Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

CBL, Netdirekt und generische Hostnamen

4. November 2008 um 19:11 Uhr von Atari-Frosch

Es gibt immer wieder Dinge, die ich nicht verstehen muß (glaub ich).

Mir war heute aufgefallen, daß ein Blog-Spam der IP nach von einem benachbarten Server bei Netdirekt gekommen war. Also wollte ich Netdirekt darüber informieren, daß da jemand wohl ein Loch im Server hat. Verschickt habe ich diese Mail über den eigenen Mailserver. Ich staunte nicht schlecht, als diese Mail bouncte. Begründung:

Rejected: 84.16.251.24 listed at zen.spamhaus.org (in reply to RCPT TO command)

Öhm. Ich schicke also von meinem bei Netdirekt gehosteten Server aus eine Mail an den Support von Netdirekt und werde geblockt? Ich schaute also mal bei spamhaus.org vorbei und fand heraus, daß man blocken würde, weil ich in CBL gelistet sei. Dort wiederum wurde die Listung zwar bestätigt, aber kein konkreter Grund dafür angegeben. Also wühlte ich mich durch meine Logs, ob da irgendwas durchgelaufen war, was nicht hätte durchlaufen dürfen. Aber es war nichts zu finden.

Natürlich hätte es jetzt einer der anderen Dienste gewesen sein können, die ich installiert habe; die Kiste macht ja nicht nur Web und Mail. Ein nahezu beliebiges kompromittiertes Dienstprogramm kann ja genauso zur Spamschleuder werden. Dazu besteht die Möglichkeit, daß jemand den richtigen Eingang gefunden und ein zusätzliches Programm installiert hat; chkrootkit hatte allerdings nicht Alarm geschlagen.

Die Logs des Apachen habe ich sicherheitshalber auch noch durchgesehen, sowohl das reguläre als auch das WordPress-Log, aber auch da: Alles sauber. Den eggdrop und den irssi im screen würde ich da eher nicht verdächtigen. Ein weiterer Dienst, der gar nichts loggt, wäre zwar möglicherweise ein Kandidat gewesen, aber auch das schien mir ziemlich unwahrscheinlich. Und dann gibt es da ja noch den icecast2, den Radioserver, dessen Log-Funktion allerdings schlicht nicht funktioniert.

Interessant ist ja so nebenbei noch das Datum des Listeneintrags: 02.11.2008 13:00 +/- 30 min GMT. Mein postfix rennt seit 25.10.2007, also seit einem guten Jahr (der Webserver ist noch fast ein Jahr älter). In der ganzen Zeit gab es also offenbar nie ein Problem mit der Kiste.

Statt mich damit den Rest des Tages zu beschäftigen, schaute ich mal im Usenet vorbei. In der Gruppe de.admin.net-abuse.mail, die ich abonniert habe (aber selten bzw. nur bei konkreten Anlässen lese), fand ich tatsächlich einen kurzen und ziemlich aktuellen Thread dazu (beginnend bei Message-ID <1t49071a51i75fn3e9%sfroehli@Froehlich.Priv.at>). Dort wurde dem Originalposter schließlich dazu geraten, von Netdirekt wegzugehen, denn das sei der Grund für das Problem.

Das ist für mich nun erstmal keine Lösung. Ich schickte meine ursprüngliche Mail an den Netdirekt-Support über einen anderen Account und erwähnte dabei auch das Auslieferungsproblem und die Listung in der CBL. Und dort hieß es nun, ich sei da gelistet, weil meine (Haupt-)IP noch auf den original von Netdirekt gesetzten, generischen Hostnamen zeigt -- was mit Spam ja nun wirklich gar nichts zu tun hat. Mir hat auch niemand gesagt, daß ich, um Probleme zu vermeiden, den RDNS ändern muß.

Ich habe das jetzt mal gemacht und warte drauf, daß die Nameserver es alle gefressen haben. Dann bin ich mal gespannt, ob mich CBL immer noch listen will.

3 Kommentare zu “CBL, Netdirekt und generische Hostnamen”

  1. Michael quakte:

    Hi!

    Danke für den Tipp. Ich habe das Gleiche Problem und versuche nun auch den ReserveDNS zu ändern. Mal schauen ob es das war.

    Grüsse
    Michael


  2. Andy quakte:

    Hallo,
    ihr wundert euch über netdirect und dass dieser Laden überall geblockt wird? Das ist eine der größten Spamschleudern, die es in Deutschland gibt! Fragt mal Forenbetreiber, wie oft aus dem „Dunstkreis“ von netdirect e.K. Foren mit Müll zugespammt werden. Eigentlich sollte der Laden strafrechtlich belangt und sofort zugemacht werden! Sucht euch einen vernünftigen Provider, der Spam nicht duldet und auch dagegen vorgeht!
    gruß Stony


  3. frosch quakte:

    Ich habe zwar vereinzelt auch IP-mäßige Nachbarn, also Netdirekt-Server, im access.log, die komische Dinge tun (meistens einfach crawler-mäßig einiges abgrasen), aber Spam hatte ich maximal einmal. Die Tage hatte ich jetzt dafür zweimal server4you drin.

    Die Mailserver zu blocken, wenn von den Mietservern eines bestimmten Providers verstärkt Forenspam kommt, klingt für mich allerdings nicht sonderlich sinnvoll.

    Übrigens, mittlerweile ist mein Server wieder „frei”, wie ich die Tage zufällig festgestellt habe, also nicht mehr in der CBL. Hat allerdings lange genug gedauert und lag offenbar wirklich nur an der fehlenden Rückwärts-Auflösung (was ich als einziges Spam-Kriterium allerdings sehr kritisch sehe). Deshalb und weil CBL so ewig lange für einen Austrag braucht, halte ich die nicht für brauchbar.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>