Plesk 9.2 mit greylisting, Blacklisted Sender-IP nicht zu löschen

[PharmaJoe]

Hallo,
nachdem ich bisher nur lesend hier war, habe ich auch mal einen Beitrag bzw. eine Frage:
Auf unserem Server (CentOS mit Plesk 9.2.2, qmail) habe ich bei einer Absenderadresse folgendes Problem:
Absender hat neuen Mailserver, dessen reverse-DNS nicht korrekt gesetzt war:
lvps83-169-17-123.dedicated.hosteurope.de
Da hat eine Blacklist-Regel zugeschlagen, ist ja auch OK.
Nach Kontakt mit dem Hoster hat er einen "schönen" DNS gesetzt:
w123.adlex.de
Ein Auflösen der IP (83.169.17.123) bringt auch den neuen DNS-Namen.
Leider hat sich das greylisting noch den alten Eintrag gemerkt (seit mehreren Tagen).
Logfile-Auszug (gekürzt):

Aug  3 15:08:29 maja relaylock: /var/qmail/bin/relaylock: mail from 83.169.17.123:42776 (w123.adlex.de)
...
Aug  3 15:08:29 maja qmail-queue-handlers[19509]: call_handlers: call executable = '/usr/local/psa/handlers/info/05-grey-D2KhQJ/executable'
Aug  3 15:08:29 maja greylisting filter[19510]: Starting greylisting filter...
Aug  3 15:08:29 maja greylisting filter[19510]: list type: black, from: lvps83-169-17-123.dedicated.hosteurope.de, match string: .*[0-9][0-9]-[0-9][0-9]-[0-9][0-9].*
Aug  3 15:08:29 maja qmail-queue-handlers[19509]: handlers_stderr: REJECT

Man sieht also, dass er die einkommende IP korrekt auflöst, dann aber beim greylisting noch den alten Eintrag findet.

Ich habe den ganzen Server durchsucht und finde diesen falschen Eintrag nicht.
In der der greylisting-DB (/var/lib/plesk/mail/greylist/data.db) tauscht die IP gar nicht auf.

Wo speichert plesk bzw. das greylisting diese Blacklist-Einträge, bzw. warum löst er die IP nicht nochmal neu über das DNS auf?

Danke für Eure Hilfe!

 

[wstuermer]

Wo speichert plesk bzw. das greylisting diese Blacklist-Einträge, bzw. warum löst er die IP nicht nochmal neu über das DNS auf?

Blind geraten: In der korrespondierenden MySQL-DB werden die Einträge gespeichert und Greylisting greift vor DNS-Prüfung in deiner Konfiguration.

Davon ab ist dein Plesk nach derzeitigem Stand ab 9. Dezember 2012 im Extended Support und bekommt nur noch bis zum 9.6.2013 Updates für wirklich kritische Lücken. Nicht systemkritische Fehler werden dann nicht mehr behoben. Du solltest also über einen Migrationspfad auf eine aktuelle Version nachdenken.

Da du nicht deine CentOS-Version nennst, kann die unter Umständen schon End of Life sein.

 

[PharmaJoe]

Danke für Deine Antwort!
Die CentOS-Version ist eine 5er (glaube 5.3), Support bis März 2017, also noch 5 Jahre.
Leider ist das Upgrade auf ein aktuelles Plesk nicht gerade per Button-Lösung zu machen, sondern erfordert tiefere Eingriffe in das System.

Ich durchsuche mal die MySQL-DB auf greylistiiing-Einträge, verstehe aber nicht, warum die normale aktuelle grey-Datenbank als sqlite vorliegt und dann noch MySQL gefragt werden soll.

Ich melde mich dann.

 

[PharmaJoe]

Inzwischen habe ich die Datenbank sowohl nach der IP als auch nach dem veralteten DNS-Eintrag durchsucht. Kein Ergebnis.
Auch eine Suche im /usr/local/psa-Zweig mit

[root@maja psa]# grep -r "lvps83-169-17-123" *

gab kein Ergebnis.
Ebenso in den Zweigen /var/lib/psa, /var/lib/plesk und /tmp.

Weiß jemand, wie die Abläufe des Plesk-Greylisting sind und in welchen Dateien der Filter nachsieht?

Danke!

 

[PharmaJoe]

Ich melde mich nochmal selbst zu Wort:

Auch nach Server-Reboot (um auszuschließen, dass irgendwelche Daten im Speicher gehalten werden), kommt dasselbe Ergebnis.
Der einliefernde SMTP meldet sich, im Log erscheint die IP und der neue Reverse-DNS.
Dann im Greylisting kommt wieder der alte Name, der ja irgendwo gepuffert werden muss.
Ausgabe der Nameserver-Lookups:

[root@maja greylist]# nslookup lvps83-169-17-123.dedicated.hosteurope.de
Server:         85.25.128.10
Address:        85.25.128.10#53

Non-authoritative answer:
Name:   lvps83-169-17-123.dedicated.hosteurope.de
Address: 83.169.17.123

[root@maja greylist]# nslookup 83.169.17.123
Server:         85.25.128.10
Address:        85.25.128.10#53

Non-authoritative answer:
123.17.169.83.in-addr.arpa      name = w123.adlex.de.

Logfile /usr/local/psa/var/log/maillog:

Aug  6 10:59:23 maja relaylock: /var/qmail/bin/relaylock: mail from 83.169.17.123:49363 (w123.adlex.de)
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: Handlers Filter before-queue for qmail started ...
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: from=xyz@domain.de
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: to=abc@anderedomain.de
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: hook_dir = '/usr/local/psa/handlers/before-queue'
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: recipient[3] = 'abc@anderedomain.de'
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: handlers dir = '/usr/local/psa/handlers/before-queue/recipient/abc@anderedomain.de'
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: call_handlers: call executable = '/usr/local/psa/handlers/info/05-grey-D2KhQJ/executable'
Aug  6 10:59:23 maja greylisting filter[4069]: Starting greylisting filter...
Aug  6 10:59:23 maja greylisting filter[4069]: list type: black, from: lvps83-169-17-123.dedicated.hosteurope.de, match string: .*[0-9][0-9]-[0-9][0-9]-[0-9][0-9].*
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: handlers_stderr: REJECT
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: call_handlers: REJECT during call '/usr/local/psa/handlers/info/05-grey-D2KhQJ/executable' handler
Aug  6 10:59:23 maja qmail-queue-handlers[4068]: call_handlers: stop call handlers from dir '/usr/local/psa/handlers/before-queue/global'

Ich werde noch wahnsinnig! ;-(

 

[GwenDragon]

Vielleicht dasselbe wie in https://serversupportforum.de/threa...ist-pattern-noch-aktiv-obwohl-entfernt.42782/

 

[PharmaJoe]

Vielleicht dasselbe wie in https://serversupportforum.de/threa...ist-pattern-noch-aktiv-obwohl-entfernt.42782/

Danke für Deine Meldung!

Ich denke, das ist hier anders. Ich will das Pattern gerade nicht entfernen, sondern habe den Provider des Absenders gebeten, einen ordentlichen reverse-DNS Eintrag zu setzen.
Das hat er getan und nun greift Plesk irgendwie immer wieder auf den alten Eintrag zurück, der nachweisbar bei Auflösen der IP nicht mehr besteht.
Es muss doch auf dem Server einen Eintrag geben, der diese veraltete Zuordnung zwischen IP und DNS-Name (der wiederum dann mit dem Pattern verglichen wird) speichert.

 

[GwenDragon]

Wenn du meinst, dass die Datenbanken synchron sind.

Aug 6 10:59:23 maja greylisting filter[4069]: list type: black, from: lvps83-169-17-123.dedicated.hosteurope.de, match string: .*[0-9][0-9]-[0-9][0-9]-[0-9][0-9].*

Dir ist klar, warum das matcht.
Und in den Datenbanken findet sich kein Eintrag für lvps83-169-17-123.dedicated.hosteurope.de
Stichwort: MySQL-DB psa -> Tabelle GL_remote_domains
und auch in die SQLite-Greylisting-Datenbanken geschaut?

 

[GwenDragon]

Und schon gesehen, dass Listeneinträge nach langer Zeit erst verfallen?
http://download1.parallels.com/Plesk/PPP9/Doc/en-US/plesk-9.5-unix-cli.pdf
-

expireinterval <number-ofminutes>
Specifies expiration interval (in minutes) - a period of time after which a record in grey list expires.
Default expiration interval is 36 days.
Used only with the --update-server command.

 

[PharmaJoe]

Und schon gesehen, dass Listeneinträge nach langer Zeit erst verfallen?
http://download1.parallels.com/Plesk/PPP9/Doc/en-US/plesk-9.5-unix-cli.pdf
-

Ja, die sqlite-Datenbank habe ich vorhin auch noch per Kommandozeile gelöscht (delete from data), so dass die Einträge weg sein sollten. Vorher habe ich die IP in der DB gesucht: Kein Eintrag.
Es ist ja auch so, dass er erst gar keinen greylisting-Eintrag schreibt, weil er vorher schon den Blacklist-Match findet.
Dass der alte Name auf das Muster passt, ist klar (soll ja auch), aber ich verstehe nicht, dass überhaupt die IP auf den alten Namen aufgelöst werden kann. Kann Plesk hellsehen?
Rekursives grep über diverse Verzeichniszweige findet den alten Namen nicht in irgendwelchen Dateien. Suche in den gesamten psa-Tabellen in MySQL findet keinen Treffer.

Mysteriös.
Notfalls muss ich den Provider bitten, die Server-IP zu tauschen, aber das kann nicht Sinn der Sache sein.

Danke für Deinen Einsatz!

 

[GwenDragon]

Und warum siehst du das als sinnvolle Blacklist-Regel an?
.*[0-9][0-9]-[0-9][0-9]-[0-9][0-9].*

Lösche die doch.
Ist einfacher.

 

[PharmaJoe]

Und warum siehst du das als sinnvolle Blacklist-Regel an?
.*[0-9][0-9]-[0-9][0-9]-[0-9][0-9].*

Lösche die doch.
Ist einfacher.

Ich habe jetzt alle numerischen Blacklist-Einträge gelöscht, auch wenn dann vielleicht etwas mehr SPAM bearbeitet werden muss.
Ggfs. nehme ich sie wieder rein.

Ich fordere dann mal eine Testmail über den Mailserver an und berichte.

Danke!

 

[PharmaJoe]

Jetzt werde ich langsam sauer auf dieses Plesk!

Die Suchmuster sind gelöscht, neue Mails werden auch nicht mehr anhand der Muster abgelehnt (kann ich im Logfile nachvollziehen), aber der bewusste SMTP-Server kriegt noch immer die Ablehnung mit exakt derselben Logfile-Meldung wie oben.
Wo speichert dieses Ding den Blacklisting-Eintrag für die IP?
Eine Abfrage diverser RBLs (zur Sicherheit) brachte kein Ergebnis, es muss eine Erinnerung an die erfolgte Ablehnung sein, die nur auf der IP basiert.

 

[GwenDragon]

Ist vielleicht ein Bug, rasend neu (2009) ist die Plesk 9.2 ja nicht.

 

[PharmaJoe]

Ist vielleicht ein Bug, rasend neu (2009) ist die Plesk 9.2 ja nicht.

Ja, aber selbst wenn, WO speichert plesk diese Informationen?
Ich habe jetzt den Server durchge"grep"t nach der IP, bisher nichts gefunden.

Ich kram mal mein Englisch raus und frage im Parallels-Forum nach.

Danke soweit!

 

[GwenDragon]

bei deiner Domain selbst hast du keine Blacklisteinträge, oder?

 

[PharmaJoe]

bei deiner Domain selbst hast du keine Blacklisteinträge, oder?

Nein, gerade nochmal geprüft.