Problème de serveur DNS

Shinjuku · Le 16/03/2008, à 17:10

Bonjour,

J'ai mis en place un serveur de mail et pour lutter contre le spam j'utilise dans la conf postfix les liste de blacklistage tel que spamhaus.org.

Seulement, j'ai remarqué que les requêtes DNS sur les listes deviennent vite nombreuses quand on recoit beaucoup de mail.

Du coup j'ai installé le paquet bind9 qui fait serveur DNS, mais surtout fait cache DNS.

J'ai mis dans les resolv.conf l'adresse 127.0.0.1 ainsi que dans le resolv.conf de postifx qui est à part (/var/spool/postfix/etc/resolv.conf).

Tout fonctionne mieux les requêtes se font moins souvent sur les serveurs DNS de mon prestataire.

Cependant, je tombe sur un problème avec la liste spamhaus.org.

Impossible de faire résoudre mon serveur local aux adresses de spamhaus.org.

Dès fois ça passe mais ça prendre plus de 3 secondes pour avoir une réponse de mon serveur local, et des fois j'ai carément des timeout. Du coup mes logs se remplissent :

Mar 16 14:25:08 ns26749 postfix/smtpd[25753]: warning: 227.223.34.86.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=227.223.34.86.zen.spamhaus.org type=A: Host not found, try again
Mar 16 14:25:08 ns26749 postfix/smtpd[25552]: warning: 122.253.125.84.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=122.253.125.84.zen.spamhaus.org type=A: Host not found, try again
Mar 16 14:25:19 ns26749 postfix/smtpd[20442]: warning: 135.19.183.194.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=135.19.183.194.zen.spamhaus.org type=A: Host not found, try again
Mar 16 14:25:22 ns26749 postfix/smtpd[21881]: warning: 29.64.180.211.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=29.64.180.211.zen.spamhaus.org type=A: Host not found, try again
Mar 16 14:25:22 ns26749 postfix/smtpd[25547]: warning: 4.17.201.77.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=4.17.201.77.zen.spamhaus.org type=A: Host not found, try again
[...]

Je n'arrive pas à comprendre pourquoi spécialement spamhaus.org pose problème.

J'ai fait des recherches sur Internet, j'ai trouvé d'autre personne dans mon cas mais jamais la solution au problème.

Donc si quelqu'un à une piste de recherche ou une solution, merci d'avance.

masterlolo · Le 16/03/2008, à 22:14

Et depuis le serveur quand tu fais un nslookup, ça donne quoi ?

Pour chez moi :

nslookup 4.17.201.77.zen.spamhaus.org
Server: 192.168.222.1
Address: 192.168.222.1#53
Non-authoritative answer:
Name: 4.17.201.77.zen.spamhaus.org
Address: 127.0.0.10
Name: 4.17.201.77.zen.spamhaus.org
Address: 127.0.0.4

Shinjuku · Le 16/03/2008, à 23:26

Chez moi :

# nslookup 4.17.201.77.zen.spamhaus.org
;; connection timed out; no servers could be reached

Alors que :

# nslookup ubuntu-fr.org
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ubuntu-fr.org
Address: 213.95.41.13

Pour spamhaus.org ça veut pas ... :?

Dernière modification par Shinjuku (Le 16/03/2008, à 23:26)

Uggy · Le 17/03/2008, à 00:11

Si tu demandes au serveur DNS de ton provider directement ?

dig 4.17.201.77.zen.spamhaus.org +short @dns.de.ton.provider
dig 4.17.201.77.zen.spamhaus.org +short @4.2.2.2
dig 4.17.201.77.zen.spamhaus.org +short @127.0.0.1

Si il s'avere que tout fonctionne sauf ton bind en 127.0.0.1, je crois qu'il faudra donner ta conf de bind...
Mais il est clair que si le Bind local fonctionne bien pour le reste, on est dans un pb très étrange

Une idée: Est ce que le port TCP 53 est ouvert en sortie (en + du port UDP) ?

Dernière modification par Uggy (Le 17/03/2008, à 00:14)

Shinjuku · Le 17/03/2008, à 10:52

Pareil tout fonctionne avec l'IP dns de mon provider, ainsi qu'avec 4.2.2.2, mais que je test sur 127.0.0.1 ça passe pas (en ce qui concerne spamhaus).

