Postfix blockiert legitime E-Mails durch Spamhaus DNSBL – Ein Erfahrungsbericht

Technik Blog für Admins und Worpress Nutzer

Ein unerwartetes Problem mit eingehenden E-Mails

Vor einigen Tagen bemerkte ich eine drastische Reduzierung eingehender E-Mails. Einzelne Nachrichten kamen zwar noch an, doch als ich einen Verifizierungscode für einen Account erhalten wollte und dieser nicht zugestellt wurde, wurde ich stutzig. Kurz darauf erhielt ich eine WhatsApp-Nachricht: Mails an mich wurden mit einem Fehler abgewiesen.

Ein Blick in die Mailserver-Logs brachte folgende Einträge zutage:

Mar 14 11:16:21 localhost postfix/smtpd[9708]: NOQUEUE: reject: RCPT from 66-220-144-143.mail-mail.facebook.com[66.220.144.143]: 554 5.7.1 Service unavailable; Client host [66.220.144.143] blocked using zen.spamhaus.org; Error: open resolver; https://check.spamhaus.org/returnc/pub/92.204.64.131/; from=<friendupdates@facebookmail.com> to=<my-mail@hsww.de> proto=ESMTP helo=<66-220-144-143.mail-mail.facebook.com>

Das war ungewöhnlich. Facebook-Mails sollten nicht durch eine DNS-Blacklist (DNSBL) geblockt werden. Zum Vergleich, ein legitimer Spam-Block sieht normalerweise so aus:

Mar 15 05:27:19 localhost postfix/smtpd[21311]: NOQUEUE: reject: RCPT from marketbestoffer.top[185.176.220.158]: 554 5.7.1 Service unavailable; Client host [185.176.220.158] blocked using bl.spamcop.net; Blocked - see https://www.spamcop.net/bl.shtml?185.176.220.158; from=<mkews@marketbestoffer.top> to=<my-mail@hsww.de> proto=ESMTP helo=<marketbestoffer.top>
Mar 15 05:27:19 localhost postfix/smtpd[21311]: disconnect from marketbestoffer.top[185.176.220.158]

Fehlersuche: Warum wurde Facebook blockiert?

Die Analyse zeigte, dass mein Mailserver Mails von Facebook und anderen legitimen Absendern aufgrund der zen.spamhaus.org-Liste blockierte. Die Fehlermeldung wies auf ein Problem mit einem offenen Resolver hin.

Spamhaus verwendet die Policy Block List (PBL), Spamhaus Block List (SBL) und Exploits Block List (XBL), um Spam und missbräuchliche Aktivitäten zu verhindern. Doch in meinem Fall lag das Problem nicht bei Spamhaus direkt, sondern bei meinem Server-Setup.

Hintergrund: Open Resolver und Spamhaus DNSBL

Ein „Open Resolver“ ist ein DNS-Server, der Anfragen von beliebigen Clients im Internet beantwortet, anstatt nur von autorisierten Clients. Viele Blacklists blockieren Server mit offenen DNS-Resolvern, weil sie für DDoS-Angriffe missbraucht werden können.

Um herauszufinden, ob mein Server betroffen war, führte ich einen Test mit Spamhaus Return Code Lookup durch:

# host -t txt 5.35.240.193.zen.spamhaus.org

5.35.240.193.zen.spamhaus.org descriptive text "Error: open resolver; https://check.spamhaus.org/returnc/pub/92.204.64.132/"

Falls ein offener Resolver erkannt wird, gibt Spamhaus eine entsprechende Antwort zurück. Dies war bei mir der Fall.

Lösungen:

Spamhaus Data Query Service nutzen

Da mein Server bei Host Europe gehostet wird, wird die Datei /etc/resolv.conf automatisch provisioniert und kann nicht direkt geändert werden. Daher habe ich mich entschieden, die von Spamhaus angebotene Lösung zu nutzen und einen kostenlosen Account für den Spamhaus Data Query Service zu registrieren.

Schritte zur Registrierung und Nutzung:

1. Kostenlosen Account bei Spamhaus anlegen:
   • Die Anmeldung erfolgt unter: Spamhaus Free Data Query Service
2. Zugangsdaten erhalten und Spamhaus-Blacklist-Abfragen über den Service durchführen.
3. Postfix entsprechend anpassen, um den neuen Spamhaus-Service zu nutzen.

Alternative Lösung: Open Resolver schließen

Falls dein Server nicht durch den Hosting-Anbieter eingeschränkt ist, kannst du auch direkt deinen DNS-Resolver so konfigurieren, dass er keine offenen Anfragen beantwortet.

Für einen Bind9-DNS-Server sind die notwendigen Schritte:

1. /etc/bind/named.conf.options bearbeiten und sicherstellen, dass der Server nur interne Anfragen beantwortet:

options {
    directory "/var/cache/bind";
    recursion no;
    allow-query { 127.0.0.1; 192.168.1.0/24; }; // Anpassung der internen Netzbereiche
    forwarders {
        8.8.8.8;
        8.8.4.4;
    };
};

2. DNS-Server neu starten:

systemctl restart bind9

Falls ein anderer DNS-Resolver genutzt wird, muss dort die Konfiguration entsprechend angepasst werden.

Testen, ob das Problem gelöst ist

Nachdem die Konfiguration korrigiert wurde oder der Spamhaus Data Query Service eingerichtet ist, kann erneut geprüft werden, ob der Server noch als Open Resolver erkannt wird:

dig +short test.openresolver.com TXT @127.0.0.1

Falls keine Antwort zurückkommt oder ein Fehler erscheint, ist der DNS-Resolver jetzt korrekt gesichert.

Fazit

Die Spamhaus-Blacklists sind ein wichtiges Mittel zur Bekämpfung von Spam. Allerdings können sie auch legitime E-Mails blockieren, wenn der eigene Server als „offener Resolver“ erkannt wird oder der Hosting-Provider Änderungen an den DNS-Einstellungen verhindert.

In meinem Fall konnte ich das Problem durch die Nutzung des Spamhaus Data Query Service lösen. Falls du ähnliche Probleme hast, solltest du entweder deine DNS-Konfiguration überprüfen oder eine alternative Lösung wie den Data Query Service in Betracht ziehen. Ich hoffe, dieser Beitrag hilft dir weiter!