Kurze Information für Blog-Leser die bei der Mail-Filterung auf "NixSpam RBL" gesetzt haben. Der vom heise-Verlag betriebene Dienst ist seit dem heutigen 7. März 2025 abgeschaltet, was einigen Leuten Probleme bereiten dürfte. Ergänzung: Das Problem scheint seit ca. 9:00 Uhr gelöst zu sein.
Anzeige
Jedenfalls sind in meinem Posteingang bereits drei Nachrichten eingetrudelt, die mich auf die Einstellung von NixSpam RBL hingewiesen haben (danke dafür).
Ein erster Leserhinweis
Frank schrieb mir mit dem Betreff "nixspam abgeschaltet, nicht RFC-konform", dass der Anbieter "NixSpam seine Spamliste heute [7.3.2025] nicht RFC-konform abgeschaltet" habe. Die Mails würden nun alle von diversen Spamfiltern geblockt, wenn diese Spamliste aktiv sei.
blocked by ix.dnsbl.manitu.net; NixSpam has been shutdown, see https://nixspam.net - PLEASE INFORM THE ADMINISTRATOR OF YOUR MAIL SERVER>'
Der Leser schloss mit "Ich denk da werden sich heut noch mehr melden." und er sollte Recht behalten.
Leserhinweis auf NoSpamProxy-Probleme
Blog-Leser Tim ergänzte in einer separaten E-Mail, dass er heute heute festgestellt habe, dass Unternehmen, die in ihrem Spamfilter noch die NixSpam RBL abfragen, seit heute [7.3.2025] Probleme mit der Liste bekommen. Denn die Liste meldet, man sei auf der Spamliste gelandet. Tim hat mir nachfolgenden Screenshot mit einer entsprechenden Meldung geschickt (danke dafür).
Anzeige
Festgestellt hat Tim dies bei einem Kunden, der NoSpamProxy nutzt, festgestellt. In NoSpamProxy werden dadurch 4 SCL-Punkte vergeben (siehe folgenden Screenshot). Tim merkt dazu an: "Das Problem scheint auch bei aktuellen Versionen von NoSpamProxy noch der Fall zu sein, die Liste wurde wohl nicht herausgepatcht."
Tim verwies auf einen NoSpamProxy-Foreneintrag vom Januar 2025, wonach die Entfernung geplant gewesen sei. Dort findet man den Eintrag "zur Info für euch: ich habe gerade gelesen das die NixSpam RBL (ix.dnsbl.manitu.net) mit Wirkung vom 17.01.25 vom Netz gegangen ist. Die Gründe dafür sind auf der Webseite von hostblogger.de zu lesen.". Der Schluss war, dass es aber erstmal keine Probleme geben sollte.
Tim schrieb mir dazu, dass die Blockliste in den Regelkonfigurationen unter Filter -> Echtzeitblocklisten einfach entfernt werden könne.
Weitere Leser betroffen
Blog-Leser Kay hat sich als Dritter im Bunde per E-Mail gemeldet und schrieb, dass man in seinem Umfeld für ein paar Hundert Domains von Kunden einen E-Mail Dienst betreibe. Seit heute Morgen, 7.3.2025, häufen sich die Fehlermeldungen über abgelehnte ausgehende E-Mails.
Kay schrieb mir in seiner ersten Mail: "Grund dürfte die Abschaltung der "NixSpam RBL" vom Heise-Verlag sein, wobei die Liste aber noch von diversen Mailserver abgefragt wird. Einige Mail-Server seien wohl so konfiguriert, dass sie E-Mails ablehnen, wenn keine Treffer der NixSpam RBL zurück geliefert werden, merkt Kay an und ergänzt: "Vielleicht hilft ja ein kurzer Hinweis bei Dir im Blog dem einen oder anderen Admin."
Heise hatte das angekündigt
Kay hat mich darauf hingewiesen, dass heise die Abschaltung im Beitrag Spamfilter: DNS-Blacklist Nixspam stellt Betrieb ein angekündigt hat. Im Beitrag vom 20. Januar 2025 heißt es, dass das Spamfilter-Projekt Nixspam des iX-Magazins seinen Betrieb einstellt, und dass die DNS-Blacklist (DNSBL) unter dem Domainnamen ix.dnsbl.manitu.net seit dem 16. Januar 2025 keine Einträge mehr führt.
Aber es heißt auch, dass kein Grund zur Hektik bestehe, denn der Betreiber der Nixspam-Infrastruktur, der Webhoster manitu, berücksichtige die Empfehlungen zum Abschalten einer DNSBL in RFC 6471 (dort in Abschintt 3.4). Der Betrieb werde noch mindestens sechs Monate aufrechterhalten, nur liefert die Liste keine Treffer mehr. Damit sollten auch filternde E-Mail-Appliances klarkommen, falls deren Hersteller die internen Filterlisten nicht anpassen.
Wenn ich mich nicht kräftig verrechnet habe, sind diese sechs Monate aber noch nicht um, wir haben erst März 2025. Irgend etwas ist die Nacht passiert, so dass die Spam-Filter in den Mail-Servern nun Probleme bereiten und die Fehlermeldung.
Remote server replied: 554 5.7.1 Service unavailable; Client host [XXX.XXX.XXX.XXX] blocked using ix.dnsbl.manitu.net; NixSpam has been shutdown, see https://nixspam.net - PLEASE INFORM THE ADMINISTRATOR OF YOUR MAIL SERVER
zurück liefern. Der Leser schrieb in einer dritten Mail, dass sein Kollege inzwischen herausgefunden habe, dass die URL noch aktiv ist. Aber für jede abgefragte IP-Adresse wird die Kennzeichnung "Spam" zurück gegeben.
Das Problem in NoSpamProxy lösen
Frank hat mir in einer weiteren Mail noch den Link auf den oben erwähnten Thread im NoSpamProxy-Forum geschickt. Dort wird in diesem Post erwähnt, wie Nutzer von NoSpamProxy das Problem lösen können.
Im Post heißt es, dass Nixspam nun keine Antwort "SPAM" mehr zurück liefere – irgend etwas wurde wohl wegen der Probleme wieder umgestellt. Hat wohl einen ziemlichen Sturm gegeben. In diesem Post wird erwähnt, dass Kommentare im Forum gelöscht würden. Ist das Problem bei euch automatisch behoben worden?
Anzeige
Scheinbar auch M365 betroffen, zumindest haben wir Meldungen, dass E-Mails an Microsoft Tenants teilweise aktuell blockiert werden.
Hallo, wir auch.
Grund ist dann wie folgt:
550 5.7.350 Remote server returned message detected as spam -> 550 5.7.1 Diese E-Mail wurde aufgrund unserer Security Richtlinie abgelehnt. Bitte wenden Sie sich an den Adressaten; The IP address xxx.xxx.xxx.xxx is listed in the following lists:;Bonded Sender, NixSpam RBL, MailSpike
check, exakt der gleiche fehler, ebenfalls exchange umgebung
Lustig, dass das gerade kommt, denn wir hatten das Problem auch und haben es soeben behoben. Was mich wundert: Wenn der Dienst down und somit nicht erreichbar ist, sollte dieses Phänomen nicht auftreten. Die Abfragen sollten einfach nicht mehr bedient werden und somit sollten die Mails angenommen werden. Es sieht vielmehr so aus, als wenn die Blacklist noch abgefragt werden kann, aber gerade Amok läuft.
Postfix unter Debian:
/etc/postfix/main.cf
reject_rbl_client ix.dnsbl.manitu.net
in
#reject_rbl_client ix.dnsbl.manitu.net
ändern,
anschließend
/etc/init.d/postfix reload
Problem gelöst.
Korrekt, seit heute morgen haben alle Anfragen an die Liste mit "Ja" gemeldet.
Das hat hier bei uns auch ordentlich für Wirbel gesorgt.
Wir haben auch die Zeile deaktiviert/auskommentiert.
Mal schauen, wie sich unser rspamd verhält.
Die Abschaltung erfolgte RFC konform und wurde auch schon seit dem 17.01.2025 angekündigt. Allerdings ist das wohl im Rauschen anderer Ereignisse untergegangen:
https://hostblogger.de/blog/archives/7353-Die-AEra-der-ix.dnsbl.manitu.net-geht-zu-Ende.html
https://www.nospamproxy.de/en/shutdown-of-the-dns-blacklist-nixspam/
https://www.heise.de/news/Spamfilter-DNS-Blacklist-Nixspam-stellt-Betrieb-ein-10248349.html
Danke für die Links – mein obiger Beitrag ist in mehreren Durchläufen entstanden (mir war wichtig, dass die Meldung raus geht), so dass sich Inhalte überschnitten haben – auf den heise-Beitrag hatte ich in späteren Überarbeitungen verwiesen – da war von sechs Monaten Übergangszeit die Rede.
Nein, dieses Verhalten ist eben NICHT RFC-konform. Der Betreiber der DNSBL hatte angekündigt sich so zu verhalten, tut nun aber tatsächlich das Gegenteil.
RFC-konform wäre es nach einer Übergangszeit mit leerer Datenbank die Zone zu löschen oder die Nameserver umzubiegen oder Verzögerungen einzubauen, so dass Anfragen letztendlich in einem Timeout enden. Was hier stattdessen passiert ist, dass in der DNSBL sämtliche IP-Adressen der Welt als Spam-Versender markiert worden sind. Das ist ein verantwortungsloses Verhalten.
exakt
Das plötzlich jede Abfrage beantwortet wird war schon bei anderen RBLs die Notlösung.
Trotz Information dass der Server keine aktuellen Daten mehr enthielt, baute kaum ein postmaster die Abfrage aus.
Die kamen erst aus den Puschen, als plötzlich alles an E-Mails geblockt wurde.
Möglicher Weise spielte damals auch ne Rolle, dass DNS erstmal UDP nutzt..
Da kann man ruhig den Server abschalten, der Abfrage Traffic bleibt, wird sogar noch höher, weil keine Antworten mehr gecacht werden können. Beim Abfrager gibt es ja nur ein timeout(was gut ist, weil so der Server weniger Mails annehmen kann pro Zeit Einheit.)
Das Vorgehen scheint natürlich unnett, aber Jahrzehnte lang eine Ressource kostenlos nutzen und dann, wenn man gefragt wird, damit aufzuhören nicht sofort zu reagieren ist auch unnett.
Das war die Notbremse
Könnte es sein, das manchem nicht so klar ist, wie kostbar DNS abfragen sind, und die die Abfragen einfach weiter stellen?
So etwas an einem Freitag zu machen hat eben auch ein "Geschmäckle".
Uns hat es auch erwischt. Nicht beim normalen Posteingang (der läuft über M365), sondern an einer recht sensiblen Stelle – dort wo ein Rechnungsausgang in ein Archivierungssystem fließt.
Vor allem hatte ich gleich ein DejaVu zur Abschaltung einer anderen Blacklist (war es SORBS?), die kurzzeitig zu ähnlichen Maßnahmen gegriffen hat.
Zumal ich zu NixSpam eine recht persönliche Beziehung hatte – ich habe sie damals vor über 20 Jahren mit dem Script von Bert Ungerer hier zum "Self-hosting" implementiert und so eine ganze Menge des damals noch recht simpel gestrickten Spams von meinen Kollegen und der Firma abhalten können.
So hat es mich auch gefreut, daß (nach etlichen Jahren des Stillstandes) der Heise-Verlag das Projekt wieder aufgriff und eine zentrale DNSBL aufsetzte, die ich auch gerne implementiert habe. Ich habe sogar im Rahmen des Möglichen teilweise Spam-Mails "gespendet", um die Filter schneller und besser zu trainieren.
Mit Corona und dem Wechsel zu M365 wurde das dann weitgehend obsolet, aber ich habe gestern doch noch die eine oder andere Stelle im Mailfluß jenseits der M365-Wolke (z.B. für Protokolldateien) wiedergefunden, in die ich diese Liste quasi gewohnheitsmäßig eingetragen hatte.
Die eigentlichen Gründe kann ich leider völlig nachvollziehen und respektiere sie auch – es bleibt das traurige Fazit des Betreibers aus obigem Link: "Die Regelungs-Wut der EU sowie des Gesetzgebers im Allgemeinen war der einzige Grund für diese Entscheidung."
Nicht das erste Mal das die nicht Erreichbarkeit eine "Blacklist" (ob Temporär oder generell da eingestellt) zu solchen Problemen führt.
Von der Logik verstehe ich die Systeme aber auch nicht die solche Blacklist abfragen, die Logik gebietet es doch das Blacklist die nicht Antworten NICHT zur Ablehnung einer Mail führen sollten. Anscheinend handelt die Spamfilter aber nach der Logik, wenn keine positive Antwort = SPAM.
So wie du es beschreibst funktioniert es ja auch normalerweise.
Bis heute Vormittag sah es so aus wenn das System nicht erreichbar war:
postfix/smtpd[12345]: warning: xxx.xxx.xxx.xxx.ix.dnsbl.manitu.net: RBL lookup error: Host or domain name not found. Name service error for name= xxx.xxx.xxx.xxx..ix.dnsbl.manitu.net type=A: Host not found, try again
Postfix hat NixSpam ignoriert und ist zum nächsten Schritt weiter gegangen.