Voici ma conf :
named.conf

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the 
// structure of BIND configuration files in Debian, *BEFORE* you customize 
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

// zone "com" { type delegation-only; };
// zone "net" { type delegation-only; };

// From the release notes:
//  Because many of our users are uncomfortable receiving undelegated answers
//  from root or top level domains, other than a few for whom that behaviour
//  has been trusted and expected for quite some length of time, we have now
//  introduced the "root-delegations-only" feature which applies delegation-only
//  logic to all top level domains, and to the root domain.  An exception list
//  should be specified, including "MUSEUM" and "DE", and any other top level
//  domains from whom undelegated responses are expected and trusted.
// root-delegation-only exclude { "DE"; "MUSEUM"; };

include "/etc/bind/named.conf.local";
include "/etc/bind/rndc.key";

named.conf.options

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you might need to uncomment the query-source
        // directive below.  Previous versions of BIND always asked
        // questions using port 53, but BIND 8.1 and later use an unprivileged
        // port by default.

        // query-source address * port 53;

        // If your ISP provided one or more IP addresses for stable 
        // nameservers, you probably want to use them as forwarders.  
        // Uncomment the following block, and insert the addresses replacing 
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        // Restrict zone transfers
        allow-transfer { localhost; };
  
        // Disable any queries for domains we don't own
        allow-query { localhost; };
     
        // Disable recursive queries except from internal/local sources
        allow-recursion { localhost; };

        auth-nxdomain no;    # conform to RFC1035
        //listen-on { 127.0.0.1; };
        //listen-on-v6 { localhost; };
};

Mais comme j'ai dit plus haut, j'ai des problèmes uniquement avec spamhaus, d'ailleurs j'ai fait le test de virer spamhaus de postfix, plus aucun problème dans les logs, par contre j'ai du spam... :S

Merci pour votre aide.

[edit] A oui j'oubliais, le port 53 est bel et bien ouvert en TCP et UDP

# netstat -nap | grep named
tcp        0      0 91.121.XX.XX:53         0.0.0.0:*               LISTEN     26105/named         
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     26105/named         
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN     26105/named                 
udp        0      0 91.121.XX.XX:53         0.0.0.0:*                          26105/named         
udp        0      0 127.0.0.1:53            0.0.0.0:*                          26105/named

Dernière modification par Shinjuku (Le 17/03/2008, à 11:07)

wblitz · Le 17/03/2008, à 11:52

et si dans la directive 'forwarders' tu mets un des serveurs DNS de ton fai ?

tekpi · Le 17/03/2008, à 14:04

essaie de faire une mise à jour de ton fichier /etc/bind/db.root

Ensuite vérifies si tu n'as pas un firewall qui te bloque.

A toi

Shinjuku · Le 17/03/2008, à 17:19

wblitz a écrit :

et si dans la directive 'forwarders' tu mets un des serveurs DNS de ton fai ?

Du coup, ça marche, mais je voudrais le faire marcher avec mon bind local pour mettre en cache les requêtes sur spamhaus, et ainsi éviter de bombarder le DNS.

tekpi a écrit :

essaie de faire une mise à jour de ton fichier /etc/bind/db.root

Ca par contre j'ai jamais fait, je voudrais bien savoir comment tu fais. Moi je fais simplement une install de bind9 par apt-get.

Merci à tous de m'aider en tout cas

Je pense perso que le problème vient de spamhaus, j'ai lu sur des sites et des forums anglais que la façon de fonctionner de spamhaus n'était pas «standard». Mais impossible de trouver une source fiable qui confirme, et surtout qui explique comment utiliser spamhaus malgré tout.

D'autre parle de rbldnsd mais j'ai pas réussi à le faire fonctionner.

