zen.spamhaus.org kaputt und alles wird geblockt?

[marcusx]

Hallo zusammen!

Seit ein paar Tagen nahm unser Mailserver keine Mails mehr an. Ich hab in letzer Zeit nix an den Maileinstellungen geändert und es hat sicher jetzt schon ein Jahr lang alles funktioniert. Das Problem war der DNSBL Eintrag in Plesk. Welcher auf zen.spamhaus.org verwies. Ich hab den Eintrag vorübergehend durch eine andere RBL ersetzt, die aber nicht so gut funktioniert.

Kann mir jemand sagen was Spamhaus plötzlich für ein Problem hat, auf deren Webseite finde ich keine News das etwas nicht stimmen würde. Der MXToolbox check bringt allerdings beim spamhaus einen Timeout weswegen ich vermute das nicht nur mein Server betroffen ist.

siehe: http://www.mxtoolbox.com/blacklists.aspx (Stand zur Zeit dieses Postings)

Spamhaus-ZEN	 TIMEOUT

Eine Testmail an nelson-sbl-test@crynwr.com brachte folgendes Ergebniss:

Testing your SBL block.* See http://www.crynwr.com/spam/ for more info.
Please note that this test will not tell you if your server is open for
relaying.* Instead, it tests to see if your server blocks email from IP
addresses listed in various blocking lists; in this case, the SBL list.

Here's how the conversation looked from sbl.crynwr.com. 
Note that some sites don't apply the SBL block to postmaster, so 
I use your envelope sender as the To: address.

I connected to xxx.xxx.xxx.xxx and here's the conversation I had:
rblsmtpd: 192.203.178.107 pid 7206: 451 DNS queries to spamhaus.org zones not allowed 
220 rblsmtpd.local 
helo sbl.crynwr.com 
250 rblsmtpd.local 
mail from:<> 
250 rblsmtpd.local rcpt to:<info@domain.de>
451 DNS queries to spamhaus.org zones not allowed 
Terminating conversation

451 DNS queries to spamhaus.org zones not allowed

Das ist vermutlich nicht normal oder? Kann mir jemand sagen wie diese Testmail aussieht wenn der Test erfolgreich verläuft?

Verstehe ich das richtig, wenn der DNSBL Dienst nicht erreichbar ist werden alle Maileinlieferungen abgewiesen?

Ich habe zunächst vermutet das ich von Spamhaus geblockt wurde weil ich gegen die Policy zu freien Verwendung verstossen habe:

1) Your use of the Spamhaus DNSBLs is non-commercial*,
    and
2) Your email traffic is less than 100,000 SMTP connections
    per day, and
3) Your DNSBL query volume is less than 300,000 queries
    per day.

Auf dem Server laufen ca. 25 nicht kommerzielle Postfächer. Damit komm ich doch nicht an diese Grenzen oder? (Kann ich irgendwo in einem log nachlesen wiviele Anfragen am Tag rausgehen?) Würde eine blockade von spamhaus.org sich so auswirken das DNS queries zu dieser Zone nicht mehr erlaubt sind? Dagegen spricht meiner Ansicht nach das MX-Toolbox spamhaus auch nicht mehr erreicht und die werden doch ein Abo haben oder eine Vereinbarung das sie mehr Traffic erzeugen dürfen.

Vielen Dank schonmal für jegliche Ideen was da los ist!
VG
marcus

Konfiguration:
1und1 Root Server mit
openSUSE 11 mit Plesk 9 (64 Bit)

 

[Spamhaus Ops]

The message "DNS queries to spamhaus.org zones not allowed" is not coming from Spamhaus. A rogue DNS server is hijacking your queries to spamhaus.org and returning "listed" to everything along with that message. To find the culprit you need to look at what DNS servers you are using to resolve DNS queries on your mail server. Once you know which DNS server (or DNS service) is causing this problem, please contact ops-eu@spamhaus.org and tell us, as we want to know who is causing the problem.

 

[marcusx]

Jetzt habt Ihr mich aber erwischt, da bin ich jetzt etwas überfragt, wie kann ich den checken welcher DNS Server da vielleicht die falsche Antworten zurückgibt.

Ich bin jetzt mal folgendermaßen vorgegangen:

1. /etc/hosts checken ob da was komisches drin steht
2. in der resolv.conf schauen welche Nameserver verwendet werden
3. Schauen was diese Nameserver für Antworten geben
4. nslookup von zen.spamhaus.org

Hier mal die /etc/hosts steht nichts drin was irgendwo in die falsche Richtung führt

127.0.0.1 localhost.localdomain localhost
xxx.xxx.xxx.xxx s0815123.onlinehome-server.info        s0815123        s0815123.online.de

