S4Y: In Exim4 od. SpamAssassine DNSBL eintragen!

[Viper]

Hallo..

Ich bin seit einger Zeit stolzer Nutzer eines vServers bei S4Y. Es läuft bisher alles Prima von der Standard-Konfi her und kann nicht klagen.

Manko ist aber, das SpamAssassin die Spammails mit Analyse zustellt. Ich finde in der Konfi auch nirgendswo die Einträge, wie ich das ändern kann.

Um dem Spam zu verringern, wollte ich erstmal DNS-Blacklists einsetzen. Das Mailprogramm soll die Mail sofort rejecten bei positiven Eintrag.

Dafür habe ich ein deny-Eintrag unter CHECK_RCPT_IP_DNSBL in der Datei /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt gemacht und die Blacklists eingetragen.

Also, das ganze sieht jetzt so aus:

 deny
    message = X-Warning: $sender_address_domain is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
    log_message = $sender_address_domain is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
    !senders = ${if exists{CONFDIR/local_domain_dnsbl_whitelist}\
                    {CONFDIR/local_domain_dnsbl_whitelist}\
                    {}}
    dnslists = CHECK_RCPT_DOMAIN_DNSBLS/$sender_address_domain:relay.ordb.org:sbl-xbl.spamhaus.org

Irgendwas amche ich falsch. Denn nach einem Relaod funktioniert nix und ich finde im I-Net auch keine anderen Lösungen.

Wer kann mir helfen?

Gruß

Viper

 

[Viper]

weiss keiner Rat?

Unter Postfix funktionierte das alles. Mit Exim4 komme ich noch nicht ganz klar.

 

[HornOx]

Sicher das dein exim auf /etc/exim4/conf.d/*/* und nicht /etc/exim4/exim4.conf.template hört?
Meine Konfiguration sieht so aus:

  # Check against classic DNS "black" lists (DNSBLs) which list
  # sender IP addresses
  .ifdef CHECK_RCPT_IP_DNSBLS
  warn # sollte bei dir deny sein
    message = X-Warning: $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
    log_message = $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
    !authenticated = * #Damit es keine häßlichen "Dynamic/Residential IP range" Warnungen gibt wenn ich, oder jemand anderes mit Account, Mails von T-Online o.ä. versende
    dnslists = CHECK_RCPT_IP_DNSBLS
  .endif

In conf.d/main/00_local steht bei mir ein "CHECK_RCPT_IP_DNSBLS = combined.njabl.org:dnsbl.sorbs.net:sbl-xbl.spamhaus.org". Wenn das nicht gesetzt ist schlägt das ".ifdef" fehl und der Block wird übersprungen...

 

[Viper]

Wunderbar.

Danke für deine Antwort. Die 00_local musste ich nacherstellen und den CHECK_RCPT_IP_DNSBLS eintrag vornehmen.

Jetzt funktioniert es. Komischerweise werden sogar beim raussenden die Blaclists abgefragt und der Versender kann nicht an einen Server senden, der Blackgelisted ist.

Ist das richtig so? Bei Postfix war das egal.

 

[HornOx]

Komischerweise werden sogar beim raussenden die Blaclists abgefragt und der Versender kann nicht an einen Server senden, der Blackgelisted ist.

Kannst du die entsprechenden Zeilen aus der Log Datei quoten?

# This access control list is used for every RCPT command in an incoming
# SMTP message. The tests are run in order until the address is either
# accepted or denied.

Eigentlich sollte acl_check_rcpt nichts mit ausgehenden Mails zu tun haben...

Ist das richtig so?

Ist dein Mailserver, du bestimmst was richtig ist und was nicht. Ob du das so willst mußt du selbst wissen. In dem speziellen Fall könnte es Vorteile haben wenn der Absender merkt das der Empfänger gar nicht Antworten kann weil der Server gespeert ist...

 

[Viper]

Erstmal danke für deine Hilfe.

Ich habe jetzt nochmal deine Listen eingefügt und bekomme beim raussenden an eine TestSpam-Adresse (nelson-sbl-test@crynwr.com von Spamhaus) immer, das die AbsenderIP -also ich- geblacklisted ist.

Ist ein Dynamic IP/Residential Warning.

Habe das Authenticated aber so eingtragen wie es in deiner Konfi ist.

 

[HornOx]

Ich habe jetzt nochmal deine Listen eingefügt

Du solltest nur Listen verwenden deren policies du kennst. Wenn du mehrere Listen kombinierst wird die Anzahl der false positive stark erhöht, da ich nur "warn" benutzte ist das fast egal, bei "deny" ist das schlecht.

und bekomme beim raussenden an eine TestSpam-Adresse (nelson-sbl-test@crynwr.com von Spamhaus) immer, das die AbsenderIP -also ich- geblacklisted ist.

Wenn du dir angewöhnst immer gleich die relevanten Abschnitte aus den Log Dateien mit zu posten muß man dir nicht alles aus der Nase ziehn und u.U. antworten dann sogar mehr Leute...

 

[Viper]

Du solltest nur Listen verwenden deren policies du kennst. Wenn du mehrere Listen kombinierst wird die Anzahl der false positive stark erhöht, da ich nur "warn" benutzte ist das fast egal, bei "deny" ist das schlecht.

Ja, das ist mir schon klar. Ist nicht das erste Mal, das ich was damit mache. Ich habe bisher nur nie mit Exim4 gearbeitet.

Wenn du dir angewöhnst immer gleich die relevanten Abschnitte aus den Log Dateien mit zu posten muß man dir nicht alles aus der Nase ziehn und u.U. antworten dann sogar mehr Leute...

