PMG mit Unbound und RBLs

C

cklahn

Member
Jan 3, 2024
60
3
13
Hallo Forum,
ich habe nun auf meinem PMG (ist als VM auf PVE installiert, kein LXC) gemäß Anleitung den Unbound direkt installiert und der resolv.conf diese Einträge stehen:

nameserver 127.0.0.1
search meinedomain.de

Dann habe ich im Mailproxy unter Options als DNSBL die zen.spamhaus.org mit einem Threshold von 1 eingetragen.

Nun meine Fragen:

a) Muß in der resolv.conf wirklich nur meine Domain stehen oder muß da nicht mail.meinedamain.de stehen?
b) Wie kann ich über das CLI testen, ob die Blockliste überhaupt herangezogen wird? Ich habe das nun einige Tage so laufen und wenn ich im Tracking Center mir die Details anschaue, dann steht dort nirgendwo etwas von spamhaus

Vielen Dank im Voraus.
 
1) Deine resolv.conf ist völlig korrekt.
2) grep -E "zen.spamhaus.org" /var/log/mail.log
sollte eine Vielzahl an Logeinträgen ergeben, z.B.
addr 158.94.211.35 listed by domain zen.spamhaus.org as 127.0.0.3
 
Ich erhalte nach Abfrage folgende Meldungen. Hier eine stellvertretend für eine Menge mehr:

2026-03-08T12:31:32.152709+01:00 pmg pmg-smtp-filter[10058]: WARNING: check: dns_block_rule RCVD_IN_ZEN_BLOCKED_OPENDNS hit, creating /root/.spamassassin/dnsblock_zen.spamhaus.org (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny zen.spamhaus.org" to disable queries)

Das sieht entweder nach zu vielen Anfragen aus (wir bekommen ca. 100 Mails am Tag in Summe aller Postfächer) oder meine DNS-Anfrage passt nicht.

Was meinst Du dazu?
 
Ja, die Meldung sieht nach Blockierung aufgrund zuvieler Anfragen aus.
100 Mails/Tag sind aber nix, ergo musst du dein unbound prüfen:
https://pmg.proxmox.com/wiki/DNS_server_on_Proxmox_Mail_Gateway
- läuft unbound? --> systemctl status unbound
- lauscht unbound auf 127.0.0.1 Port 53? --> ss -tulnp | grep :53
- antwortet unbound? --> dig A www.hamburg.de @127.0.0.1 +short
(witzigerweise bekomme ich derzeit auf die Anfrage aus der Anleitung "dig a proxmox.com @127.0.0.1" keine Antwort mehr - status: SERVFAIL)

um die Blockierung gegenzuprüfen, kannst du nachdem du dein unbound ausführlich geprüft hast, eine weitere DNSBL hinzufügen: bl.spamcop.net
das Ergebnis im Logfile sieht dann z.B. so aus:
postfix/dnsblog[27728]: addr 141.98.11.48 listed by domain bl.spamcop.net as 127.0.0.2
 
tcnewone said:
Ja, die Meldung sieht nach Blockierung aufgrund zuvieler Anfragen aus.
100 Mails/Tag sind aber nix, ergo musst du dein unbound prüfen:
https://pmg.proxmox.com/wiki/DNS_server_on_Proxmox_Mail_Gateway
- läuft unbound? --> systemctl status unbound
Ja, services running.

- lauscht unbound auf 127.0.0.1 Port 53? --> ss -tulnp | grep :53
Ja, Ausgabe gemäß der zuvor genannten Anleitung zum DNS Server auf PMG

- antwortet unbound? --> dig A www.hamburg.de @127.0.0.1 +short
(witzigerweise bekomme ich derzeit auf die Anfrage aus der Anleitung "dig a proxmox.com @127.0.0.1" keine Antwort mehr - status: SERVFAIL)
Ja, ich bekomme eine öffentliche IP angezeigt.

um die Blockierung gegenzuprüfen, kannst du nachdem du dein unbound ausführlich geprüft hast, eine weitere DNSBL hinzufügen: bl.spamcop.net
das Ergebnis im Logfile sieht dann z.B. so aus:
postfix/dnsblog[27728]: addr 141.98.11.48 listed by domain bl.spamcop.net as 127.0.0.2Ok
Werde das morgen mal checken. Im Moment zeigt die Ausgabe nichts, da ich ja eben erst die Blocklist gesetzt habe. Ich werde berichten.
Click to expand...
Siehe Antworten hinter Deinen Fragen.

In dem Log von spamhaus steht, dass ich einen Rule score auf 0 setzen soll. Wo finde ich das denn?
 
2026-03-08T12:31:32.152709+01:00 pmg pmg-smtp-filter[10058]: WARNING: check: dns_block_rule RCVD_IN_ZEN_BLOCKED_OPENDNS hit, creating /root/.spamassassin/dnsblock_zen.spamhaus.org (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny zen.spamhaus.org" to disable queries)
 
Der Witz ist, wenn ich nun mit grep -E "zen.spamhaus.org" /var/log/mail.log oder grep -E "bl.spamcop.net" /var/log/mail.log das Log durchsuche, findet er keine Einträge mehr. Merkwürdig...
 
