MailPlus Server Massenweise 127.0.0.1-DNSBL-Quries durch MailPlus Server

  • Lange schon haben wir uns gewünscht, diese Mitteilung veröffentlichen zu können. Seit langer Zeit planen wir den Umzug auf neue Server und nun ist es geschafft. Um euch einen Einblick hinter die Kulissen zu geben haben wir einen extra Beitrag geschrieben:

    Das Forum hat eine neue Heimat bei netcup gefunden

    Wir möchten uns ganz herzlich bei netcup bedanken! necup stellt uns die neuen Server. Schaut mal in unsere Beiträge, was sich durch den Umzug alles verbessert hat.

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
7
Ort
München
Hallo zusammen,

ich stehe seit einiger Zeit vor folgendem Problem: unser MailPlus Server produziert laut AdGuardHome haufenweise DNSBL-Queries. Soweit ich's verstehe, sind Queries bzgl. 127.0.0.1 und facebook.com durchaus okay, um zu prüfen, ob die BL korrekt funktioniert. Mich macht die Menge der Anfragen aber extrem stutzig. Über den Server laufen nur die Mails von drei Nutzern, d.h. kleine zweistellige Anzahl pro Tag. Das kann, in meinen Augen, nicht erklären warum ich pro Minute zig DNSBL-Queries habe. Zusätzlich habe ich beim DNSBL-Selbsttest ein orangenes Ausrufezeichen und den Hinweis "Keine MX- oder A-Berichte gefunden".

1620194341714.png

Deaktiviere ich den MailPlus Server, hören die Queries auf. Starte ich ihn neu, fangen sie direkt wieder an. Die Quelle ist also recht eindeutig. ;) Empfang und Versand von Mails funktioniert übrigens völlig problemlos.

Kurz zum Setup:
- MailPlus Server läuft auf einer DS218+
- die DS hängt via Unifi Switch und USG (Router) am Netz (DS hat natürlich eine fixe IP im LAN)
- DNS-Anfragen werden durch AdGuardHome gefiltert (RaspberryPi, fixe IP im LAN, DNS-Server für's lokale LAN via DHCP gesetzt) und dann nach extern weitergereicht

Konfiguration:
- Domain XY.de via DynDNS auf meine IP umgeleitet
- Subdomain mx.XY.de via DynDNS auf meine IP umgeleitet
- MX-Eintrag von XY.de zeigt auf mx.XY.de (Prio 10, Prio 100 ist der Fallback Mailserver vom Domain-Provider)
- Port-Forwarding der relevanten Ports von der USG zur DS (25,143,465,587,993)
- SPF, DKIM und DMARC aktiv, laut Tests mit meiner gmail-Adresse scheint das auch alles zu passen, Mails werden als "signed by... " markiert
- Anti-Spam, postscreen, Antivirus und MCP sind aktiviert
- Hostname (FQDN) im MailPlus Server: mx.XY.de
- Mail-Versand läuft wegen unserer dyn. IP über Relay-Host des Domain-Providers

Im Bedrohungsmonitor oder sonstigen Logs sehe ich keine Aktivitäten, die so häufige Abfragen irgendwie rechtfertigen würden und bin daher einigermaßen ratlos. Liegt's irgendwo an unserem Setup, gibt es eine geheime Einstellung irgendwo oder schaue ich nur in den falschen Logs nach und sehe den eigentlichen Grund der Abfragen daher nicht?

Vielen Dank schon mal für jegliche Hilfe. :)
 

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
7
Ort
München
Kurzes Update nach tagelangem Kontakt mit dem Synology-Support: wirklich geholfen werden konnte mir dort auch nicht. Es wurden Logs durchgeschaut, via Fernwartung die Konfiguration meiner DS geprüft und das Ergebnis: es ist alles wie es sein soll.
Das Absurde: zwischendurch funktionierte der DSNBL-Selbsttest auf einmal wieder. Jetzt geht er wieder nicht mehr und ich finde mich damit ab, dass ich das wohl erst beim Wechsel auf eine neue DS (vielleicht) gelöst bekomme. Bis dahin lasse ich AdGuardHome die spezifischen DNS-Anfragen kommentarlos schlucken.
Falls irgendjemand irgendwann mal eine Lösung für das Problem findet... ich freue mich vermutlich auch in 4 Jahren noch über eine Antwort. ;-)
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.560
Punkte für Reaktionen
462
Punkte
129
Also wenn ich mir den Screenshot so anschaue, ist es wohl dein Antispam, das sich da laufend neue Infos ziehen will. Wenn ich mir die Adressen anschaue, laufen wohl mehrere Helferlein bei dir parallel.

Entweder muss das so, weil es sich immer aktuell halten will (ähnlich wie Virenscanner, auch der taucht da auf), oder es liegt an der Konfiguration.
 

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
7
Ort
München
Selbst mit deaktiviertem Antispam (getestet mit "nur postscreen"-Tests deaktiviert und einmal auch "Antispam" komplett deaktiviert) tauchen die Queries auf. Die abgefragten Server entsprechen auch nicht denen, die unter "postscreen" konfiguriert sind. Wobei mir auch die Abfrage auf 127.0.0.1 für ein Update der Listen nicht einleuchtet. :unsure:
 
Zuletzt bearbeitet:

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
7
Ort
München
Update: Der Synology-Kundendienst hat sich meinen Server angeschaut, aber kein ungewöhnliches Verhalten feststellen können. Meine Frage, wieso diese Vielzahl an Abfragen auf einmal zustande kommt, konnte man mir nicht beantworten: "Laut den Log-Dateien sieht alles normal aus."

Ohne irgendein Zutun funktioniert jetzt immerhin der DNSBL-Selbsttest wieder und ich lebe mit >20.000 DNS-Queries des Mailservers pro Tag... bis ich die Syno irgendwann mal neu aufsetzen muss. :rolleyes:
 

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
7
Ort
München
Update: Das Problem ist offenbar behoben - die genaue Ursache kann ich nicht nennen, ich musste aber wegen eines fehlerhaften AP im Netzwerk die DHCP-Konfiguration des Switches und der AP ändern. Welche der Einstellungen es genau war, kann ich nicht sagen - oder ob das Problem schon länger behoben war (habe die DNS-Logs nur für 24h gespeichert).

Fazit: Das Problem saß wohl eher vor dem Server/Netzwerk als im Server. ;)
 

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
7
Ort
München
Update 2 für heute: Ich musste die Synology eben neustarten und nun sind die Abfragen wieder da... :eek: Problem lag also wohl doch nicht an der Netzwerk-Konfiguration - schade. :(
 
NAS-Central - Ihr Partner für NAS Lösungen