Dernière modification par Shinjuku (Le 17/03/2008, à 17:20)

wblitz · Le 17/03/2008, à 17:27

une autre solution est de mettre une entrée dans /etc/hosts pour le site en question, comme ça tu ne feras aucune requête DNS

Uggy · Le 17/03/2008, à 20:04

Lance depuis le serveur la commande:
dig 4.17.201.77.zen.spamhaus.org +trace
et post le resulat entre balises "code"

Quand je parle de TCP53 je parle en sortie.. entre ton serveur et Internet.

tekpi · Le 18/03/2008, à 10:56

Pour la mise à jour des dns, me suis fait ce script :

# !/bin/sh
mv /etc/bind/db.root /etc/bind/db.root.$(date +"%Y_%m_%d-%Hh%Mmn") # pour conserver une copie de l'ancien fichier de dns
dig @A.ROOT-SERVERS.NET > /etc/bind/db.root # la mise à jour se fait là
sleep 10
/etc/init.d/bind restart

Par contre, je ne pense pas que mettre une entrée dans le fichier host soit une bonne chose, si demain le domaine change d'ip, tu auras de nouveau le souci, d'ou la résolution dns

Pour les forwarders dns, c'est pas une mauvaise idée. Il me semble en plus que le serveur conserve un cache des requêtes déjà demandées, donc pas bcp de traffic normalement, quand bien même, les requêtes dns ne sont pas très lourdes.

Shinjuku · Le 18/03/2008, à 12:26

C'est impressionnant la réponse, tout ce passe bien mais j'ai quand même un timeout...

; <<>> DiG 9.3.4 <<>> 4.17.201.77.zen.spamhaus.org +trace
;; global options:  printcmd
.                       427457  IN      NS      C.ROOT-SERVERS.NET.
.                       427457  IN      NS      D.ROOT-SERVERS.NET.
.                       427457  IN      NS      E.ROOT-SERVERS.NET.
.                       427457  IN      NS      F.ROOT-SERVERS.NET.
.                       427457  IN      NS      G.ROOT-SERVERS.NET.
.                       427457  IN      NS      H.ROOT-SERVERS.NET.
.                       427457  IN      NS      I.ROOT-SERVERS.NET.
.                       427457  IN      NS      J.ROOT-SERVERS.NET.
.                       427457  IN      NS      K.ROOT-SERVERS.NET.
.                       427457  IN      NS      L.ROOT-SERVERS.NET.
.                       427457  IN      NS      M.ROOT-SERVERS.NET.
.                       427457  IN      NS      A.ROOT-SERVERS.NET.
.                       427457  IN      NS      B.ROOT-SERVERS.NET.
;; Received 348 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms

org.                    172800  IN      NS      TLD2.ULTRADNS.NET.
org.                    172800  IN      NS      C0.ORG.AFILIAS-NST.INFO.
org.                    172800  IN      NS      B0.ORG.AFILIAS-NST.org.
org.                    172800  IN      NS      TLD1.ULTRADNS.NET.
org.                    172800  IN      NS      D0.ORG.AFILIAS-NST.org.
org.                    172800  IN      NS      A0.ORG.AFILIAS-NST.INFO.
;; Received 436 bytes from 192.33.4.12#53(C.ROOT-SERVERS.NET) in 165 ms

spamhaus.org.           86400   IN      NS      ns8.spamhaus.org.
spamhaus.org.           86400   IN      NS      ns4.surfnet.nl.
spamhaus.org.           86400   IN      NS      ns3.xs4all.nl.
spamhaus.org.           86400   IN      NS      ns3.spamhaus.org.
spamhaus.org.           86400   IN      NS      ns20.ja.net.
spamhaus.org.           86400   IN      NS      ns2.spamhaus.org.
spamhaus.org.           86400   IN      NS      hq-ns.oarc.isc.org.
;; Received 271 bytes from 204.74.113.1#53(TLD2.ULTRADNS.NET) in 87 ms

zen.spamhaus.org.       86400   IN      NS      m.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      o.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      q.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      r.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      s.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      t.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      x.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      y.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      1.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      8.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      a.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      b.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      c.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      d.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      f.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      g.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      h.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      i.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      k.ns.spamhaus.org.
zen.spamhaus.org.       86400   IN      NS      l.ns.spamhaus.org.
;; Received 489 bytes from 216.168.28.44#53(ns8.spamhaus.org) in 152 ms


;; connection timed out; no servers could be reached

Uggy · Le 18/03/2008, à 15:24

Tu n'arrives pas a contacter les server dns de spamHaus... etrange...

Ca fait donc sument un timeout sur tous les DNS spamhaus ?
dig 4.17.201.77.zen.spamhaus.org @y.ns.spamhaus.org. +short

si oui, c'est strange.. peut etre spamHaus t'as blacklisté ?

Shinjuku · Le 18/03/2008, à 17:41

Ouais j'ai bien peur que spamhaus m'a blacklisté.

Pourquoi j'en sais rien, et je sais encore moins comment me déblacklisté...

Je reçois pas tellement de mail que ça (environ 10 000 par jour).

# dig 4.17.201.77.zen.spamhaus.org @y.ns.spamhaus.org. +short
;; connection timed out; no servers could be reached

Uggy · Le 18/03/2008, à 17:48

un ping par curiosité ?

$ ping y.ns.spamhaus.org

moi il répond bien...

Shinjuku · Le 18/03/2008, à 17:58

Ouais moi aussi, mais ça veut pas forcément dire que je suis pas blacklisté pour autant...

Si c'est le cas je voudrais surtout savoir pourquoi ...

En tout cas dans un premier temps faudrait que je puisse trouver une liste afin de savoir si je suis effectivement blacklisté ou pas...

Uggy · Le 18/03/2008, à 21:18

Shinjuku a écrit :

wblitz a écrit :
et si dans la directive 'forwarders' tu mets un des serveurs DNS de ton fai ?
Du coup, ça marche, mais je voudrais le faire marcher avec mon bind local pour mettre en cache les requêtes sur spamhaus, et ainsi éviter de bombarder le DNS.

En attendant de comprendre pourquoi les DNS de spamhaus ne veulent pas te répondre a toi, je pense que tu peux quand meme activer le "forwarder" car je pense que ton Bind local va quand meme mettre les réponses en cache...je pense...

Uggy · Le 18/03/2008, à 21:23

Vérifie quand meme bien les logs du fw entre ton server et Internet...
(Je sais qu'il y a une regle.. et que ca marche pour tous les autres dns...mais regarde les logs.. pas les regles..on ne sais jamais...)

Shinjuku · Le 18/03/2008, à 21:59

Pour le moment j'ai carément enlevé spamhaus de ma config postfix et j'ai mis une autre liste en remplacement qui m'élimine pas mal de mail quand même.

De toute façon après les liste j'ai encore un check bayes avec spamassassin.

Je vais voir comment m'en sortir avec spamhaus, quelques recherches google devrait résoudre le problème.

Merci à tous pour m'avoir aidé à identifier le problème.

Si je trouve d'autre info sur le blacklistage de spamhaus, je viendrais compléter ce topic.

Encore merci.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 16/03/2008, à 17:10

Problème de serveur DNS

#2 Le 16/03/2008, à 22:14

Re : Problème de serveur DNS

#3 Le 16/03/2008, à 23:26

Re : Problème de serveur DNS

#4 Le 17/03/2008, à 00:11

Re : Problème de serveur DNS

#5 Le 17/03/2008, à 10:52

Re : Problème de serveur DNS

#6 Le 17/03/2008, à 11:52

Re : Problème de serveur DNS

#7 Le 17/03/2008, à 14:04

Re : Problème de serveur DNS

#8 Le 17/03/2008, à 17:19

Re : Problème de serveur DNS

#9 Le 17/03/2008, à 17:27

Re : Problème de serveur DNS

#10 Le 17/03/2008, à 20:04

Re : Problème de serveur DNS

#11 Le 18/03/2008, à 10:56

Re : Problème de serveur DNS

#12 Le 18/03/2008, à 12:26

Re : Problème de serveur DNS

#13 Le 18/03/2008, à 15:24

Re : Problème de serveur DNS

#14 Le 18/03/2008, à 17:41

Re : Problème de serveur DNS

#15 Le 18/03/2008, à 17:48

Re : Problème de serveur DNS

#16 Le 18/03/2008, à 17:58

Re : Problème de serveur DNS

#17 Le 18/03/2008, à 21:18

Re : Problème de serveur DNS

#18 Le 18/03/2008, à 21:23

Re : Problème de serveur DNS

#19 Le 18/03/2008, à 21:59

Re : Problème de serveur DNS

Pied de page des forums