Heute sah es allerdings wie folgt aus:
Mar 7 09:06:41 hostname postfix/smtpd[12345]: Mar 7 09:06:41 hostname postfix/smtpd[12345]: NOQUEUE: reject: RCPT from mailserver[xxx.xxx.xxx.xxx]: 554 5.7.1 Service unavailable; Client host [xxx.xxx.xxx.xxx] blocked using ix.dnsbl.manitu.net; NixSpam has been shutdown, see https://nixspam.net – PLEASE INFORM THE ADMINISTRATOR OF YOUR MAIL SERVER;
Es gab also eine Rückmeldung von Nixspam, welche von Postfix fälschlicherweise als "SPAM" interpretiert wurde.
Das ganze ist RFC konform, setzt aber eine korrekte Einstellung am Mailserver voraus.
Dass eben nicht alle Rückmeldungen als SPAM erkannt werden.
Bei anderen Anbietern wie z.B. Spamhaus steht das explizit in der Anleitung drin.
https://docs.spamhaus.com/datasets/docs/source/40-real-world-usage/PublicMirrors/MTAs/020-Postfix.html
Bei Kunden haben wir folgendes Verhalten:
This email was rejected because it violates our security policy Remotehost is listed in the following RBL lists: NixSpam RBL
Könnte es es auch am Abschalten von NixSpam liegen??
Das ist genau der Punkt. Die NixSpam-Blacklist (betrieben von heise unter der Adresse ix.dnsbl.manitu.net) ist abgeschaltet, aber einzelne Mailserver reagieren auf die Nicht-Erreichbarkeit falsch, indem sie die Mails als Spam interpretieren und diese damit nicht zugestellt werden.
Offensichtlich ist der DNS-Name auch gar nicht mehr auflösbar.
nslookup ix.dnsbl.manitu.net
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: xxxx:xx:xxxxx:xxx:xxxx:xxxx:xxxx:xxxx
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
Wir hatten am 14.2. durch die Abschaltung der Blacklist ix.dnsbl.manitu.net das Problem, dass unsere Reddoxx-Appliance keine Mails mehr rein ließ.
(Was, nebenbei bemerkt, auch ein sehr eigensinniges Verhalten ist und zudem die Fehlermeldungen von Reddoxx überhaupt nicht zielführend waren.)
Nach dem Löschen der NixSpam-URL aus dem Receive-Connector waren wir wieder auf Empfang.
Heute bekamen wir aber auch mit, dass andere Mailadmins offenbar die Blacklist noch eingetragen haben und Mails von uns deswegen abgelehnt wurden.
Wir suchen aber immer noch nach einem gleichwertigen Ersatz für die NixSpam-Blacklist, da wir schon einen leichten Anstieg an nicht erkannten Spammails seit dem Wegfall spüren.
Finde die Webseite ja ganz interessant, vielleicht hilft die bei der Suche:
https://www.intra2net.com/de/support/antispam/index.php_sort=name_order=asc.html
Ich suche die Sender-IPs nicht abgelehnter SPAMs auf multirbl. valli. org und trage denn u.U. (nicht alle Listen scheinen mir seriös genug) diese Liste in die RBLs mit ein.
Wir standen heute morgen auch vor diesem Problem. NoSpamProxy hatte plötzlich zahlreiche E-Mails permanent abgeweisen.
Das manuelle entfernen von NixSpam unter den Echtzeit-Blocklisten hat geholfen.
Danke an alle hier…
Heute Früh auch mal schnell bei 20 NoSpamProxy Sever die Spam Liste gelöscht, schon läuft es wieder.
Doof nur, das hier NoSpam nicht vorher schon gewarnt hat oder es anderweitig abfängt :(
Haben sie: https://www.nospamproxy.de/de/abschaltung-der-dns-blacklist-nixspam/
Das heutige Problem hat eher Nixspam verursacht indem sie "Spam" als Antwort lieferten.
Hat uns auch "kalt" erwischt. Irgendwie ist diese Info auch an mir vorbei gegangen, dass nixspam ausgeschaltet wird…
Mal eine Frage:
Warum benutzt ihr eure RBL nicht mit den passenden return Codes?
Für die config in postfix hätte es so aussehen können:
reject_rbl_client ix.dnsbl.manitu.net=127.0.0.2
Damit wäre der Ärger durch die Abschaltung der IX RBL spurlos an euch vorbeigegangen oder kann das die von eingesetzte Software teilweise nicht?
Anregungen erwünscht…
…und niemand würde die unnötige Anfrage aus der Config nehmen.
warum auch, es funktioniert doch…
Alles als gelistet zu markieren ist leider der einzige Weg, um die Möchtegern postmaster aufzuwecken.
Ich verstehe dieAufregung nicht.
Ihr hättet die Liste schon vor Monaten entfernen können.
Warum habt ihr das nicht getan, und blubbert statt euern Fehler oder Nachlässigkeit zu sehen hier rum?