Virbl, de NLWhitelist en telefoontjes
On Wed, 10 Sep 2008, Jeroen Wunnink wrote:
Wat is het verschil dan tussen een smarthost die gewhitelist staat maar niet scant en een lijst met shared mailserver IP's die gewhitelist worden ? Dit voelt meer als het doordrukken van een BIT policy/visie aan andere providers 'omdat wij vinden dat het zo hoort'
Denk je echt dat wij in de positie zijn onze mening door te drukken? BIT is een hele kleine partij, we hebben alleen een redelijk aktief anti-abuse beleid. We geven onze mening. Onze mening over dit onderwerp is al jaren hetzelfde en gezien het grote aantal providers wat VIRBL als blacklist gebruikt, wordt onze mening blijkbaar gedeeld. Wat het verschil is? In ieder geval een whitelist die het halve internet bevat, en daarom door niemand meer gebruikt zal worden, het voor handen hebben van abuse contact adressen, en de (wellicht onterechte) veronderstelling dat de relay servers van een ISP die aan de NL-Whitelist criteria voldoet waarschijnlijk door capabele mensen beheerd zal worden. Wat denk je dat er gebeurt als het halve internet op de NL-Whitelist zou staan? Zou die lijst dan nog erg nuttig zijn, denk je? Probeer het eens wat groter te bekijken dan je eigen eilandje. Heel vervelend hoor, dat mail van jou en/of je klanten niet aankomt terwijl het heel valide is. Maar wat denk je hoeveel last de rest van het internet heeft van de virussen die je geforward hebt? En dan heb ik het niet alleen over de mensen die besmet zijn, maar ook de mensen die daarvandaan weer besmet zijn, de mensen die van het net geDOSt worden, de mensen wiens creditcardgegevens gestolen worden, de mensen die per dag 1000 spammetjes ontvangen die door botnets verstuurd zijn, ... Zie overigens ook Mark's opmerkingen over het in de maak zijn van een systeem om valide mailservers automagisch te herkennen. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Ik vraag niet om het whitelisten van onze volledige /20's, maar om een mogelijkheid van whitelisten van onze EIGEN individuele shared mailservers. (Een IP of 20 a 30) Neem een Directadmin / Plesk server met 1000 domeinen er op, 1 klant is geinfecteerd en stuurt een reeks virussen via de default uitgaande mailserver van outlook express, server word geblacklist, 999 andere klanten zijn dan de sigaar. Nu pakken we 't idee smarthost, die word op de whitelist gezet, wij gaan al onze servers daarheen configureren en jippie, virbl geeft geen positives meer. (ook al word er geen virus minder door tegengehouden.) En nu kom je bij 't volgende probleem, op een van onze shared servers staat toevallig een klant die z'n Joomla niet heeft geupdate, z'n PHP half lek heeft geprogrammeerd, een onveilige mailform.pl geinstalleerd heeft, wat dan ook, en ondanks een reeks mod_sec regels is een flinke spamrun het resultaat, we nemen actie hierop zodra deze spamrun opgemerkt word, maar helaas, te laat, server staat bij spamcop en spamhaus op de blacklist. Vervelend, maar geen ramp, kan een keer gebeuren. Oh nee wacht, we hebben een smarthost die alle uitgaande mail afhandelt en geblacklist staat, dus nu zijn ALLE klanten de sigaar. Ik vind 't idee van een of twee centrale smarthosts niet zo'n heel prettig idee in een omgeving waar veel shared web/mailservers in staan, 't word wel erg makkelijk om compleet van internet geblacklist te worden dan. En dat er een systeem in de maak is om valide mailservers te herkennen is mooi, maar daar hebben we nu nog niks aan. En ik denk dat als er genoeg klachten gaan binnenkomen bij de verschillende grote providers die deze lijst momenteel wel actief gebruiken vanwege het feit dat er naar mijn mening geen behoorlijke whitelisting word gehanteert voor collega providers, zij de lijst er ook wel uit zullen gooien omdat de groeiende afhandeling van klachten over virbl niet opwegen tegen het scannen van een inkomend mailtje. Dus dan gebruikt ook niemand die blacklist meer. Ik snap en sta echt wel achter het idee van virbl, maar naar mijn mening klopt de regulering van de whitelisting voor concullega's niet. At 17:15 10-9-2008, Alex Bik wrote:
On Wed, 10 Sep 2008, Jeroen Wunnink wrote:
Wat is het verschil dan tussen een smarthost die gewhitelist staat maar niet scant en een lijst met shared mailserver IP's die gewhitelist worden ? Dit voelt meer als het doordrukken van een BIT policy/visie aan andere providers 'omdat wij vinden dat het zo hoort'
Wat het verschil is? In ieder geval een whitelist die het halve internet bevat, en daarom door niemand meer gebruikt zal worden, het voor handen hebben van abuse contact adressen, en de (wellicht onterechte) veronderstelling dat de relay servers van een ISP die aan de NL-Whitelist criteria voldoet waarschijnlijk door capabele mensen beheerd zal worden. Wat denk je dat er gebeurt als het halve internet op de NL-Whitelist zou staan? Zou die lijst dan nog erg nuttig zijn, denk je? Probeer het eens wat groter te bekijken dan je eigen eilandje. Heel vervelend hoor, dat mail van jou en/of je klanten niet aankomt terwijl het heel valide is. Maar wat denk je hoeveel last de rest van het internet heeft van de virussen die je geforward hebt? En dan heb ik het niet alleen over de mensen die besmet zijn, maar ook de mensen die daarvandaan weer besmet zijn, de mensen die van het net geDOSt worden, de mensen wiens creditcardgegevens gestolen worden, de mensen die per dag 1000 spammetjes ontvangen die door botnets verstuurd zijn, ...
Zie overigens ook Mark's opmerkingen over het in de maak zijn van een systeem om valide mailservers automagisch te herkennen.
-- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Met vriendelijke groet, Jeroen Wunnink, EasyHosting B.V. Systeembeheerder systeembeheer at easyhosting.nl telefoon:+31 (035) 6285455 Postbus 48 fax: +31 (035) 6838242 3755 ZG Eemnes http://www.easyhosting.nl http://www.easycolocate.nl
Hoi,
Nu pakken we 't idee smarthost, die word op de whitelist gezet, wij gaan al onze servers daarheen configureren en jippie, virbl geeft geen positives meer. (ook al word er geen virus minder door tegengehouden.)
Als je 1 (nou ja, 2 dan) centrale server gebruikt voor uitgaande mail, en uitgaande mail (poort 25 SMTP) vanaf je hele netwerk naar buiten in je routers op alle andere IP adressen blokkeerd heeft dat een aantal grote voordelen. Veel worm/virus/etc software gebruikt niet de lokale mailserver maar probeert rechtstreeks mail het Internet op te jassen. Die worden dus meteen al effectief geblokkeert door het filter op je router. Heel effectief! Verder is het verstandig om op die centrale mailserver vervolgens op al je mail die van intern komt en naar buiten wil eerst een spam/virus check te doen. Dan vis je de rotzooi er in principe op je eigen mail server al uit, en gaat er normaal gesproken weinig of geen rotzooi uit jouw netwerk naar buiten. Goh, als je dat heel goed zou doen dan hoef misschien al niet eens meer perse op een whitelist te staan, want de kans dat er dan nog wat doorlekt waardoor VIRBL je op gaat pakken is dan al extreem veel kleiner geworden. Maar goed, een doos van een provider die al zo veel moeite doet om ellende te voorkomen mag best het voordeel van de twijfel krijgen en op de whitelist komen ('trust'). En als het dan onverhoopt toch een keer fout gaat kun iemand die toch troep krijgt een dergelijke 'trusted' provider ook altijd wel bereiken, en zal ie vast ook wel bereidt zijn dan meteen actie te ondernemen. Overigens zou VIRBL natuurlijk ook nog wel een warning kunnen sturen aan de bij de IP space geregisteerde partij wanneer een gewhiteliste server toch een virus stuurt... 'Trust' is eigenlijk iets dat je moet verdienen, en waarvan je moet bewijzen dat je het waard bent door de acties die je onderneemt om ellende te voorkomen. Zo principieel zijn de regels van de NL whitelist niet eens geloof ik :-) Maar het idee van een whitelist is niet om daar maar alles en iedereen op te gooien. Je wilt in ieder geval een bepaalde selectie maken.
Oh nee wacht, we hebben een smarthost die alle uitgaande mail afhandelt en geblacklist staat, dus nu zijn ALLE klanten de sigaar. Ik vind 't idee van een of twee centrale smarthosts niet zo'n heel prettig idee in een omgeving waar veel shared web/mailservers in staan, 't word wel erg makkelijk om compleet van internet geblacklist te worden dan.
