MailPlus Server Massenweise 127.0.0.1-DNSBL-Quries durch MailPlus Server

[rustysponge]

Hallo zusammen,

ich stehe seit einiger Zeit vor folgendem Problem: unser MailPlus Server produziert laut AdGuardHome haufenweise DNSBL-Queries. Soweit ich's verstehe, sind Queries bzgl. 127.0.0.1 und facebook.com durchaus okay, um zu prüfen, ob die BL korrekt funktioniert. Mich macht die Menge der Anfragen aber extrem stutzig. Über den Server laufen nur die Mails von drei Nutzern, d.h. kleine zweistellige Anzahl pro Tag. Das kann, in meinen Augen, nicht erklären warum ich pro Minute zig DNSBL-Queries habe. Zusätzlich habe ich beim DNSBL-Selbsttest ein orangenes Ausrufezeichen und den Hinweis "Keine MX- oder A-Berichte gefunden".



Deaktiviere ich den MailPlus Server, hören die Queries auf. Starte ich ihn neu, fangen sie direkt wieder an. Die Quelle ist also recht eindeutig. Empfang und Versand von Mails funktioniert übrigens völlig problemlos.

Kurz zum Setup:
- MailPlus Server läuft auf einer DS218+
- die DS hängt via Unifi Switch und USG (Router) am Netz (DS hat natürlich eine fixe IP im LAN)
- DNS-Anfragen werden durch AdGuardHome gefiltert (RaspberryPi, fixe IP im LAN, DNS-Server für's lokale LAN via DHCP gesetzt) und dann nach extern weitergereicht

Konfiguration:
- Domain XY.de via DynDNS auf meine IP umgeleitet
- Subdomain mx.XY.de via DynDNS auf meine IP umgeleitet
- MX-Eintrag von XY.de zeigt auf mx.XY.de (Prio 10, Prio 100 ist der Fallback Mailserver vom Domain-Provider)
- Port-Forwarding der relevanten Ports von der USG zur DS (25,143,465,587,993)
- SPF, DKIM und DMARC aktiv, laut Tests mit meiner gmail-Adresse scheint das auch alles zu passen, Mails werden als "signed by... " markiert
- Anti-Spam, postscreen, Antivirus und MCP sind aktiviert
- Hostname (FQDN) im MailPlus Server: mx.XY.de
- Mail-Versand läuft wegen unserer dyn. IP über Relay-Host des Domain-Providers

Im Bedrohungsmonitor oder sonstigen Logs sehe ich keine Aktivitäten, die so häufige Abfragen irgendwie rechtfertigen würden und bin daher einigermaßen ratlos. Liegt's irgendwo an unserem Setup, gibt es eine geheime Einstellung irgendwo oder schaue ich nur in den falschen Logs nach und sehe den eigentlichen Grund der Abfragen daher nicht?

Vielen Dank schon mal für jegliche Hilfe.

 

[rustysponge]

Kurzes Update nach tagelangem Kontakt mit dem Synology-Support: wirklich geholfen werden konnte mir dort auch nicht. Es wurden Logs durchgeschaut, via Fernwartung die Konfiguration meiner DS geprüft und das Ergebnis: es ist alles wie es sein soll.
Das Absurde: zwischendurch funktionierte der DSNBL-Selbsttest auf einmal wieder. Jetzt geht er wieder nicht mehr und ich finde mich damit ab, dass ich das wohl erst beim Wechsel auf eine neue DS (vielleicht) gelöst bekomme. Bis dahin lasse ich AdGuardHome die spezifischen DNS-Anfragen kommentarlos schlucken.
Falls irgendjemand irgendwann mal eine Lösung für das Problem findet... ich freue mich vermutlich auch in 4 Jahren noch über eine Antwort. ;-)

 

[Synchrotron]

Also wenn ich mir den Screenshot so anschaue, ist es wohl dein Antispam, das sich da laufend neue Infos ziehen will. Wenn ich mir die Adressen anschaue, laufen wohl mehrere Helferlein bei dir parallel.

Entweder muss das so, weil es sich immer aktuell halten will (ähnlich wie Virenscanner, auch der taucht da auf), oder es liegt an der Konfiguration.

 

[rustysponge]

Selbst mit deaktiviertem Antispam (getestet mit "nur postscreen"-Tests deaktiviert und einmal auch "Antispam" komplett deaktiviert) tauchen die Queries auf. Die abgefragten Server entsprechen auch nicht denen, die unter "postscreen" konfiguriert sind. Wobei mir auch die Abfrage auf 127.0.0.1 für ein Update der Listen nicht einleuchtet.

 

[rustysponge]

Update: Der Synology-Kundendienst hat sich meinen Server angeschaut, aber kein ungewöhnliches Verhalten feststellen können. Meine Frage, wieso diese Vielzahl an Abfragen auf einmal zustande kommt, konnte man mir nicht beantworten: "Laut den Log-Dateien sieht alles normal aus."

Ohne irgendein Zutun funktioniert jetzt immerhin der DNSBL-Selbsttest wieder und ich lebe mit >20.000 DNS-Queries des Mailservers pro Tag... bis ich die Syno irgendwann mal neu aufsetzen muss.

 

[rustysponge]

Update: Das Problem ist offenbar behoben - die genaue Ursache kann ich nicht nennen, ich musste aber wegen eines fehlerhaften AP im Netzwerk die DHCP-Konfiguration des Switches und der AP ändern. Welche der Einstellungen es genau war, kann ich nicht sagen - oder ob das Problem schon länger behoben war (habe die DNS-Logs nur für 24h gespeichert).

Fazit: Das Problem saß wohl eher vor dem Server/Netzwerk als im Server.

 

[rustysponge]

Update 2 für heute: Ich musste die Synology eben neustarten und nun sind die Abfragen wieder da... Problem lag also wohl doch nicht an der Netzwerk-Konfiguration - schade.

 

[syn_squan]

Hallo!
Gibt es hier eine Lösung inzwischen? Ich habe genau das gleiche Problem.
Mein Adguard Home registriert massenhaft DNS Anfragen im Sekundentakt.
Nachdem ich alle Sicherheitseinstellungen auf OFF gesetzt habe, bleibt es trotzdem bei den vielen Anfragen.
Es könnte an den DNSBL Livechecks für die eigene Domain liegen. Das lässt sich aber nicht deaktivieren, oder?
Bin für jede Hilfe dankbar!
VG

 

[rustysponge]

Leider habe ich bisher keine Lösung gefunden, habe aber auch den DNSBL Check in Verdacht. Ich lasse die Syno mittlerweile über andere DNS Server laufen und nicht über AdGuard, getreu dem Motto: "Aus dem Augen, aus dem Sinn".

 

[syn_squan]

Wow, die Antwort war schnell!
Vielen Dank!

Ich habe das Internet umgegraben in den letzten Tagen und außer Deinem Thread hier irgendwie gar nix zum Thema gefunden. Anscheinend hat sonst niemand dieses Problem oder niemand hat es bemerkt oder niemand nutzt einen eigenen DNS Server.

Andere DNS Server sind wohl eine gute Möglichkeit. Trotzdem belasten die Massen an Anfragen das System aber als Ganzes. Das würde mich glaube ich weiterhin stören.

Im Adguard wurden bei mir für eine Woche 180.000 Anfragen registriert nur für den Mailplus Server.

Ich suche mal weiter und schreibe wahrscheinlich auch mal an Synology. Wenn ich etwas neues herausfinde, schreibe ich es hier auf.

Nochmal Danke!

 

[syn_squan]

Kurzes Update:

Ich habe bei Synology ein Ticket geöffnet. Der L1 Supporter war glaub ich ein bisschen überfordert und hat nicht hilfreich geantwortet. Nach weiterer Erklärung hat sich bisher nichts weiter getan.

Im Adguard DNS habe ich die mind. TTL Zeit erhöht auf 900, also 15 Minuten. Zusätzlich habe ich die max. Anzahl an Anfragen pro Sekunde und Device auf 10 limitiert.

Ich bilde mir ein, dass die Flut an Anfragen im Moment dadurch reduziert ist. Ob das so bleibt, muss man abwarten.

