[SOLVED] Kein Spamhaus/Validity trotz Unbound

S

SBauhaus

Renowned Member
Proxmox Subscriber
Jul 12, 2017
14
5
68
36
Hallo zusammen,

ich habe unbound auf meinem pmg installiert und konfiguriert. Ich sehe auch im Unbound-Log, dass Abfragen darüber erfolgen. Trotzdem funktioniert die Blacklist nicht, in allen Mails befindet sich im Header:

RCVD_IN_VALIDITY_CERTIFIED_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to Validity was blocked.
RCVD_IN_VALIDITY_RPBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to Validity was blocked.
RCVD_IN_VALIDITY_SAFE_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to Validity was blocked.
RCVD_IN_ZEN_BLOCKED_OPENDNS 0.001 ADMINISTRATOR NOTICE: The query to zen.spamhaus.org was blocked due to usage of an open resolver.
Click to expand...

meine resolv.conf:

Code: 
search meine-domain.de
nameserver 127.0.0.1

Meine unbound-Konfiguration:
Code: 
server:
    interface: 127.0.0.1
    interface: ::1

    access-control: 127.0.0.0/8 allow
    access-control: ::1 allow

    do-not-query-localhost: no
    prefer-ip6: no

    cache-min-ttl: 3600
    cache-max-ttl: 86400
    msg-cache-size: 256m
    rrset-cache-size: 512m

    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    harden-dnssec-stripped: yes
    qname-minimisation: yes

    num-threads: 2
    so-reuseport: yes

    verbosity: 1
    chroot: ""
    logfile: /var/log/unbound.log
    log-queries: yes

Wenn ich dig +trace nutze, sehe ich, dass Unbound antwortet und die Anfrage rekursiv ausführt.

Hat noch jemand eine Idee, warum Spamhaus und Validity denken, dass ich über einen öffentlichen DNS-Dienst anfrage?

Vielen Dank vorab!

Sebastian
 
Hast Du ggf. noch irgendwo einen forwarder aktiv?

Prüfe mal mit:

grep -R "forward" -n /etc/unbound

und:

grep -R "forward-zone" -n /etc/unbound

Was ergibt:

dig google.com @127.0.0.1 +trace

Und „sieht“ Spamhaus Deine echte Mailserver-IP?

dig +short myip.opendns.com @resolver1.opendns.com
 
cwt said:
Hast Du ggf. noch irgendwo einen forwarder aktiv?

Prüfe mal mit:

grep -R "forward" -n /etc/unbound

und:

grep -R "forward-zone" -n /etc/unbound
Click to expand...
Keine Forwarder aktiv - beide Befehle geben nichts aus.
cwt said:
Was ergibt:

dig google.com @127.0.0.1 +trace
Click to expand...
Das ist die Ausgabe:
Code: 
root@mxnbg:~# dig google.com @127.0.0.1 +trace

; <<>> DiG 9.20.15-1~deb13u1-Debian <<>> google.com @127.0.0.1 +trace
;; global options: +cmd
.                       61030   IN      NS      g.root-servers.net.
.                       61030   IN      NS      d.root-servers.net.
.                       61030   IN      NS      h.root-servers.net.
.                       61030   IN      NS      e.root-servers.net.
.                       61030   IN      NS      c.root-servers.net.
.                       61030   IN      NS      k.root-servers.net.
.                       61030   IN      NS      j.root-servers.net.
.                       61030   IN      NS      i.root-servers.net.
.                       61030   IN      NS      a.root-servers.net.
.                       61030   IN      NS      m.root-servers.net.
.                       61030   IN      NS      l.root-servers.net.
.                       61030   IN      NS      b.root-servers.net.
.                       61030   IN      NS      f.root-servers.net.
.                       61030   IN      RRSIG   NS 8 0 518400 20251220050000 20251207040000 61809 . qWWbWFNDo+ZMF5zHlGnozowSyAhORHVfBocjKRqJwm4/pnLQRO64s8Yu ivxovr90qT198hl3DbmnfjUllEB3yfn1wp7FOK78sFeQN7SO5PgpmspP kADbX5DD0REVZ2D+tptzRkq78wf4WSAXHyL8bQk5lUH9e9O4RNbYKsSG lQMBIjmXgblj4YpmLczOGEJrP7OOhJGyQOF0Mg5ow6yj6EgY5Le3A5AW zQN+nvMfFLyP61KcT+WN+L43z0/+wqrhMsYmavzq4aKWP4g2lrj63iE9 7CTbSZLSYTo8FiW0XJoabTcKidA0Av9/likWDpHsyO3SAy0H7Em2jXWy 6pz4Yw==
;; Received 525 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms

com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      i.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    86400   IN      DS      19718 13 2 8ACBB0CD28F41250A80A491389424D341522D946B0DA0C0291F2D3D7 71D7805A
com.                    86400   IN      RRSIG   DS 8 1 86400 20251220170000 20251207160000 61809 . qaku8DDo1FX82tg9w4uFSe9gMo9QxGEsxx8C8reedx9zHI+EI4PUyhUK 10+ef2T0T185XDIfMoJ2oJvjqEl4cEm7OGJ2w+ZFt5JLInZzYDtaIiVK 9VwZCiX4ZnvGTFn4QgSL9l9qIEZ9n2feXeWgTAc0gk1/yMXIJe8Nyuev w4whYWK15tb54Z2+7qAknD2X3quDy6jL3zF9pH8mqswJ9RAkUbEeynks vhPQeKywLiW06AWIE0ld1wEgV4Aj2Hw6Zbex5uXZTJ3d32QBYd7ahl1R yIomvxsIWzRJ/Gewar8dDlyemUYAfdgH7/pS2i14SHkDTnlP07xbvD/j y3+dkQ==
;; Received 1170 bytes from 199.7.83.42#53(l.root-servers.net) in 9 ms

google.com.             172800  IN      NS      ns2.google.com.
google.com.             172800  IN      NS      ns1.google.com.
google.com.             172800  IN      NS      ns3.google.com.
google.com.             172800  IN      NS      ns4.google.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 900 IN NSEC3 1 1 0 - CK0Q3UDG8CEKKAE7RUKPGCT1DVSSH8LL NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 900 IN RRSIG NSEC3 13 2 900 20251213002659 20251205231659 46539 com. 3Ei5451ITK4y6ZIf4wFslXXJo0S0uFggRbiE/sNMfPE11tpV2JN2O5Qu FCDJ/5tz53MmTCipvq0NbiQwU+sQxA==
S84BOR4DK28HNHPLC218O483VOOOD5D8.com. 900 IN NSEC3 1 1 0 - S84BR9CIB2A20L3ETR1M2415ENPP99L8 NS DS RRSIG
S84BOR4DK28HNHPLC218O483VOOOD5D8.com. 900 IN RRSIG NSEC3 13 2 900 20251214013202 20251207002202 46539 com. y7bS6KW9D7qsKWqJSvIU0mKjGcelB1D1SJBE6zdr+FJjI+aLSV0Rv24l Tdas34rPTzWjElRTWvI8pqoD17ojng==
;; Received 644 bytes from 2001:503:a83e::2:30#53(a.gtld-servers.net) in 19 ms

google.com.             300     IN      A       142.250.186.110
;; Received 55 bytes from 2001:4860:4802:38::a#53(ns4.google.com) in 4 ms
cwt said:
Und „sieht“ Spamhaus Deine echte Mailserver-IP?

dig +short myip.opendns.com @resolver1.opendns.com
Click to expand...
Muss ich meine Ip bei "myip" ersetzen oder sonst irgendetwas anpassen? Der Befehl erzeugt auf jeden Fall keine Ausgabe.

Danke & Gruß
Sebastian
 
Code: 
dig +short myip.opendns.com @resolver1.opendns.com

musst Du in einer Zeile so absetzen, ohne Veränderung. Alternativ geht bspw. auch:

Code: 
curl ident.me
curl api.ipify.org

Die Ausgabe sollte = der public IP Deines PMG sein.
 
Ah ok, dann habe ich den Ansatz jetzt verstanden.
Ja, die Ausgabe zeigt die öffentliche IP vom PMG an.

Es handelt sich um einen Cloudserver bei Hetzner, kann es vielleicht sein, dass Spamhaus die gesamte Hetzner-IP-Range als Open Resolver listet?
 
Es gibt bei Spamhaus mehrere Stolpersteine:

- sowohl für die IPv4 als auch IPv6 des Hosts müssen rDNS Einträge vorhanden sein (was grundsätzlich bei Mailservern/Gateways der Fall sein sollte)
- IPv6-Bereiche von Hetzner landen häufiger auf der Blacklist von Spamhaus

Du könntest testen, ob die Umstellung auf IPv4 only im Unbound Abhilfe schafft:

Code: 
server:
     do-ip4: yes
     do-ip6: no
 
Last edited:
You must log in or register to reply here.
Top Bottom
Back