Spamhaus DNS blacklist fra en OVH VPS? (Debian med Webmin samt Virtualmin)


Indledning

Jeg har en VPS ved OVH som virker efter hensigten, til mindre private foretagende - og en smule andet. Den bliver drevet af Debian m. hhv. Webmin og Virtualmin. Jeg har igennem tiden brugt lang tid på at få sat SPF, DKIM - og en masse andet op. Basic SSL-ting kan også virke besværligt, når man pludselig skal have styr på alle domæner. Det hele spiler efter sigende (med mit kendskab), med den ene undtagelse at Spamhaus ikke vil snakke med mig. Jeg må indrømme at det er gået i glemmebogen, men da jeg i dag løb igennem et par logs, kunne jeg ikke undlade at stoppe op:

Aug 14 17:38:13  postfix/smtpd[3855]: warning: a.2.8.0.0.0.0.0.0.0.0.0.0.0.0.0.f.1.e.f.0.0.4.f.1.1.1.0.1.0.a.2.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=a.2.8.0.0.0.0.0.0.0.0.0.0.0.0.0.f.1.e.f.0.0.4.f.1.1.1.0.1.0.a.2.zen.spamhaus.org type=A: Host not found, try again

I praksis betyder det jo at mit spamfilter hvad blacklists angår, er helt og aldeles spild af tid og ressourcer, når jeg ikke kan lave et lookup mod Spamhaus.org.

Er du en stor fisk?

Efter at have Googlet en del, kom jeg forbi dette indlæg v. Digital Ocean, hvor brugere jks spørger om hvorfor han ikke kan nå Spamhaus.org. Det viser sig at f.eks. DigitalOcean, OVH og mange andre ikke resolver DNS-request mod Spamhaus’ zen-domain: zen.spamhaus.org

I praksis betyder det, at man ikke kan benytte deres tjeneste. Det er nemt at tjekke om du er berørt af et lignende tilfælde, ved at afvikle følgende kode: dig +short 2.0.0.127.zen.spamhaus.org

Såfremt du ikke når frem, vil resultatet være “tomt”. Hvis du derimod får et svar, ved du at tjenesten virker.

Nedenfor ses et eksempel, hhv. før og efter ændringerne (som vi kommer til om lidt):

~# dig +short 2.0.0.127.zen.spamhaus.org
~# dig +short 2.0.0.127.zen.spamhaus.org
127.0.0.2
127.0.0.10
127.0.0.4

Som det kan ses, får jeg ingen resultat ud af min dig kommando i første forsøg. Løsningen er at benytte sig af en anden DNS server i stedet.

Få adgang til zen.spanhaus.org vha. en alternativ DNS-server

Disclaimer: Hvis du driver en mailserver er det som udgangspunkt “bad practice” at benytte en DNS-server fra nabolaget. Det er i stedet en god idé at drive sin egen. I nedenstående eksempel vil dette dog blive brugt som den tekniske løsning.

For at få adgang til zen.spamhaus.org skal du blot ændre din DNS-resolver på din maskine. Det kræver kun et par enkelte steps. Normalt vil ændringer træde i kræft med det samme. Normalt vil det være nok at ændre en linje i /etc/network/interfaces men da min VPS modtager info via DHCP, er det desværre ingen brugbar løsning Vi skal i stedet overrule den mode DHCP-forhandlingen sker, og tilføje vores egen præference.

Dette gøres ved at tilføje en enkelt linje til: `

Følgende kommando giver dig adgang til /etc/dhcp/dhclient.conf:

sudo nano /etc/dhcp/dhclient.conf

På sidste linje i filen, skriver du da:

supersede domain-name-servers 208.67.222.222, 208.67.222.220;

For at sikre at ændringerne træder i kræft, skal du genstarte netværksenhederne med:

service networking restart

Hereftr vil du i /etc/resolv.conf kunne se, at den nye DNS-server er taget i brug (I dette tilfælde OpenDNS)

Når ændringerne er foretaget, kan du forsøge endnu engang med dig +short 2.0.0.127.zen.spamhaus.org. Denne gang skulle du gerne få et resultat retur.

God fornøjelse.