Und hier die resolv.conf

### BEGIN INFO
#
# Modified_by:  dhcpcd
# Backup:       /etc/resolv.conf.saved.by.dhcpcd.eth0
# Process:      dhcpcd
# Process_id:   2697
# Script:       /sbin/modify_resolvconf
# Saveto:
# Info:         This is a temporary resolv.conf created by service dhcpcd.
#               The previous file has been saved and will be restored later.
#
#               If you don't like your resolv.conf to be changed, you
#               can set MODIFY_{RESOLV,NAMED}_CONF_DYNAMICALLY=no. This
#               variables are placed in /etc/sysconfig/network/config.
#
#               You can also configure service dhcpcd not to modify it.
#
#               If you don't like dhcpcd to change your nameserver
#               settings
#               then either set DHCLIENT_MODIFY_RESOLV_CONF=no
#               in /etc/sysconfig/network/dhcp, or
#               set MODIFY_RESOLV_CONF_DYNAMICALLY=no in
#               /etc/sysconfig/network/config or (manually) use dhcpcd
#               with -R.  If you only want to keep your searchlist, set
#               DHCLIENT_KEEP_SEARCHLIST=yes in /etc/sysconfig/network/dhcp or
#               (manually) use the -K option.
#
### END INFO
search onlinehome-server.info
nameserver 87.106.240.251
nameserver 195.20.224.99
nameserver 195.20.224.234

Auf der Kiste läuft lokal ein BIND Server, an dem hab ich noch nie was gemacht ich hab den einfach mit seinen Default Werten in Ruhe gelassen. Der wird auch nicht verwendet um extern was ein nslookup zu machen, wenn ich diese Datei richtig verstehe? Muss ich noch wo anders nachschauen?

Ich frage deshalb um auszuschliessen das nicht lokal irgendwas kompromitiert ist und die Falschen Antworten zurückgibt.

Kann es sein das qmail einen anderen DNS verwendet um zen.spamhaus.org aufzulösen?

Die IP Adressen gehören zu folgenden Servern

Trying "251.240.106.87.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46037
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;251.240.106.87.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
251.240.106.87.in-addr.arpa. 86400 IN	PTR	cns335.schlund.net.

;; AUTHORITY SECTION:
240.106.87.in-addr.arpa. 86400	IN	NS	nsa.schlund.de.
240.106.87.in-addr.arpa. 86400	IN	NS	nsa2.schlund.de.

;; ADDITIONAL SECTION:
nsa.schlund.de.		69799	IN	A	195.20.224.98
nsa2.schlund.de.	69799	IN	A	195.20.244.5

Received 156 bytes from 209.68.2.41#53 in 112 ms


Trying "99.224.20.195.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45503
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;99.224.20.195.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
99.224.20.195.in-addr.arpa. 86400 IN	PTR	dns2.schlund.de.

;; AUTHORITY SECTION:
224.20.195.in-addr.arpa. 86400	IN	NS	nsa2.schlund.de.
224.20.195.in-addr.arpa. 86400	IN	NS	nsa.schlund.de.

;; ADDITIONAL SECTION:
nsa.schlund.de.		69703	IN	A	195.20.224.98
nsa2.schlund.de.	69703	IN	A	195.20.244.5

Received 142 bytes from 209.68.2.41#53 in 218 ms



Trying "234.224.20.195.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14453
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;234.224.20.195.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
234.224.20.195.in-addr.arpa. 86400 IN	PTR	dns.schlund.de.

;; AUTHORITY SECTION:
224.20.195.in-addr.arpa. 86362	IN	NS	nsa2.schlund.de.
224.20.195.in-addr.arpa. 86362	IN	NS	nsa.schlund.de.

;; ADDITIONAL SECTION:
nsa.schlund.de.		69665	IN	A	195.20.224.98
nsa2.schlund.de.	69665	IN	A	195.20.244.5

Received 142 bytes from 209.68.2.41#53 in 116 ms

Once you know which DNS server (or DNS service) is causing this problem, please contact ops-eu@spamhaus.org and tell us, as we want to know who is causing the problem.

Kann ich damit diese Frage beantworten? Ist der 1und1 Nameserver wirklich das Problem? Da müsste man doch schon irgendwas drüber mit Google finden, das kann ja nicht nur mich betreffen. Ich vermute das Problem deswegen eher vor meiner eigenen Haustüre.

Hier noch die Ausgabe von nslookup:

Server der Zone rausfinden:

