Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4482 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.501][BUG] False positives from pbl.spamhaus.org

BAlfson
We were having a small problem with a few of these beginning 05 November.  Today, we really got slammed.  I'm working a case with US Support.  Here's part of what I told them; I included an extract from our SMTP log in my submission to them:
I searched for all of the lines with “blacklisted at pbl.spamhaus” in the last 30 days.  I massaged the file so I could manipulate it in Excel.  I deleted all of the real spams and wound up with 46 instances of pbl giving false positives.  No problem existed from 10/18 through 11/04, then there were several, and a whole ton of them today.  To the end of each line, I added the actual domain name of the IP address.  I checked every IP against spamhaus, and none was listed.

I know for a fact that most of these are not newly-acquired IPs, and suspect that none are.  The IPs for our domain have been constant for several years.  My personal;, family domain is unchanged since its creation.  My customers haven’t changed their IPs.  There even was an email rejected from supportus@astaro.com from 213.144.15.13 – doesn’t that strike you as unusual?

I have removed zen.spamhaus.org and now have only sbl-xbl.spamhaus.org and cbl.abuesat.org as explicitly-named RBLs.


It's very strange that the Astaro continues to reject emails based on pbl.spamhaus.org in spite of the fact that I've disabled 'Use recommended RBLs' and only explicitly listed the two above.  I've now deleted all spamhaus RBLs, but continue to get rejections based on pbl.

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • 0
    I think you misunderstood, Patrick.  My customer has an ASG120.

    Since this began, we've begun to suspect that our ISP, Cox Communications, is doing DNS hijacking; essentially, providing false positives at times.  The fact that my only other customer using the same DNS forwarders is having the same problem would seem to confirm this.  I intend to get us both switched over to OpenDNS or similar.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I think you misunderstood, Patrick.  My customer has an ASG120.

    Since this began, we've begun to suspect that our ISP, Cox Communications, is doing DNS hijacking; essentially, providing false positives at times.  The fact that my only other customer using the same DNS forwarders is having the same problem would seem to confirm this.  I intend to get us both switched over to OpenDNS or similar.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Bob -- a clear-cut winner in my corporate environment too.

    I use it as a primary resolver on my redundant MXs, and secondary on my primary MXs.  However, I switch the order around every couple of months to compare hit ratios (i.e. how many are resolved by OpenDNS versus my ISP over period "x").

    They are on-par, if not better, than both my ISPs.  This includes the fact that I have a primarily Canadian-located customer base market as well. 

    One of the strengths of OpenDNS, like other MX protocols/technologies, they can be woven in as redundant services until you're sure they're ready for prime time.

    Stewart/Stoomaroo
Cookie Information Banner