Discussion:
Spamhaus blockiert Hetzner
(zu alt für eine Antwort)
Andreas M. Kirchwitz
2018-01-14 05:27:45 UTC
Permalink
Hallo Nutzer von DNS-Blacklists!

Anscheinend hat sich Spamhaus, ein Betreiber von DNS-Blacklists,
am 14.12.2017 dazu entschieden, große Teile von Hetzners
IP-Adress-Bereichen vom Zugriff auf ihre Blacklists auszusperren,
inklusive Hetzners eigener Kunden-DNS-Server. Aus Hetzners Netzen
bekommt man keine Antwort mehr von Spamhaus.

Ein paar Kunden-Bereiche scheinen noch zu funktionieren,
doch die kann es jederzeit ebenfalls erwischen.

Wer also einen Mailserver bei Hetzner betreibt, kann Spamhaus
evtl. nicht mehr abfragen. Wer dort einen Server hat, prüft das so:

dig +short @<nameserver> 2.0.0.127.zen.spamhaus.org
(es sollten drei Zeilen kommen mit 127.0.0.2/.4/.10)

Spamhaus war bisher immerhin so fair, nicht auch umgekehrt alle
IP-Adressen von Hetzner zusätzlich als potentielle Spam-Quellen
zu listen. (Man kann also zumindest weiterhin Mail versenden.)

Im Web habe ich dazu nichts weiter gefunden als eine kurze
Diskussion in einem Postfix-Forum sowie einen Tweet:

http://postfix.1071664.n5.nabble.com/DNSBL-Problem-td94112.html
https://twitter.com/joergenlang/status/946789191853146118

Weiß hier jemand mehr über die Ursachen?

Mir ist klar, dass Hoster gelegentlich pauschal von Diensten
vorübergehend ausgesperrt werden wegen Dummheiten einzelner Kunden,
doch die Sperre von Spamhaus besteht inzwischen seit einem Monat.

Bei Spamhaus habe ich spontan nichts gefunden, um anzufragen,
was denn das Problem sein könnte und ob es eine Lösung gibt.
Die üblichen Formulare zum Freischalten/Überprüfen einzelner IPs
sind nicht zielführend.

Vielleicht hat hier jemand Erfahrung mit solchen internen Sperren
bei Spamhaus?

Tipps willkommen ... Andreas


PS: Die Idee mit dem DNS-Forwarding verwende ich als Workaround,
doch eine saubere Lösung ist wünschenswert. (Zumal das Problem
bei jedem anderen Hoster ebenfalls irgendwann auftreten könnte.)
Karl-Josef Ziegler
2018-01-14 09:11:24 UTC
Permalink
Wenn man in den letzten Monaten/Jahren entsprechende Foren mitverfolgt
hat, so ist dort Hetzner nicht unbedingt positiv aufgefallen, was das
Abuse-Management und Spam betrifft. Kann sein, dass die Geduld von
Spamhaus nun zu Ende ist und man einen 'Warnschuss' setzen wollte.
Andreas Kohlbach
2018-01-14 19:52:58 UTC
Permalink
Post by Karl-Josef Ziegler
Wenn man in den letzten Monaten/Jahren entsprechende Foren mitverfolgt
hat, so ist dort Hetzner nicht unbedingt positiv aufgefallen, was das
Abuse-Management und Spam betrifft. Kann sein, dass die Geduld von
Spamhaus nun zu Ende ist und man einen 'Warnschuss' setzen wollte.
Bei mir war Hetzner einer der Wenigen, wo man noch Antworten auf
Complaints bekam, und auch nachprüfbar reagiert wurde.

In den letzten Monaten hatte ich IIRC aber keinen Spam über Hetzner, den
ich weitergeleitet hätte. Vielleicht haben die sich gerade seit dem zum
Schlechteren gewendet?
--
Andreas
You know you are a redneck if
taking your wife on a cruise means circling the dairy queen.
Chr. Maercker
2018-01-15 08:09:33 UTC
Permalink
Post by Andreas Kohlbach
Bei mir war Hetzner einer der Wenigen, wo man noch Antworten auf
Complaints bekam, und auch nachprüfbar reagiert wurde.
FULL ACK und zwar mehr als nur Autoresponses und nicht von
Marketingdeppen verfasst.
Post by Andreas Kohlbach
In den letzten Monaten hatte ich IIRC aber keinen Spam über Hetzner, den
ich weitergeleitet hätte. Vielleicht haben die sich gerade seit dem zum
Schlechteren gewendet?
Hetzner fällt seit Monaten (Jahren?) des öfteren durch Spam-Einwürfe
auf, soviel ist an dem Gerücht wahr. Irknwas macht Hetzner für Banditen
interessant.
--
CU Chr. Maercker.
Karl-Josef Ziegler
2018-01-15 09:07:30 UTC
Permalink
Post by Chr. Maercker
Hetzner fällt seit Monaten (Jahren?) des öfteren durch Spam-Einwürfe
auf, soviel ist an dem Gerücht wahr. Irknwas macht Hetzner für Banditen
interessant.
Sie sind halt gross, sehr gross. Und damit steigt die
Wahrscheinlichkeit, sich 'faule Kundschaft' einzufangen. Was auch immer
ein Monitum war: dass man Beschwerden an den Spammer weiterleitet und so
z. Bsp. Listwashing fördert.
Chr. Maercker
2018-01-15 12:25:52 UTC
Permalink
Post by Karl-Josef Ziegler
Sie sind halt gross, sehr gross. Und damit steigt die
Wahrscheinlichkeit, sich 'faule Kundschaft' einzufangen.
ACK, ähnliche Probleme gab es zeitweise mit Telekom und 1&1 bzw. damals
noch Schlund & Partner. Wobei die wirklich beschwerderenitent waren.
Post by Karl-Josef Ziegler
ein Monitum war: dass man Beschwerden an den Spammer weiterleitet und so
z. Bsp. Listwashing fördert.
Auch nicht übel, ein paar davon auf diesem Wege loszuwerden. ;-)
Bei GMX frage ich mich übrigens auch, warum meine dortige Box nur noch
relativ wenig Spam bekommt, obwohl die Adresse usenet-bekannt ist und
für diverse Registrierungen verwendet wurde.
--
CU Chr. Maercker.
David Seppi
2018-01-15 15:45:52 UTC
Permalink
Post by Chr. Maercker
Bei GMX frage ich mich übrigens auch, warum meine dortige Box nur noch
relativ wenig Spam bekommt, obwohl die Adresse usenet-bekannt ist und
für diverse Registrierungen verwendet wurde.
Die filtern ohne Rücksicht auf false positives.
--
David Seppi
1220 Wien
Thomas Gohel
2018-01-15 14:04:00 UTC
Permalink
Hallo Christian,
Post by Chr. Maercker
Auch nicht übel, ein paar davon auf diesem Wege loszuwerden. ;-)
Bei GMX frage ich mich übrigens auch, warum meine dortige Box nur
noch relativ wenig Spam bekommt, obwohl die Adresse usenet-bekannt
ist und für diverse Registrierungen verwendet wurde.
Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
wird nicht einmal von den Spammer mehr genutzt.

An meine Usenet-Adresse kommt auf meinem eigenen Mailserver auch nur
sehr selten Spam an. ;-)


Tschau,

--------------
/ h o m a s
--
email : ***@gohel.de / ***@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses
Chr. Maercker
2018-01-16 08:23:10 UTC
Permalink
Post by Thomas Gohel
Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
wird nicht einmal von den Spammer mehr genutzt.
Die Adresse wurde überall verwendet, wo akute Verbrennungsgefahr
besteht, also beileibe nicht nur im Usenet.
Ist einklich Harvesting von Websites noch ein Thema für Spammer? Oder
bedienen die sich lieber aus Adressbüchern vervirter Systeme o.a. Quellen?
--
CU Chr. Maercker.
Michael Limburg
2018-01-16 12:22:52 UTC
Permalink
Post by Chr. Maercker
Ist einklich Harvesting von Websites noch ein Thema für Spammer? Oder
ja
Thomas Gohel
2018-01-17 19:21:00 UTC
Permalink
Hallo Chr.,
Post by Chr. Maercker
Ist einklich Harvesting von Websites noch ein Thema für Spammer? Oder
bedienen die sich lieber aus Adressbüchern vervirter Systeme o.a. Quellen?
Ich halte das Abgreifen der Mailadressen via infizierter Rechner
für das eigentliche Problem. Dazu muss ja nicht der eigene Rechner
infiziert sein, sondern "nur" ein Rechner auf dem eine Mail von dir
vorhanden ist.

Ich habe es jetzt zweimal erlebt, dass eine neue Domain aufgesetzt
wurde und die neuen Mailadressen erhielten bereits nach zwei Tagen
die ersten Spams, Tendenz danach sofort stark steigend. Dabei waren
die neuen Adressen noch nicht einmal veröffentlicht, da die Umstellung
erst in den nächsten Wochen erfolgen sollte.

Tschau,

--------------
/ h o m a s
--
Permanent Online Filter fuer: User ohne Realnamen im From:-Feld, Full-
quotes (zitieren des originalen Postings unter der eigenen Antwort),
Visitenkarten, HTML-Postings, Invalid- und ungueltige Email-Adressen
Chr. Maercker
2018-01-18 08:23:13 UTC
Permalink
Post by Thomas Gohel
Ich halte das Abgreifen der Mailadressen via infizierter Rechner
für das eigentliche Problem. Dazu muss ja nicht der eigene Rechner
infiziert sein, sondern "nur" ein Rechner auf dem eine Mail von dir
vorhanden ist.
Ich gehe auch davon aus, dass infizierte PCs längst die Hauptquelle
sind. Website-Harvesting betreiben am ehesten noch die lausigen Amateure
aus Nigeria und Umgebung.
Post by Thomas Gohel
Ich habe es jetzt zweimal erlebt, dass eine neue Domain aufgesetzt
wurde und die neuen Mailadressen erhielten bereits nach zwei Tagen
die ersten Spams, Tendenz danach sofort stark steigend. Dabei waren
die neuen Adressen noch nicht einmal veröffentlicht, da die Umstellung
erst in den nächsten Wochen erfolgen sollte.
Aber sie standen schon in den Adressbüchern einzelner PCs, oder? Und
ausgerechnet die waren vervirt?
--
CU Chr. Maercker.
Thomas Gohel
2018-01-18 16:25:00 UTC
Permalink
Hallo Chr.,
Post by Chr. Maercker
Post by Thomas Gohel
Ich habe es jetzt zweimal erlebt, dass eine neue Domain aufgesetzt
wurde und die neuen Mailadressen erhielten bereits nach zwei Tagen
die ersten Spams, Tendenz danach sofort stark steigend. Dabei waren
die neuen Adressen noch nicht einmal veröffentlicht, da die
Umstellung erst in den nächsten Wochen erfolgen sollte.
Aber sie standen schon in den Adressbüchern einzelner PCs, oder? Und
ausgerechnet die waren vervirt?
Keine Ahnung, aber so extrem schnell wie die Adressen bzw. die Domain
verbrannt war, lief an zentraler Stelle vermutlich mindestens eine
Outlook-Installation an einem verseuchten Rechner. Anders lässt sich
der Effekt nicht erklären, ausser der dafür zuständige neue Mailserver,
bzw das Kundenmenü hatte ein großes Loch, was ich bei Strato nicht so
recht glaube. ;-)


Tschau,

--------------
/ h o m a s
--
email : ***@gohel.de / ***@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses
Andreas M. Kirchwitz
2018-01-18 17:51:07 UTC
Permalink
Post by Thomas Gohel
Ich halte das Abgreifen der Mailadressen via infizierter Rechner
für das eigentliche Problem. Dazu muss ja nicht der eigene Rechner
infiziert sein, sondern "nur" ein Rechner auf dem eine Mail von dir
vorhanden ist.
Durchaus denkbar, dass neben Teilnahme an einem Bot-Netz o.ä.
bei infizierten Rechnern auch die Adressbücher abgegriffen werden.
(Allerdings exklusiv für Adressbücher wäre der Aufwand recht hoch.)

Unqualifizierte Mailadressen sind wenig wert.

Wertvoller sind Mail-Adressen aus Kundendatenbanken von Firmen.
Ob nun Firmen selbst die Mailadressen verkaufen, oder ob untreue
Mitarbeiter Datenbank-Auszüge verkaufen, oder ob vielleicht
beauftragte Dienstleister (z.B. für Marketing-Aktionen oder
Business-Analyse) mit Kundendaten schlampig umgehen.

Bei mir werden seit Jahren verstärkt solche Adressen bespammt,
und das kann ich konkret Firmen zuordnen, auch großen, die es besser
wissen sollten. (Es kommen teilweise Daten vor, die jegliches
zufälliges Erraten der Mailadresse sicher ausschließen.)

Das Geschäft mit Daten ist lukrativ ... Andreas
Michael Unger
2018-01-17 16:29:48 UTC
Permalink
Post by Thomas Gohel
Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
wird nicht einmal von den Spammer mehr genutzt.
An meine Usenet-Adresse kommt auf meinem eigenen Mailserver auch nur
sehr selten Spam an. ;-)
Gerade letzte Nacht kam nach längerer Zeit mal wieder etwas herein -- an
"2009Q1", "Received: from mx1.casadomingos.com.br ([201.30.202.67])",
"Received: from [103.207.38.152] by mx1.casadomingos.com.br", "Reply-To:
in-***@qdwxs.com".

Man versuchte mir zu erläutern, dass mir eine amerikanische
Wohlfahrts-Organisation ("International Social Development Charity")
viereinhalb Milliönchen "for children's Education skills, good Health
Care, for you to start up a business, to buy car and house to live a
good standard of living" zugedacht hätte. Ich müsste nur noch eine Menge
persönlicher Daten nachreichen. (Ganz besonders wichtig ist anscheinend
die Mobiltelefon-Nummer. Die Bankverbindung für die Überweisung war
hingegen nicht gefragt. Dass die nicht auch noch die Schuhgröße wissen
wollten ... ;-)

So gelegentlich scheinen die Nigerianer uralte Adressen wieder
auszugraben. Was SpamGourmet macht, haben die aber bis heute wohl nicht
verstanden.

Michael
Wolfgang Jäth
2018-01-17 17:01:45 UTC
Permalink
Post by Michael Unger
Post by Thomas Gohel
Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
wird nicht einmal von den Spammer mehr genutzt.
An meine Usenet-Adresse kommt auf meinem eigenen Mailserver auch nur
sehr selten Spam an. ;-)
Gerade letzte Nacht kam nach längerer Zeit mal wieder etwas herein -- an
"2009Q1", "Received: from mx1.casadomingos.com.br ([201.30.202.67])",
Man versuchte mir zu erläutern, dass mir eine amerikanische
Wohlfahrts-Organisation ("International Social Development Charity")
viereinhalb Milliönchen "for children's Education skills, good Health
Care, for you to start up a business, to buy car and house to live a
good standard of living" zugedacht hätte. Ich müsste nur noch eine Menge
persönlicher Daten nachreichen. (Ganz besonders wichtig ist anscheinend
die Mobiltelefon-Nummer.
http://www.telefonpaul.de/
http://www.frankgehtran.de/

Wolf 'auch wenn die mit ner deutschen Ansage wahrscheinlich nicht viel
anfangen können' gang
--
If I could, I would wish for ONE news INDEED being a fake, namely for
the news of this immature cockalorum in fact became President of the
United States.
Michael Unger
2018-01-17 19:16:27 UTC
Permalink
Post by Wolfgang Jäth
[...]
[...] (Ganz besonders wichtig ist anscheinend
die Mobiltelefon-Nummer.
http://www.telefonpaul.de/
http://www.frankgehtran.de/
Wolf 'auch wenn die mit ner deutschen Ansage wahrscheinlich nicht viel
anfangen können' gang
Gibt es nicht auch "Premium-Services", die über Satelliten-Telefon
erreichbar sind? Oder Mailboxen auf exotischen Inseln? Man muss den
Nigerianern ja nicht unbedingt Low-Cost-Services benennen.

