MDaemon AntiSpam: SpamAssasin-Fehlermeldung "The query to URIBL was blocked"

Eines des Hauptsicherheits-Features gegen Spam des E-Mail- und Groupware-Servers MDaemon Email Server ist der SpamAssasin. Der SpamAssasin prüft eingehende Nachrichten anhand von DNS-Lookups und trifft dementsprechend die Entscheidung, ob es sich um Spam oder keinen Spam handelt. Einer dieser Lookups ist eine Abfrage an URIBL. Diese Blacklist führt Millionen von IP-Adressen, die als schadhafte Versender eingestuft werden.

Problem:
Verschiedene Spam-Nachrichten werden durch den Spamfilter durchgelassen; mit einer ähnlichen Meldung im AntiSpam-Protokoll wie dieser:

Wed 2019-11-06 21:01:30.243: Start SpamAssassin results
Wed 2019-11-06 21:01:30.243: 0.00 points, 5.00 required
Wed 2019-11-06 21:01:30.243: *  0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked.
Wed 2019-11-06 21:01:30.243: *      See
Wed 2019-11-06 21:01:30.243: *      http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
Wed 2019-11-06 21:01:30.243: *      for more information.
Wed 2019-11-06 21:01:30.243: *      [URIs: synsatepar1975.blogspot.com.ar]
Wed 2019-11-06 21:01:30.243: *  0.0 UNPARSEABLE_RELAY Informational: message has unparseable relay
Wed 2019-11-06 21:01:30.243: *      lines
Wed 2019-11-06 21:01:30.243: End SpamAssassin results
Wed 2019-11-06 21:01:30.243: ----------

Ursache:
In den meisten Fällen nutzt die vorhandene Netzwerkumgebung keinen eigenen DNS-Server, sondern setzt für die jeweiligen DNS-Abfragen einen öffentliche DNS-Server (z.B.: von Google) ein. Bei vielen kostenlosen DNS-Blacklist-Anbietern besteht ein Anfragen-Limit pro Tag - gängig sind hier beispielsweise 500.000 Nachrichten pro Tag pro anfragende Quelle. Alles darüber hinaus wird mit der o.g. Meldung abgeblockt. Wenn Sie also einen öffentlichen DNS verwenden, wird Ihre Anfrage an den konfigurierten DNS geschickt; der DNS wiederum löst die Adresse auf und leitet die Anfrage an den Blacklist-Betreiber weiter. Hier werden von öffentlichen DNS-Servern (wie Google) sehr schnell 500.000 Anfragen pro Tag generiert, wodurch zukünftige kostenlose Anfragen über den öffentlichen DNS beim Blacklist-Provider blockiert werden. Somit kann die Nutzung von öffentlichen DNS-Servern die Effektivität Ihres Spam-Filters schwächen.

Lösung:
Die einfachste Option wäre es, die DNS-Blacklist Dienste bei einem Blacklist-Provider einzukaufen. Ansonsten gibt es noch die folgenden Optionen:
SpamAssasin empfiehlt hier einen eigenen Caching-Only DNS-Server zu administrieren. Caching-Only DNS-Server haben nur eine Funktion: Sie führen DNS-Abfragen durch und speichern die Antworten. Diese Art von DNS-Servern verwalten keine Domäne oder ähnliches. Sie sind lediglich für die Abwicklung und Speicherung von DNS-Abfragen zuständig.
Nun stellt sich die Frage: Wie richte ich einen Caching-Only DNS-Server innerhalb von Windows ein?

Grundlegend müssen Sie für die Konfiguration eines Caching-Only DNS-Servers die passende Server-Rolle installieren. Eine detaillierte Anleitung von Microsoft selbst finden Sie hier. Zudem sollte der DNS-Server im gleichen lokalen Netzwerk wie Ihr MDaemon-Server vorhanden sein.

Tipp: Die DNS-Server-Rolle kann sogar direkt auf dem MDaemon-Server installiert werden, solange dieser nicht auf einem Domänencontroller mit eigenem DNS-Server läuft.

Wenn Sie schon einen DNS-Server in Ihrer Umgebung eingerichtet haben, können Sie eine bedingte Weiterleitung für die Domäne des Blacklist-Providers (Beispiel:"uribl.com") konfigurieren. Eine Anleitung, wie Sie eine bedingte Weiterleitung konfigurieren können, finden Sie hier unter dem Punkt "3. Bedingte Weiterleitung einrichten".

Innerhalb des MDaemon Email Server müssen Sie diesen DNS-Server hinterlegen.
  • Dazu navigieren Sie in der MDaemon-GUI zu Einstellungen → Servereinstellungen → DNS. Hier haken Sie die Option "DNS-Server aus der Windows-Konfiguration nutzen" ab und fügen die IP-Adresse des neu erstellten DNS-Servers unter "Neu" ein. Anschließend können Sie alle vorgenommenen Einstellungen über Übernehmen und OK abspeichern.


Falls Sie nach der Konfiguration eines Caching-Only DNS-Servers immer noch Probleme mit dem SpamAssasin haben sollten, können Sie auch jederzeit gerne unseren Support kontaktieren.

Wichtig: Wir geben keinen Support in Bezug zur Konfiguration und Installation eines DNS-Servers.

Quellen: