Mail Server Mailserver - hohe Anzahl an ipv6-DNS-Anfragen

[whitbread]

Hallo zusammen,

ich habe meinen Mailserver jetzt seit 4 Wochen für die eigene Domain erfolgreich im Einsatz.

Beim Betrachten der DNS-Anfragen vom Mailserver (auch vom sekundären) fällt mir auf, dass dieser massiv (200k/24h) Anfragen startet. Primäres Ziel ist die Domain rspamd.com und zwar wird der AAAA(ipv6)-Eintrag abgefragt, der bei mir im System aber nicht aufgelöst werden kann (und auch nicht soll).
In der DS habe ich ipv6 deaktiviert; kann ich dem Mailserver auch abgewöhnen, ipv6-Anfragen zu starten?

 

[blurrrr]

Ich würde es vermutlich lassen, aber mal so "fyi":

Generell zwecks "bind" (4/6) bzgl. worker-config: https://rspamd.com/doc/workers/
Was die RBL-Checks angeht: https://rspamd.com/doc/modules/rbl.html

"Primäres Ziel ist die Domain rspamd.com"... da wird wohl vor jedem BL-Check entsprechend die DNS-Abfrage laufen... Wenn Dir das jetzt das Log vollspammt und Dich das stört, kann man das mit Sicherheit ändern, auf der anderen Seite ist es aber nur eine Frage der Zeit - wissen wir doch alle! - bis IPv6 dann wirklich überall vorhanden ist und dann müsstest Du wieder umstellen... Wir müssen vermutlich nur noch 20-30 Jahre darauf warten...

 

[whitbread]

Danke für die Infos.

In 20-30 Jahren werden hoffentlich meine Kidz die Technik übernommen haben, insofern bleibe ich ipv6-Verweigerer. Fakt ist, dass mein Provider ipv6 nativ nicht bereitstellt und mehr Energie möchte ich da nicht einbringen.

Was mich halt nur wundert ist die hohe Anzahl von Anfragen. Wir reden hier von <10 Emails pro Tag, die über den Server laufen. Von 250k DNS-Anfragen kommen 90% von den beiden Mailservern, davon 60% ipv6 und insgesamt 65% rspamd.com. Die Frage ist, ob es sich dabei um ein normales Verhalten handelt, oder ob eine fehlerhafte Konfiguration zu diesen massiven Anfragen führt.

Btw, wo liegen denn die entsprechenden Konfig-Files beim Mailserver+ ?

 

[blurrrr]

find / -name "rbl.conf" (damit wirst Du bestimmt fündig )

Würde mal sagen, dass es darauf ankommt, wie der Server konfiguriert ist (Relay ohne Portfreigaben, oder mit "allem" (inkl. MX usw.)), denn dementsprechend taucht er auch im Internet auf (grade die MX-Einträge werden ja gerne mal "durchforstet" um potentielle Ziele auszumachen, oder eben direkt der Scan einer IP-Range nach den SMTP-Ports). Es geht dabei ja auch nicht unbedingt "nur" um die "wirklich" bei Dir ankommenden Mails, sondern auch um alles andere, wie z.B. Verbindungsversuche wo schon direkt Checks gegen die RBLs gemacht werden, usw.

Es wäre hilfreich, wenn Du Dein laufendes Konstrukt mal kurz skizzieren könntest (bzgl. "90% von den beiden Mailservern"?). "60% ipv6 und insgesamt 65% rspamd.com" damit kann man nun auch nicht wirklich was anfangen, ausser Du meinst, dass die 65% entsprechende IPv4-Anfragen wären.

EDIT: Welcher Mailserver ist es denn überhaupt - der normale oder die Plus-Variante?

 

[blurrrr]

Okay, grade mal ein Testsystem installiert und nachgeschaut, ganz so einfach gestaltet es sich dann wohl doch nicht...
Ich würde das Problem aber doch wesentlich genauer unter die Lupe nehmen, das sind knapp 3 Anfragen "pro Sekunde"....

 

[blurrrr]

Achja, ganz vergessen ... configs -> /volumex/@appdingsbums/Mailserver/.....(./etc/)

Wollt nu nicht alles nachbauen (Zeit ist Geld! ), von daher kann ich nur so halb mitreden... Mailserver zwar kurz auf einer Test-DS installiert, aber Spam wird über ein eigenes Gateway gefiltert.

 

[whitbread]

Sry - sind nochmal vor der Hitze geflohen...

Also installiert ist der Mailserver+ als HA-Cluster auf zwei NASen; MX-Anbindung für eigene Domain(s), kein direkter SMTP-Server, nur als Relay (mehrere Accounts je nach Absender); zudem ist für einen Account POP-Abruf konfiguriert.

