DNSBL - was bedeuten die IP-Adressen hinten den DNSBL

[magicpeter]

Moin,

ich nutzt ein Set aus 12 DNSBL.

Bereinigte & optimierte DNSBL mit bezahlter DNSBL (12 DNSBL)
xxxxxxxx24.zen.dq.spamhaus.net,bl.spamcop.net,psbl.surriel.com,spamrbl.imp.ch,noptr.spamrats.com,bl.score.senderscore.com,bl.spameatingmonkey.net,dnsbl.dronebl.org,ix.dnsbl.manitu.net,b.barracudacentral.org,truncate.gbudb.net,bl.blocklist.de

Ich arbeite mit einem Threshold: 3

Seit ein paar Tagen habe ich eine bezahlte DNSBL von Spamhaus.org eingebunden und jetzt sehe ich im Syslog das hinter der bezahlten DNSBL immer noch IPAdressen stehen. (127.0.0.2, 127.0.0.9, 127.0.0.3)

Was bedeutet das?

Jul 24 12:14:59 pmg postfix/dnsblog[48699]: addr 178.215.236.116 listed by domain xxxxxx24.zen.dq.spamhaus.net as 127.0.0.2
Jul 24 12:14:59 pmg postfix/dnsblog[48699]: addr 178.215.236.116 listed by domainxxxxxx24.zen.dq.spamhaus.net as 127.0.0.9
Jul 24 12:14:59 pmg postfix/dnsblog[48699]: addr 178.215.236.116 listed by domain xxxxxx244.zen.dq.spamhaus.net as 127.0.0.3
Jul 24 12:14:59 pmg postfix/dnsblog[48697]: addr 178.215.236.116 listed by domain bl.score.senderscore.com as 127.0.0.16
Jul 24 12:14:59 pmg postfix/dnsblog[48696]: addr 178.215.236.116 listed by domain dnsbl.dronebl.org as 127.0.0.13

 

[cpulove]

Das erklärt es recht gut:

Rückgabecodes​

Für alle Datensätze gilt eine Antwort, die einen oder mehrere A Datensätze innerhalb von 127.0.0.0/16 liefert , als positive Antwort (was bedeutet, dass die Abfrageressource aufgelistet ist), während NXDOMAIN(Host nicht gefunden) eine negative Antwort darstellt (Ressource nicht aufgelistet). Rückgabecodes innerhalb von 127.255.255.0/24 werden verwendet, um Fehler zu melden.

Vom Abfragecode wird erwartet, dass er alle A-Datensätze durchgeht, die durch eine positive Antwort bereitgestellt werden, und auf jeden einzelnen entsprechend reagiert, anstatt nur den ersten Eintrag aufzugreifen, da diese einzelne Antwort möglicherweise nicht diejenige ist, bei der die spezifische Prüfung ausgelöst werden sollte.

Daher kann beispielsweise das Überprüfen der IP 177.129.247.146anhand der Zen-Zone Folgendes zurückgeben:

146.247.129.177.<key>.zen.dq.spamhaus.net. 60 IN A 127.0.0.9
146.247.129.177.<key>.zen.dq.spamhaus.net. 60 IN A 127.0.0.2
146.247.129.177.<key>.zen.dq.spamhaus.net. 60 IN A 127.0.0.3
146.247.129.177.<key>.zen.dq.spamhaus.net. 60 IN A 127.0.0.4

Dies bedeutet, dass diese IP in SBL (127.0.0.2), in der CSS- Komponente von SBL (127.0.0.3) aufgeführt ist , Teil eines DROP- IP-Bereichs (127.0.0.9) ist und auch in CBL (Teil von XBL ) aufgeführt ist (127.0.0.4). In PBL ist sie nicht aufgeführt .

Abfragen, die IPs außerhalb von 127.0.0.0/8 zurückgeben , sind absolut nicht zu erwarten und bedeuten, dass der DNS-Auflösungsprozess durch etwas gestört wird. Solche Antworten müssen verworfen und die DNS-Auflösungskette untersucht werden, um den fehlerhaften Akteur auszuschließen.

 

[magicpeter]

Das erklärt es recht gut:

Ok, danke, alles klar. Habe ich verstanden.