DNSBL eintragen

[iTweek]

Guten Abend Community.

Ich bin grade dabei DNSBL zu checken. Meine frage ist habe ich das so richtig eingetragen? welche könnt ihr empfehlen? oder erfahrungen?

DNSBL Sites:
zen.spamhaus.org;sbl-xbl.spamhaus.org;rhsbl.sorbs.net;bl.spamcop.net;list.dsbl.org;dnsbl.njabl.org;dynablock.njabl.org;ix.dnsbl.manitu.net;b.barracudacentral.org

eine andere frage ist wie kann ich bestimmte mailserver oder domains für alle Blocken? also von hand?

lg iTweek

 

[heutger]

Moin,

in meinem Thread Advancing PMG gibt es einige Empfehlungen zu den Blacklists. Ich würde bspw. Manitu nicht mehr direkt als Liste nehmen sondern nur noch abgeschwächt, genau das gleiche mit Barracuda, DSBL ist down, NJABL ebenso (und ganz gefährlich: neu registriert und nicht mehr als Blacklist in Betrieb), SORBS würde ich nie zum Blocken nehmen (viel zu inkonsistent, maximal Escalations, was ich nutze), ZEN und SBL-XBL ist überlappend, entweder oder. ZEN beinhaltet auch die Dialup-IP-Adressen.

Blocken (silent drop) geht über Regeln (nicht rechtskonform in Deutschland), blocken in Form eines Reject geht nur über die Shell und direktes reject über Postfix.

Grüße,
Christian

 

[iTweek]

Danke für deine antwort.

Ich komme nicht mit das ist mir jetzt zu viel fachwissen.

Was sollte ich deiner meinung da stehen haben?

 

[heutger]

Das Threshold (sollte in der Nähe in der GUI einstellbar sein) auf 2 stellen und dann das hier setzen:

zen.spamhaus.org*2,bl.spamcop.net*2,psbl.surriel.com*2,spamrbl.imp.ch*2,noptr.spamrats.com*2,escalations.dnsbl.sorbs.net*2,bl.score.senderscore.com*2,bl.spameatingmonkey.net*2,rbl.realtimeblacklist.com*2,dnsbl.dronebl.org*2,ix.dnsbl.manitu.net,b.barracudacentral.org,truncate.gbudb.net,bl.blocklist.de

 

[iTweek]

Danke für die antwort!

Für was sind die *2? Threshold was ist das? momentan ist es auf 1 gestellt


Ich danke dir schon mal für die viele aufklärung von dir

 

[heutger]

Das ist genau das Thema mit dem Threshold, daher muss der auf 2. Dann zählen alle Listen mit *2 (Faktor 2 oder multipliziert mit 2) sofort als "Kicker" und die Mail wird abgewiesen wegen Blacklist. Die Listen ohne *2 zählen quasi einfach (oder multipliziert mit 1) und es braucht dann derer 2, damit sie eine Mail abweisen. Da NiX-Spam, Barracudacentral und ein paar weitere leider nicht mehr so zuverlässig sind wie früher (wenige, aber eben doch existente False Positives), habe ich diese zwar aufgenommen, es werden aber derer zwei benötigt, um Spam abzuweisen. es gibt noch zwei weitere Listen, die ich nutzen (invaluement und invaluement networks), aber diese sind Bezahllisten, man muss sie also erst mal kaufen, um sie zu nutzen. Kann es empfehlen, aber muss eben jeder selbst wissen.

 

[iTweek]

Danke für deine antwort

 

[oliwel]

Bin hier gelandet, nachdem Christians Tipps in der Regel sehr gut sind ungeprüft übernommen und gleich auf die Nase gefallen - senderscore.com blockt MXer von 1&1/GMX (82.165.159.12 = Score 17!) - ich hatte binnen weniger Minuten mehrere Rejects.

Die GMX Kisten mögen ja eine Quelle von Spam sein aber glückliche User macht man sich damit nicht.

 

[heutger]

Bin hier gelandet, nachdem Christians Tipps in der Regel sehr gut sind ungeprüft übernommen und gleich auf die Nase gefallen - senderscore.com blockt MXer von 1&1/GMX (82.165.159.12 = Score 17!) - ich hatte binnen weniger Minuten mehrere Rejects.

Die GMX Kisten mögen ja eine Quelle von Spam sein aber glückliche User macht man sich damit nicht.

Ärgerlich, ehe ich die Listen bei mit aktiviert habe, liefen sie in wochenlangen Tests über warn_if_reject, da hatte ich keinerlei FP. Bitte aber immer selbst auf das eigene Mailsetup testen, was bei mir passt, mag bei anderen nicht passen. Was etwas merkwürdig ist, das ist nicht der normale GMX-Sendeserver sondern einer, der bewusst eine niedrige Reputation zu haben scheint:

https://postmaster.gmx.net/de/e-mail-server

Im Zweifel würde ich erst mal empfehlen, senderscore auf *1 herabzustufen, nach meinem Urlaub werde ich das auch mal auf meinen PMG validieren, viele Dank fürs Feedback.

