Listen von blocklist.de per DNS abfragen/einbinden

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Wir bieten nun auch die komplette Liste aller IP's als DNS an:
http://www.blocklist.de/de/api.html

Eine Abfrage aller Listen für die IP 178.63.159.40 kann z.B. wie folgt erfolgen:

Code: Alles auswählen

host -t any 40.159.63.178.bl.blocklist.de
Um die Liste im Postfix einzusetzten kann man in der main.cf an der entsprechenden Stelle folgendes eintragen:

Code: Alles auswählen

reject_rbl_client allinone.bl.blocklist.de,
oder im Policyd-Weight

Code: Alles auswählen

## DNSBL settings
   @dnsbl_score = (
#    HOST,                    BAD SCORE,  GOOD SCORE,   LOG NAME
    'pbl.spamhaus.org',       8.25,          0,        'PBL_SPAMHAUS',
    'sbl-xbl.spamhaus.org',   5.35,       -1.8,        'SBL_XBL_SPAMHAUS',
    'bl.spamcop.net',         7.75,       -1.8,        'SPAMCOP',
    'ix.dnsbl.manitu.net',    7.35,       -0.4,        'IX_MANITU',
    'zen.spamhaus.org',       6.35,          0,        'ZEN_SPAMHAUS',
   'allinone.bl.blocklist.de',          5.5,           0,        'blocklist_DE',
);
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Falconbase
Beiträge: 97
Registriert: 14. Sep 2010, 11:20
Wohnort: Wallersdorf
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Falconbase »

Das ganze kann auch über Spamassassin eingerichtet werden hier zu kann man in seiner local.cf folgendes eintragen:

Spamassassin

Code: Alles auswählen

header RCVD_IN_DNSBL_Blocklist_de eval:check_rbl('127.0.0.2','allinone.bl.blocklist.de')
describe RCVD_IN_DNSBL_Blocklist_de Sender listed on Blocklist DNSBL
tflags RCVD_IN_DNSBL_Blocklist_de net
score RCVD_IN_DNSBL_Blocklist_de 3.0
Durch diesen Eintrag wird der SPAM-Score um 3 Punkte erhöht.

Danach sollte Amavis/Spamassassin neu gestartet werden.
Grüße Falconbase

http://www.kunesch.net

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Man kann nun auch die Blacklist nach den Diensten sortiert abfragen:

Apache (rfi, w00tw00t...) => apache.bl.blocklist.de + Liste von http://honeystats.info/other
alle IPs => bl.blocklist.de oder
alle IPs => all.bl.blocklist.de (mit unterschiedlichen Return-Codes)
allinone IPs => allinone.bl.blocklist.de (nur 127.0.0.2)
ftp => ftp.bl.blocklist.de
imap (pop3, sasl...) => imap.bl.blocklist.de
mail (5xx-Fehler, Relaying...) => mail.bl.blocklist.de
ssh => ssh.bl.blocklist.de
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
badbot = 127.0.0.5
ftp = 127.0.0.6
imap = 127.0.0.7
ircbot = 127.0.0.8
mail = 127.0.0.9
pop3 = 127.0.0.10
regbot = 127.0.0.11
rfi-attack = 127.0.0.12
sasl = 127.0.0.13
ssh = 127.0.0.14
w00tw00t = 127.0.0.15
portflood = 127.0.0.16
sql-injection = 127.0.0.17
webmin = 127.0.0.18
trigger-spam = 127.0.0.19
manuell = 127.0.0.20
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Wer nur den Return-Code 127.0.0.2 benötigt, verwendet bitte:
allinone.bl.blocklist.de
:-)
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Jens
Beiträge: 3
Registriert: 19. Jul 2011, 22:53

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Jens »

Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf

Code: Alles auswählen

<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule> 

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von cabal »

habe hierzu noch eine Frage ... was passiert wenn apache.bl.blocklist.de offline ist?
Jens hat geschrieben:Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf

Code: Alles auswählen

<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule> 

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Aktuell haben wir drei Server, auf den die RBL-Listen laufen.
Diese drei stehen bei unterschiedlichen Providern bzw. in unterschiedlichen Netzen, daher ist die Wahrscheinlichkeit, das die Anfrage einmal ins leere laufen doch eher gering.
Eigentlich sollte dann die Rückgabe negativ sein, wenn die Blacklist nicht verfügbar ist und dadurch die Anfragen zulassen, das also bei nem Ausfall die IPs nicht gesperrt werden.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von cabal »

bin momentan echt beeindruckt, habe bei einem system jetzt auch mal die bot list also mit mehr als 3000 entrys im apache eingebunden und die load geht deutlich runter ..
okay beim ersten start verzögert es etwas aber wenns dann gecached wurde ist es gut.