host -t ns zen.spamhaus.org
zen.spamhaus.org name server t.ns.spamhaus.org.
zen.spamhaus.org name server l.ns.spamhaus.org.
zen.spamhaus.org name server s.ns.spamhaus.org.
zen.spamhaus.org name server m.ns.spamhaus.org.
zen.spamhaus.org name server i.ns.spamhaus.org.
zen.spamhaus.org name server q.ns.spamhaus.org.
zen.spamhaus.org name server f.ns.spamhaus.org.
zen.spamhaus.org name server 3.ns.spamhaus.org.
zen.spamhaus.org name server a.ns.spamhaus.org.
zen.spamhaus.org name server c.ns.spamhaus.org.
zen.spamhaus.org name server 1.ns.spamhaus.org.
zen.spamhaus.org name server 5.ns.spamhaus.org.
zen.spamhaus.org name server y.ns.spamhaus.org.
zen.spamhaus.org name server r.ns.spamhaus.org.
zen.spamhaus.org name server d.ns.spamhaus.org.
zen.spamhaus.org name server 8.ns.spamhaus.org.
zen.spamhaus.org name server 0.ns.spamhaus.org.
zen.spamhaus.org name server x.ns.spamhaus.org.
zen.spamhaus.org name server b.ns.spamhaus.org.
zen.spamhaus.org name server o.ns.spamhaus.org.
zen.spamhaus.org name server k.ns.spamhaus.org.
zen.spamhaus.org name server g.ns.spamhaus.org.
zen.spamhaus.org name server h.ns.spamhaus.org.

Den ersten Server mal lookupen

nslookup t.ns.spamhaus.org.
Server:         87.106.240.251
Address:        87.106.240.251#53

Non-authoritative answer:
Name:   t.ns.spamhaus.org
Address: 209.6.82.10
Name:   t.ns.spamhaus.org
Address: 130.111.130.37

Ist das richtig?

Viele Dank an alle!
VG
marcus

 

[osce]

Ich hab genau das gleiche Problem mit meinem 1und1 rootserver. Als Workaround hab ich einen "freien" DNS Server in die /etc/resolv.conf eingetragen und nun geht es wieder.

1und1 + Spamhaus.org hab ich per email informiert, mal abwarten was kommt.

search onlinehome-server.info
nameserver 208.67.222.222
nameserver 87.106.240.251
nameserver 195.20.224.234
nameserver 195.20.224.99

 

[Thorsten]

Hallo!
Insbesondere die (mögliche) Antwort von 1&1 würde mich interessieren.

mfG
Thorsten

 

[kamikaze]

Hallo!

ich habe genau das gleiche Problem und habe ebenfalls ein Rootserver bei 1und1 und benutze folgende Nameserver:

nameserver 195.20.224.99
nameserver 195.20.224.234

 

[marcusx]

Hallo!

Na Bravo! Da bin ich aber schonmal froh das ich mir nicht irgendwas kaputt konfiguriert habe.

Hab ich jetzt mehrere Tage an einen falschen Server anfragen verschickt? Ist das irgendwie ein Sicherheitsrisiko? Da geht ja eigentlich keine Info raus über den Mailverkehr oder irgendwas bei dieser DNSBL Anfrage,oder? Ist ja nur ob der Sender auf der Liste steht und ich bekomm eine kurze IP als Antwort zurück. Damit kann ja hoffentlich niemand was Anfangen.

VG, marcus

 

[marcusx]

Ich hab grad den 1und1 Platin Service angerufen und auch nochmal auf das Problem hingewiesen. Und folgende Antwort bekommen:

1und1 pflegt die Spamhausliste nicht mehr, deswegen wurde vermutlich von spamhaus.org der Zugriff auf spamhausserver über die 1und1 DNS Server unterbunden.

Ergibt das irgendeinen Sinn?

Als Lösung wurde mir jetzt geraten bei dem externen DNS Server zu bleiben.

 

[osce]

Spamhaus wollte von mir den Output folgender Befehle wissen:

dig ns spamhaus.org @87.106.240.251
dig ns zen.spamhaus.org @87.106.240.251
dig any 1.0.0.127.zen.spamhaus.org @87.106.240.251
dig any 2.0.0.127.zen.spamhaus.org @87.106.240.251

dig ns spamhaus.org @195.20.224.99
dig ns zen.spamhaus.org @195.20.224.99
dig any 1.0.0.127.zen.spamhaus.org @195.20.224.99
dig any 2.0.0.127.zen.spamhaus.org @195.20.224.99

dig ns spamhaus.org @195.20.224.234
dig ns zen.spamhaus.org @195.20.224.234
dig any 1.0.0.127.zen.spamhaus.org @195.20.224.234
dig any 2.0.0.127.zen.spamhaus.org @195.20.224.234

Das Ergebnis habe ich an Spamhaus geschickt und habe als Antwort folgendes erhalten:

Thanks! Everything is regular here: the DNSBL lookups should work as expected now,
as well as the crynwr.com tester. Please let us know if they do not.

But we do not know what happened with those DNS resolvers in the past days,
so the case remains open for us.

Nun habe ich heute getestet und es funktioniert wieder! Wie schauts bei den anderen aus?

Bei 1und1 werde ich nochmal nachfragen, ich denke mal dieser NS 87.106.240.251 war das Problem.

Gestern:
host xx.47.165.82.sbl.spamhaus.org 87.106.240.251
Using domain server:
Name: 87.106.240.251
Address: 87.106.240.251#53
Aliases:

xx.47.165.82.sbl.spamhaus.org has address 127.0.0.255

Heute:
host xx.47.165.82.sbl.spamhaus.org 87.106.240.251
Using domain server:
Name: 87.106.240.251
Address: 87.106.240.251#53
Aliases:

Host xx.47.165.82.sbl.spamhaus.org not found: 3(NXDOMAIN)

 

[marcusx]

Morgen!

Yepp - hab auch ne Mail von Spamhaus mit bitte um Rücksendung der dig Ausgaben:

dig ns spamhaus.org @87.106.240.251
dig ns zen.spamhaus.org @87.106.240.251
dig any 1.0.0.127.zen.spamhaus.org @87.106.240.251
dig any 2.0.0.127.zen.spamhaus.org @87.106.240.251

dig ns spamhaus.org @195.20.224.99
dig ns zen.spamhaus.org @195.20.224.99
dig any 1.0.0.127.zen.spamhaus.org @195.20.224.99
dig any 2.0.0.127.zen.spamhaus.org @195.20.224.99

dig ns spamhaus.org @195.20.224.234
dig ns zen.spamhaus.org @195.20.224.234
dig any 1.0.0.127.zen.spamhaus.org @195.20.224.234
dig any 2.0.0.127.zen.spamhaus.org @195.20.224.234

Das kam dabei raus:

dig ns spamhaus.org @87.106.240.251

; <<>> DiG 9.4.2-P1 <<>> ns spamhaus.org @87.106.240.251
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35868
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 7

;; QUESTION SECTION:
;spamhaus.org.                  IN      NS

;; ANSWER SECTION:
spamhaus.org.           111764  IN      NS      ns8.spamhaus.org.
spamhaus.org.           111764  IN      NS      ns.dns-oarc.net.
spamhaus.org.           111764  IN      NS      ns3.xs4all.nl.
spamhaus.org.           111764  IN      NS      ns3.spamhaus.org.
spamhaus.org.           111764  IN      NS      ns2.spamhaus.org.
spamhaus.org.           111764  IN      NS      ns20.ja.net.
spamhaus.org.           111764  IN      NS      ns3.surfnet.nl.

;; ADDITIONAL SECTION:
ns2.spamhaus.org.       172549  IN      A       207.241.224.5
ns20.ja.net.            25403   IN      A       194.82.174.6
ns.dns-oarc.net.        111803  IN      A       149.20.58.65
ns8.spamhaus.org.       172549  IN      A       82.94.216.239
ns3.xs4all.nl.          25369   IN      A       194.109.9.101
ns3.spamhaus.org.       172549  IN      A       192.150.94.200
ns3.surfnet.nl.         86090   IN      A       195.169.124.71

;; Query time: 1 msec
;; SERVER: 87.106.240.251#53(87.106.240.251)
;; WHEN: Thu Jan 21 09:11:08 2010
;; MSG SIZE  rcvd: 300

dig ns zen.spamhaus.org @87.106.240.251

; <<>> DiG 9.4.2-P1 <<>> ns zen.spamhaus.org @87.106.240.251
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62224
;; flags: qr rd ra; QUERY: 1, ANSWER: 23, AUTHORITY: 0, ADDITIONAL: 6

;; QUESTION SECTION:
;zen.spamhaus.org.              IN      NS

;; ANSWER SECTION:
zen.spamhaus.org.       82264   IN      NS      y.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      b.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      d.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      8.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      i.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      x.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      3.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      t.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      g.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      a.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      q.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      5.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      s.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      k.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      f.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      r.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      m.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      h.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      0.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      l.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      1.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      o.ns.spamhaus.org.
zen.spamhaus.org.       82264   IN      NS      c.ns.spamhaus.org.

;; ADDITIONAL SECTION:
r.ns.spamhaus.org.      13590   IN      A       192.35.222.16
f.ns.spamhaus.org.      13591   IN      A       217.70.178.43
d.ns.spamhaus.org.      13591   IN      A       212.227.252.147
d.ns.spamhaus.org.      13591   IN      A       213.81.185.133
q.ns.spamhaus.org.      14400   IN      A       208.67.172.131
r.ns.spamhaus.org.      13590   IN      A       209.164.13.228

;; Query time: 216 msec
;; SERVER: 87.106.240.251#53(87.106.240.251)
;; WHEN: Thu Jan 21 09:15:40 2010
;; MSG SIZE  rcvd: 501



dig any 1.0.0.127.zen.spamhaus.org @87.106.240.251


; <<>> DiG 9.4.2-P1 <<>> any 1.0.0.127.zen.spamhaus.org @87.106.240.251
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47395
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.zen.spamhaus.org.    IN      ANY

;; AUTHORITY SECTION:
zen.spamhaus.org.       150     IN      SOA     need.to.know.only. hostmaster.spamhaus.org. 1001201430 3600 600 432000 150

;; Query time: 0 msec
;; SERVER: 87.106.240.251#53(87.106.240.251)
;; WHEN: Thu Jan 21 09:16:09 2010
;; MSG SIZE  rcvd: 108



dig any 2.0.0.127.zen.spamhaus.org @87.106.240.251

; <<>> DiG 9.4.2-P1 <<>> any 2.0.0.127.zen.spamhaus.org @87.106.240.251
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21051
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;2.0.0.127.zen.spamhaus.org.    IN      ANY

;; ANSWER SECTION:
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.4
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.10
2.0.0.127.zen.spamhaus.org. 900 IN      TXT     "http://www.spamhaus.org/query/bl?ip=127.0.0.2"
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.2
2.0.0.127.zen.spamhaus.org. 900 IN      TXT     "http://www.spamhaus.org/SBL/sbl.lasso?query=SBL233"

;; Query time: 1 msec
;; SERVER: 87.106.240.251#53(87.106.240.251)
;; WHEN: Thu Jan 21 09:16:32 2010
;; MSG SIZE  rcvd: 213





dig ns spamhaus.org @195.20.224.99


; <<>> DiG 9.4.2-P1 <<>> ns spamhaus.org @195.20.224.99
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2847
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 7

;; QUESTION SECTION:
;spamhaus.org.                  IN      NS

;; ANSWER SECTION:
spamhaus.org.           133991  IN      NS      ns2.spamhaus.org.
spamhaus.org.           133991  IN      NS      ns8.spamhaus.org.
spamhaus.org.           133991  IN      NS      ns.dns-oarc.net.
spamhaus.org.           133991  IN      NS      ns3.xs4all.nl.
spamhaus.org.           133991  IN      NS      ns3.spamhaus.org.
spamhaus.org.           133991  IN      NS      ns3.surfnet.nl.
spamhaus.org.           133991  IN      NS      ns20.ja.net.

;; ADDITIONAL SECTION:
ns3.surfnet.nl.         44795   IN      A       195.169.124.71
ns3.xs4all.nl.          44817   IN      A       194.109.9.101
ns20.ja.net.            44817   IN      A       194.82.174.6
ns8.spamhaus.org.       171015  IN      A       82.94.216.239
ns3.spamhaus.org.       171015  IN      A       192.150.94.200
ns.dns-oarc.net.        146224  IN      A       149.20.58.65
ns2.spamhaus.org.       171015  IN      A       207.241.224.5

;; Query time: 2 msec
;; SERVER: 195.20.224.99#53(195.20.224.99)
;; WHEN: Thu Jan 21 09:16:49 2010
;; MSG SIZE  rcvd: 300



dig ns zen.spamhaus.org @195.20.224.99

; <<>> DiG 9.4.2-P1 <<>> ns zen.spamhaus.org @195.20.224.99
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47874
;; flags: qr rd ra; QUERY: 1, ANSWER: 23, AUTHORITY: 0, ADDITIONAL: 6

;; QUESTION SECTION:
;zen.spamhaus.org.              IN      NS

;; ANSWER SECTION:
zen.spamhaus.org.       83002   IN      NS      s.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      g.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      l.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      b.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      i.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      0.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      1.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      3.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      h.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      o.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      d.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      t.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      y.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      k.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      8.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      5.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      a.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      c.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      f.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      q.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      m.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      x.ns.spamhaus.org.
zen.spamhaus.org.       83002   IN      NS      r.ns.spamhaus.org.

;; ADDITIONAL SECTION:
h.ns.spamhaus.org.      14400   IN      A       194.145.96.143
h.ns.spamhaus.org.      14400   IN      A       81.19.68.130
g.ns.spamhaus.org.      14400   IN      A       147.102.222.241
o.ns.spamhaus.org.      10523   IN      A       143.215.143.4
d.ns.spamhaus.org.      14400   IN      A       213.215.107.80
q.ns.spamhaus.org.      14400   IN      A       208.201.249.252

;; Query time: 171 msec
;; SERVER: 195.20.224.99#53(195.20.224.99)
;; WHEN: Thu Jan 21 09:17:10 2010
;; MSG SIZE  rcvd: 501




dig any 1.0.0.127.zen.spamhaus.org @195.20.224.99


; <<>> DiG 9.4.2-P1 <<>> any 1.0.0.127.zen.spamhaus.org @195.20.224.99
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37441
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.zen.spamhaus.org.    IN      ANY

;; AUTHORITY SECTION:
zen.spamhaus.org.       150     IN      SOA     need.to.know.only. hostmaster.spamhaus.org. 1001210800 3600 600 432000 150

;; Query time: 1 msec
;; SERVER: 195.20.224.99#53(195.20.224.99)
;; WHEN: Thu Jan 21 09:17:25 2010
;; MSG SIZE  rcvd: 108



dig any 2.0.0.127.zen.spamhaus.org @195.20.224.99


; <<>> DiG 9.4.2-P1 <<>> any 2.0.0.127.zen.spamhaus.org @195.20.224.99
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26732
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;2.0.0.127.zen.spamhaus.org.    IN      ANY

;; ANSWER SECTION:
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.10
2.0.0.127.zen.spamhaus.org. 900 IN      TXT     "http://www.spamhaus.org/query/bl?ip=127.0.0.2"
2.0.0.127.zen.spamhaus.org. 900 IN      TXT     "http://www.spamhaus.org/SBL/sbl.lasso?query=SBL233"
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.4
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.2

;; Query time: 2 msec
;; SERVER: 195.20.224.99#53(195.20.224.99)
;; WHEN: Thu Jan 21 09:17:59 2010
;; MSG SIZE  rcvd: 213




dig ns spamhaus.org @195.20.224.234

; <<>> DiG 9.4.2-P1 <<>> ns spamhaus.org @195.20.224.234
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4060
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 7

;; QUESTION SECTION:
;spamhaus.org.                  IN      NS

;; ANSWER SECTION:
spamhaus.org.           131818  IN      NS      ns2.spamhaus.org.
spamhaus.org.           131818  IN      NS      ns.dns-oarc.net.
spamhaus.org.           131818  IN      NS      ns3.surfnet.nl.
spamhaus.org.           131818  IN      NS      ns3.spamhaus.org.
spamhaus.org.           131818  IN      NS      ns20.ja.net.
spamhaus.org.           131818  IN      NS      ns3.xs4all.nl.
spamhaus.org.           131818  IN      NS      ns8.spamhaus.org.

;; ADDITIONAL SECTION:
ns8.spamhaus.org.       160754  IN      A       82.94.216.239
ns3.xs4all.nl.          44680   IN      A       194.109.9.101
ns20.ja.net.            44676   IN      A       194.82.174.6
ns2.spamhaus.org.       160754  IN      A       207.241.224.5
ns3.surfnet.nl.         67810   IN      A       195.169.124.71
ns3.spamhaus.org.       160754  IN      A       192.150.94.200
ns.dns-oarc.net.        131027  IN      A       149.20.58.65

;; Query time: 2 msec
;; SERVER: 195.20.224.234#53(195.20.224.234)
;; WHEN: Thu Jan 21 09:18:31 2010
;; MSG SIZE  rcvd: 300



dig ns zen.spamhaus.org @195.20.224.234


; <<>> DiG 9.4.2-P1 <<>> ns zen.spamhaus.org @195.20.224.234
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35276
;; flags: qr rd ra; QUERY: 1, ANSWER: 23, AUTHORITY: 0, ADDITIONAL: 6

;; QUESTION SECTION:
;zen.spamhaus.org.              IN      NS

;; ANSWER SECTION:
zen.spamhaus.org.       44562   IN      NS      t.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      d.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      i.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      k.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      l.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      s.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      h.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      g.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      c.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      0.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      m.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      8.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      o.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      b.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      f.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      x.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      y.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      1.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      a.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      5.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      r.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      3.ns.spamhaus.org.
zen.spamhaus.org.       44562   IN      NS      q.ns.spamhaus.org.

;; ADDITIONAL SECTION:
h.ns.spamhaus.org.      14400   IN      A       92.240.65.209
b.ns.spamhaus.org.      14400   IN      A       193.190.182.41
q.ns.spamhaus.org.      14400   IN      A       209.204.159.28
t.ns.spamhaus.org.      14400   IN      A       209.6.82.10
1.ns.spamhaus.org.      14400   IN      A       61.129.74.36
5.ns.spamhaus.org.      14400   IN      A       212.76.68.16

;; Query time: 565 msec
;; SERVER: 195.20.224.234#53(195.20.224.234)
;; WHEN: Thu Jan 21 09:18:46 2010
;; MSG SIZE  rcvd: 501



dig any 1.0.0.127.zen.spamhaus.org @195.20.224.234

; <<>> DiG 9.4.2-P1 <<>> any 1.0.0.127.zen.spamhaus.org @195.20.224.234
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 22130
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.0.0.127.zen.spamhaus.org.    IN      ANY

;; AUTHORITY SECTION:
zen.spamhaus.org.       150     IN      SOA     need.to.know.only. hostmaster.spamhaus.org. 1001210745 3600 600 432000 150

;; Query time: 2 msec
;; SERVER: 195.20.224.234#53(195.20.224.234)
;; WHEN: Thu Jan 21 09:19:01 2010
;; MSG SIZE  rcvd: 108



dig any 2.0.0.127.zen.spamhaus.org @195.20.224.234

; <<>> DiG 9.4.2-P1 <<>> any 2.0.0.127.zen.spamhaus.org @195.20.224.234
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60114
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;2.0.0.127.zen.spamhaus.org.    IN      ANY

;; ANSWER SECTION:
2.0.0.127.zen.spamhaus.org. 900 IN      TXT     "http://www.spamhaus.org/SBL/sbl.lasso?query=SBL233"
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.2
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.4
2.0.0.127.zen.spamhaus.org. 900 IN      TXT     "http://www.spamhaus.org/query/bl?ip=127.0.0.2"
2.0.0.127.zen.spamhaus.org. 900 IN      A       127.0.0.10

;; Query time: 2 msec
;; SERVER: 195.20.224.234#53(195.20.224.234)
;; WHEN: Thu Jan 21 09:19:27 2010
;; MSG SIZE  rcvd: 213

Ich stell jetzt mal wieder auf spamhaus.org um - und teste mal obs wirklich wieder funzt.