Achtung: <id>.zen.dq.spamhaus.net
Normalerweise solltest du dich bei Spamhaus (kostenfrei) registrieren und erhältst dann einen personalisierten Link.
Dieser endet nicht auf spamhaus.org, sondern auf spamhaus.net


Code: 
 journalctl -u postfix --no-pager | grep spamhaus
... liefert bei mir sehr, sehr viele Einträge.


Dein Befehl scheitert bei mir aus mehreren Gründen.
- Das "dq" fehlt.
- Die Endung ist falsch
- /var/log/mail.log reicht immer nur bis zum letzten logrotate. Wenn das jetzt bei dir seit ein paar Tagen kaputt ist, kommt nichts mehr.

Spamcop hat auch bei mir ERHEBLICH weniger Treffer als Spamhaus. Da hab ich tatsächlich auch keinen Eintrag seit dem letzten Logrotate.

Nachtrag: Ach so. Ich hatte es auch deaktiviert vor ein paar Tagen, weil ständig Gmail E-Mails geblockt wurden.
 
Last edited:
ivenae said:
Achtung: <id>.zen.dq.spamhaus.net
Normalerweise solltest du dich bei Spamhaus (kostenfrei) registrieren und erhältst dann einen personalisierten Link.
Dieser endet nicht auf spamhaus.org, sondern auf spamhaus.net


Code: 
 journalctl -u postfix --no-pager | grep spamhaus
... liefert bei mir sehr, sehr viele Einträge.


Dein Befehl scheitert bei mir aus mehreren Gründen.
- Das "dq" fehlt.
- Die Endung ist falsch
- /var/log/mail.log reicht immer nur bis zum letzten logrotate. Wenn das jetzt bei dir seit ein paar Tagen kaputt ist, kommt nichts mehr.

Spamcop hat auch bei mir ERHEBLICH weniger Treffer als Spamhaus. Da hab ich tatsächlich auch keinen Eintrag seit dem letzten Logrotate.

Nachtrag: Ach so. Ich hatte es auch deaktiviert vor ein paar Tagen, weil ständig Gmail E-Mails geblockt wurden.
Click to expand...
wenn er die DNSBL "zen.spamhaus.org" unter Configuration / Mail Proxy / Options / DNSBL eingetragen hat, ist die Endung völlig korrekt.
für 100 Mails/Tag braucht es m.E. keinen personalisierten Link - wir arbeiten auch einfach mit zen.spamhaus.org
wie ich im Post #2 schrieb, sollte es im mail.log dann derartige Einträge geben.
Aber er hat nun mal die Msg. aus Post #7 - ergo: sein unbound arbeitet mit einem Forwarder DNS...
der Rest löst sich dann von allein
 
Last edited:
  • Like
Reactions: ivenae
Ok, hier nochmal mein Vorgehen:

1.) Ausgehend von PMG 9.0.3 (VM-Installation): Installation von unbound mittels "apt install unbound dnsutils"

2.) Überprüfen, ob unbound auf Port 53 hört mittels "ss -tulnp | grep :53". Der Befehl gibt folgendes aus:
udp UNCONN 0 0 127.0.0.1:53 0.0.0.0:* users:(("unbound",pid=600,fd=5))
udp UNCONN 0 0 [::1]:53 [::]:* users:(("unbound",pid=600,fd=3))
tcp LISTEN 0 256 127.0.0.1:53 0.0.0.0:* users:(("unbound",pid=600,fd=6))
tcp LISTEN 0 256 [::1]:53 [::]:* users:(("unbound",pid=600,fd=4))

Sieht meiner Meinung nach gut aus.

3.) Überprüfung, ob die DNS-Auflösung funktioniert mittels "dig a proxmox.com @127.0.0.1 +short". Der Befehl gibt keine Ausgabe, während "dig A www.hamburg.de @127.0.0.1 +short" eine 141.91.172.100 liefert. Komisch.

4.) In meiner resolv.conf steht:
nameserver 127.0.0.1
search meinedomain.de

5.) Im GUI unter Configuration/MailProxy/Options unter "DNSBL Sites" zen.spamhaus.org eingetragen bei einem Threshold von 1.

6.) Vorsichtshalber reboot.


Sollte eigentlich alles sauber sein, oder? In dem Link von tcnewone schreibt jemand, dass die Anleitung vom Hersteller auf die Version v8 upgedatet werden sollte. Demnach dann wohl auch für v9.

Ich habe dann ein Update auf v9.0.6 gemacht. Klappt scheinbar auch nicht.

Habt Ihr noch Ideen?
 
zu 3) habe ich einen anderen Thread https://forum.proxmox.com/threads/proxmox-com-dns-status-servfail.181586/
Funktioniert bei mir auch sporadisch nicht. Sollte jetzt aber nicht die Ursache sein

4) bis 6) sind ok
was sagt denn dein unbound-logging? entweder unter /var/log/unbound.log oder /var/log/syslog (falls /var/log/unbound.log nicht existiert)
da sollten jede Menge Zeile wie diese auftauchen:
unbound[902]: [1773744683] unbound[902:0] info: 127.0.0.1 gmail.com. MX IN
kannst du ja auch mit dem bekannten dig a www.hamburg.de @127.0.0.1 auslösen. Dann sollte der Request im Log auftauchen.
 
Last edited:
You must log in or register to reply here.
Top Bottom
Back