD_REP_POLICIES" rot aus. Aber vielleicht hast du ja noch bessere / feinere Einstellungen als ich. Und da höre ich mir auch gerne mal ein Feedback an

Gruß, Domi

 

[greystone]

Noch eine Anmerkung zu Talos: Das ist halt kacke, weil man das nicht automatisiert prüfen kann - also quasi wie die Blacklists per rDNS. Aber das wollen die wohl auch nicht, zum einen, weil man es Spammern auch nicht zu leicht machen möchte und zum anderen, weil da wahrscheinlich noch kostenpflichtige Dienste dranhängen, die auch verkauft und nicht kostenfrei abgegeben werden möchten.

 

[Domi]

Aktuell scheint es wieder "fehlerfrei" zu laufen. Was mich wohl am meisten irritiert hatte, war die Prüfung wie alt eine Domain ist. RSPAM scheint ja so etwas mittlerweile zu berücksichtigen. An sich nicht doof, aber richtig toll ist das auch nicht.

Gründe ich gerade eine neue Firma "Pups GmbH", buche mir die Domain pups-gmbh.de und will dann schon mal Kontakt mit Unternehmen aufnehmen, könnte ich doof aus der Wäsche gucken weil meine Mail vielleicht abgelehnt wird da die Domain ja erst ganz ganz neu ist.

Ich verstehe wieso man das macht, darum bin ich auch im Zwiespalt, aber es hat halt alles seine Vor- und Nachteile. Generell grausig finde ich halt die gefühlte "Blacklist" von Microsoft oder der Telekom, die mittlerweile viele IPs blockiert haben und die erst einmal freigeschaltet werden müssen.

 

[danton]

Was mich wohl am meisten irritiert hatte, war die Prüfung wie alt eine Domain ist.

Naja, als eins von vielen Merkmalen kann diese Prüfung schon zur Entscheidungsfindung beitragen. Viele Spammer registrieren Domains, nutzen die für einen kurzen Zeitraum als Müllschleuder und wechseln dann zur nächsten Domain. Entscheidend ist, wie man solche "weichen" Merkmale gewichtet. Spam-Erkennung ist ja immer ein Balance-Act zwischen "zuviel Ham weg sortieren" und "zu wenig Spam weg sortieren". Da gibt es auch nciht das Patentrezept, welches für jeden Betreiber gleich ist.

 

[d4f]

Generell grausig finde ich halt die gefühlte "Blacklist" von Microsoft oder der Telekom, die mittlerweile viele IPs blockiert haben und die erst einmal freigeschaltet werden müssen.

Sehr viele Anbieter, auch Yahoo, AOL, GMX, .... gehen mittlerweile den Weg dass neue IPs einer Netrange, neue Domains, ... pauschal mal als "böse" angesehen werden. Während zumindest der IP-Teil für ISP's im Marktbereich der üblichen Kunden kein Problem ist, wird es ständig zur Nervenprobe für Kunde, Support und Techniker wenn mal eine Person ausserhalb dieses Bereichs kontaktiert werden sollte.
Eine wirkliche Lösung gegen Spam gibt es leider nicht, ausser man hätte viel zu viel Freizeit.

Naja die Skepsis gegenüber zumal deutschem Ursprung liegt vermutlich mit daran, dass das vergleichsweise kleinere Deutschland mit Russland und USA im Spamversand mithält und deutlich vor anderen Länder wie Frankreich, Niederlande oder GB liegt. Weltgrösserter IX hat halt seinen Fluch und Segen.... ( https://www.statista.com/statistics/263086/countries-of-origin-of-spam/ )

 

[Domi]

Bei statista.com müsste ich mir erst einmal einen Account erstellen, aber wenn du sagst dass wir mit den USA oder Russland doch sehr gut mithalten können, ist verständlich dass Outlook.com mal eben ganze Adressblöcke gesperrt hat und es dann immer schwer fällt, wenn man diese auf deren Whitelist bekommen möchte.

Ist mir besonders im Netzwerk von Netcup aufgefallen. Hatte vor ein paar Jahren den ersten Server für einen Kunden organisiert mit Kerio MailServer und einige Empfänger konnte keine Mails empfangen. Erst einmal einen meiner "stabilen" Server als Relay missbraucht, damit Mails zugestellt werden konnten und schauen dass die IP des Netcup Servers freigegeben wird. Dann kam der nächste Netcup Server, wieder schauen dass die IP bei outlook.com und t-online.de freigegeben wird. Letztes Jahr kam dann noch einer und das gleiche Spiel fing von vorne an. Spiele sogar schon mit dem Gedanken mir eine Fallback IP zu besorgen und Postfix zu sagen, dass er die Mails darüber versenden soll, so dass ich im Falle eines Serverwechsels die IP mitnehmen kann da sie vielleicht ein gewissen "Trust" besitzt

Aber hab mich noch nicht durchringen können und weiß auch nicht ob die Idee so gut ist

Vielleicht bin ich aber auch nur die Jahre davor durch meine Hetzner Server zu sehr verwöhnt gewesen... 2008 - 2016 (immer wenn es mal einen neuen Server gab, warum auch immer) ging es sofort

