• Advertisement

Listen von blocklist.de per DNS abfragen/einbinden

Anleitungen zu Fail2Ban, blocklist.de und x-arf

Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 8. Oct 2010, 18:04

Wir bieten nun auch die komplette Liste aller IP's als DNS an:
http://www.blocklist.de/de/api.html

Eine Abfrage aller Listen für die IP 178.63.159.40 kann z.B. wie folgt erfolgen:
Code: Select all
host -t any 40.159.63.178.bl.blocklist.de


Um die Liste im Postfix einzusetzten kann man in der main.cf an der entsprechenden Stelle folgendes eintragen:
Code: Select all
reject_rbl_client allinone.bl.blocklist.de,


oder im Policyd-Weight
Code: Select all
## DNSBL settings
   @dnsbl_score = (
#    HOST,                    BAD SCORE,  GOOD SCORE,   LOG NAME
    'pbl.spamhaus.org',       8.25,          0,        'PBL_SPAMHAUS',
    'sbl-xbl.spamhaus.org',   5.35,       -1.8,        'SBL_XBL_SPAMHAUS',
    'bl.spamcop.net',         7.75,       -1.8,        'SPAMCOP',
    'ix.dnsbl.manitu.net',    7.35,       -0.4,        'IX_MANITU',
    'zen.spamhaus.org',       6.35,          0,        'ZEN_SPAMHAUS',
   'allinone.bl.blocklist.de',          5.5,           0,        'blocklist_DE',
);
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Falconbase » 12. Oct 2010, 20:38

Das ganze kann auch über Spamassassin eingerichtet werden hier zu kann man in seiner local.cf folgendes eintragen:

Spamassassin
Code: Select all
header RCVD_IN_DNSBL_Blocklist_de eval:check_rbl('127.0.0.2','allinone.bl.blocklist.de')
describe RCVD_IN_DNSBL_Blocklist_de Sender listed on Blocklist DNSBL
tflags RCVD_IN_DNSBL_Blocklist_de net
score RCVD_IN_DNSBL_Blocklist_de 3.0


Durch diesen Eintrag wird der SPAM-Score um 3 Punkte erhöht.

Danach sollte Amavis/Spamassassin neu gestartet werden.
Grüße Falconbase

http://www.kunesch.net
User avatar
Falconbase
 
Posts: 97
Joined: 14. Sep 2010, 11:20
Location: Wallersdorf

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 5. Nov 2010, 02:43

Man kann nun auch die Blacklist nach den Diensten sortiert abfragen:

Apache (rfi, w00tw00t...) => apache.bl.blocklist.de + Liste von http://honeystats.info/other
alle IPs => bl.blocklist.de oder
alle IPs => all.bl.blocklist.de (mit unterschiedlichen Return-Codes)
allinone IPs => allinone.bl.blocklist.de (nur 127.0.0.2)
ftp => ftp.bl.blocklist.de
imap (pop3, sasl...) => imap.bl.blocklist.de
mail (5xx-Fehler, Relaying...) => mail.bl.blocklist.de
ssh => ssh.bl.blocklist.de
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 1. Jul 2011, 13:56

Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
badbot = 127.0.0.5
ftp = 127.0.0.6
imap = 127.0.0.7
ircbot = 127.0.0.8
mail = 127.0.0.9
pop3 = 127.0.0.10
regbot = 127.0.0.11
rfi-attack = 127.0.0.12
sasl = 127.0.0.13
ssh = 127.0.0.14
w00tw00t = 127.0.0.15
portflood = 127.0.0.16
sql-injection = 127.0.0.17
webmin = 127.0.0.18
trigger-spam = 127.0.0.19
manuell = 127.0.0.20
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 5. Jul 2011, 16:53

Wer nur den Return-Code 127.0.0.2 benötigt, verwendet bitte:
allinone.bl.blocklist.de
:-)
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Jens » 23. Jul 2011, 12:36

Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf
Code: Select all
<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule>
Jens
 
Posts: 3
Joined: 19. Jul 2011, 22:53

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby cabal » 13. Mar 2012, 13:47

habe hierzu noch eine Frage ... was passiert wenn apache.bl.blocklist.de offline ist?

Jens wrote:Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf
Code: Select all
<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule>
cabal
 
Posts: 18
Joined: 11. Mar 2012, 14:12

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 13. Mar 2012, 18:37

Aktuell haben wir drei Server, auf den die RBL-Listen laufen.
Diese drei stehen bei unterschiedlichen Providern bzw. in unterschiedlichen Netzen, daher ist die Wahrscheinlichkeit, das die Anfrage einmal ins leere laufen doch eher gering.
Eigentlich sollte dann die Rückgabe negativ sein, wenn die Blacklist nicht verfügbar ist und dadurch die Anfragen zulassen, das also bei nem Ausfall die IPs nicht gesperrt werden.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby cabal » 13. Mar 2012, 18:55

bin momentan echt beeindruckt, habe bei einem system jetzt auch mal die bot list also mit mehr als 3000 entrys im apache eingebunden und die load geht deutlich runter ..
okay beim ersten start verzögert es etwas aber wenns dann gecached wurde ist es gut.
cabal
 
Posts: 18
Joined: 11. Mar 2012, 14:12

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 13. Mar 2012, 19:16

Schick mir mal die URl per PM, dann schau ich mal wie lange die Query bei den RBL-Servern braucht, ob ich evtl. noch was optimieren kann.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby loader » 17. Jul 2012, 09:36

Guten Tag,

Wenn ich nun
Code: Select all
host -t any 40.159.63.178.bl.blocklist.de
in die Cronjob einfüge sollte er sich also dann je nach eingestellter zeit Intervall die liste holen?