Maar goed, dingen als VIRBL bestaan ook niet om het leven van hosters makkelijker te maken. Ze bestaan om 'de rest van het Internet' te beschermen tegen virussen. Dus ja, dat VIRBL 'lastig' is voor hosters is wel logisch. Maar dat betekent daarmee niet automatisch dat het een slecht idee is. Sterker nog... Er gaan hier 2 belangen tegen elkaar in. Maar zonder VIRBL (of een andere vorm van een blacklist) kan 'de rest van het Internet' onmogelijk een vuist maken tegen hosters die niets of heel weinig doen tegen virussen die vanuit hun netwerk uitbreken.
En ik denk dat als er genoeg klachten gaan binnenkomen bij de verschillende grote providers die deze lijst momenteel wel actief gebruiken vanwege het feit dat er naar mijn mening geen behoorlijke whitelisting word gehanteert voor collega providers, zij de lijst er ook wel uit zullen gooien omdat de groeiende afhandeling van klachten over virbl niet opwegen tegen het scannen van een inkomend mailtje. Dus dan gebruikt ook niemand die blacklist meer.
Op een gegeven moment leert de helpdesk: als er een klacht is over niet aankomende mail dan moet je degene die de mail verstuurd terugsturen naar z'n eigen hoster. Die kan dan in zijn eigen mail log zien waarom de mail niet verstuurd kon worden (geweigerd) en op VIRBL kijken waarom mail vanaf zijn server geweigerd wordt. Helpdesks bij grote providers gaan het probleem dus vanzelf terugschuiven naar de bron: dat is het minster werk. En hun eigen mailservers zijn gewhitelist, dus andersom hebben ze zelf het probleem niet bij hun eigen klanten die mail versturen.
Nu krijgen we van klanten te horen dat er een server is geblacklist en is het kwaad dus al uren dan al niet meer als een dag geleden geschied. Er word door jullie zo gehamerd op een 'goede abuse policy', waarom worden er dan geen mails gestuurd naar de abuse e-mail die bij RIPE staat van de betreffende range of AS ?
Het principe van VIRBL was toch altijd dat als jij je IP space registreerd bij VIRBL, je vanaf dat moment een mailtje krijgt als een van jouw IP's in VIRBL gelist is? En dat je ook nog de headers van de 'offending' mail kon bekijken op de VIRBL website? Of werkt dat niet meer tegenwoordig? Ik kan me wel voorstellen dat BIT alleen wil mailen naar partijen die zich bewust zijn wat VIRBL is. Als je bij iedereen die virussen stuurt gaat mailen naar de bij het announcing AS geregistreerde abuse email adres levert dat denk ik wel heel erg veel load op voor de BIT helpdesk.... Groeten, Jan. -- Jan Hoogenboom <jan at openpeering.nl> Open Peering Raamweg 17, 2596 HL Den Haag, Holland +31 (0)70 363 16 61 (voice) +31 (0)70 392 22 16 (fax)
On Wed, 2008-09-10 at 19:59 +0200, Jan Hoogenboom wrote:
Het principe van VIRBL was toch altijd dat als jij je IP space registreerd bij VIRBL, je vanaf dat moment een mailtje krijgt als een van jouw IP's in VIRBL gelist is? En dat je ook nog de headers van de 'offending' mail kon bekijken op de VIRBL website? Of werkt dat niet meer tegenwoordig?
Dit is Work in Progress, het schiet aardig op. Je kunt daar dan instellen waar je notificaties wilt ontvangen en hoe vaak. En evidence bekijken van dozen. HEEL misschien zelfs wel suspenden.
Ik kan me wel voorstellen dat BIT alleen wil mailen naar partijen die zich bewust zijn wat VIRBL is. Als je bij iedereen die virussen stuurt gaat mailen naar de bij het announcing AS geregistreerde abuse email adres levert dat denk ik wel heel erg veel load op voor de BIT helpdesk....