 

[jeddix]

Immerhin hast Du den Block freibekommen. Ich habe jetzt den Fall bei GMX/Web.de und seit 12 Tagen ist die Postmasterabteilung ohne Reaktion. Da der geblockte Server nur von mir bekannten Personen genutzt wird und die IP jahrelang gleich ist, kann ich die Historie an E-Mailinhalten recht gut einschätzen. Falls die gesamte Postmasterabteilung nicht wegen Covid19 Land unter hat, ist das Verhalten schon recht erstaunlich. Der Blockprozess ist auf seiten der großen Provider starken Schwankungen unterlegen. Wenn wir alle über Amazon SES verschicken, kann nichts mehr passieren. Amazon kann notfalls die Toilettenpapierlieferung aussetzen ;-)

Am Rande: DNS-Betreiber könnten bald als Betreiber kritischer Infrastruktur eingestuft werden. Das DNS eine kritische Komponente ist, ist nicht von der Hand zu weisen. Aber das hat einige Folgen, wenn das so innerhalb der EU umgesetzt wird.
Vgl. https://connect.geant.org/2021/01/22/running-you-own-dns-service-there-may-be-changes-ahead

As a consequence of this directive’s quite broad definition of DNS, every organisation or individual running their own DNS will have to comply by registering their DNS service with ENISA, the EU agency for Cyber Security. This applies not only to top level domain DNS, but also to universities, companies of all sizes and ICT-enthusiasts who run their own DNS service at home.

Könnte man dann auch auf Mailserver ausweiten ;-)

 

[Joe User]

Könnte auch am Spamcop-Ausfall liegen...

 

[Domi]

Immerhin hast Du den Block freibekommen.

Ja, bei Microsoft (outlook.com) hab ich die Freischaltung hinbekommen, weil ich da nicht locker gelassen hatte. T-Online ist da mittlerweile auch sehr komisch geworden. Meine Server heißen srv01.domain.tld, srv02.domain.tld und deren Mitarbeiten wollten, dass über domain.tld ein Impressum erreichbar ist, sonst schalten sie die IP nicht frei.

Die anderen Unternehmen die wir erreichen wollten, scheinen aber laut mail.log einen MS Exchange oder so etwas zu besitzen und haben gar keine postmaster@ angelegt, somit mussten wir schauen dass wir über andere Umwege dort jemanden erreichen können.

Ich verstehe, dass man etwas gegen SPAM unternimmt, aber diese Variante ist auch unschön.

 

[GwenDragon]

@Domi Wo ist das Problem für die Domain ein Impressum bereit zu stellen? Oder willst du über die Domain spammen?

 

[d4f]

Wo ist das Problem für die Domain ein Impressum bereit zu stellen? Oder willst du über die Domain spammen?

Das Problem sehe ich persönlich mal darin dass das eine Forderung ist, die weit ausserhalb dem Befugnisbereich der Telekom ist. Aber solange die Bundesagentur sich vollständigkeitshalber "eine Lobbygruppe der Telekom AG" betiteln müsste, kann diese ja eh tun und lassen was sie will.
Ich fasse mal zusammen:
- für 1&1 "sollte" man einem kostenpflichtigen Whitelisting-Verein beitreten
- für Telekom muss man eine Webseite mit Impressum betreiben, egal ob gesetzlich notwendig
- bei anderen hier nicht namentlichen Anbieter muss man kostenpflichtig Kunde werden um Sperren aufheben zu lassen
- Microsoft sperrt nach Lust und Laune trotz Teilnahme an deren Programmen und jedesmal bescheinigt der Support "Falscherkennung"

 

[Deleted member 11740]

@Domi Wo ist das Problem für die Domain ein Impressum bereit zu stellen? Oder willst du über die Domain spammen?

Es gibt sehr viele gute Gründe, warum man das nicht will und nein, das hat nichts mit Straftaten zu tun.

Ist hier aber nicht von einem Unternehmen die Rede? Da muss eh ein Impressum auf die Seite.

 

[Domi]

In meinem Fall hab ich halt zwei Domains (sowohl Firma, Hauptberuf als auch Selbstständigkeit im Nebenerwerb)... einmal gibt es die firma.de Domain und dann gibt es die firma.net Domain für die Server. Denn die Server sind durchnummeriert mit server01.firma.net! Es gibt auch nur A-Records für server01 bis ultimo

An sich braucht man ja nur eine Weiterleitung für firma.net -> firma.de hinterlegen und gut ist, aber dass ich das machen muss fand ich schon etwas doof. Man sollte sich mal auf ein einheitliches System einigen, womit man alle glücklich macht.

Und zum Thema Impressum... ich habe zwei / drei Leute (Bekannte und Kunden) die haben eine nachname.de Domain und brauchen keine Homepage. Denen geht es nur darum über bob@nachname.de erreichbar zu sein oder antworten zu können. Da finde ich die Verpflichtung für ein Impressum noch bescheuerter als alles andere. Bei ihm klappt auch alles bisher, aber wie bereits von d4f gesagt, jeder macht seinen Brei und das ist auch nicht gerade cool.