Spamhaus, veřejné DNS servery a nepřicházející pošta

Nevím, co přesně Spamhaus v posledních dnech změnil, ale kolega hlásí, že některé MX servery, jež jsou nakonfigurovány pro použití některého ze Spamhaus block listu (CBL a SBL), přestaly přijímat příchozí poštu. Společným znakem bylo použití zen.spamhaus.com nebo cbl.abuseat.org. U mnoha/všech příchozích e-mailů při dotazu na Spamhaus byla odpověď "LISTED". To je ta horší varianta. U některých MTA je odpověď vždy "NOT LISTED", tzn. ochrana vůči spamu je krapet nefunkční. Naštěstí jsme našli tento článek, který nám napověděl, kde hledat problém.

Spamhaus už před rokem a půl uveřejnil článek, ve kterém detailně popisuje připravované změny a žádá administrátory, aby zkontrolovali nastavení a funkčnost svých poštovních serverů. Můžu se jen dohadovat, že kvůli koronaviru a dalším nečekaným světovým událostem, implementaci odložili a zavedli v poslední době.

MTA musí korektně zpracovávat tři nové návratové kódy, konkrétně:

Return codeMeaning
127.255.255.252Typing error in DNSBL Name
127.255.255.254Query via public/open resolver/generic unattributable rDNS
127.255.255.255Excessive Number of Queries

Zdroj: https://www.spamhaus.org/news/article/807/using-our-public-mirrors-check-your-return-codes-now

Ve skutečnosti je to ještě zapeklitější. Na cílovém MTA byl v logu tento záznam:

554 5.7.1 Service unavailable; Client host [aaa.bbb.ccc.ddd] blocked using zen.spamhaus.org; Error: open resolver; https://www.spamhaus.org/returnc/pub/172.71.121.38;

Každopádně možnosti řešení jsou:

  1. nastavit si vlastní DNS rekurzivní resolver server, který bude sám resolvovat veškeré DNS požadavky z interní sítě. Pokud se jedná o malou síť, kde navíc roli DNS serveru plní router, který navíc může být autoritativním pro nějakou interní DNS zónu, tak to není úplně jednoduché. Typicky pokud je hraničním prvkem sítě třeba Mikrotik s RouterOS nebo pfSense. Obecné pravidlo totiž zní: nekombinuj autoritativní a rekurzivní DNS server dohromady!
  2. používat veřejné DNS servery, ale zaregistrovat si a využívat free Query Data Service s následnou rekonfigurací MTA.
  3. zahodit Spamhaus a přejít na konkurenci, např. b.barracudacentral.org, bl.spamcop.net, dnsbl.sorbs.net a doufat, že zmíněná konkurence nepřijde dříve či později se stejnou bezpečnostní "fíčurou".

Pokud máte ještě nějaké další řešení, podělte se s ním níže v komentáři.