Ist das Leben als Provider wirklich so schwer? Ich finde ja man sollte Marcel Davis mit der Forke durchs Dorf treiben für seine Kollegen die immer so tun als ob nichts wäre. Wenn ich sowas sage - werd ich immer angemotzt das die Kunden ja ach so hohe Anforderungen an den Support stellen und man als Provider für den Preis nicht mehr bieten kann. Sehen das alle hier so?

Ich verlange nicht das alles immer funktioniert, das tuts bei mir ja auch nicht. Aber wenn es ein Problem gibt, und auch wenn keine Lösung vorhanden ist muss es doch möglich sein an der Hotline zu sagen, Sie haben auf Ihrem Server nix falsch gemacht, das Problem liegt bei uns wir haben mehrere Kunden mit dem Problem und suchen danach.

Diese Story vom Vertrag zwischen 1und1 und spamhaus der warscheinlich ausgelaufen ist und der 1und1 NS warscheinlich nie mehr gehen wird regt mich echt auf.

Und plötzlich gehts wieder - warum kann man nicht zugeben das man es im Hintergrund dann doch repariert?
*gruml*

Schönen Tag Allen und Danke für die Infos

 

[osce]

Der Support von Spamhaus ist wirklich ausgezeichnet und sehr schnell. Heute morgen habe ich nochmal ein Feedback bekommen, das Spamhaus bei 1und1 anfrägt was da mit den 1&1 / Schlund nameservern los war.

 

[marcusx]

Kann jemand einen kleinen Provider empfehlen der die Leistungen von 1und1 zu nur wenig höherem Preis und mit der Supportqualität von Spamhaus bietet?

 

[istalix]

MOD: Fullquote entfernt!

Spamhaus und 1&1 arbeiten seit Jahren sehr gut zusammen.

Die Information zum "ausgelaufenen Vertrag" oder "nicht mehr upgedateten Listen" ist falsch;
der Platin-Support wird noch einmal gezielt informiert.

1&1 hat z.B. bereits vor Jahren selbst einen Spamhaus-Mirror betrieben und mirrort auch intern die Spamhaus-Blacklists, um sie direkt auf seinen DNS-Servern einzubinden, so Netzwerklatenz zu sparen und die anderen Spamhaus-Mirrors zu entlasten.

Bestimmten 1&1-DNS-Servern fehlte diese Konfiguration, daher gingen darüber gestellte DNS-Anfragen leider an die öffentlichen Mirrors raus, statt 1&1-intern beantwortet zu werden.
Die öffentlichen Mirrors werden teilweise von Spamhaus selbst, zum Großteil aber von Dritten betrieben.

Vermutlich hat eine Spamwelle an Dedicated-Server-Kunden nun dazu geführt, daß über die 1&1-DNS-Server in den letzten Tagen besonders viele Anfragen an spamhaus.org gelaufen sind.

Ein Mitarbeiter bei Spamhaus, hat daraufhin leider etwas voreilig einzelne der über 160 1&1-DNS-Server in eine ACL (Access Control List) eingetragen, die den Zugriff auf die Spamhaus-Blacklists bestimmten IP-Adressen verbietet, statt über die bestehenden (guten) Kontakte 1&1 zu informieren und nachzufragen.

Dieser ACL-Eintrag alleine hätte normalerweise dazu geführt, dass diese bestimmten 1&1-DNS-Server keine Antwort mehr zu Spamhaus-Blacklists erhalten. Im Ergebnis hätten die Dedicated Server einfach keine dnsbl-Antworten auf spamhaus.org-Zonen gesehen, d.h. es wäre Spam angekommen, "obwohl" die absendenden Server in den spamhaus-Blacklists enthalten sind und man die spamhaus.org-Blacklists eingebunden hat.

In diesem konkreten Fall war nun aber ein einzelner der insgesamt 60 (bzw. 79) dnsbl-Server für die spamhaus.org-Zonen leider falsch konfiguriert. Statt die Anfragen gemäß der ACL zu ignorieren, beantwortete dieser DNS-Server alle Anfragen mit der IP 127.0.0.255 sowie einem entsprechenden TXT-Record.

Ergebnis: durch den ACL-Eintrag sind nun in erster Linie "zu viele" Spam-Mails "durchgekommen" und rein statistisch ist eine von 60 dnsbl-Anfragen fälschlicherweise positiv beantwortet worden, weil in Verkettung in drei verschiedenen Organisationen jeweils kleine Fehler gemacht wurden.
Auf der anderen Seite wurden sehr viele Spam-Mails nicht abgelehnt, obwohl sie in den spamhaus-blacklists stehen.

