Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4482 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.501][BUG] False positives from pbl.spamhaus.org

BAlfson
We were having a small problem with a few of these beginning 05 November.  Today, we really got slammed.  I'm working a case with US Support.  Here's part of what I told them; I included an extract from our SMTP log in my submission to them:
I searched for all of the lines with “blacklisted at pbl.spamhaus” in the last 30 days.  I massaged the file so I could manipulate it in Excel.  I deleted all of the real spams and wound up with 46 instances of pbl giving false positives.  No problem existed from 10/18 through 11/04, then there were several, and a whole ton of them today.  To the end of each line, I added the actual domain name of the IP address.  I checked every IP against spamhaus, and none was listed.

I know for a fact that most of these are not newly-acquired IPs, and suspect that none are.  The IPs for our domain have been constant for several years.  My personal;, family domain is unchanged since its creation.  My customers haven’t changed their IPs.  There even was an email rejected from supportus@astaro.com from 213.144.15.13 – doesn’t that strike you as unusual?

I have removed zen.spamhaus.org and now have only sbl-xbl.spamhaus.org and cbl.abuesat.org as explicitly-named RBLs.


It's very strange that the Astaro continues to reject emails based on pbl.spamhaus.org in spite of the fact that I've disabled 'Use recommended RBLs' and only explicitly listed the two above.  I've now deleted all spamhaus RBLs, but continue to get rejections based on pbl.

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • 0
    Astaro closed the case with my report of this, and I just got another customer with the same problem.

    For a little entertainment, notice how my customer's IP is tagged by pbl as "residential" one minute, OK the next, and then is rejected again the next minute.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Astaro closed the case with my report of this, and I just got another customer with the same problem.

    For a little entertainment, notice how my customer's IP is tagged by pbl as "residential" one minute, OK the next, and then is rejected again the next minute.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Bob - 

    in a pragmatic sense, wouldn't this simply come back to the point "this person is a customer, ergo I whitelist him?" (temporarily or not).

    I agree with the need for clarity on the blacklisting logic & documentation behind its arcane functions though...and I was entertained by your screenshot, for what it's worth.

    I have a ton of customers setting up shop at home too (although the percentage of them that realize they are violating their ISP's Usage agreement by using their link for commercial purposes is probably zero) and these occurrences (while not daily) *are annoying*.  However, the reduction in number of "I got spam!" calls generated to my help desk by using these functions, versus the calls from "broken" customer connections is still incomparable.

    Still clarity would be nice.

    -stoomaroo
Cookie Information Banner