Open resolver Spamhaus ZEN VPS OVH

Support
,
1

What type of hardware are you using: VPS bought online
What YunoHost version are you running: YunoHost 12.1.39 (stable).
How are you able to access your server: The webadmin
SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: No

Describe your issue

Bonjour,

J’ai depuis quelques temps une soucis d’open resolver sur mon VPS OVH sur l’ipv6 et maintenant l’ipv4.

J’ai bien lu les différents sujets sur ce problème mais j’avoue être perdu dans toutes les informations

Voici une copie des messages d’erreurs du diagnostic

Votre IP ou domaine 51.254.143.37 est sur liste noire sur Spamhaus ZEN

Il semble que la raison mentionne « open resolver ».
Cela signifie généralement que votre serveur n'utilise pas son DNS local, mais un DNS public et ouvert.
Vérifiez le contenu de /etc/resolv.conf, il devrait contenir nameserver 127.0.0.1.
Comme ce fichier est généralement généré automatiquement, ne le modifiez pas manuellement. Vérifiez vos paramètres DHCP ou vos paramètres VPN si vous en utilisez un, ou si vous avez utilisé une image Debian créée, par exemple, par un fournisseur de VPS, recherchez une configuration cloudinit.
N'hésitez pas à vous rendre sur les canaux d'assistance YunoHost pour obtenir de l'aide sur ce problème.
La raison exacte de la liste noire est : "Error: open resolver; https://check.spamhaus.org/returnc/pub/2001:41d0:302:2200::4fea/"
Après avoir identifié la raison pour laquelle vous êtes répertorié sur cette liste et l'avoir corrigée, n'hésitez pas à demander le retrait de votre IP ou de votre domaine sur https://www.spamhaus.org/zen/

Votre IP ou domaine 2001:41d0:302:2200::4fea est sur liste noire sur Spamhaus ZEN

Il semble que la raison mentionne « open resolver ».
Cela signifie généralement que votre serveur n'utilise pas son DNS local, mais un DNS public et ouvert.
Vérifiez le contenu de /etc/resolv.conf, il devrait contenir nameserver 127.0.0.1.
Comme ce fichier est généralement généré automatiquement, ne le modifiez pas manuellement. Vérifiez vos paramètres DHCP ou vos paramètres VPN si vous en utilisez un, ou si vous avez utilisé une image Debian créée, par exemple, par un fournisseur de VPS, recherchez une configuration cloudinit.
N'hésitez pas à vous rendre sur les canaux d'assistance YunoHost pour obtenir de l'aide sur ce problème.
La raison exacte de la liste noire est : "Error: open resolver; https://check.spamhaus.org/returnc/pub/2001:41d0:302:2200::4fea/"
Après avoir identifié la raison pour laquelle vous êtes répertorié sur cette liste et l'avoir corrigée, n'hésitez pas à demander le retrait de votre IP ou de votre domaine sur https://www.spamhaus.org/zen/

Et pourtant j’ai bien la bonne valeur de resolv.conf

cat /etc/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)

# DO NOT EDIT THIS FILE BY HAND – YOUR CHANGES WILL BE OVERWRITTEN

# 127.0.0.53 is the systemd-resolved stub resolver.

# run “resolvectl status” to see details about the actual nameservers.

nameserver 127.0.0.1

Toute aide est la bienvenue, je crains de perdre des mails ce qui serait génant, ça fait plusieurs années que j’utilise yunohost sans soucis.

Share relevant logs or error messages

No logs

2

Salut,

Tu n’es pas le seul à avoir ce problème, c’est la même chose chez-moi.
Il semble que Spamhaus ZEN est une dent contre OVH.

Tu peux voir si tu es blacklisté ici :
https://check.spamhaus.org/
Ton IPv4 ne parait pas avoir de soucis, mais vérifie ton IPv6 et faire une demande pour demander une suppression.

J’ai effectué le test (IPv4 et IPV6) réponse donnée " has no issues" pour les deux, pourtant, le diagnostic dit le contraire.

Ici, il propose une solution, ça n’a pas fonctionné pour moi.

Une autre solution, serait de mettre ça en place :

Mais ça ne fait que masquer le problème sans le résoudre.

3

Je suis aussi chez ovh. Je n’ai plus le problème.

Il faut vérifier que les ports 53 et 5353 sont fermés.

J’ai désactivé le support ipv6 pour le mail et le diagnostic. (c’est galère l’ipv6 chez ovh)

4

En TCP ou UDP

ça n’aura pas d’influence sur les services ?

Ils sont par défaut actuellement, donc ouverts…

C’est dans outils / paramètres / email / autoriser l’ipv6

En tout cas merci

J’ai ouvert un ticket sur spamhaus, voici le retour

Thank you for contacting the Spamhaus Ticketing team, Is this exact IP yours? Do you control the full /64 or larger? ------------------------------------------ IP: 2001:41d0:302:2200::5ca8 ------------------------------------------ If the answer is no, please contact your service provider. CSS/XBL lists IPv6 with /64 granularity, and one or more IPs within the /64 in question are sending spam. A /64 is the industry standard for the smallest IPv6 allocation to individual customers, even for home-uses like cable, DSL or wireless. The /64 choice has RFC4291 as its origin and it is further discussed in RFC6177. As a spammer can cycle through IPv6 addresses every 5 seconds or less and an IPv6 /64 is twice the size of the entire IPv4 internet, a lot of spam can be sent with minimal effort. Thus, listing the whole /64 is warranted. For more detailed information, the below URL should help: FAQs on Combined Spam Sources (CSS) Blocklists | IP DNSBL FAQs | Exploits Blocklist (XBL) | IP DNSBL | Spamhaus To resolve this issue, contact your service provider and request the assignment of a /64 range together with DNS/rDNS appropriate for email service.

5

Chez-moi, j’ai ceci, sur un dédié :

PORT-TCP-UDP
PORT-TCP-UDP552×225 9.65 KB

Dois-je les fermer ?

6

Oui. Les ports dns ne devraient pas être exposés à internet.

7

Non, les requêtes dns des services de ton serveur se font en local. Exposer les ports dns à internet est dangereux dans le contexte d’auto hébergement.

8

Merci pour les réponses, le port 53 est ouvert en TCP et UDP

Je ferme les deux ?

Merci :wink:

9

Moi, j’ai fermé les deux.