Anbei die wesentlichen Einstellungen:
- Absender ohne FQDN zurückweisen
- Absender mit unbekannter Domain zurückweisen
- Unbekannte Client-Hostnamen zurückweisen
- Anti-Spam mit Lern-Modul aktiviert (ohne weitere Einstellungen)
- DNSBL deaktivert
- greylisting deaktiviert
- SPF aktiviert
- DKIM für eingehende Mails aktiviert
- DMARC aktiviert
- MCP aktiviert, allerdings ohne aktive Regeln

Hinsichtlich der Zahlen: Von meinen DNS-Anfragen werden 90% von den Mailservern produziert und davon sind 65% Anfragen an rspamd.com (5% ipv4 und 60% ipv6). Soll heissen: 60% der Anfragen laufen ins Leere, da diese nicht erreichbar sind.
Werde mal mit den Einstellungen "spielen", um die Ursache für die hohe Anzahl an Anfragen zu eruieren.

 

[blurrrr]

Hm... nu steh ich etwas auf dem Schlauch...:

Also installiert ist der Mailserver+ als HA-Cluster auf zwei NASen

Die beiden NAS-Einheiten laufen als HA-Cluster und darauf läuft der M+Server, oder sind beide Geräte einzeln für sich und mit der M+Server-Software wurde ein reiner Mail-Cluster erstellt?

MX-Anbindung für eigene Domain(s), kein direkter SMTP-Server, nur als Relay (mehrere Accounts je nach Absender); zudem ist für einen Account POP-Abruf konfiguriert.

Kein direkter SMTP-Server - wozu dann MX-Records? Entweder ganz (MX) oder garnicht (Relay+POP3, ggf. noch via SPF-Record das eigenständige senden erlauben)

 

[whitbread]

Es geht um den Mail-Cluster, nennt Syno halt auch HA.

Hmm - vielleicht bin ich zu blöd, aber die MX-Records brauche ich zum Empfang der Mails. Versenden geht nur über Relay, da dynamische IP und POP3-Abruf erfolgt zusätzlich für ein bestehendes Email-Kto. beim Emailprovider.

 

[steje43]

Hallo,

ich habe schon seit Jahren einen eigenen Mailserver.

Nun seit Monaten bin ich auf dem Mailplus Server umgestiegen auch mit eigener Domain.
Läuft alles sehr gut.

Ich habe in meinem Netzwerk einen Raspberry PI mit PiHole am Laufen.

Auf Platz 1 steht unter den Top Domians mit den meisten Abfragen

rspamd.com

Hier ipv4 und ipv6 Abfragen.

Habe damals mal gegoogelt, so wie ich das verstanden habe, sind das Abfragen vom Mailserver Plus vom DNSBL Selbsttest.
Prüft ob deine Domian auf diese Listen gefunden wird.

Also, dass will ich ja.

Gruß
Jens

PS: Habe zwei Kinder 18 und 21 die fanden den PiHole nicht so gut, da der auch viele Sachen blockt die "lebenswichtig" sind, Facebook, Snapchat und Intragram.
Nun haben die sich daran gewöhnt und der Pihole Filtern bei mir 28% der Werbung raus und das bei 2,7 Mill Eintäge

 

[blurrrr]

Achso, der POP3Abruf ist "zusätzlich", das hatte ich da nicht so interpretiert Ich finde knapp 3 Anfragen pro Sekunde aber nach wie vor etwas heftig, ausser es kommen im Schnitt 3 Mails pro Sekunde an. Zeigen die Statistiken denn auch entsprechende Vorkommnisse bzgl. der Anzahl der Mails an? Weiss leider grade nicht, ob die via Postscreen verworfenen Mails (vermutlich via pregreet, wenn DNSBL abgeschaltet sind) auch in den Statistiken angezeigt werden, wobei das erstmal nichts mit DNS-Abfragen zu tun hat, sondern nur mit der (Korrektheit der) SMTP-Kommunikation.

 

[steje43]

Ja, die Email kommen teilweise im Minutentakt. Überwiegend Spam, bösartige Bedrohungen, etc. Die werden vom Server geblockt Kann man sich sehr gut im Protokoll ansehen. Teilweise immer von der gleichen IP und gleichen Domain.

Ich habe noch zwei DNSBL Server in meinem Mailserver eingetragen, der blockt echt eine Menge. Dann die ganzen Emails die gar nicht erst durchkommen, die der Mailserver schon vorab verwirft.

Da kommt echt was zusammen.

POP3 nutze ich gar nicht mehr. Damals habe ich die mit der Mailstation abgerufen, dann gehen die aber nicht mehr durch den Mailserver und werden auch nicht als Spam erkannt.
Das ist dann echt nicht schön, also nur noch eine einzige Emailadresse verwenden. Man kann ja viele Aliase anlegen

 

[blurrrr]

Naja, Selbsttest hin oder her, 3 Anfragen "pro Sekunde" sind nach wie vor schon ziemlich deftig.

 

[whitbread]

Das wird aber des Pudels Kern sein, da der Selbsttest nach dem Wechsel des aktiven HA-Mailservers immer fehlschlägt...

Danke für die Infos steje. Meine Pi-Hole-Statistik sieht deutlich anders aus: Habe 400k Einträge in der blocklist; damit filtere ich mal gerade 1500 von 200k Anfragen pro Tag heraus, also <1%, allerdings ist die Basis ja nun deutlich aufgebläht.