Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 983 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dns errors - multi.uribl.com

Goldy_01
Hi to all.

Recently, my DNS log has ALOT of this kind of errors:
2010:11:22-20:03:15 mhgate named [29810]: unexpected RCODE (SERVFAIL) resolving 'pompa.co.il.multi.uribl.com/A/IN': "my ISP DNS" #53

All of them have the " multi.uribl.com" .

Any idea how to find out the source of those queries, and how to block it?
Packet filter and Web Security don't seem to work...
[:S]


This thread was automatically locked due to age.
  • 0
    Do you see anything at about the same time in the SMTP log?  This just feels like an anti-spam engine using the blacklist at multi.uribl.com - are you sure you don't that in your RBL list in the SMTP Proxy?

    For internal users, we have DCHP aim DNS requests first at the internal name server, then Astaro, then OpenDNS.  The inernal name server forwards to Astaro, then OpenDNS.  Astaro forwards only to DNS.  Request routes give Astaro access to the Internal name server.

    Cheers - Bob
  • 0
    Hi.
    Unless multi.uribl.com query comes from Asraro itself, it comes from one of my users, (which it shouldn't&#8230[;)]
    Nothing in the SMTP log.
    I'm just try to figure where it comes from.
  • 0
    So, you confirm that you don't have multi.uribl.com listed in 'Extra RBL zones' on the 'Anti-Spam' tab?
  • 0
    Yes - nor in my Mail server.
    So far I have tried:
    1. Disable all in DNS-> "Allowed Networks"
    2. Disable "SMTP proxy"
    3. Make a rule in "Packet filter" for blocking  any to this site.
    4. Make a rule in " Web Security" for blocking  any to this site.
    No matter what I do  - I still see it in the DNS log.
  • 0
    Interesting, I would interpret these to mean:
    - 1. With this done, the DNS requests only can come from the Astaro itself.  Do the lines appear as bloced in the packet filter log if you disable Astaro DNS?
    - 2. With this done, the SMTP Proxy can't be the source of the DNS requests, so my question has a definitive answer.
    - 3. If this is the top rule, then this means the traffic is passing via an Astaro proxy.
    - 4. Since these aren't HTTP packets, no rule in Web Security can block it.  I wonder if turning off the HTTP/S Proxy would stop the requests?

    Cheers - Bob
  • 0
    Hi Balfson and thanks.

    " 1. With this done, the DNS requests only can come from the Astaro itself. Do the lines appear as bloced in the packet filter log if you disable Astaro DNS?"
     - I don't see any " uribl.com" or anything related  in the Packet filter log.

    " 4. Since these aren't HTTP packets, no rule in Web Security can block it. I wonder if turning off the HTTP/S Proxy would stop the requests?"
    I gave it a try – Nop…