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Schick mir mal die URl per PM, dann schau ich mal wie lange die Query bei den RBL-Servern braucht, ob ich evtl. noch was optimieren kann.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

loader
Beiträge: 1
Registriert: 13. Jul 2012, 06:51

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von loader »

Guten Tag,

Wenn ich nun

Code: Alles auswählen

host -t any 40.159.63.178.bl.blocklist.de
in die Cronjob einfüge sollte er sich also dann je nach eingestellter zeit Intervall die liste holen?

Und was haben die IP zu bedeuten
-------------------------------------------------------
Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
-------------------------------------------------------

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Hi,

mit dem genannten Befehl, wird nur geprüft, ob die IP 178.63.159.40 gelistet ist.
Um die Listen komplett per Cronjob abzufragen, bzw. wieder in Fail2Ban zu importieren kann folgendes Skript/Anleitung genutzt werden:
viewtopic.php?f=11&t=107


Die Rückgabe IPs sind bei bl.blocklist.de je nach Service unterschiedlich. Wenn die abgefragte IP z.B. zuletzt für den Services SSH gelistet wurde, so ist die Rückgabe-IP 127.0.0.14. Wenn man die all.bl.blocklist.de nutzt, so ist bei einer Listung die Rückgabe-IP immer 127.0.0.2
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

User aus den USA können nun auch:
usa.bl.blocklist.de
nutzen. Der Server ist noch in der Text-Phase, aber antwortet auch nach Europa sehr schnell.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Deichgraf
Beiträge: 1
Registriert: 5. Apr 2013, 10:55

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Deichgraf »

Hallo zusammen,

endlich bin ich auch ins Froum gekommen... gab da kleine Probleme :D

Ich habe hierzu einige Fragen:
Jens hat geschrieben:Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf

Code: Alles auswählen

<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule> 
Sorry für den Fullquote...

Ich benutze openSUSE 12.2 und hatte schon Probleme den "mod_spamhaus" überhaupt zu kriegen, scheint in keinem Repo zu liegen.
Nunja, nun ist Version 0.6 offensichtlich installiert und ich habe den mod in Yast auch aktivieren können. Leider gibt es in openSUSE 12.2
den Pfad "/etc/apache2/mods-enabled/" nicht, und nach Neustart des Apache hab ich auch keine "mod_spamhaus.conf" auf meinem System gefunden.

Tante Google meinte aber, alles kein Thema, erstelle dir in "/etc/apache2/conf.d" selbst eine "mod_spamhaus.conf" und fülle diese nun mit deinen Angaben.
Hab ich dann auch nach o.g. Anleitung getan.

Ich bin mir nun aber nicht sicher, ob das auch läuft. Müsste jetzt nicht in "/etc/apache2/" die Datei "spamhaus.wl" auftauchen? Das tut sie nämlich nicht.

Könnt ihr mich da ein wenig erleuchten?

Danke & Gruß
Deichi

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Hi Deichi,

die Datei spamhaus.wl muss man selbst anlegen.
Hier gibt es eine manuelle Anleitung über die sourcen http://www.howtoforge.com/how-to-block- ... ebian-etch
Sollte unter Suse auch funktionieren.
Ansonsten kann ich deine öffentliche/Test-IP einmal temporär in blocklist eintragen (per PM), dann kannst du testen, ob du von deinem Server blockiert wirst :-)
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Akinos.de
Beiträge: 2
Registriert: 8. Mär 2011, 02:46

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Akinos.de »

Hallo,

ist dieser Eintrag in etc/policyd-weight.conf noch aktuell und ausreichend ?

‚allinone.bl.blocklist.de', 5.5, 0, 'blocklist_DE',

Debian 8 x

:idea:

Benutzeravatar
Martin
Beiträge: 401
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Martin »

Hi Akinos.de,

ja, sollte ausreichend sein.
Allerdings ist die Trefferquote bei "mail" nicht so hoch, da wir alles ausser Spam haben.
Dadurch sind nur harvester-IPs hauptsächlich gelistet, aber keine Spamer.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Akinos.de
Beiträge: 2
Registriert: 8. Mär 2011, 02:46

Re: Listen von blocklist.de per DNS abfragen/einbinden

Beitrag von Akinos.de »

Hi Martin,

mir geht es nur z.B. um 185.140.108.149 oder 221.126.229.173 zu sehen auf http://www.ipvoid.com/ip-blacklist-check/
Da seit ihr ja gut zu sehen :) und das wollte ich mit rein nehmen weil ich die Tage eine IP hatte die bei Spamcop z.B. nicht gelistet war aber bei Euch schon drin war…

Gruß Akinos

Ps. IP hinzugefügt

Antworten