Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4482 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.501][BUG] False positives from pbl.spamhaus.org

BAlfson
We were having a small problem with a few of these beginning 05 November.  Today, we really got slammed.  I'm working a case with US Support.  Here's part of what I told them; I included an extract from our SMTP log in my submission to them:
I searched for all of the lines with “blacklisted at pbl.spamhaus” in the last 30 days.  I massaged the file so I could manipulate it in Excel.  I deleted all of the real spams and wound up with 46 instances of pbl giving false positives.  No problem existed from 10/18 through 11/04, then there were several, and a whole ton of them today.  To the end of each line, I added the actual domain name of the IP address.  I checked every IP against spamhaus, and none was listed.

I know for a fact that most of these are not newly-acquired IPs, and suspect that none are.  The IPs for our domain have been constant for several years.  My personal;, family domain is unchanged since its creation.  My customers haven’t changed their IPs.  There even was an email rejected from supportus@astaro.com from 213.144.15.13 – doesn’t that strike you as unusual?

I have removed zen.spamhaus.org and now have only sbl-xbl.spamhaus.org and cbl.abuesat.org as explicitly-named RBLs.


It's very strange that the Astaro continues to reject emails based on pbl.spamhaus.org in spite of the fact that I've disabled 'Use recommended RBLs' and only explicitly listed the two above.  I've now deleted all spamhaus RBLs, but continue to get rejections based on pbl.

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • 0
    Thanks, stoomaroo,

    Our problem with pbl is not related to any home businesses.  All such false positives were on long-term, fixed IPs.  Hewlett-Packard's mail servers, Gmail and others were blocked at random, then a subsequent email was not rejected.  No whitelisting involved.

    I don't think it has to do with a lack of clarity; if pbl responds with "Yes, that IP is on the blacklist," then the Astaro will reject the email.  If there is a "No" or no response, the SMTP Proxy continues to process the email with other Anti-spam and Anti-Virus checks.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Thanks, stoomaroo,

    Our problem with pbl is not related to any home businesses.  All such false positives were on long-term, fixed IPs.  Hewlett-Packard's mail servers, Gmail and others were blocked at random, then a subsequent email was not rejected.  No whitelisting involved.

    I don't think it has to do with a lack of clarity; if pbl responds with "Yes, that IP is on the blacklist," then the Astaro will reject the email.  If there is a "No" or no response, the SMTP Proxy continues to process the email with other Anti-spam and Anti-Virus checks.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    if pbl responds with "Yes, that IP is on the blacklist," then the Astaro will reject the email. If there is a "No" or no response, the SMTP Proxy continues to process the email with other Anti-spam and Anti-Virus checks


    ...agreed - the expected behaviour on my side also.

    All such false positives were on long-term, fixed IPs. Hewlett-Packard's mail servers, Gmail and others were blocked at random, then a subsequent email was not rejected.


    my customer's IP is tagged by pbl as "residential" one minute, OK the next, and then is rejected again the next minute.


    But surely this can't be an Astaro bug issue? (Unless I have misread your posts) Even say, Spamhaus could hypothetically decide one day to put "0.0.0.0" in their RBL listings, and knacker everything (which I think is in another thread around here somewhere).  In the end, the efficiency of the Astaro comes back to the use of certain public blacklists (a dependency in use by all mail administrators).  You will always be at the mercy of blacklisting errors regardless of whether you use say, Astaro or a barracuda, MS Edge, Ironport...etc...etc?

    The only other option to counter this problem, would be for Astaro to maintain their own IP blacklist, versus allowing the use of public services. (mind you, if I remember reading correctly, Spamhaus' services are *not* free if you are using it for commercial purposes)

    I get the feeling we're agreeing here - but I'm just interpreting your original question differently....or basically Barry answered the question...?

    hmmm...I need more (less??) coffee methinks?  Always fun to chat though.

    -Stewart (stoomaroo)
Cookie Information Banner