mod_security RBL - 明顯的誤報

我正在與 apache 2.2 下的 mod_security 中的 RBL 規則作鬥爭，這似乎給了我一個誤報。我在審核日誌中看到以下內容（IP 位址已編輯）：

訊息：在 REMOTE_ADDR 處對 4.3.2.1.sbl-xbl.spamhaus.org 的 RBL 尋找成功。 [檔案「/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_42_comment_spam.conf」] [第「21行」] [id「981138」] [msg「垃圾郵件來源的RBL符合」] [嚴重性「CRITICAL」] [標籤“自動化/惡意”]

讓我抓狂的部分是，如果我對nslookup日誌訊息中指定的名稱執行操作，我得到的結果是它不存在。據我了解，這意味著該地址不在列表中。那為什麼 mod_security 會成功呢？

我還使用了 spamhaus 的查找服務來確認該 IP 位址沒有被列入黑名單。

我缺什麼？感覺好像有東西被緩存，但我不知道在哪裡。

更多背景信息，最初主機使用 DNS 伺服器，即使查找失敗，該伺服器也會（有用地）返回地址。我已將配置切換為使用Google伺服器（8.8.8.8 和 8.8.4.4），現在可以host按nslookup我的預期工作。我已經重新啟動了伺服器，所以理論上記憶體快取中沒有。我還確保清除了保留 IP 位址的 mod_security 資料檔案。我知道這是有效的，因為地址的初始查找如上所示，並且在初始錯誤成功後的後續查找將地址顯示為已知的垃圾郵件地址。

有問題的規則：

SecRule REMOTE_ADDR "@rbl sbl-xbl.spamhaus.org" \
"phase:1,id:'981138',t:none,pass,nolog,auditlog,msg:'RBL Match for SPAM Source',\
tag:'AUTOMATION/MALICIOUS',severity:'2',setvar:'tx.msg=%{rule.msg}',\
setvar:tx.automation_score=+%{tx.warning_anomaly_score},\
setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},\
setvar:tx.%{rule.id}-AUTOMATION/MALICIOUS-%{matched_var_name}=%{matched_var},\
setvar:ip.spammer=1,expirevar:ip.spammer=86400,setvar:ip.previous_rbl_check=1,\
expirevar:ip.previous_rbl_check=86400,skipAfter:END_RBL_CHECK"