 

[oliwel]

Hallo Christian,

danke für die Liste, das kannte ich so noch gar nicht - den Sinn von zwei Serverkategorien verstehe ich allerdings nicht bzw. wann GMX "gute" und wann "schlechte" Server verwendet...ich hab die Liste derzeit ganz raus und alle anderen auf ein Level von 1 gesetzt so dass nun immer zwei Listen matchen müssen bzw. überlege gerade die Listen in SpamAssassin einzubauen.

Oli

 

[heutger]

Hallo Christian,

danke für die Liste, das kannte ich so noch gar nicht - den Sinn von zwei Serverkategorien verstehe ich allerdings nicht bzw. wann GMX "gute" und wann "schlechte" Server verwendet...ich hab die Liste derzeit ganz raus und alle anderen auf ein Level von 1 gesetzt so dass nun immer zwei Listen matchen müssen bzw. überlege gerade die Listen in SpamAssassin einzubauen.

Oli

Hi,

das ist auch eine gute Idee, wenn man den Listen allesamt nicht vertrauen möchte. Man erhält aber dann halt u.U. einiges an Spam mehr. Wie gesagt, muss man selbst testen, über Wochen hatte ich keine FP mit den 2er-Listen und sehr wenige mit den 1ern, daher habe ich mich so entschieden, das aufzuteilen.

Hier ein Statement zu den low reputation server (vermutlich verwendet man sie, wie sie schon heißen, insbesondere wenn Mails geforwarded werden, weil man potentiell ja auch Spam forwarded und dann als Spam Source gelten könnte, daher an sich eh keine gute Idee, Mails weiterzuleiten zur heutigen Zeit), wenn ausgehende Mails als Spam eingestuft werden, verwendet GMX automatisch einen low reputation server, der möglicherweise geblacklisted sein/werden könnte, um die „guten Server“ zu schützen. Besser wäre eigentlich, solche Mails gar nicht erst raus zu lassen und selbst outbound spam zu filtern bzw. abzuweisen, was aber mit massivem Aufwand verbunden sein dürfte und bei dem Mailvolumen und für in der Regel lau nicht handlebar. Womöglich tut man das aber auch inzwischen und es geht nur unsicherer möglicherweise Spam über diese Server, dann wäre das durchaus ein schlaues Konzept, was auch handlebar wäre, wenn ich mir überlege, wie viel Spam so von Gmail, Hotmail/Outlook und Yahoo kommt im Vergleich zu GMX und Co., auch insbesondere im Vergleich zu früher, dann scheint das auch zu funktionieren und deutlich besser als bspw. SPF und DKIM, denn die Nachrichten von Gmail und Co. sind alle brav SPF-clean und DKIM-signed, wo mir wieder ein nigerianischer Prinz seine Millionen feilbietet. ^^

https://www.heise.de/forum/heise-Se...-mout-xforward-gmx-net/posting-30579349/show/

Mit freundlichen Grüßen
Christian Heutger

 

[heutger]

Hallo nochmal,

ich habe vor kurzem ja meine Logs angepasst, dass diese nur noch alle 30 Tage rotieren und auch das Trackingcenter damit mehr anzeigt. Somit konnte ich meine Blacklistauswahl noch mal verifizieren und würde diese auch heute genauso treffen. Gerade die senderscore blacklist (Achtung: nicht die gesamte reputation list nehmen!) haut ganz schön viel Spam raus und wenn ich mir die Listen so anschaue und an welcher Position was noch erwischt wird, fürchte ich, daß mit reinem Scoring statt auch direkt zu blocken da deutlich mehr durchkommen dürfte, so dass ich auch hier bei mir nichts verändern werde.

Aber ich werde in Zukunft darauf hinweisen, daß die Empfehlung auf mein Setup zutrifft und bei anderen ganz anders aussehen kann, das muss jeder für sich selbst testen und gerade bei Rejects - ein Reject ist halt ein Reject, zwar deutlich besser als ein Silent Drop und auch nach deutschem Recht rechtskonform, je nach Absender aber halt unschön.

Auch unschön, aber ein Workaround wäre die „üblichen Verdächtigen“ zu whitelisten, die Telekom whiteliste ich in meinem Setup per se, weil sie auch gerne mal auf eine Blacklist rutschen, aber mir bisher kein Spam aus deren Netz unterkam, das gleiche könnte man mit United Internet (1&1, Schlund, GMX, Web.de) machen, wenn man das möchte, die Mailserver sind gut dokumentiert und das Spamproblem scheint man mit deren Reputationssetup gut im Griff zu haben, die Anzahl Netze sind im Zweifel auch überschaubar.

Grüße,
Christian