Direkt zum Inhalt
08.01.2015 - Admin-Alarm

Achtung: RBL-Liste AHBL hat Arbeit eingestellt

Im April letzten Jahres hat die altgediente RBL-Blackliste ahbl.org nach über 10 Jahren Dienst angekündigt, die Arbeit einzustellen. Seit dem 6. Januar 2015 ist es soweit: abl.org existiert nicht mehr, jede RBL- und RHSBL-Anfrage gegen diese Blackliste wird mit einem Treffer beantwortet um Postmaster zu zwingen, diese Listen aus ihren Konfigurationen zu entfernen. Postmaster sollten darum dringend ihre Setups überprüfen:

Postfix

Sollten dnsbl.ahbl.org oder rhsbl.ahbl.org noch in der main.cf von Postfix verwendet werden, müssen diese dort ersatzlos gestrochen werden.

SpamAssassin

Durch die normalen Regelupdates von SpamAssassin sollten RBL-Checks gegen ahbl.org schon eingestellt worden sein -- zumindest für diejenigen, die per cron-Job und sa-update auch neue SpamAssassin-Regeln runterladen. Bei Debian ist darauf zu achten, daß in /etc/defaults/spamassassin ein "CRON=1" eingetragen ist, bei SuSE muß das Paket "spamassassin" installiert und in /etc/sysconfig/spampd ein Eintrag SPAM_SA_UPDATE="yes" existieren. Wer will kann die Chance bei SUSE nutzen und auch gleich einrichten, daß die RegExp-Regeln compiliert und damit CPU-schonender verwendet werden können (SPAM_SA_COMPILE="no"). Wer will kann einmal manuell "sa-update" aufrufen, ggf. als "sa-update -v -D" und händisch auf eine aktuelle Version zu prüfen.

Policyd-Weight

Auch der altgediente Policyd-Weight nutzt per Default noch ahsbl.org und sollte tunlichst aktiviert werden. Wenn /etc/policyd-weight.conf existiert sollten rhsbl_score und dnsbl_score wie folgt angepaßt werden; sollte /etc/policyd-weight.conf auf einem System noch gar nicht existieren reicht es, diesen untstehenden Textblock dort hineinzukopieren und policyd-weight neu zu starten:

@rhsbl_score = (
 'multi.surbl.org',             4,        0,        'SURBL',
 #  'rhsbl.ahbl.org',              1.8,      0,        'AHBL',
 #  'dsn.rfc-ignorant.org',        3.2,      0,        'DSN_RFCI',
 #  'postmaster.rfc-ignorant.org', 0.1,      0,        'PM_RFCI',
 #  'abuse.rfc-ignorant.org',      0.1,      0,        'ABUSE_RFCI'
 );

## DNSBL settings
 @dnsbl_score = (
 #    HOST,                    BAD SCORE,  GOOD SCORE,   LOG NAME
 #    'dynablock.njabl.org',    3.25,          0,        'DYN_NJABL',
 # 'combined.njabl.org',   3.25,   0,      'DYN_NJABL',
 'sbl-xbl.spamhaus.org',   4.35,       -1.5,        'SBL_XBL_SPAMHAUS',
 'bl.spamcop.net',         3.75,       -1.5,        'SPAMCOP',
 # 'dnsbl.njabl.org',        4.25,       -1.5,        'BL_NJABL',
 #    'list.dsbl.org',          4.35,          0,        'DSBL_ORG',
 'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU'
 );

Diese Konfigurationsbeispiele zeigen auch die bereits auskommentierte rfc-ignorant.org-Liste, die bereits im Jahr 2012 Zeit ihren Betrieb eingestellt hat und ebenfalls nicht mehr verwendet werden darf. Die offiziellen Sourcen auf http://www.policyd-weight.org wurden leider noch nicht aktualisiert; unsere RPM-Pakete auf http://download.opensuse.org/repositories/isv:/heinlein-support sind bereits gepatched und beinhalten per Default keine toten RBL/RHSBL-Listen mehr und können darum ohne Konfigurationsanpassung verwendet werden.

Kommentare

1 Antwort zu Achtung: RBL-Liste AHBL hat Arbeit eingestellt

r-Icon
Raimund Sichmann
24. February 2015 um 08:17

Danke, hier habe ich den entscheidenden Tipp/Zusammenhang gefunden. Mir war nicht klar, dass defaults für den rhsbl_score genommen werden, wenn dieser komplett in der Konfigurationsdatei fehlt. Ich hatte bisher nur AHBL aus den DNSBL settings ausgetragen. Wir mussten also den Eintrag erstmal dazuschreiben, um das falsche Scoring zu verhindern:
Hier Stoff für die Suchdienst Nutzerinnen und Nutzer:
Das steht im Mail-Log: X-policyd-weight: (...)FROM/MX_MATCHES_HELO(DOMAIN)=-2 IN_AHBL=4; rate: -3
und das bekommt der Absender in seiner abgelehnten Mail zu sehen:
Recipient address rejected: Mail appeared to be
SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX
settings or to get removed from DNSBLs; in rhsbl.ahbl.org (in reply to RCPT
TO command)
Man hätte schneller drauf kommen können, aber manchmal fehlts an Kleinigkeiten.
Danke für dieses Blog!
Raimund