Seite 1 von 1

Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 8. Okt 2010, 18:04
von Martin
Wir bieten nun auch die komplette Liste aller IP's als DNS an:
http://www.blocklist.de/de/api.html

Eine Abfrage aller Listen für die IP 178.63.159.40 kann z.B. wie folgt erfolgen:

Code: Alles auswählen

host -t any 40.159.63.178.bl.blocklist.de
Um die Liste im Postfix einzusetzten kann man in der main.cf an der entsprechenden Stelle folgendes eintragen:

Code: Alles auswählen

reject_rbl_client allinone.bl.blocklist.de,
oder im Policyd-Weight

Code: Alles auswählen

## DNSBL settings
   @dnsbl_score = (
#    HOST,                    BAD SCORE,  GOOD SCORE,   LOG NAME
    'pbl.spamhaus.org',       8.25,          0,        'PBL_SPAMHAUS',
    'sbl-xbl.spamhaus.org',   5.35,       -1.8,        'SBL_XBL_SPAMHAUS',
    'bl.spamcop.net',         7.75,       -1.8,        'SPAMCOP',
    'ix.dnsbl.manitu.net',    7.35,       -0.4,        'IX_MANITU',
    'zen.spamhaus.org',       6.35,          0,        'ZEN_SPAMHAUS',
   'allinone.bl.blocklist.de',          5.5,           0,        'blocklist_DE',
);

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 12. Okt 2010, 20:38
von Falconbase
Das ganze kann auch über Spamassassin eingerichtet werden hier zu kann man in seiner local.cf folgendes eintragen:

Spamassassin

Code: Alles auswählen

header RCVD_IN_DNSBL_Blocklist_de eval:check_rbl('127.0.0.2','allinone.bl.blocklist.de')
describe RCVD_IN_DNSBL_Blocklist_de Sender listed on Blocklist DNSBL
tflags RCVD_IN_DNSBL_Blocklist_de net
score RCVD_IN_DNSBL_Blocklist_de 3.0
Durch diesen Eintrag wird der SPAM-Score um 3 Punkte erhöht.

Danach sollte Amavis/Spamassassin neu gestartet werden.

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 5. Nov 2010, 02:43
von Martin
Man kann nun auch die Blacklist nach den Diensten sortiert abfragen:

Apache (rfi, w00tw00t...) => apache.bl.blocklist.de + Liste von http://honeystats.info/other
alle IPs => bl.blocklist.de oder
alle IPs => all.bl.blocklist.de (mit unterschiedlichen Return-Codes)
allinone IPs => allinone.bl.blocklist.de (nur 127.0.0.2)
ftp => ftp.bl.blocklist.de
imap (pop3, sasl...) => imap.bl.blocklist.de
mail (5xx-Fehler, Relaying...) => mail.bl.blocklist.de
ssh => ssh.bl.blocklist.de

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 1. Jul 2011, 13:56
von Martin
Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
badbot = 127.0.0.5
ftp = 127.0.0.6
imap = 127.0.0.7
ircbot = 127.0.0.8
mail = 127.0.0.9
pop3 = 127.0.0.10
regbot = 127.0.0.11
rfi-attack = 127.0.0.12
sasl = 127.0.0.13
ssh = 127.0.0.14
w00tw00t = 127.0.0.15
portflood = 127.0.0.16
sql-injection = 127.0.0.17
webmin = 127.0.0.18
trigger-spam = 127.0.0.19
manuell = 127.0.0.20

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 5. Jul 2011, 16:53
von Martin
Wer nur den Return-Code 127.0.0.2 benötigt, verwendet bitte:
allinone.bl.blocklist.de
:-)

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 23. Jul 2011, 12:36
von Jens
Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf

Code: Alles auswählen

<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule> 

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 13. Mär 2012, 13:47
von cabal
habe hierzu noch eine Frage ... was passiert wenn apache.bl.blocklist.de offline ist?
Jens hat geschrieben:Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf

Code: Alles auswählen

<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule> 

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 13. Mär 2012, 18:37
von Martin
Aktuell haben wir drei Server, auf den die RBL-Listen laufen.
Diese drei stehen bei unterschiedlichen Providern bzw. in unterschiedlichen Netzen, daher ist die Wahrscheinlichkeit, das die Anfrage einmal ins leere laufen doch eher gering.
Eigentlich sollte dann die Rückgabe negativ sein, wenn die Blacklist nicht verfügbar ist und dadurch die Anfragen zulassen, das also bei nem Ausfall die IPs nicht gesperrt werden.

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 13. Mär 2012, 18:55
von cabal
bin momentan echt beeindruckt, habe bei einem system jetzt auch mal die bot list also mit mehr als 3000 entrys im apache eingebunden und die load geht deutlich runter ..
okay beim ersten start verzögert es etwas aber wenns dann gecached wurde ist es gut.

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 13. Mär 2012, 19:16
von Martin
Schick mir mal die URl per PM, dann schau ich mal wie lange die Query bei den RBL-Servern braucht, ob ich evtl. noch was optimieren kann.

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 17. Jul 2012, 09:36
von loader
Guten Tag,

Wenn ich nun

Code: Alles auswählen

host -t any 40.159.63.178.bl.blocklist.de
in die Cronjob einfüge sollte er sich also dann je nach eingestellter zeit Intervall die liste holen?

Und was haben die IP zu bedeuten
-------------------------------------------------------
Wenn all.bl.blocklist.de oder bl.blocklist.de verwendet wird, werden unterschiedliche IP-Adressen zurückgegeben:
amavis = 127.0.0.2
apacheddos = 127.0.0.3
asterisk = 127.0.0.4
-------------------------------------------------------

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 17. Jul 2012, 10:14
von Martin
Hi,

mit dem genannten Befehl, wird nur geprüft, ob die IP 178.63.159.40 gelistet ist.
Um die Listen komplett per Cronjob abzufragen, bzw. wieder in Fail2Ban zu importieren kann folgendes Skript/Anleitung genutzt werden:
viewtopic.php?f=11&t=107


Die Rückgabe IPs sind bei bl.blocklist.de je nach Service unterschiedlich. Wenn die abgefragte IP z.B. zuletzt für den Services SSH gelistet wurde, so ist die Rückgabe-IP 127.0.0.14. Wenn man die all.bl.blocklist.de nutzt, so ist bei einer Listung die Rückgabe-IP immer 127.0.0.2

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 12. Sep 2012, 05:58
von Martin
User aus den USA können nun auch:
usa.bl.blocklist.de
nutzen. Der Server ist noch in der Text-Phase, aber antwortet auch nach Europa sehr schnell.

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 5. Apr 2013, 11:12
von Deichgraf
Hallo zusammen,

endlich bin ich auch ins Froum gekommen... gab da kleine Probleme :D

Ich habe hierzu einige Fragen:
Jens hat geschrieben:Mit Apache2-Modul mod_spamhaus IP-Adressen blocken, GET-Anfragen jedoch zulassen:

/etc/apache2/mods-enabled/mod_spamhaus.conf

Code: Alles auswählen

<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule> 
Sorry für den Fullquote...

Ich benutze openSUSE 12.2 und hatte schon Probleme den "mod_spamhaus" überhaupt zu kriegen, scheint in keinem Repo zu liegen.
Nunja, nun ist Version 0.6 offensichtlich installiert und ich habe den mod in Yast auch aktivieren können. Leider gibt es in openSUSE 12.2
den Pfad "/etc/apache2/mods-enabled/" nicht, und nach Neustart des Apache hab ich auch keine "mod_spamhaus.conf" auf meinem System gefunden.

Tante Google meinte aber, alles kein Thema, erstelle dir in "/etc/apache2/conf.d" selbst eine "mod_spamhaus.conf" und fülle diese nun mit deinen Angaben.
Hab ich dann auch nach o.g. Anleitung getan.

Ich bin mir nun aber nicht sicher, ob das auch läuft. Müsste jetzt nicht in "/etc/apache2/" die Datei "spamhaus.wl" auftauchen? Das tut sie nämlich nicht.

Könnt ihr mich da ein wenig erleuchten?

Danke & Gruß
Deichi

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 7. Apr 2013, 15:19
von Martin
Hi Deichi,

die Datei spamhaus.wl muss man selbst anlegen.
Hier gibt es eine manuelle Anleitung über die sourcen http://www.howtoforge.com/how-to-block- ... ebian-etch
Sollte unter Suse auch funktionieren.
Ansonsten kann ich deine öffentliche/Test-IP einmal temporär in blocklist eintragen (per PM), dann kannst du testen, ob du von deinem Server blockiert wirst :-)

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 8. Jan 2017, 22:49
von Akinos.de
Hallo,

ist dieser Eintrag in etc/policyd-weight.conf noch aktuell und ausreichend ?

‚allinone.bl.blocklist.de', 5.5, 0, 'blocklist_DE',

Debian 8 x

:idea:

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 9. Jan 2017, 13:53
von Martin
Hi Akinos.de,

ja, sollte ausreichend sein.
Allerdings ist die Trefferquote bei "mail" nicht so hoch, da wir alles ausser Spam haben.
Dadurch sind nur harvester-IPs hauptsächlich gelistet, aber keine Spamer.

Re: Listen von blocklist.de per DNS abfragen/einbinden

Verfasst: 9. Jan 2017, 14:04
von Akinos.de
Hi Martin,

mir geht es nur z.B. um 185.140.108.149 oder 221.126.229.173 zu sehen auf http://www.ipvoid.com/ip-blacklist-check/
Da seit ihr ja gut zu sehen :) und das wollte ich mit rein nehmen weil ich die Tage eine IP hatte die bei Spamcop z.B. nicht gelistet war aber bei Euch schon drin war…

Gruß Akinos

Ps. IP hinzugefügt