Virbl, de NLWhitelist en telefoontjes
Scheelt dat we 't vak al 8 jaar doen, maar goed, om even niet te gaan gifpuiten even een constructieve suggestie: Nu krijgen we van klanten te horen dat er een server is geblacklist en is het kwaad dus al uren dan al niet meer als een dag geleden geschied. Er word door jullie zo gehamerd op een 'goede abuse policy', waarom worden er dan geen mails gestuurd naar de abuse e-mail die bij RIPE staat van de betreffende range of AS ? Waarom geen methode als spamcop hanteert, stuur een mail met de betreffende nodige headers, kunnen wij de klant welke de bron van de virusuitbraak is aanspreken dat 'ie geinfecteerd is of actie ondernemen om de abuser uit te schakelen. De abuse desk reageert vervolgens via een link in de gegenereerde E-mail van virbl welke actie is ondernomen, de listing word niet toegepast of per direct verwijderd, wij blij, klant blij, rest van internet blij ? Zo benadeel je actieve abuse niet, bij herhaling komt de listing gewoon terug, dus dan lijkt me dit de gulden middenweg ? Nu is 't voor ons ook een raadsel door wie de listing komt. mvg. Jeroen --------- Original Message -------- From: Alex Bik <alex@bit.nl> To: Jeroen Wunnink <jeroen at easyhosting.nl> Cc: nlnog at nlnog.net Subject: Re: [Nlnog] Virbl, de NLWhitelist en telefoontjes Date: 10/09/08 19:50
On Wed, 10 Sep 2008, Jeroen Wunnink wrote:
Poeh... Dat hosten is eigenlijk helemaal niet zo easy he?
-- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
________________________________________________ Message sent using UebiMiau 2.7.10
Hi!
Waarom geen methode als spamcop hanteert, stuur een mail met de betreffende nodige headers, kunnen wij de klant welke de bron van de virusuitbraak is aanspreken dat 'ie geinfecteerd is of actie ondernemen om de abuser uit te schakelen.
Spamcop is de enige die dat doet. Spamhaus gebeurd dat ook niet bij.
De abuse desk reageert vervolgens via een link in de gegenereerde E-mail van virbl welke actie is ondernomen, de listing word niet toegepast of per direct verwijderd, wij blij, klant blij, rest van internet blij ?
Ja en vervolgens is dezelfde server een dag later weer de klos. Ik doe veel achter de schermen bij een aantal van de grote blacklists, zoals jij nu schetst dat men echt een server delist, die ook echt schoon is, en dat er ook meer dan 2 minuten aan tijd aan besteeds is door bulletproofhoster <tm> dat is pak um beet 2% van de listings. Niet heel veel is het wel?
Zo benadeel je actieve abuse niet, bij herhaling komt de listing gewoon terug, dus dan lijkt me dit de gulden middenweg ?
Nu is 't voor ons ook een raadsel door wie de listing komt.
Staat er bij, op de VIRBL site ;) De notifications per AS die komen er weer aan begreep ik, dan heb je er netjes rapportjes van. Would that help? Let wel, de toename is ook echt explosief de laatste 96 uur in ieder geval. Dus ik kan me de fuzz wel voorstellen... neemt niet weg dat ik ook van mening ben dat als je een smartrelay opereerd en je daar simpelweg -niet- scant, je op ellende kan wachten. De meeste van de klagende hosters scant gewoon ook helemaal niks... Bye, Raymond.
On Wed, 10 Sep 2008, Jeroen wrote:
Waarom geen methode als spamcop hanteert, stuur een mail met de betreffende nodige headers, kunnen wij de klant welke de bron van de virusuitbraak is aanspreken dat 'ie geinfecteerd is of actie ondernemen om de abuser uit te schakelen.
De headers zijn beschikbaar voor de beheerder van het AS en evt de originator, maar er is geen methode om betrouwbaar vast te stellen via welk e-mail adres die mensen te bereiken zijn. We hebben ook jarenlang reports verstuurd naar abusedesks van ISP's, met lijsten besmette IP adressen erin, zodat zij contact op konden nemen met de betreffende klant. Dat is nu ff stuk, maar dat gaat binnenkort weer werken. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
participants (3)
-
alex@bit.nl -
jeroen@easyhosting.nl -
raymond@prolocation.net