歴史:すべてがこのログエントリで始まります。
postfix/smtpd[10001]: warning: x.x.x.x.list.dsbl.org: RBL lookup error: Host or domain name not found. Name service error for name=x.x.x.x.list.dsbl.org type=A: Host not found, try again
手動で解決しようとしましたが、タイムアウトしました。 GoogleのパブリックDNSサーバーを使用しようとするとうまくいきました。ここでドラマが始まります。
localhostからの再帰を許可するようにバインディングを設定し、DNSサーバーをネームサーバー/etc/resolv.confとして使用するように切り替えました。127.0.0.1また、GoogleのパブリックDNSサーバーをフォワーダーとして指定しようとしましたが、存在しませんでした(ルートサーバー要求)。結果は同じです。
1.2.3.4.list.dsbl.orgを見てください。
; <<>> DiG 9.9.5-9+deb8u7-Debian <<>> a 1.2.3.4.list.dsbl.org ;;グローバルオプション: +cmd ;;回答を取得する: ;; ->>HEADER<<- opcode: QUERY, 状態: SERVFAIL, id: 12810;;フラグ:qr rd ra;クエリ: 1, 回答: 0, 権限: 0, 追加: 1
;;医師セクションの選択:; EDNS: バージョン: 0, UDP: 4096;; 問題セクション:;1.2.3.4.list.dsbl.org.中
;;クエリ時間: 0ms;;サーバー: 127.0.0.1#53(127.0.0.1);;時間: 2017年1月4日水曜日 12:55:36 UTC;;MSG サイズ rcvd: 50
3~4秒経過すると失敗します。 GoogleのパブリックDNSを試してください。
1.2.3.4.list.dsbl.org @8.8.8.8を掘り下げてください。
; <<>> DiG 9.9.5-9+deb8u7-Debian <<>> 1.2.3.4.list.dsbl.org @8.8.8.8 ;;グローバルオプション: +cmd ;;回答を取得する: ;; ->>HEADER <<- opcode: QUERY, 状態: SERVFAIL, id: 62982;;フラグ:qr rd ra;クエリ: 1, 回答: 0, 権限: 1
;;医師セクションの選択:; EDNS: バージョン: 0, UDP: 512;; 問題セクション:;1.2.3.4.list.dsbl.org.中
;;クエリ時間: 28ms;;サーバー: 8.8.8.8#53(8.8.8.8);;時間: Wed Jan 4, 2017 12:57:28 UTC 2017;;MSG サイズ rcvd: 50
これはうまくいきますが、
somedomain.comをご覧ください。
; <<>> DiG 9.9.5-9+deb8u7-Debian <<>> a somedomain.com ;;グローバルオプション: +cmd ;;回答を取得する: ;; ->>HEADER<<- Opcode: QUERY, status: NOERROR, id: 35713;;フラグ:qr rd ra;クエリ: 1, 回答: 1, 権限: 2, 追加: 5
;;医師セクション選択: EDNS: バージョン: 0, UDP: 4096;;問題セクション:;somedomain.com.中
;;回答部分: somedomain.com。 69.172.201.153から300
;;信頼できる部分: somedomain.com。 172800 IN NS Sell.internetraffic.com. somedomain.com. 172800 IN NS buy.internetraffic.com.
;;追加セクション:buy.internetraffic.com。 172800 IN A 64.96.240.54 buy.internetraffic.com. 172800 IN A 64.96.241.73 Sell.internetraffic.com. 172800 IN A 176.74.176.176 Sell.internetraffic.com. 176.74.176.175から172800
;;クエリ時間: 49ms;;サーバー: 127.0.0.1#53(127.0.0.1);;時間: 2017年1月4日水曜日 12:56:30 UTC 2017;;MSG サイズ rcvd: 176
脚注:GoogleのDNSを使用しなければ/etc/resolv.confローカルで正常に動作します。 postfix を再起動するとファイルはコピーされますが、/var/spool/postfix/etc/resolv.confホストに対して同じログを確認することはできません。
私は何を見逃していますか?
ベストアンサー1
DSBLは2008年末に中止されました。長い間(1年?)DNSはまだクエリを解決しました。
以前の手順の中にはブラックリスト/ドメインを参照することがありますが、このリストはずっと前に消えてしまい、DNSリクエストは解決されなくなるため、設定しないことをお勧めします。
Google DNSには既知の問題を解決するためのショートカット/最適化機能があり、ドメインはブラックリストまたは一種のRPZ設定にあります。大規模なタスクでは、問題を解決するためにまだ過度に設定されたアドレスに対しても同じことが行われます。 - 存在するドメインは貴重なリソースを占めています。
要求をフィルタリングするために同様のブラックリストが作成され、最終結果は最上位ルートネームサーバー(TLD)にリソースを節約するため、同様の構成も「良い」ネチズンになることの一部です。
Googleカスタマイズのアイデアを強化すると、カスタムコードがあることが知られており、パフォーマンスという名前でRRで過度に低いTTLを無視するなど、いくつかの「珍しい」機能があることが知られています。 (それ以来、BINDは私の記憶が正しい場合、RRに許可されるより低いTTLを定義するグローバルオプションを作成しました。)
あなたのサーバーは、ブラックリストが設定されている間、このように長い間生き残ったかどうかわかりません。dsbl.orgこれは、アドレスが無効になったときに電子メールサーバーの遅延が原因でブラックリスト設定からそのアドレスを削除する必要があるためです。
要求時にBINDはドメインをブラックリストに追加します。
ゾーンファイルは次の場所にあります。/etc/bind/rpz.db
*.list.dsbl.org CNAME *.
named.conf定義された内部ビューにゾーンファイルを追加する:
zone "rpz" {
type master;
file "/etc/bind/rpz.db";
allow-query { your_internal_network; };
};
次に追加named.conf.options:
options {
...
response-policy { zone "rpz"; };
}
また見なさい: