mod_security RBL - 명백한 거짓 긍정

Apache 2.2의 mod_security에서 RBL 규칙으로 인해 문제가 발생하여 오탐지가 발생하는 것 같습니다. 감사 로그에 다음이 표시됩니다(IP 주소가 수정됨).

메시지: 4.3.2.1.sbl-xbl.spamhaus.org의 RBL 조회가 REMOTE_ADDR에서 성공했습니다. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_42_comment_spam.conf"] [line "21"] [id "981138"] [msg "RBL 스팸 소스 일치"] [심각도 "위험"] [tag " 자동화/악성"]

나를 미치게 만드는 부분은 nslookup로그 메시지에 지정된 이름에 대해 작업을 수행하면 해당 이름이 존재하지 않는다는 결과를 얻는다는 것입니다. 내가 이해한 바로는 이 주소가 목록에 없다는 뜻입니다. 그렇다면 mod_security가 성공하는 이유는 무엇입니까?

또한 해당 IP 주소가 블랙리스트에 등록되어 있지 않은지 확인하기 위해 spamhaus의 조회 서비스를 사용해 보았습니다.

내가 무엇을 놓치고 있나요? 뭔가 캐시된 것 같은 느낌이 들지만 어디에 있는지 알 수 없습니다.

좀 더 배경지식을 살펴보면, 처음에 호스트는 조회가 실패했을 때에도 (유용하게) 주소를 반환하는 DNS 서버를 사용하고 있었습니다. Google 서버(8.8.8.8 및 8.8.4.4)를 사용하도록 구성을 전환했으며 이제 예상대로 작동합니다 host. nslookup서버를 재부팅했기 때문에 이론적으로는 메모리 캐시가 없습니다. 또한 IP 주소를 보존하는 mod_security 데이터 파일이 지워졌는지 확인했습니다. 주소에 대한 초기 조회가 위와 같이 나타나고 후속 검색에서는 초기 잘못된 성공 이후 주소가 알려진 SPAM 주소로 표시되기 때문에 이것이 작동한다는 것을 알고 있습니다.

문제의 규칙:

SecRule REMOTE_ADDR "@rbl sbl-xbl.spamhaus.org" \
"phase:1,id:'981138',t:none,pass,nolog,auditlog,msg:'RBL Match for SPAM Source',\
tag:'AUTOMATION/MALICIOUS',severity:'2',setvar:'tx.msg=%{rule.msg}',\
setvar:tx.automation_score=+%{tx.warning_anomaly_score},\
setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},\
setvar:tx.%{rule.id}-AUTOMATION/MALICIOUS-%{matched_var_name}=%{matched_var},\
setvar:ip.spammer=1,expirevar:ip.spammer=86400,setvar:ip.previous_rbl_check=1,\
expirevar:ip.previous_rbl_check=86400,skipAfter:END_RBL_CHECK"