Ja, das ist schon richtig. Nur stellt sich mir die Frage, was es für ein Sinn macht, da es eine normale Rejectmeldung ist.

2006-03-22 18:22:49 H=([192.168.125.25]) [84.135.146.24] F=<xxx@xxx.de> rejected RCPT <nelson-sbl-test@crynwr.com>: 84.135.146.24 is listed at combined.njabl.org (127.0.0.3: Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html)
2006-03-22 18:23:07 H=([192.168.125.25]) [84.135.146.24] F=<xxx@xxx.de> rejected RCPT <nelson-sbl-test@crynwr.com>: 84.135.146.24 is listed at combined.njabl.org (127.0.0.3: Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html)
2006-03-22 18:23:25 H=([192.168.125.25]) [84.135.146.24] F=<xxx@xxxx.de> rejected RCPT <nelson-sbl-test@crynwr.com>: 84.135.146.24 is listed at combined.njabl.org (127.0.0.3: Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html)

Wie schon gesagt, die 84.135.146.24 war meine IP zu dem Zeitpunkt und sie wurde als dynamic von der Liste blacklisted.
Ich habe eine Meldung beim raussenden der Mail bekommen und konnte die Mail nicht raussenden.

 

[HornOx]

Habe das Authenticated aber so eingtragen wie es in deiner Konfi ist.

In meiner Konfiguration steht es ohne Kommentar, den hab ich hier ohne Nachzudenken hinzugefügt damit verständlich wird was die Zeile soll. Aber Exim mag es scheinbar nicht wenn man Code und Kommentare in die gleiche Zeile schreibt Lösch den Kommentar in der "authenticated" Zeile und probier es nochmal...

Nur stellt sich mir die Frage, was es für ein Sinn macht, da es eine normale Rejectmeldung ist.

rejectlog ist wirklich uninteressant, aber in mainlog steht ob, wie und als wer du authentifiziert bist. Das hätte relevant seien können.

 

[Viper]

So, hier das Mainlog von dem Zeitpunkt.

2006-03-22 18:22:49 H=([192.168.125.25]) [84.135.146.24] F=<xxxx@xxxxx.de> rejected RCPT <nelson-sbl-test@crynwr.com>: 84.135.146.24 is listed at combined.njabl.org (127.0.0.3: Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html)
2006-03-22 18:22:58 unexpected disconnection while reading SMTP command from ([192.168.125.25]) [84.135.146.24]
2006-03-22 18:23:07 H=([192.168.125.25]) [84.135.146.24] F=<xxx@xxxx.de> rejected RCPT <nelson-sbl-test@crynwr.com>: 84.135.146.24 is listed at combined.njabl.org (127.0.0.3: Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html)
2006-03-22 18:23:18 unexpected disconnection while reading SMTP command from ([192.168.125.25]) [84.135.146.24]
2006-03-22 18:23:25 H=([192.168.125.25]) [84.135.146.24] F=<xxxx@xxxxx.de> rejected RCPT <nelson-sbl-test@crynwr.com>: 84.135.146.24 is listed at combined.njabl.org (127.0.0.3: Dynamic/Residential IP range listed by NJABL dynablock - http://njabl.org/dynablock.html)
2006-03-22 18:23:36 unexpected disconnection while reading SMTP command from ([192.168.125.25]) [84.135.146.24]

Das ist beim rausschicken der Mail gewesen.

Hier nochmal die Konfi, die ich habe (btw: Es war ohne dein Kommentar )

# Check against classic DNS "black" lists (DNSBLs) which list
  # sender IP addresses
  .ifdef CHECK_RCPT_IP_DNSBLS
  deny
    message = X-Warning: $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
    log_message = $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
    !authenticated = *
    dnslists = CHECK_RCPT_IP_DNSBLS
  .endif

Danke für die Hilfe

 

[HornOx]

Hmpf, die Log Zeile in der steht ob, wie und als wer du authentifiziert bist wird ja erst nach erfolgreicher Annahme einer Mail erzeugt. Ändere das "deny" mal übergangsweise in ein "warn" um und poste dann noch mal die Logs. Ich will auf ungefähr sowas hinnaus:

2006-03-25 19:29:29 1FNDVx-0007yW-11 <= xxxxxxx@yyyyyyy.de H=p54a3ed32.dip.t-dialin.net ([192.168.0.122]) [84.163.237.50] P=esmtpsa X=TLS-1.0:DHE_RSA_AES_256_CBC_SHA:32 [b]A=login_server:hornox[/b] S=567 id=44258B50.8040308@yyyyyyy.de

btw: Es war ohne dein Kommentar

Irgendwie schade, ich war fast stolz drauf den Kommentarfehler gefunden zu haben...

 

[Viper]

So, nachdem ich heute den ganzen morgen rumgedoktert habe, hat sich ergeben, das ich NICHT in die Template-Konf was ändern darf.
Dieses wird nicht übernommen.

Ich muss defenitiv in die Unterdatei schreiben, die ich im Ausgangsposting geschrieben habe.

sorry, war mein Fehler. Hätte da auch eher drauf kommen können.

2006-03-26 11:09:12 1FNRFI-0003yB-22 <= xxxx@xxxxxxx.de H=([192.168.125.25]) [84.135.150.17] P=esmtpa A=plain_saslauthd_server:web1p1 S=507 id=442659E8.60009@xxxxx.de

Dennich brauchte ich die Hilfe mit der 00_local und dem authenticated.

Danke sehr für die Hilfe. Ich denke das Problem ist nun gelöst

wenn nicht, melde ich mich nochmal