Skip to content

AXFRs bei iX-Blacklist

In letzter Zeit häufen sich die Anfragen, ob ein AXFR der iX-Blacklist NixSpam möglich wäre. Leider scheidet dies aus: Die DNS-Blacklist wird über einen PowerDNS betrieben, dieser wiederum holt sich seine Daten aus einer MySQL-Datenbank, die live gefüttert wird. Somit wäre mehrmals in der Minute ein AXFR nötig :-|

Leider nehmen die wenigsten Interessenten das Angebot einer MySQL-Replikation an :-(

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Robert Felber

Ach, MySQL als Backend? Na das erklaert dann sporadische Timeouts (die letzten sind bei mir allerdings vom 9. Maerz). ;-)

Das wuerde auch erklaeren, warum die Timeouts nur bei non-cached queries auftreten (sprich, jene fuer die der PowerDNS keine positive/negative Antwort im Ramen der TTL vorhaelt).

Warum keine BerkeleyDB (also, nicht im MySQL, sondern statisch, wenn's geht)?

Normal liest ein Authoritive die Zone in den Mem-Cache. Wenn er "staendig" "auf Disk ueber Sockets" nachschauen muss, ob record vorhanden, wunderts mich nicht.

Robert Felber

Warum ein frontend-backend system fuer den RBL Betrieb suboptimal ist:

Es sind >80% negative Anfragen zu erwarten -> Last auf das Backend
Im normalen Hosting Betrieb kann man auf soetwas setzen, da ist der Grossteil der Anfragen positive, bzw kann beantwortet werden. Im normalen Hosting Betrieb cached der PowerDNS die Daten, im RBL Betrieb muss er zu viel non-cached beantworten (du kannst ja darueber mal eine Statistik aehnlich http://j.ns.dsbl.org/nsg machen)

Loesung: ein System ohne Backend sondern Zone im Speicher waehlen. Diese Zone kann auch ohne Neuladen und sogar ueber MySQL verwaltet werden. Dazu muss die Verwaltung eben ein 'nsupdate' (man nsupdate) mit den noetigen Informationen senden. Vorteil: nicht zu beantwortende Queries belasten kein Backend und sind 1000-fach schneller beantwortet weil schlicht nicht im Speicher.

nighthawk

ich wuerde vermuten, daß das mysql backend mit der direkten verbindung von den heise-mailservern und der blacklist bei manitu zu tun hat. ich wuerde schaetzen, dass das mysql backend zusammen mit dieser live-kopplung eingefuehrt wurde.. da fingen naemlich auch die timeouts an.

pentius

Ich lasse mich mal von dem Technischen Fachwissen in den vorherigen Threads nicht beeindrucken und frage ganz stumpf:
Was ist AXFR?

:-)

pentius

Ich lasse mich mal von dem Technischen Fachwissen in den vorherigen Threads nicht beeindrucken und frage ganz stumpf:
Was ist AXFR?

:-)

Manuel Schmitt (manitu)

http://de.wikipedia.org/wiki/AXFR

Manuel Schmitt (manitu)

jip

Manuel Schmitt (manitu)

Das Problem: Die Daten müssen sich "live" ändern können, im Gegensatz zu fast allen anderen Blacklists werden die Daten nicht in x-Minuten-Abständen aufbereitet, sondern kommen binnen Sekunden in die RBL.

Dadurch entstehen trotz geringerem "Datenpool" (Anzahl ans Spam-E-Mails) eine erstaunlich hohe Trefferquote.

Wir überlegen derzeit, einen eigenen RBL für sowas zu entwicklen.

Robert Felber

Wie gesagt, das geht auch mit dem nsupdate Program. Man kann DNS realtime updaten ohne Zonen neu zu laden. Das setzt voraus, dass der DNS Server RFC 2136 implementiert (http://tools.ietf.org/html/rfc2136). Siehe auch http://en.wikipedia.org/wiki/Nsupdate
(In diesem Zusammenhang ist aber eine Zone im Speicher ein zwingendes Performance-Muss, alles andere ist halbbacken, bzw widerspricht dem Dynamic DNS update Konzept).

Eine andere Alternative waere rbldnsd by DJB (Aua). Kommt mit cdb files klar, wie da die realtime-implementierung aussieht habe ich mich noch nicht mit befasst.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen