Serverkonfiguration Liste "Realtime Blackhole Liste" greift nicht

[xxfog]

Hallo,
ich habe in der main.cf den Eintrag sbl-xbl.spamhaus.org (Standardmäßig?) und laut Logfiles wird diese RBL auch genutzt. Zusätzlich habe ich im ISPConfig unter Serverkonfiguration > E-Mail > Realtime Blackhole Liste noch die Einträge:

zen.spamhaus.org,ix.dnsbl.manitu.net,2.0.0.127.b.barracudacentral.org

aber keiner hiervon wird mit zur Prüfung herangezogen. Auch ein Ändern und Speichern der Einträge bringt keine Veränderung.
Woran kann es liegen, wie kann ich die Ursache besser eingrenzen?

Beste Grüße
xxfog

 

[florian030]

welche version nutzt du denn? die aktuelle version hat damit kein problem.

 

[xxfog]

3.1.2 - die 3.1.3 möchte ich noch nicht installieren da doch noch zu viele Probleme mit Let`s Encrypt auftauchen und ich erst sicher gehen will, dass meine Konfiguration nicht auch das saubere Arbeiten mit LE hemmt.

 

[Till]

3.1.2 hat mehr Probleme mit Letsencrypt als 3.1.3. Die neue Version überprüft nur das LE setup strenger was dazu führt dass bei Verwendung eines NAT network setups der Server in der Lage sein muss die gehosteten Domains zu erreichen.

 

[Benedict]

Schau doch mal die smtpd_recipient_restrictions durch, wo die Einträge stehen, gerade auch nach Änderungen mit ISPConfig. Würde mich interessieren. Vielleicht liegt da ja auch die Lösung.

 

[xxfog]

So - das Update auf 3.1.3 hat in der Tat zumindest dafür gesorgt, dass die Zusätzlichen RBL Einträge nun geladen werden.
Aber zum Thema LE ist genau das eingetroffen was ich befürchtet habe.. Ausgerechnet beim Haupt-Zertifikat (Domain für server und Dienste) werden nun keine Subdomains und Aliasdomains mehr einbezogen - ja selbst die Hauptdomain wird nicht mehr korrekt im Zertifikat aufgenommen.
Vorher lief dieser Part sauber.

 

[florian030]

ISPConfig prüft vor der Zertifikatserstellung, ob die (sub)domains erreichbar sind. Sind sie das nciht, werden sie ausgenommen. Prüf mal die DNS-Einträge. Wenn Du NAT machst, müsstest Du mal git-stable nehmen und da dann den LE-Check abschalten.

 

[xxfog]

Ich kann jede Domain anpingen die ins Zertifikat aufgenommen werden soll und als Alias oder sub eingerichtet ist. NAT wird nicht genutzt. Wie gesagt: vorher lief es ja auch - da war es ja bereits so, dass Domains die nicht per DNS erreicht werden können dafür sorgten, dass LE sich gar nicht aktivieren lies. Entsprechend habe ich damals bereits alle DNS Einträge kontrolliert und ggf. korrigiert.

 

[florian030]

Und was steht im log von let's encrypt?