Setzt man diese Zahlen ins Verhältnis vom typischen Spam-Volumen von ca. 10:1, ist rund eine von 600 Nicht-Spam-Mails bei Kunden von Dedicated Servern eines bestimmten Raumes eines bestimmten Rechenzentrums fälschlicherweise abgelehnt worden, die die spamhaus.org-Blacklists in die Konfiguration ihres Mailservers eingebunden haben.

Allein schon diese geringe Fehlerhäufigkeit hat es so schwierig gemacht, den Fehler zu finden und zu beheben. Es haben sich auch nur sehr wenige Kunden mit diesem Problem gemeldet, daher war es bereits für den Support schwer einzuschätzen, ob es sich hier um z.B. Fehlkonfigurationen einzelner Kunden oder ein systematisches Problem handelt, das an die Technik eskaliert werden muss.

Das Problem war auch nicht einfach zu analysieren, weil z.B. die DNS-Anfragen mit einer anderen IP-Adresse abgeschickt werden als der IP-Adresse, unter der der Dedicated Server beim 1&1-DNS-Server anfragt. Spamhaus suchte daher z.B. anfangs nach der "falschen" IP-Adresse in den ACLs.
Da das Problem auch nur bei einem einzelnen Mirror eines einzelnen DNS-Servers auftrat und alle "Test-Anfragen" korrekt beantwortet wurden, war es auch für 1&1 nicht auf Anhieb nachvollziehbar.

Die entsprechenden ACL-Einträge wurden schnell entfernt, ebenso werden die 1&1-DNS-Server umkonfiguriert, um die wieder bereits lokal vorhandenen Mirrors zu benutzen. Spamhaus brieft noch einmal seine Mitarbeiter zur Kontaktdatenbank, auch der falsch reagierende Mirror wird gerade korrigiert.

In Summe bemühen sich alle darum, daß dieses Problem auch in Zukunft nicht mehr auftritt.
Ja, das Leben als Provider kann wirklich so schwer sein

 

[traced]

Ist das Leben als Provider wirklich so schwer? Ich finde ja man sollte Marcel Davis mit der Forke durchs Dorf treiben für seine Kollegen die immer so tun als ob nichts wäre.

You made my day guy Der arme Marcel... wird warsch. auch noch beim Bäcker gefragt warum das DSL von Oma Hansen so langsam ist...

Grüsse
Basti

 

[Thorsten]

Hallo!
Wenn das die neue Kundeninformationsstrategie bei der 1&1 Internet AG ist kann ich nur eines sagen: Respekt und vielen Dank für die ausführlichen Informationen!

mfG
Thorsten

 

[marcusx]

Morgen!

Ich habss auch gestern Abend schon gesehen und konnts gar nicht glauben was ich da lese!

Toll das sich jemand der offensichtlich direkt mit dem Problem beschäftigt war und nen Plan hat da jetzt so ausführlich geäußert hat. Ich gebe Euch 100 Punkte in meinem persönlichen Supportwettbewerb. Danke, weiter so und ein schönes Wochenende.

Ergebnis: durch den ACL-Eintrag sind nun in erster Linie "zu viele" Spam-Mails "durchgekommen" und rein statistisch ist eine von 60 dnsbl-Anfragen fälschlicherweise positiv beantwortet worden, weil in Verkettung in drei verschiedenen Organisationen jeweils kleine Fehler gemacht wurden.
Auf der anderen Seite wurden sehr viele Spam-Mails nicht abgelehnt, obwohl sie in den spamhaus-blacklists stehen.

Setzt man diese Zahlen ins Verhältnis vom typischen Spam-Volumen von ca. 10:1, ist rund eine von 600 Nicht-Spam-Mails bei Kunden von Dedicated Servern eines bestimmten Raumes eines bestimmten Rechenzentrums fälschlicherweise abgelehnt worden, die die spamhaus.org-Blacklists in die Konfiguration ihres Mailservers eingebunden haben.

Das kann ich in meinen Beobachtungen allerdings nicht bestätigen - das Problem ist uns nur aufgefallen weil garkeine Mails mehr ankamen. Ich habe 2 Tage lang dutzende von Testmails geschickt. Von GMX, web.de, gmail, Firmenmailserver, Mailservern von Kollegen - da ist wirklich nix durchgekommen solange Spamhaus aktiviert war.

 

[Whistler]

Die NS-Einträge von Spamhaus haben eine TTL von 2 Tagen (172800) und werden damit auch solange gecached.
Wenn Du (als bedauerlicher Einzelfall ) Deine 1:60-Chance genutzt hast, dann hält Dein "Glück" eben 2 Tage an.

 

[marcusx]

Des hat du falsch verstanden - ich hab zwar 2 Tage rumprobiert aber dann war des Problem nicht gelöst sondern ich hatte aufgegeben und spamhaus ausgeschaltet.