Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 8290 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RBL false positive with cbl.abuseat.org

Koulgar
Hi all,
i have a problem with the smtp Proxy. 
I get a false positive from "cbl.abuseat.org" .
If i deactivate "Use recommended RBLs" and add 
"black.rbl.ctipd.astaro.local" and 
"cbl.abuseat.org"
manually. 

I check the ips in "cbl.abuseat.org" Lookup without an entry in database. 

Astaro said  
2011:05:12-08:39:27 free exim[7095]: 2011-05-12 08:39:27 exim 4.69 daemon started: pid=7095, no queue runs, listening for SMTP on port 25 (IPv6 and IPv4) port 587 (IPv6 and IPv4) and for SMTPS on port 465 (IPv6 and IPv4)

2011:05:12-08:39:36 free exim[7095]: 2011-05-12 08:39:36 SMTP connection from []: (TCP/IP connection count = 1)

2011:05:12-08:39:37 free exim[9119]: 2011-05-12 08:39:37 H= []: Warning:  profile excludes greylisting: Skipping greylisting for this message

2011:05:12-08:39:39 free exim[9119]: 2011-05-12 08:39:39 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="" from="" to="@" size="-1" reason="rbl" extra="cbl.abuseat.org"

2011:05:12-08:39:39 free exim[9119]: 2011-05-12 08:39:39 H= []: F=> rejected RCPT @>

2011:05:12-08:39:39 free exim[9119]: 2011-05-12 08:39:39 SMTP connection from  []: closed by DROP in ACL


When i remove "cbl.abuseat.org" from 
Extra RBL Zones the mails get through .. 

but thats no option for me 

pls help .. 

thnx in advanced 

Koulgar


This thread was automatically locked due to age.
  • 0
    whitelist that sender in the asl.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    whitelist that sender in the asl.


    Well that might be a sollution but actually there are up to 20 false positive and i guess there are a lot more .. 
    i checked all ips on the webpage and always get the answer that they are not in the list ;( 

    So I guess whitelisting isn't a good workaround
  • 0
    put the ip into abuseseat.org's ip checker.  if it comes up positive there's a reason.  That ip probably has a compromised box on it somewhere(especially if the ip has a NAT that is serving multiple boxes).

    CBL Lookup
    The CBL FAQ

    honestly given abuseat's reputation i highly doubt it is really a false positive.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    OK, here just a few of the Servers like to send mails ...
    dunno if its allowed to send official IPs here so  just im me if you wanna test yourselfe
    Seems to me that cbl is ok but the astaro recognize the server as false positive in the SMTP proxy.
    abter configuring the RBL server manually and removing cbl from the list everything works like normal



    CBL Lookup
    IP Address IP1 is not listed in the CBL.


    rejected" srcip="IP1" from="************x" to="yyyyyyyyyyyyyyyy" size="-1" reason="rbl" extra="cbl.abuseat.org"



    CBL Lookup
    IP Address IP2 is not listed in the CBL.


     srcip="IP2" from="************x" to="yyyyyyyyyyyyyyyyyyyy" size="-1" reason="rbl" extra="cbl.abuseat.org"



    CBL Lookup
    IP Address IP3 is not listed in the CBL.



    srcip="IP3" from="******************" to="yyyyyyyyyyyyyyyyyyyy" size="-1" reason="rbl" extra="cbl.abuseat.org"


    thnx for help ..
  • 0
    can you pm me those ips?  i would like to verify them.  It is possible it is a false positive.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    abuseseat does NOT list those ips.  Either there is a problem with your asg updating or Astaro is not updating the rbl entry database fast enough.  This is an Astaro issue not an abuseseat issue.  If you have support/reseller contract use that..however keep up posted.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    abuseseat does NOT list those ips.  Either there is a problem with your asg updating or Astaro is not updating the rbl entry database fast enough.  This is an Astaro issue not an abuseseat issue.  If you have support/reseller contract use that..however keep up posted.


    Thats what i try to explain .. I also didn't think that there is a problem with abuseseat 
    If the IPS where listed in the abuseseat Database I surely know that they gonna be blocked.
    But, and thats why i posted here in te Astaro Forum, the ASG reject mails from good IPS with the logmessage that abuseseat have this IP listed. 
    And when i manually remove abuseseat everything works fine. 
    Actually i have just "black.rbl.ctipd.astaro.local" activated which i guess is a bad idea. 
    If i reactivate abuseseat the ASG reject every incoming mail with the abuseseat  message I posted above.

    I guess the Spam handler of the ASG have the problem .. 
    Sorry if that wasn't clear from the beginning. 

    But now the Question.. what can I do to solve this ... 

    P.S: oh sorry again i forgot to send some parameters 
    Its an ASG v8.102 (21956)
  • 0
    start a support ticket..that's how you fix it.  I'm not having abuseseat issues so something most likely isn't updating correctly.  I use abuseat, spamhuas rbl and brbl(barracuda barbell) as well as the header,helo all ecept greylisting.  the rbl's do not hardly get used.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    I use the night for some Log file debugging and during that i just reboot the ASG after 100 days uptime.

    And .. the problem is gone away ...... really dunno why ... 
    i try to force the error again .. but it seems to work now ... 

    thnx for all the answers
Cookie Information Banner