Spamhaus und Google-DNS

Beim Einrichten von DNS-Blocklisten auf unserem Proofpoint-Lab-System erscheint folgende Fehlermeldung:

Ein Packet Capture auf der Firewall zeigt uns eine DNS Abfrage auf 2.0.0.127.zen.spamhaus.org, welche manuell mit nslookup nachgestellt eine „Non-existent domain“ Response erzeugt. Das Hinzufügen anderer DNS-Blocklisten, wie b.barracudacentral.org, liefert korrekte DNS-Responses. Warum das?

Nach etwas Recherche finden wir zwei hilfreiche Beiträge [1] [2] und stellen den gefundenen Fakt kurzerhand nach:

Interessant… das Google DNS Service erzeugt hier NXDOMAIN, während andere DNS Dienste wie Cloudflare oder OpenDNS korrekte DNS-Responses liefern.

Abhilfe schaffen wir kurzerhand auf der Palo Firewall, und zwar mit einer DNS Proxy Rule:

Problem solved:

Robert Rostek
robert.rostek@strong-it.at

We shall never surrender