Michael


[1] <https://de.wikipedia.org/wiki/Iridium_(Kommunikationssystem)>
[2] <https://de.wikipedia.org/wiki/Inmarsat>
Wolfgang Jäth
2018-01-18 04:53:44 UTC
Permalink
Post by Michael Unger
Post by Wolfgang Jäth
[...]
[...] (Ganz besonders wichtig ist anscheinend
die Mobiltelefon-Nummer.
http://www.telefonpaul.de/
http://www.frankgehtran.de/
Wolf 'auch wenn die mit ner deutschen Ansage wahrscheinlich nicht viel
anfangen können' gang
Gibt es nicht auch "Premium-Services", die über Satelliten-Telefon
erreichbar sind? Oder Mailboxen auf exotischen Inseln?
Gips sicher; aber ich kenn keine Nummern davon.
Post by Michael Unger
Man muss den
Nigerianern ja nicht unbedingt Low-Cost-Services benennen.
Du könntest höchstens mal nachts durchs Fernsehen zappen, da werden
AFAIK öfter mal nicht ganz so billige Nummern von Sex-Hotlines beworben.
Ob die allerdings aus dem Ausland überhaupt anrufbar sind, hab ich keine
Ahnung.

Wolfgang
--
If I could, I would wish for ONE news INDEED being a fake, namely for
the news of this immature cockalorum in fact became President of the
United States.
Andreas Kohlbach
2018-01-15 23:48:55 UTC
Permalink
Post by Chr. Maercker
Post by Karl-Josef Ziegler
Sie sind halt gross, sehr gross. Und damit steigt die
Wahrscheinlichkeit, sich 'faule Kundschaft' einzufangen.
ACK, ähnliche Probleme gab es zeitweise mit Telekom und 1&1 bzw. damals
noch Schlund & Partner. Wobei die wirklich beschwerderenitent waren.
Dabei fällt mir persönlich 1&1 eher weniger auf. Wenn meistens nur
Dropboxen von Nigeria Spammern, und nicht selbst über 1&1 gesendet.

Anderseits zieht 1&1 Nigeria Spammer mit Mail Accounts (wie
@diplomats.com, löst nach mail.com auf, was 1&1 ist) natürlich an. Wie
kam man bloß auf die Idee, diese Accounts zu hosten, wenn man wissen
sollte, dass es sie anzieht? 1&1 hat noch zumindest noch eine ähnliche
Domain, die diese Scammer anzieht, deren Name mir eben nicht einfallen
will.
--
Andreas
You know you are a redneck if
your house doesn't have curtains, but your truck does.
Chr. Maercker
2018-01-16 08:26:35 UTC
Permalink
Post by Andreas Kohlbach
Dabei fällt mir persönlich 1&1 eher weniger auf. Wenn meistens nur
Dropboxen von Nigeria Spammern, und nicht selbst über 1&1 gesendet.
Schlund & Partner fielen vor allem zwischen 2000 und 2006 negativ auf.
Einzelne IPs sind aus dieser Zeit in meinem privaten Filter geblieben.
Hat aber kaum false positives produziert und wenn, wurde die betr.
IP-Range halt gelöscht.
--
CU Chr. Maercker.
Marcus Jodorf
2018-01-17 21:27:57 UTC
Permalink
Post by Andreas Kohlbach
Anderseits zieht 1&1 Nigeria Spammer mit Mail Accounts (wie
@diplomats.com, löst nach mail.com auf, was 1&1 ist) natürlich an. Wie
kam man bloß auf die Idee, diese Accounts zu hosten, wenn man wissen
sollte, dass es sie anzieht? 1&1 hat noch zumindest noch eine ähnliche
Domain, die diese Scammer anzieht, deren Name mir eben nicht einfallen
will.
Die hatten mal ganz viele solcher Schrottdomains laufen.
mail.com ist heute ein halbwegs normaler, völlig werbeverseuchter
Freemailer. Wie das halt so üblich ist.

Vor zig Jahren war das aber mal ein Laden, wo man sich sehr simpel
praktisch anonym anmelden konnte. Und dabei konnte man den gewünschten
Domainpart unter Dutzenden einfach nach Lust und Laune auswählen. Die
hatten da ellenlange Listen mit den abstrusesten Sachen drin.

Damals haben sich da viele Leute mit Postfächern mit lustigen Domains
eingedeckt (quasi drei Klicks und man hatte schnell eine weitere
Emailadresse zu Nutzung) und die existieren wahrscheinlich heute noch in
Mengen.
Da es da wahrscheinlich auch noch viele normale aktive Nutzer gibt und
vermutlich nicht nur Spammer, können sie es heute auch vermutlich nicht
mal eben schnell ausknipsen.

Aber das stammt halt noch aus Zeiten, wo man Accounts überall wie
Konfetti verteilt hat, alle nur Marktanteile wollten und Spammer an sich
noch kein großes Thema waren. Die waren da beileibe nicht die Einzigen,
wo man praktisch per einfachem Klick mal eben ein Postfach bekommen
konnte. Sowas war mal gar nicht so unüblich.



Gruß,

Marcus
⚂⚃
Karl-Josef Ziegler
2018-01-18 17:43:09 UTC
Permalink
Post by Marcus Jodorf
Die hatten mal ganz viele solcher Schrottdomains laufen.
mail.com ist heute ein halbwegs normaler, völlig werbeverseuchter
Freemailer. Wie das halt so üblich ist.
Das scheint es immer noch zu geben:

http://www.mail.com/email/

Angeblich Mailadressen bei 200 Domains, das Unternehmen wurde aber
anscheinend von UI aufgekauft.
Andreas Kohlbach
2018-01-18 21:22:57 UTC
Permalink
Post by Karl-Josef Ziegler
Post by Marcus Jodorf
Die hatten mal ganz viele solcher Schrottdomains laufen.
mail.com ist heute ein halbwegs normaler, völlig werbeverseuchter
Freemailer. Wie das halt so üblich ist.
http://www.mail.com/email/
Ist der Abuse Desk von 1&1 überhaupt, wie Spamcop sagt (wenn man eine
Dropbox der Mugus einwirft, die z.B. auf usa.com endet) für Krempel von
mail.com verantwortlich?

Spamcops Parser scheine usa.com -> mail.com -> Abusevon 1&1

zu sagen. Und von Hand:

~$ host usa.com
usa.com has address 69.10.42.209
usa.com mail is handled by 10 mx00.mail.com
(whois von 69.10.42.209 geht auf interserver.net...)

Weiter:

~$ host mx00.mail.com
mx00.mail.com has address 74.208.5.20

was 1&1 ist. Ich würde trotzdem vermuten, mail.com hat einen eigenen
Abuse Desk. Ob der funktioniert, steht natürlich auf einem anderen Blatt.
--
Andreas
You know you are a redneck if
you refer to the time you won a free case of oil as the
"day my ship came in."
Andreas M. Kirchwitz
2018-01-14 23:58:04 UTC
Permalink
Post by Karl-Josef Ziegler
Wenn man in den letzten Monaten/Jahren entsprechende Foren mitverfolgt
hat, so ist dort Hetzner nicht unbedingt positiv aufgefallen, was das
Abuse-Management und Spam betrifft. Kann sein, dass die Geduld von
Spamhaus nun zu Ende ist und man einen 'Warnschuss' setzen wollte.
Na ja, laut meinen Mailserver-Logs kommt allgemein aus Deutschland
nur noch sehr wenig Spam, und ich sehe auch keinen größeren Hoster
aus Deutschland überproportional vertreten.

Deshalb wundert es mich, warum Spamhaus hier ausgerechnet Hetzner
pauschal abstraft. Wenn einzelne Server gekapert werden, kann ja
prima deren feste IP gesperrt werden - das wäre genau der Sinn von
DNS-Blacklists.

Mag natürlich sein, dass es kürzlich mit Hetzner einen Beef gab,
weil die auf irgendwas nicht so reagiert haben, wie Spamhaus das
gern hätte. Normalerweise liest man dann aber auch auf Newstickern
darüber. Doch zum aktuellen Fall finde ich nichts.

Je nach Konfiguration fällt die Sperre vermutlich den meisten
überhaupt nicht zeitnah auf.

Wenn Spamhaus also ein "Zeichen" setzen wollte - tja, also ich
fürchte, heutzutage klappt das nicht mehr durch leises Aussperren,
dazu sind die Konfigs zu robust. Früher hätten viele Mailserver
allerlei Unsinn angestellt, wenn eine DNSBL ausfällt, aber
heutzutage fehlt einfach stillschweigend ein Score von vielen.

Welche Foren liest Du denn so, wo die Leute ihre Erfahrungen
austauschen? Sofern der Aufwand vertretbar ist, würde ich gerne
herausfinden, was konkret hier zwischen Hetzner und Spamhaus
schiefgelaufen ist.

Grüße, Andreas
Karl-Josef Ziegler
2018-01-15 07:34:54 UTC
Permalink
Post by Andreas M. Kirchwitz
Na ja, laut meinen Mailserver-Logs kommt allgemein aus Deutschland
nur noch sehr wenig Spam, und ich sehe auch keinen größeren Hoster
aus Deutschland überproportional vertreten.
Wenn man z. Bsp. auf die Spamcop-Statistiken schaut, dann taucht dort
Hetzner immer mal wieder auf:

#### Top entries with reports count [Top 5 plus all above 0.5% reports]
1. 194.88.106.17 47_427 3.821% NL AS49981
2. 91.229.23.8 45_847 3.693% NL AS49981
3. 91.229.23.9 44_735 3.604% NL AS49981
4. 109.236.85.156 33_661 2.712% NL AS49981
5. 78.47.140.64 15_832 1.275% DE AS24940
6. 77.120.226.50 10_020 0.807% UA AS25229
7. 45.35.105.216 7_875 0.634% US AS40676
8. 45.35.105.217 6_670 0.537% US AS40676
200. 208 0.017%

#### Entries count by Autonomous (Routing) System [3 entries minimum OR
listed above]
1. AS3462 110 HINET Data Communication Business Group, TW
2. AS4134 10 CHINANET-BACKBONE No.31,Jin-rong Street, CN
2. AS31725 10 SHTORM-AS, UA
4. AS17621 8 CNCGROUP-SH China Unicom Shanghai network, CN
5. AS4766 7 KIXS-AS-KR Korea Telecom, KR
6. AS714 6 APPLE-ENGINEERING - Apple Inc., US
7. AS2519 4 VECTANT ARTERIA Networks Corporation, JP
7. AS49981 4 WORLDSTREAM, NL
9. AS16276 3 OVH, FR
9. AS36352 3 AS-COLOCROSSING - ColoCrossing, US
11. AS40676 2 AS40676 - Psychz Networks, US
15. AS24940 1 HETZNER-AS, DE
15. AS25229 1 VOLIA-AS, UA
- 31 (15.5%)

Da ist aus DE Hetzner vertreten. Oder wenn man im deutschen
Antispam-Forum über Jahre hinweg mitliest, da taucht immer wieder der
Name Hetzner (und auch OVH) auf.
Daniel Weber
2018-01-15 12:55:27 UTC
Permalink
Post by Karl-Josef Ziegler
Da ist aus DE Hetzner vertreten. Oder wenn man im deutschen
Antispam-Forum über Jahre hinweg mitliest, da taucht immer wieder der
Name Hetzner (und auch OVH) auf.
Klar, das ergibt sich einfach durch die Größe (= Anzahl der Kunden),
dazu muss der Anteil der "faulen" Kunden nicht größer (und damit das
Abuse-Handling schlechter) sein als bei der Konkurrenz.

