Virbl, de NLWhitelist en telefoontjes
Dat het weer actief is, is goed te merken, er komen namelijk een flinke hoeveelheid klachten binnen op de helpdesk bij ons ook. Wij zijn inmiddeld begonnen met klanten naar de provider te sturen die de blacklist gebruikt, onze shared (directadmin) hosting servers kunnen blijkbaar niet op de whitelist worden gezet omdat ze 'shared' zijn met als advies van bit 'gebruik maar een smarthost of installeer een virusscanner' Wij hebben gisteren getest door de virbl aan te zetten op een server waar veel mailverkeer overheen gaat en er word VEEL legitieme mail geblokkeerd bij gebruik van deze blacklist service. Maar wellicht is het doorverwijzen naar BIT ook wel een goede optie zolang er geen mogelijkheid bestaat de gewenste 'shared' servers te laten whitelisten. At 16:21 10-9-2008, you wrote:
Hoi,
Op verzoek van m'n collega Mark, die (nog?) geen post rechten heeft op deze lijst stuur ik jullie even een mailtje van hem door over Virbl:
Met vriendelijke groet, Jeroen Wunnink, EasyHosting B.V. Systeembeheerder systeembeheer at easyhosting.nl telefoon:+31 (035) 6285455 Postbus 48 fax: +31 (035) 6838242 3755 ZG Eemnes http://www.easyhosting.nl http://www.easycolocate.nl
On Wed, 10 Sep 2008, Jeroen Wunnink wrote:
Maar wellicht is het doorverwijzen naar BIT ook wel een goede optie zolang er geen mogelijkheid bestaat de gewenste 'shared' servers te laten whitelisten.
Wat de criteria zijn om op de lijst te komen is al jarenlang ongewijzigd. Die criteria staan al vanaf het prille begin op de site. Er zijn mensen die dat goede criteria vinden, en op basis daarvan besluiten mail te weigeren van hosts die gelist zijn. Dat is een ieders eigen keuze. Wij verplichten niemand de lijst te gebruiken, we stellen hem alleen samen. Als een gebruiker problemen heeft met het feit dat zijn mail door een of andere mailserver geweigerd wordt, lijkt het me dan ook niet meer dan logisch dat hij/zij zich richt tot de beheerder van die mailserver. Het is *zijn* keuze om de mail niet aan te pakken, niet die van ons. Wij merken alleen op dat er vanaf een bepaald IP meer dan eens binnen 24h een virus is verstuurd. En dat met het gebruik van smarthosts: Ik heb niet de indruk dat je dat serieus overwogen hebt. Waarom wil je met alle geweld zelf mail relayen, maar ben je niet bereid om a) de mail te scannen of b) de consequenties te aanvaarden van het ongescand forwarden van andermans e-mail? We leven nu eenmaal in een tijd dat iedereen zijn/haar steentje bij zal moeten dragen aan het bruikbaar houden van e-mail als communicatiemedium, omdat er nu eenmaal lieden zijn die er graag en veel misbruik van maken. Als je niet bereid bent om die bijdrage te leveren, kun je misschien beter geen mailserver beheren. just my 2cts. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Wat is het verschil dan tussen een smarthost die gewhitelist staat maar niet scant en een lijst met shared mailserver IP's die gewhitelist worden ? Dit voelt meer als het doordrukken van een BIT policy/visie aan andere providers 'omdat wij vinden dat het zo hoort' At 16:55 10-9-2008, Alex Bik wrote:
On Wed, 10 Sep 2008, Jeroen Wunnink wrote:
En dat met het gebruik van smarthosts: Ik heb niet de indruk dat je dat serieus overwogen hebt. Waarom wil je met alle geweld zelf mail relayen, maar ben je niet bereid om a) de mail te scannen of b) de consequenties te aanvaarden van het ongescand forwarden van andermans e-mail?
just my 2cts.
-- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Met vriendelijke groet, Jeroen Wunnink, EasyHosting B.V. Systeembeheerder systeembeheer at easyhosting.nl telefoon:+31 (035) 6285455 Postbus 48 fax: +31 (035) 6838242 3755 ZG Eemnes http://www.easyhosting.nl http://www.easycolocate.nl
Jeroen,
Wat is het verschil dan tussen een smarthost die gewhitelist staat maar niet scant en een lijst met shared mailserver IP's die gewhitelist worden ? Dit voelt meer als het doordrukken van een BIT policy/visie aan andere providers 'omdat wij vinden dat het zo hoort'
Je bent vrij om te doen en laten wat je wilt. Je mag ook een eigen lijst starten, geen enkel probleem. Net als degene de de lijst gebruikt daar vrij in is. Als jij bergen troep blijft versturen via je whitelisted server dan gaat er vast wel ergens een belletje rinkelen, bij ons in ieder geval wel en ik neem aan dat je whitelisting dan ter discussie gesteld zal worden. Links of rechtsom, als zo'n doos troep verstuurd, of het nou een webdoos is of een smartrelay, dan moet je die gewoon netjes filteren. Anders loop je de kans geblacklist te worden. En geloof me, dat is niet alleen op VIRBL. We reporten zelf, en beheren een aantal andere blacklists. Daar is het effect een stuk groter van als VIRBL wat momenteel nog vrij lokaal is... Als BIT dat wil doordrukken, prima, ik kan er mee leven, en veel meer mensen met mij. Jij niet, dan gebruik je de lijst niet, maar wees niet verbaasd dat andere die de overlast zat zijn, het niet accepteren. Mischien moet je ipv 2 kwartjes per maand eens 3 kwartjes rekenen voor de hosting en dan gewoon zorgen dat het niveau rommel minder gaat worden wat naar buiten gaat :-) Neem dat laatste niet persoonlijk, het gaat om het idee. http://virbl.bit.nl/munin/bit.nl/virbl.bit.nl-virbl.html Volume reports zijn we nog aan het opschroeven, ook het aantal probes. Niet alleen in Nederland, de eerste buitenlandse hebben we al actief gezet van de week (VISPA UK). Sommige hosters doen er wellicht goed aan ook eens wat telletjes in te bouwen op hun mail relays. Ik kan me namelijk niet zo goed voorstellen dat je na het versturen van (en ja, van de week nog tegen gekomen) pak um beet 15.000 virussen van 1 server, in 1 dag, dat als hosting toko gewoon NIET doorhebt. Ik hoop dat er meer discussie over los komt nu, is er weer wat leven op de NLNOG, anders dan de laten we eens een borrel doen :-) Suggesties om dingen te verbeteren natuurlijk ook welkom. Zou zelf graag een beter whitelist princiepe zien, de NL Whitelist is nu een optie, maar daar mogen geen buitenlandse mailrelays op. Dus ik zie daar een uitdaging ;) Wellicht is het een idee om bijvoorbeeld de lijst te prefilteren met de DNSWL (Zie : http://www.dnswl.org/background) die wij bijvoorbeeld gebruiken om globaal mee te whitelisten.... Bye, Raymond.
On Wed, 2008-09-10 at 22:29 +0200, Raymond Dijkxhoorn wrote:
Zou zelf graag een beter whitelist princiepe zien, de NL Whitelist is nu een optie, maar daar mogen geen buitenlandse mailrelays op. Dus ik zie daar een uitdaging ;) Wellicht is het een idee om bijvoorbeeld de lijst te prefilteren met de DNSWL (Zie : http://www.dnswl.org/background) die wij bijvoorbeeld gebruiken om globaal mee te whitelisten....
Ik heb zojuist dnswl aangezet als whitelist. Als ik kijk naar het aantal hosts die nu op Virbl staan, die er dan niet op zouden staan, zijn dat er slechts 110. Voor wie wil zien welke; http://virbl.bit.nl/download/hits-on-dnswl.txt Dus, dat scheelt een aantal hosts, maar Nederlandse hosts staan daar niet tussen. (Nu zullen die veelal ook al op de nlwhitelist staan en hoe dan ook niet op Virbl terecht komen). -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
Hi!
een optie, maar daar mogen geen buitenlandse mailrelays op. Dus ik zie daar een uitdaging ;) Wellicht is het een idee om bijvoorbeeld de lijst te prefilteren met de DNSWL (Zie : http://www.dnswl.org/background) die wij bijvoorbeeld gebruiken om globaal mee te whitelisten....
Ik heb zojuist dnswl aangezet als whitelist. Als ik kijk naar het aantal hosts die nu op Virbl staan, die er dan niet op zouden staan, zijn dat er slechts 110. Voor wie wil zien welke; http://virbl.bit.nl/download/hits-on-dnswl.txt
Dus, dat scheelt een aantal hosts, maar Nederlandse hosts staan daar niet tussen. (Nu zullen die veelal ook al op de nlwhitelist staan en hoe dan ook niet op Virbl terecht komen).
