Rspamd calls many stranges domains

Support
,
1

Version française plus bas.

I recently installed pi-hole on my server and noticed that the most called domains are quite strange, and no more calls are logged once rspamd is stopped.

My YunoHost configuration

Hardware: NUC computer
Internet access: ethernet at home
YunoHost version:
yunohost: 3.0.0~beta1.5
yunohost-admin: 3.0.0~beta1.1
moulinette: 3.0.0~beta1.1
ssowat:3.0.0~beta1
Have you personalized your yunohost with some specifics configurations or do you use only the yunohost cli/webadmin tool ? basic

Description of my problem

I noticed that there was a great number of DNS queries for stranges domains

Here are the 10 more requested domains on my local network (and all called from localhost)

1.0.0.127.sbl.spamhaus.org
facebook.com.uribl.spameatingmonkey.net
1.0.0.127.spam.abuse.ch
facebook.com.multi.surbl.org
facebook.com.fresh15.spameatingmonkey.net
facebook.com.public.sarbl.org
1.0.0.127.bl.score.senderscore.com
1.0.0.127.bl.ipv6.spameatingmonkey.net
1.0.0.127.bl.spameatingmonkey.net
1.0.0.127.zen.spamhaus.org

I noticed that no more queries were logged once I disabled the service rspamd (note : postfix is not running so I think I am not receiving any email)

Here is a server status : https://paste.yunohost.org/luyutesiza.json
image
(note : the spike is due to freshRSS, but we can see the drop in request when rspamd is stopped)

J’ai récemment installé un pi-hole sur mon serveur et ai remarqué un nombre étrange d’appels depuis le serveur, requêtes qui s’arrêtent quand rspamd est arrêté

Configuration de mon YunoHost

Matériel: NUC computer
Accès Internet: ethernet à la maison
YunoHost version:
yunohost: 3.0.0~beta1.5
yunohost-admin: 3.0.0~beta1.1
moulinette: 3.0.0~beta1.1
ssowat:3.0.0~beta1
As tu modifié ton yunohost avec des configuration spécifiques ou bien utilise tu uniquement la web administration et/ou la ligne de commande yunohost ? basique

Description de mon problème

J’ai remarqué un grand nombre de requêtes DNS vers des domaines étranges (entre-autre avec facebook.com dedans)

Voici les 10 domaines les plus requêtés (et tous depuis localhost)

1.0.0.127.sbl.spamhaus.org
facebook.com.uribl.spameatingmonkey.net
1.0.0.127.spam.abuse.ch
facebook.com.multi.surbl.org
facebook.com.fresh15.spameatingmonkey.net
facebook.com.public.sarbl.org
1.0.0.127.bl.score.senderscore.com
1.0.0.127.bl.ipv6.spameatingmonkey.net
1.0.0.127.bl.spameatingmonkey.net
1.0.0.127.zen.spamhaus.org

J’ai aussi remarqué que plus aucune requête n’était faite une fois que rspamd était arrêté (note : postfix est tout le temps arrêté, donc je suppose que je ne reçoit pas de mails)

Voici un diagnostique du serveur : https://paste.yunohost.org/luyutesiza.json

image
(note : le pic est du à FreshRSS, mais on voit bien la diminution des requêtes après l’arrêt de rspamd)

1 Like
2

Just a small bump to know if nobody got the same kind of strange behaviour ?
I still have thousands of DNS requests per day on 10s of hosts (~15k requests/day).
I have the port 25 blocked on my modem so no inbound email so I think I’ll just disable rspamd for now :frowning:

3

Hi Mamie, yes, same behavior… it’s hitting the same url every minute, I don’t understand why so much DNS requests. I friend of mine has the same problem as us, we are not alone. :wink:

Edit: like you I stopped the service rspamd, much better now !!

4

Un petit up parce que je découvre que je suis également dans la même situation :thinking:
Avec des logs comparables…
(détecté par mon IDS Snort, c’est ce qui m’a interpelé mais il m’a fallut pas mal de temps pour en trouver l’origine : il s’agit bien du service rspamd qui lance des requêtes).

Si quelqu’un a une explication (c’est sans doute pas grand chose ou normal, mais j’aimerais comprendre), je suis preneur :slightly_smiling_face:

Edit : réponse trouvée ici : https://rspamd.com/doc/faq.html :white_check_mark:

5

Est ce que tu saurai nous pointer vers la partie utile de la FAQ ?

6

Voici : https://rspamd.com/doc/faq.html#what-are-monitored-checks
:wink:

7

Ah, j’avais vu ça, j’espérais avoir raté un moyen de le désactiver ^^

Comme j’ai le DNS tout pourri d’SFR qui fait n’importe quoi avec les domaines qui n’existent pas (il redirige vers un autre domaine qui n’existe pas, mais en .numericable.fr) alors ça fait l’appel toutes les minutes, H24

JOIE :cry:

8

J’ai le meme SFR tout pourri que toi. Un truc qui aide c’est d’ajouter

supersede domain-search "";

dans /etc/dhcp/dhclient.conf … bien que des fois je vois encore la ligne search numericable.fr dans /etc/resolv.conf … mais elle fini par redisparaitre (j’ai ptete un conflict de gestion du fichier resolv.conf)

C’est à faire à la fois pour ton serveur et tes machines persos

10

J’essaie ça, les autres machines du réseau utilisent mon serveur comme DNS, donc théoriquement pas besoin :slight_smile:

edit : sans succès :
ping fdslfkjslmgkfdmgjdfs.gfdgsdf
PING fdslfkjslmgkfdmgjdfs.gfdgsdf.numericable.fr (127.0.0.1) 56(84) bytes of data.

J’ai essayé un sudo dhclient -r pour voir, mais sans succès :frowning:

11

Il faut que tu verifies qu’il n’y a plus search numericable.fr dans /etc/resolv.conf. Si c’est toujours le cas, il faut peut-être forcer à renouveller le bouzin DHCP (genre sudo dhclient eth0 ptete)

12

sudo dhclient -r enp3s0

Ah ben voilà, je n’ai plus accès à mon serveur :scream:
Soit il relance tout seul son réseau, soit je vais devoir attendre ce soir pour le remettre en accès physique.
Prochaine fois, je laisse juste coupé rspamd vu que de toute manière mon serveur n’accepte pas de mails en entrée (bloqué au niveau de la box + firewall)