De login voor bovengenoemde paginas gaat gemailed kunnen worden naar emailadressen die in de AS-handles van de verschillende registries gevonden kunnen worden. Login gaat dus per AS. -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
Als ik mij niet vergis en mijn geheugen mij niet al te veel in de steek laat, was het originele idee van VIRBL om met name de PC's uit met name access ( DS/kabelL etc ) netwerken te pakken en was de target niet om de servers van collega ISP's te blacklisten. Vandaar ook de mogelijkheid om aan te geven wat je eigen mailservers zijn. Als je ook kijkt op de VIRBL lijst, zal je ook zien dat de meeste IP's die op de lijst staan in dit soort netwerken staan ivm virii / backdoors op home PC's die vrijelijk staan te mailen op het boze internet. Deze drone PC's zijn meestal redelijk 'dom' in hun mail patroon, maken geen gebruik ( meestal ) van ISP hosted mailservers maar localhost en volgen niet echt de standaarden zoals retries.. ( vandaar dat greylisting hoe irritant het ook is, zo effectief is tegen dit soort ) Klopt dit idee globaal nog steeds met waarom VIRBL nog steeds loopt of zijn er momenteel ook andere motieven ? Erik Bais
Hi Erik,
Als je ook kijkt op de VIRBL lijst, zal je ook zien dat de meeste IP's die op de lijst staan in dit soort netwerken staan ivm virii / backdoors op home PC's die vrijelijk staan te mailen op het boze internet. Deze drone PC's zijn meestal redelijk 'dom' in hun mail patroon, maken geen gebruik ( meestal ) van ISP hosted mailservers maar localhost en volgen niet echt de standaarden zoals retries.. ( vandaar dat greylisting hoe irritant het ook is, zo effectief is tegen dit soort )
Klopt dit idee globaal nog steeds met waarom VIRBL nog steeds loopt of zijn er momenteel ook andere motieven ?
De laastste tijd zijn juist de joomla achtige hosters het haasje, die worden niet alleen gebruikt/misbruikt om de mails te versturen maar ook als hoster van de payload. Je kent ze wel : http://www.eenhelelegitiemesite.nl/./exploitshierneerzetten.exe Daar zien we een trend in. Onder andere het storm botnet is hier nu mee bezig, en die besmettingen gaan als een lopend vuurtje omdat men eenhelelegitiemesite.nl weer niet in lijsten als SURBL en URIBL neerzet. De toename van het aantal virus mails, zegmaar de nieuwe outbreak komt daar ook het grootste deel vandaan op het moment. Dit keer dus veel minder van de infected domme user <tm>. Maar juist van de hoster die die nu geen raad meer weet... Biertje? Bye, Raymond.
On Wed, 10 Sep 2008, Erik Bais wrote:
Klopt dit idee globaal nog steeds met waarom VIRBL nog steeds loopt of zijn er momenteel ook andere motieven ?
Verhaal klopt nog steeds, al worden virussen wel slimmer en gebruiken ze steeds vaker de mailrelays van ISP's. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Hi!
Neem een Directadmin / Plesk server met 1000 domeinen er op, 1 klant is geinfecteerd en stuurt een reeks virussen via de default uitgaande mailserver van outlook express, server word geblacklist, 999 andere klanten zijn dan de sigaar.
Is dat niet het risico van shared hosting? Als een joomla site de boel verstiert, of een ddos botje op de server zijn plek gevonden heeft hebben de andere er ook last van.
En ik denk dat als er genoeg klachten gaan binnenkomen bij de verschillende grote providers die deze lijst momenteel wel actief gebruiken vanwege het feit dat er naar mijn mening geen behoorlijke whitelisting word gehanteert voor collega providers, zij de lijst er ook wel uit zullen gooien omdat de groeiende afhandeling van klachten over virbl niet opwegen tegen het scannen van een inkomend mailtje. Dus dan gebruikt ook niemand die blacklist meer.
Als jij daar kan uitleggen waarom je die troep verstuurd, prima hoor, kleine moeite om op die smartrelay zelf even de scanner er over te halen toch? Wat is daar het probleem van? De whitelisting zou ik ook graag beter zien, wellicht zoals ik al voorstelde even prefilteren met de DNSWL.... Maar dan wel realistisch. Als jij daarna denkt er alsnog een bende van te moeten maken, dat hij ook weer uit die whitelist gaat tot je WEL je toko op orde hebt. Het is voor een ISP toch niet anders, als daar klanten rommelen komt uiteindelijk de hele provider op de blacklist. Bye, Raymond.
participants (6)
-
alex@bit.nl -
erik@bais.name -
jan@openpeering.nl -
jeroen@easyhosting.nl -
marks@bit.nl -
raymond@prolocation.net