Ciao,
Daniel
Thomas Hochstein
2018-01-14 12:00:41 UTC
Permalink
Post by Andreas M. Kirchwitz
Wer also einen Mailserver bei Hetzner betreibt, kann Spamhaus
(es sollten drei Zeilen kommen mit 127.0.0.2/.4/.10)
Auf zwei von drei Systemen problemlos; das betroffene ist älter.
Post by Andreas M. Kirchwitz
Weiß hier jemand mehr über die Ursachen?
Nein, da muss ich leider passen.

-thh
Stephan Seitz
2018-01-15 16:06:30 UTC
Permalink
Post by Andreas M. Kirchwitz
(es sollten drei Zeilen kommen mit 127.0.0.2/.4/.10)
Mein vServer bei Hetzner ist auch betroffen.

Stephan
--
| Stephan Seitz E-Mail: stse+***@fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |
Florian Weimer
2018-01-20 08:54:03 UTC
Permalink
Post by Andreas M. Kirchwitz
Bei Spamhaus habe ich spontan nichts gefunden, um anzufragen,
was denn das Problem sein könnte und ob es eine Lösung gibt.
Die üblichen Formulare zum Freischalten/Überprüfen einzelner IPs
sind nicht zielführend.
Vermutlich wurde schlicht gegen die DNSBL-Nutzungsbedingungen
verstoßen:

<https://www.spamhaus.org/organization/dnsblusage/>

100.000 SMTP-Verbindungen pro Tag sind nicht viel.

Abhilfe gibt es hier:

<https://www.spamhaustech.com/protecting-mail-streams/>
Stephan Seitz
2018-01-24 10:22:18 UTC
Permalink
Post by Andreas M. Kirchwitz
Anscheinend hat sich Spamhaus, ein Betreiber von DNS-Blacklists,
am 14.12.2017 dazu entschieden, große Teile von Hetzners
IP-Adress-Bereichen vom Zugriff auf ihre Blacklists auszusperren,
inklusive Hetzners eigener Kunden-DNS-Server. Aus Hetzners Netzen
bekommt man keine Antwort mehr von Spamhaus.
Da auf der Spamassassin-ML ein anderes Spamhaus-Problem angesprochen
worden ist und einer von Spamhaus daran beteiligt war, habe ich unser
Problem hier auch gleich vorgetragen.

Ich habe dann später von einer Key Account Managerin von Spamhaus eine
Mail bekommen, in der u.a. stand:

Your queries are coming from Hetzner’s IP ranges. After many
discussions with Hetzner, queries coming from Hetzner ranges are
ignored by the Spamhaus public mirror infrastructure.

Mir haben sie dann auch gleichzeitig einen offiziellen Account
angelegt, mit dem ich unter den Bedingungen für die freien Zugänge die
Abfragen über die Bezahlinfrastruktur abwickeln kann.

Shade and sweet water!

Stephan
--
| Stephan Seitz E-Mail: stse+***@fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |
Paul Muster
2018-01-24 18:34:07 UTC
Permalink
Post by Stephan Seitz
Ich habe dann später von einer Key Account Managerin von Spamhaus eine
Your queries are coming from Hetzner’s IP ranges. After many
discussions with Hetzner, queries coming from Hetzner ranges are
ignored by the Spamhaus public mirror infrastructure.
Na, das wussten wir ja schon. Die Frage war, *warum*.
Post by Stephan Seitz
Mir haben sie dann auch gleichzeitig einen offiziellen Account
angelegt, mit dem ich unter den Bedingungen für die freien Zugänge die
Abfragen über die Bezahlinfrastruktur abwickeln kann.
Das ist nett, hilft aber den anderen Hetzner-Kunden nicht...


mfG Paul

Loading...