Top! Enorm bedankt.... Bye, Raymond.
On Wed, Sep 10, 2008 at 05:02:24PM +0200, Jeroen Wunnink wrote: Hi,
Wat is het verschil dan tussen een smarthost die gewhitelist staat maar niet scant en een lijst met shared mailserver IP's die gewhitelist worden ? Dit voelt meer als het doordrukken van een BIT policy/visie aan andere providers 'omdat wij vinden dat het zo hoort'
Ik heb de hele discussie met interesse gevolgd en hier even een paar woorden van de geestelijke vader van de nlwhitelist. De nlwhitelist is in augustus 2003 opgezet omdat BIT last had van false positives bij de bekende blacklists (spamcop enz). Zie onder mijn .sig het originele mailtje uit m'n archieven. De whitelist was (is?) dan ook in eerste instantie bedoeld voor BIT intern om false positives te voorkomen. Omdat BIT de slechtste niet is, is de lijst ook beschikbaar gemaakt voor concullega's. Toen Alex met z'n briljante plan kwam om virusmails te blacklisten was er des te meer reden om de lijst te vullen met de serieuzere ISPs. Maar nog steeds was (is?) de lijst voornamelijk bedoeld als interne referentie. Ik vraag me af of dat nog steeds zo is. Overigens stel ik voor dat we het verlate eerste lustrum ASAP vieren! Groeten, -- Sabri My gf has to be the worst cook. In my house, we pray after we eat. - Rodney Dangerfield Date: Mon, 11 Aug 2003 11:53:02 +0200 From: Sabri Berisha <sabri@bit.nl> To: sabri at bit.nl Subject: [Security-l] whitelist van mailservers X-NCC-RegID: nl.bit Hi, Ik ben bezig met het samenstellen van een whitelist van mailservers van nederlandse ISP's. Dit klinkt misschien bekend in de oren, maar het is geen AOL-idee. Ik wil deze lijst gebruiken om voor blacklists checks te doen zodat we geen last hebben van entries in bekende lists waar collega ISP's in staan. Vanochtend bleek dat een niet nader te noemen medium-sized collega in lists.dsbl.org stond, en dat er daardoor een hoop legitieme mail verloren is gegaan. Dit willen we voorkomen door middel van een whitelist, die overigens ook beschikbaar is voor derden. In het kort: mag ik van u (in prive mail) een lijstje van IP's van mailservers die jullie en jullie klanten gebruiken? Deze mailservers zullen dan als whitelisted bij ons komen te staan. -- Met vriendelijke groet, __________________ Sabri Berisha /\ ___/ SAB666-RIPE /- \ _/ Business Internet Trends BV http://www.bit.nl/~sabri /--- \/ __________________ _______________________________________________ Security-l mailing list security-l at nlip.nl http://list.xs4all.nl/mailman/listinfo/security-l-nlip-nl
Hi!
En dat met het gebruik van smarthosts: Ik heb niet de indruk dat je dat serieus overwogen hebt. Waarom wil je met alle geweld zelf mail relayen, maar ben je niet bereid om a) de mail te scannen of b) de consequenties te aanvaarden van het ongescand forwarden van andermans e-mail?
We leven nu eenmaal in een tijd dat iedereen zijn/haar steentje bij zal moeten dragen aan het bruikbaar houden van e-mail als communicatiemedium, omdat er nu eenmaal lieden zijn die er graag en veel misbruik van maken. Als je niet bereid bent om die bijdrage te leveren, kun je misschien beter geen mailserver beheren.
Bovendien, en dat mag ook best gezegd worden, het grootste deel van de virussen die nu in het rond gaan -komen af- van shared hosts die infected zijn. De plesk en de directadmin script kiddies zegmaar, veelal tezamen met brakke joomla installs. Dus dat je je hosting platform niet wil scannen, neem een voorbeeld aan een van de colo clubs die ook druk submit aan VIRBL daar lukt het, en BIT lukt het zelf ook. Verder is het natuurlijk ook opvallen dat veel van de 'infected' doosjes door 3 of meer van de reporting sumitters gevonden is. Dan gaat het dus niet om een enkelvoudig mailtje, maar echt soms vele duizenden.... We blocken bij een aantal grote klanten actief met de lijst en ja daar komen belletjes van, en prima ook, in een aantal gevallen wist de shared hosting toko <tm> die 'gelist' was niet eens dat hij een infected doos had, want hij update toch zijn plesk netjes, weet hij veel?! Bye, Raymond.
On 10 sep 2008, at 22:15, Raymond Dijkxhoorn wrote:
Bovendien, en dat mag ook best gezegd worden, het grootste deel van de virussen die nu in het rond gaan -komen af- van shared hosts die infected zijn. De plesk en de directadmin script kiddies zegmaar, veelal tezamen met brakke joomla installs.
Zoiets heb ik ook gehoord in een Berlijns hackerscafe. Maar ik kan geen gezaghebbende referentie vinden om deze beweringen kracht bij te zetten. -- Arien
Hi!
Bovendien, en dat mag ook best gezegd worden, het grootste deel van de virussen die nu in het rond gaan -komen af- van shared hosts die infected zijn. De plesk en de directadmin script kiddies zegmaar, veelal tezamen met brakke joomla installs.
Zoiets heb ik ook gehoord in een Berlijns hackerscafe. Maar ik kan geen gezaghebbende referentie vinden om deze beweringen kracht bij te zetten.
We parsen pak um beet tussen de 7 en 10 miljoen berichten per dag op het moment voor de analyze van SURBL (www.surbl.org). Dat is geen gezaghebbende referentie wellicht (wie is dat wel?) maar daar zien we dit echt een enorme vlucht nemen. Het storm net is al een week of 7 bezig met het neerzetten van de content op juist erg legitieme sites. Hoe legitiemer hoe beter. Want de kans dat ee nblacklist de site dan niet opneemt, of dat die site juist geblacklist is die is dan erg groot. Een virus in de vorm van download.microsoft.com/./hierisie.exe komt nou eenmaal veel harder aan als www.debakkervandehoek.info De toename in volume is prima te zien in de statjes op VIRBL ook wel, al zie je daar natuurlijk alleen maar de totalen. http://virbl.bit.nl/munin/bit.nl/virbl.bit.nl-virbl.html Het maand plaatje i bijna een schuine lijn geworden, ik hoop niet dat die trend zo doorzet anders hebben er opeens hosting toko's andere issues met hun relay servers. Die door het mailvolume de troep dan niet meer kunnen weg zetten. Want filteren deden we niet ;) Bye, Raymond.
On Wed, 2008-09-10 at 16:46 +0200, Jeroen Wunnink wrote:
Wij zijn inmiddeld begonnen met klanten naar de provider te sturen die de blacklist gebruikt, onze shared (directadmin) hosting servers kunnen blijkbaar niet op de whitelist worden gezet omdat ze 'shared' zijn met als advies van bit 'gebruik maar een smarthost of installeer een virusscanner'
Het whitelisten van het halve internet is niet echt een optie. Dan zouden rbl's geen zin hebben. Smarthosten, waar je het blijkbaar niet mee eens bent, is een prima oplossing. Die smarthost komt vervolgens op de nlwhitelist en niet meer op Virbl.
Wij hebben gisteren getest door de virbl aan te zetten op een server waar veel mailverkeer overheen gaat en er word VEEL legitieme mail geblokkeerd bij gebruik van deze blacklist service.
Dat is inderdaad mogelijk. Persoonlijk zie ik liever een bounce met 'Yo, je loopt viri te versturen'. Dat kan ik namelijk het probleem oplossen.
Maar wellicht is het doorverwijzen naar BIT ook wel een goede optie zolang er geen mogelijkheid bestaat de gewenste 'shared' servers te laten whitelisten.
Doorverwijzen is geen optie, tenzij je het als pesterij wilt doen. Wat kan, maar weinig professioneel is. Dan kunnen wij weer gaan roepen 'nou, uw provider is ook een prutser, kan ie niet eens smarthosten?!'. Daar wordt het niveau niet veel hoger van, toch? Anyways, zoals ik schreef: We zijn nog bezig met het ontwikkelen van een systeem om automatisch valide mailservers te herkennen op basis van mailtjes die bij ons afgeleverd worden en die wij probleemloos kunnen afleveren bij klanten, maar dat is nog WIP. Als je nog niet op de NLWhitelist staat, kijk dan even op [2] voor de voorwaarden en mail dnsbl at bit.nl daarover. Dat zou dit 'probleem' al een heel eind kunnen verhelpen. -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
participants (6)
-
alex@bit.nl -
arien.vijn@ams-ix.net -
jeroen@easyhosting.nl -
marks@bit.nl -
raymond@prolocation.net -
sabri@cluecentral.net