 

[rustysponge]

Der Syno-Support war bei mir leider auch keine besonders große Hilfe. Aber eventuell hast du ja mehr Glück, ich drücke dir dir Daumen!
Dein beschriebenes Vorgehen behandelt ja aber nur die Symptome und beeinflusst auch alle anderen Clients deines DNS-Servers, oder? Nachdem ich AGH nur zum Filtern von Werbung verwende und die Syno mir ja ohnehin keine Werbung anzeigt bzw. selbst wohl keine präsentiert bekommt , lasse ich sie in Ruhe über einen externen DNS laufen. Ich hatte eine Weile relativ strikte DNS-Regeln in der Router-Firewall ("Alle DNS-Anfragen blocken, es sei denn sie laufen zum AGH"), aber davon habe ich mich wieder verabschiedet, weil es mehr Umstand war als es Nutzen generiert hat...

 

[syn_squan]

Danke. Ja, wahrscheinlich hast Du Recht und das ist das bessere Vorgehen, wie Du es beschreibst.

Meine anderen Clients leiden bisher nicht unter meinen genannten Einstellungen. Mal beobachten. Danke für den Hinweis.

Der Support hat sich bisher nicht wieder gemeldet trotz mehrfachen Erinnerungen.
Ernüchternd. Aber anderswo ist der Support (inzwischen) ja auch überall bescheiden.

Wenn es was Neues gibt, melde ich mich.

 

[syn_squan]

Der Synology-Support benötigt von Ticketantwort zu Ticketantwort ziemlich genau immer 1 Woche. Das ist müßig und nervig. Da hatte ich mehr erwartet.
Statt Hilfestellung oder Erklärung des "Problems" wollen die nun Fernzugriff und Admin-Rechte.
Ich denke, das sollte ich nicht tun. Der Supporter hat offenbar keinen blassen Schimmer und betet das Drehbuch runter.
Ernüchternde Erfahrung mit Synology.
Tut mir leid, dass ich nicht weiter helfen konnte hier.

 

[Oilinga]

Diesen massenhaften Verbindungen kann ich hier ebenfalls seit Monaten bestätigen. Habe hier ein Pi.hole als DNS am Start und er loggt im Sekunden Takt und seither ich den MailPlus Server am Laufen habe, diese Verbindungen . Als DNSBL habe ich am Syno MailPlus Server + zen.spamhous.org konfiguriert.

 

[Lextor]

Moin,

Würde mich mal hier einklinken...
Ich habe auf der DS920+ einen Mail Plus Server...statische IP...läuft seit Jahren alles rund (SPF, DMARC, DKIM)...
Wenn ich jetzt im Container einen Pi Hole aktiviere und die IP der Syno in der Fritz Box eintrage..(lokaler DNS Server), so werden alle Mails geblockt, auch das versenden ist nicht mehr möglich...sobald ich wieder den Standard DNS in der Fritz Box aktiviere ist alles wieder gut...hat jemand eine Ahnung was das sein könnte? Macht es Sinn, wenn der Pi Hole nicht im Docker der DS920+ läuft sondern auf z.B. einem Raspberry Pi? Aber eigentlich sollte das keinen Unterschied machen...oder? Die ganzen Anleitungen bzgl Pi Hole und Docker / Synology...da ist nie die Rede von einem selbst gehostetem Mail Server... bin etwas Ratlos...

 

[Mahoessen]

sollte das keinen Unterschied machen...oder?

Hi, macht keinen Unterschied, bei mir läuft PiHole auch im Docker..
was sagt das PiHole Protokoll ??
Ich hatte den Fall, dass Alles funktionierte, außer Mails an @t-online.de
habe das dann whitegelistet (arghh ) und die Mails gingen raus.
vg
Martin

 

[Lextor]

Hast Du auch einen Mailserver im Betrieb?

 

[Benares]

Mit "fritz.box" musst du etwas aufpassen. Das wird nur intern aufgelöst, wenn auch die Fritzbox gefragt wird. Extern aufgelöst landet man irgendwo bei AVM.
Ich kenne PIHole zu wenig, aber ich meine, da war die Konfiguration eines "Conditional Forwardings" in PiHole nötig, dass das sauber klappt.

 

[Lextor]

Tja...schade eigentlich....
Aber egal was ich mache...wenn der Pihole aktiv ist...werden alle Mails sowohl in als auch out geblockt...
Hätte gerne gewusst was es ist, was da stört...oder falsch konfiguriert ist...aber kein Plan...vor allem, weil sonst alles geht mit Pi Hole...werde mal versuchen die Tage es mal auf einem Pi5 einzurichten...mach mir aber nicht sonderlich große Hoffnung, das es dann geht...warum auch?