Spamhaus oder Firehol?

Started by cklahn, June 11, 2025, 07:11:06 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 11, 2025, 07:11:06 PM
Hallo Forum,

in der Onlinehilfe der Sense wird erklärt, wie man die Blocklisten von Spamhaus integriert. Ich habe das mal gemacht und fand nun auch Hinweise auf Firehol-Listen.

a) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?
b) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?

Gruß
Christoph
June 13, 2025, 11:24:52 AM #1
Quote from: cklahn on June 11, 2025, 07:11:06 PMa) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?

Wenn du die Einbindung meinst der Liste, dann ist das Prinzip gleich/ähnlich. Nur eben andere URI zum Abrufen. Du solltest dann aber ggf. mal nachlesen, welche firehol Liste (level 1, 2, 3...) genau WAS tut, was beinhaltet und für welchen Zweck die gedacht ist. Bspw. ist L1 eine recht generische Liste, hat aber bspw. die ganzen privaten Adressen, Multicast und Co mit drin, was man ggf. intern->extern nicht alles blocken will. Da braucht es dann ggf. eine gefilterte Liste mit negativ-Aliasen mit drin.

Quote from: cklahn on June 11, 2025, 07:11:06 PMb) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?

Spam Blocklisten und Spam-Server Blocklisten sind zweierlei Dinge. Wenn du von der Spamhaus DROP oder EDROP Liste sprichst, dann hat die nichts oder nicht nur was mit Spam zu tun, sondern listet generell ziemlich offensive IPs, die man nicht haben will. Ransomware Crypto, Malware, Botnetze und Co können da enthalten sein. Das hat also nicht(s) nur mit Mailservern zu tun, weil die Bude Spamhaus heißt :)

Zusätzlich sind DROP und EDROP meistens in den größeren Listen schon mit enthalten. Firehol Level 1 enthält bspw. schon 100% von DROP und EDROP sowie DShield und ET_spamhaus und ET_block:



Somit kann man hier sich dann ggf. die ein oder andere Liste weil bereits enthalten einfach einsparen :)
Wichtig ist aber hier genau drauf zu achten, was man für welchen Zweck einbindet. Einfach Level 2 & 3 bspw. zu nutzen kann/wird zu false positives führen. Auf Level 2 oder 3 landen schon gerne mal CDN oder bekanntere IPs von Github, Gitlab, Discord und Co, wenn deren Dienste mal wieder zum Upload von irgendwelchem Schadcode verwendet werden. Das muss man im Auge haben und ggf. mit einer Allowliste gegensteuern, die solche IPs rauszieht.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions