Montag, 17. Februar 2025, 12:01
Die Ära der ix.dnsbl.manitu.net geht zu Ende - 2
Wir haben in den letzten Wochen unglaublich viele positive Rückmeldungen zum jahrezehntelangen Betrieb der Blacklist bekommen.
Es hat uns selbst überrascht, wo und wie "wir" überall genutzt wurden - und wo immer noch
Danke an alle, die sich bedankt haben. Wir schaffen es vermutlich gerade nicht, allen nochmals ein persönliches Feedback zu geben. Daher auf diesem Weg.
Es hat uns selbst überrascht, wo und wie "wir" überall genutzt wurden - und wo immer noch
Danke an alle, die sich bedankt haben. Wir schaffen es vermutlich gerade nicht, allen nochmals ein persönliches Feedback zu geben. Daher auf diesem Weg.
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
TM
> The operators of nixspam have started to send out abuse requests to the infrastructure providers of people hosting rspamd versions that are still accessing nixspam, so I looked into this some more.
Sascha
Sie haben sich bereit erklärt, den service noch 6 Monate "leer" weiter laufen zu lassen. Warum sollte man dann nach einem Monat anfangen Abuse Reports einzuwerfen?
Sie könnten den Service auch einfach komplett abschalten, aber sie haben sich (zum Glück aller MX-Admins) dagegen entschieden und haben eine recht lange Ausstiegsphase "angeboten".
So ganz ohne "Beweise" für einen Abuse Report messe ich diesem besagten GitHub Kommentar nur sehr wenig Relevanz zu.
smoothNOCoperator
Hier wird ja fröhlich über die Abuse-Meldungen gewettert. Vielleicht wäre es mal an der Zeit, die andere Seite zu sehen? Ich sag’s mal aus Erfahrung: Wer mal im NOC gearbeitet hat, kann da nur müde lachen.
Also, fassen wir das Ganze mal kurz zusammen: Diese Blacklist lief satte 20 Jahre, völlig kostenlos. manitu hat das auf eigene Kappe gemacht – und wenn ich mal ganz grob rechne (mein BWL ist auch schon was her), dann dürfte das in Summe eine ordentliche Stange Geld gekostet haben. Und das ist nur die direkte Kohle, Arbeitszeit, Nerven und Herzblut nicht eingerechnet.
Aber gut, zurück zur Technik. Zwei Jahrzehnte lang haben sich alle schön kostenlos an der Zone bedient. Laut Hostblogger war das Ding weit verbreitet – in rspamd z. B. quasi Standard. Sprich: Millionen Anfragen an die DNS-Server, pausenlos. Dann wurde die Liste abgeschaltet – erst mal nur geleert, die Slaves waren weg, und zack – plötzlich landeten alle Requests direkt bei manitu.
Und jetzt kommen wir zur RFC. Die ist sicher gut gemeint, aber wie wir alle wissen, werden RFCs von Nerds geschrieben, nicht von Leuten, die mit sowas ihr Geld verdienen müssen. Die Empfehlung einer leeren Liste klingt ja super, hat aber in der Praxis einen netten Nebeneffekt: Jetzt prasseln Millionen von Anfragen auf einen einzigen Server bei manitu ein – und liefern als Antwort nur NXDOMAIN. Klingt erstmal harmlos, oder?
Tja, dumm nur, dass das aus Sicht eines Carriers eine Katastrophe ist. Denn plötzlich sieht man im Netz einen gigantischen Strom an UDP-Anfragen, alle mit random Hostnamen (so funktioniert eine DNSBL nun mal) – und alle mit NXDOMAIN als Antwort. Und das von hunderttausenden verschiedenen IPs. Klingelt’s langsam? Das sieht für ein NOC bzw. eine Firewall exakt so aus wie ein DDoS. Und was passiert dann? Genau: Carrier setzen Filter. Und ratet mal, wessen Mailserver oder DNS-Resolver dann mal eben komplett dichtgemacht werden? Richtig, eure. Nicht nur Richtung manitu, sondern auch in richtig große Netzbereiche rein. Super Sache, oder?
Ich lehne mich mal aus dem Fenster: manitu hat mit ziemlicher Sicherheit schon von seinen Transitcarriern einen auf den Deckel bekommen. Deswegen haben sie auch den DNS-Server auf eine TEST-NET-Adresse geschoben – damit wenigstens nur noch der SOA-Record und die Sub-NS-Einträge abgefragt werden. Damit ist der Mist zumindest halbiert.
Und trotzdem gehen da wahrscheinlich immer noch Millionen von Anfragen ein. Und weil sich ja keiner der „Ich-nutze-alles-für-umme“-Fraktion verantwortlich fühlt („Ach, kostet nix, ist mir doch egal, sollen die halt RFC-konform bleiben!“), hat manitu die Notbremse gezogen und Abuse-Meldungen verschickt. War das die beste Methode? Vielleicht nicht. Aber was hätten sie sonst machen sollen? Brieftauben losschicken? Rauchzeichen geben?
Wenn man solche Listen nutzt, sollte man sich wenigstens halbwegs darum kümmern, dass man up to date bleibt – statt darauf zu warten, dass rspamd oder die eigene Distribution irgendwann mal die Defaults anpasst.
Oder mal anders gesagt: Wenn ein Laden schließt, lest ihr doch auch das Schild an der Tür. Und wenn jemand trotzdem immer wieder dagegen hämmert, kommt irgendwann die Polizei und sammelt ihn ein.
Also, denkt mal drüber nach, wie das von der anderen Seite aussieht. Hätte manitu einfach Blackholing eingesetzt und eure Server ins Nirvana geschickt – glaubt mir, ihr wärt NOCH unglücklicher als über ein paar popelige Abuse-Mails.
Nicoduck
Schade, dass es so Endet und Manitu sich damit bei einigen (nerds) in schlechtes Licht stellt
Alex M.
Eine leere Liste ist doch RFC-konform