Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.510] Spamhaus complaining about high volume querying

Ifor Davies
Very odd. I've just received the following email:

Subject: Caution - access to Spamhaus data-feed may be improperly configured

Dear Spamhaus user,

I am writing to you from MXTools.com, the authorised Spamhaus reseller. Our automated server monitoring tools have detected that your organisation is querying Spamhaus public servers with an unusually high volume from the following IP address: [External IP of our Astaro machine] .

Many users are unaware that the public service is provided free of charge only for low volume mail servers (non-commercial) or for small organisations with no other means to protect themselves against spam (non-profits, charities). This usage policy is well explained at: The Spamhaus Project - DNSBL Usage Terms.
Since millions of users across organisations of all sizes now depend on Spamhaus to keep email flowing, they encourage high volume users and other commercial services to move to our sponsored service. This prevents overloading of the public mirrors and keeps response times snappy. Pricing for the sponsored data-feed is under $1 USD/user (much less for Service Providers & Schools) - which is clearly the most affordable way to protect your organisation against spam and malware. As a full subscriber you are also entitled to unlimited free technical support and free pro-active monitoring of your email server.

Thank you for using the DNSBL data-feed to protect your users from the daily deluge of spam. Through your continued use of the sponsored service, Spamhaus can ensure sustained funding of the free public mirrors that are used by millions of home users and non-commercial or charitable organisations. Your contribution also helps support our research efforts to fight spammers and other cyber-miscreants.

Please consider registering now using this link: SpamTEQ - Spamhaus Datafeed Service Group If you have any additional questions please do not hesitate to contact me at the address or telephone number below.

Sincerely, Spamhaus Technology & MXTools

[signature snipped]

PS If you are already a Spamhaus Datafeed client, Thank You - we truly appreciate your support! It does appear that one of your servers (perhaps forgotten from the trial period) needs to be re-configured. Please contact us - support@mxtools.com – so we can help make the required changes and avoid any service interruptions.

Is Spamhaus still used as an RBL by Astaro? If so, has anyone else received an email like this? And what would happen Spamhaus decided to block my IP?

Background: currently, we receive about 4000-5000 emails a day, with 3000-4000 of them being rejected as spam.

Ifor Davies


This thread was automatically locked due to age.
  • 0
    Do you have Spamhaus listed at WebAdmin>>Mail Security>>SMTP>>AntiSpam Tab>>RBLs (could also be in SMTP profiles if you use that feature)?

    Spamhaus starting monitoring their usage and sending out emails like this about a year and a half-2 years ago when they changed their terms of usage agreement to disallow free usage by commercial or high-volume entities.  It was at that point when 3rd party spam mitigations products, like Astaro and Barracuda, removed Spamhaus from their built-in lists of RBLs.

    Spamhaus has two different means to block you usage.  I have seen both be used by various RBL lists in the past that have gone commercial or who have stopped operating.  Spamhaus does not specify which means they use.
    1)  Most likely from a reputable commercial RBL is that they will just block your IP from querying their databases.  The only negative effect of this to you is that you'll be wasting bandwidth on queries that go nowhere.
    2)  I've seen this one used once, by an RBL that had shut down due to disinterest on the part of the owners.  They got sick of paying for bandwidth on their end used by queries to a defunct service, so one year after announcement was made of the shutdown, they made a DNSRBL zone with one entry:  0.0.0.0.  Meaning, any query would result as positive and all emails would be blocked by anyone still using their list.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Hello Scott

    Under the Antispam tab in the RBLs section, we've got "Use recommended RBLs" checked, but nothing listed in the "Extra RBL zones" box. (we don't use smtp profiles).

    If Spamhaus are no longer included in the recommended RBLs then I don't suppose we've got a problem (at least not with Astaro...).

    Thanks for your help

    Ifor
  • 0 in reply to Ifor Davies
    Was it ever added as an additional RBL?  Maybe the middleware in the ASG didn't remove it from the mail engine config file, although it's not showing in the GUI... from the shell, check out /var/chroot-smtp/etc/exim.conf ... scroll through the file, you should see the default RBLs listed under the line "# RBL lists" ... should be some ctipd.astaro.local items in there, no Spamhaus stuff.  To see where the extra RBLs (if defined previously and not erased by middleware as they should have been) are, look at the /var/chroot-smtp/etc/exim.conf.profile file... this lists all the unique settings for each SMTP Profile defined (you did check under the other SMTP profiles, right?)... look for an entry like _RBL_EXTRA ... it should have nothing after it on the same line if you did not define custom RBLs... look for Spamhaus in there.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    One other thought... do you have anything behind the Astaro configured to use Spamhaus, like Exchange, etc.?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Spamhaus is still in exim.conf as of 7.510.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Probably should be removed.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I'm not seeing this as a problem at any client site.  Is anyone else?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It's only a problem because it can be a violation of the new Spamhaus terms of service:

    Use of the Spamhaus DNSBLs via DNS queries to our public DNSBL servers is free of charge if you meet all three of the following criteria:
    1) Your use of the Spamhaus DNSBLs is non-commercial*,
        and
    2) Your email traffic is less than 100,000 SMTP connections
        per day, and
    3) Your DNSBL query volume is less than 300,000 queries
        per day.

    If you do not fit all three of these criteria then please do not use our public DNSBL servers


    *Definition: "non-commercial use" is use for any purpose other than as part or all of a product or service that is resold, or for use of which a fee is charged. For example, using our DNSBLs in a commercial spam filtering appliance that is then sold to others requires a data feed, regardless of use volume. The same is true of commercial spam filtering software and commercial spam filtering services.


    It's not such a good thing to potentially be putting Astaro commercial customers in a position of being liable for theft of services.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hmmm, as I read that, Scott, it seems to me that Astaro would have the liability.  If Astaro has left spamhaus in exim.conf (which they can manage via Up2Dates), then I would presume that they have included the cost of the spamhaus DNSBLs in the price of the Mail Security Subscription.

    Can someone from Astaro confirm this one way or the other?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It would be nice if they had some sort of formal agreement, but I don't see how it could be managed in the real world.  Whether Spamhaus manages their customer database based on domain name or IP address, they would have no idea who is or isn't using Astaro.

    I agree that Astaro needs to revisit this to protect both themselves and their customer base.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Cookie Information Banner