Und was haben die IP zu bedeuten
-------------------------------------------------------
Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
-------------------------------------------------------
loader
 
Posts: 1
Joined: 13. Jul 2012, 06:51

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 17. Jul 2012, 10:14

Hi,

mit dem genannten Befehl, wird nur geprüft, ob die IP 178.63.159.40 gelistet ist.
Um die Listen komplett per Cronjob abzufragen, bzw. wieder in Fail2Ban zu importieren kann folgendes Skript/Anleitung genutzt werden:
viewtopic.php?f=11&t=107


Die Rückgabe IPs sind bei bl.blocklist.de je nach Service unterschiedlich. Wenn die abgefragte IP z.B. zuletzt für den Services SSH gelistet wurde, so ist die Rückgabe-IP 127.0.0.14. Wenn man die all.bl.blocklist.de nutzt, so ist bei einer Listung die Rückgabe-IP immer 127.0.0.2
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 12. Sep 2012, 05:58

User aus den USA können nun auch:
usa.bl.blocklist.de
nutzen. Der Server ist noch in der Text-Phase, aber antwortet auch nach Europa sehr schnell.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Deichgraf » 5. Apr 2013, 11:12

Hallo zusammen,

endlich bin ich auch ins Froum gekommen... gab da kleine Probleme :D

Ich habe hierzu einige Fragen:

Jens wrote:Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf
Code: Select all
<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule>


Sorry für den Fullquote...

Ich benutze openSUSE 12.2 und hatte schon Probleme den "mod_spamhaus" überhaupt zu kriegen, scheint in keinem Repo zu liegen.
Nunja, nun ist Version 0.6 offensichtlich installiert und ich habe den mod in Yast auch aktivieren können. Leider gibt es in openSUSE 12.2
den Pfad "/etc/apache2/mods-enabled/" nicht, und nach Neustart des Apache hab ich auch keine "mod_spamhaus.conf" auf meinem System gefunden.

Tante Google meinte aber, alles kein Thema, erstelle dir in "/etc/apache2/conf.d" selbst eine "mod_spamhaus.conf" und fülle diese nun mit deinen Angaben.
Hab ich dann auch nach o.g. Anleitung getan.

Ich bin mir nun aber nicht sicher, ob das auch läuft. Müsste jetzt nicht in "/etc/apache2/" die Datei "spamhaus.wl" auftauchen? Das tut sie nämlich nicht.

Könnt ihr mich da ein wenig erleuchten?

Danke & Gruß
Deichi
Deichgraf
 
Posts: 1
Joined: 5. Apr 2013, 10:55

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 7. Apr 2013, 15:19

Hi Deichi,

die Datei spamhaus.wl muss man selbst anlegen.
Hier gibt es eine manuelle Anleitung über die sourcen http://www.howtoforge.com/how-to-block- ... ebian-etch
Sollte unter Suse auch funktionieren.
Ansonsten kann ich deine öffentliche/Test-IP einmal temporär in blocklist eintragen (per PM), dann kannst du testen, ob du von deinem Server blockiert wirst :-)
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Akinos.de » 8. Jan 2017, 22:49

Hallo,

ist dieser Eintrag in etc/policyd-weight.conf noch aktuell und ausreichend ?

‚allinone.bl.blocklist.de', 5.5, 0, 'blocklist_DE',

Debian 8 x

:idea:
Akinos.de
 
Posts: 2
Joined: 8. Mar 2011, 02:46

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Martin » 9. Jan 2017, 13:53

Hi Akinos.de,

ja, sollte ausreichend sein.
Allerdings ist die Trefferquote bei "mail" nicht so hoch, da wir alles ausser Spam haben.
Dadurch sind nur harvester-IPs hauptsächlich gelistet, aber keine Spamer.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 403
Joined: 14. Sep 2010, 11:54

Re: Listen von blocklist.de per DNS abfragen/einbinden

Postby Akinos.de » 9. Jan 2017, 14:04

Hi Martin,

mir geht es nur z.B. um 185.140.108.149 oder 221.126.229.173 zu sehen auf http://www.ipvoid.com/ip-blacklist-check/
Da seit ihr ja gut zu sehen :) und das wollte ich mit rein nehmen weil ich die Tage eine IP hatte die bei Spamcop z.B. nicht gelistet war aber bei Euch schon drin war…

Gruß Akinos

Ps. IP hinzugefügt
Akinos.de
 
Posts: 2
Joined: 8. Mar 2011, 02:46


Return to Anleitungen

Who is online

Users browsing this forum: No registered users and 1 guest

  • Advertisement
cron
figurative