Mogelijke aanstaande delisting Online van de NLWhitelist
Beste Concullegae, Vorige week heb ik gemailed over het beschikbaar zijn van statistieken uit Virbl over whitelisted hosts. De reden hiervan was toen 'een enkele partij die ik niet nader zal noemen'. Inmiddels zijn we bijna een week verder en heb ik via omwegen en geheime mailinglists contact gehad met iemand bij de betreffende partij. Ik had een deadline gezet van afgelopen woensdag 12.00u, en op dinsdag had ik iemand aan de lijn die het op zou gaan pakken. Helaas heb ik vanmorgen moeten concluderen dat er na dinsdag 21 oktober half vijf niemand meer ingelogd is geweest op de Virbl webinterface en dat het aantal meldingen met ruim 15000 omhoog is gegaan. We staan op het punt om te concluderen dat Online geen werkend abuse-beleid heeft en dat ze derhalve niet op de NLWhitelist thuis horen. Als Online niet binnen afzienbare tijd reageerd en actie onderneemt om de verspreiding van virussen door hun mailservers tegen te gaan zullen ze op maandag om 12.00 u van de NLWhitelist verwijderd worden. Het gaat om de volgende IP's: 193.252.22.249 smtp-4.orange.nl. 193.252.22.242 smtp-2.orange.nl. 193.252.22.241 smtp-1.orange.nl. 193.252.22.243 smtp-3.orange.nl. Als je dus vertrouwt op de NLWhitelist om alle rbl's te omzeilen bij het aannemen van je mail en je wilt de mail van Online / Orange / Wanadoo / Euronet blijven ontvangen zul je deze IP's vanaf maandag hoogstwaarschijnlijk met de hand moeten whitelisten. We vinden het vervelend om dit te moeten doen, maar om de geloofwaardigheid van de NLWhitelist niet in het geding te brengen is het wel een stap waarvan we vinden dat we hem moeten nemen. Groeten, -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
On Fri, 2008-10-24 at 11:49 +0200, Mark Schouten wrote:
We staan op het punt om te concluderen dat Online geen werkend abuse-beleid heeft en dat ze derhalve niet op de NLWhitelist thuis horen. Als Online niet binnen afzienbare tijd reageerd en actie onderneemt om de verspreiding van virussen door hun mailservers tegen te gaan zullen ze op maandag om 12.00 u van de NLWhitelist verwijderd worden.
Online heeft duidelijk laten merken de situatie serieus te nemen en wordt er hard gewerkt om de ontstane situatie te verhelpen. Maandagmorgen zal ik mij hier melden verdere informatie. -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
Ola, mijn excuses voor de late mail. Maandagmorgen is allang verstreken, maar ik vind dat ik wel een aardige smoes heb. ;) (zie http://max.prevented.net/). On Fri, 2008-10-24 at 16:34 +0200, Mark Schouten wrote:
On Fri, 2008-10-24 at 11:49 +0200, Mark Schouten wrote:
We staan op het punt om te concluderen dat Online geen werkend abuse-beleid heeft en dat ze derhalve niet op de NLWhitelist thuis horen. Als Online niet binnen afzienbare tijd reageerd en actie onderneemt om de verspreiding van virussen door hun mailservers tegen te gaan zullen ze op maandag om 12.00 u van de NLWhitelist verwijderd worden.
Online heeft duidelijk laten merken de situatie serieus te nemen en wordt er hard gewerkt om de ontstane situatie te verhelpen.
Maandagmorgen zal ik mij hier melden verdere informatie.
Online heeft het probleem kunnen localiseren en is met verschillende partijen in hoog tempo aan het overleggen hoe dit probleem het beste op te lossen is. Online heeft laten zien dat het wel degelijk een werkend abuse-beleid heeft en dat ze zullen werken aan de communicatie om dit aan de buitenwereld beter te laten zien. De genoemde IP's van Online blijven dus op de NLWhitelist. Nogmaals excuses voor mijn late reactie en dank voor de goeie acties van Online. -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
On Mon, Oct 27, 2008 at 07:33:36PM +0100, Mark Schouten wrote:
mijn excuses voor de late mail. Maandagmorgen is allang verstreken, maar ik vind dat ik wel een aardige smoes heb. ;) (zie http://max.prevented.net/).
Ik had het al via een ander medium gedaan, maar bij deze nogmaals: van harte gefeliciteerd!
Online heeft het probleem kunnen localiseren en is met verschillende partijen in hoog tempo aan het overleggen hoe dit probleem het beste op te lossen is. Online heeft laten zien dat het wel degelijk een werkend abuse-beleid heeft en dat ze zullen werken aan de communicatie om dit aan de buitenwereld beter te laten zien.
De genoemde IP's van Online blijven dus op de NLWhitelist.
Nogmaals excuses voor mijn late reactie en dank voor de goeie acties van Online.
Ik neem aan dat men dan nog steeds aan het overleggen is, want tot op heden blijft smtp-7.orange.nl in hoog tempo voor vermeldingen zorgen: http://virbl.bit.nl/lookup/?ip=80.12.242.219 Ik ben overigens wel benieuwd wat hier aan de hand, want van een MTA verwacht je enkel wat bounces. Virusses komen in de regel van enduser IP's, en Online filtert uitgaand poort 25/tcp. Maarten
On Tue, 2008-10-28 at 18:08 +0100, Maarten te Paske wrote:
Ik had het al via een ander medium gedaan, maar bij deze nogmaals: van harte gefeliciteerd!
Thanks.
Ik neem aan dat men dan nog steeds aan het overleggen is, want tot op heden blijft smtp-7.orange.nl in hoog tempo voor vermeldingen zorgen:
smtp-7.orange.nl huist, hoe onlogisch ook, in Belgie. De beheerders van die machine zijn op de hoogte van hun listing.
Ik ben overigens wel benieuwd wat hier aan de hand, want van een MTA verwacht je enkel wat bounces. Virusses komen in de regel van enduser IP's, en Online filtert uitgaand poort 25/tcp.
Ik kan me de benieuwdheid voorstellen maar ik vind het niet aan mij om hier uitgebreid uit de doeken te doen wat daar aan de hand is. Ook gezien het publieke karakter van deze lijst. Mogelijk wil Online zelf laten weten hoe en wat, maar nogmaals vind ik dat niet aan mij om op straat te zetten. -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
On Tue, Oct 28, 2008 at 07:26:27PM +0100, Mark Schouten wrote:
On Tue, 2008-10-28 at 18:08 +0100, Maarten te Paske wrote:
Ik neem aan dat men dan nog steeds aan het overleggen is, want tot op heden blijft smtp-7.orange.nl in hoog tempo voor vermeldingen zorgen:
smtp-7.orange.nl huist, hoe onlogisch ook, in Belgie. De beheerders van die machine zijn op de hoogte van hun listing.
Veel van de recente commotie rond de VIRBL [1] heeft te maken met de het niet opnemen van servers die op de NLwhitelist staan. Er is blijkbaar contact geweest tussen Online en (de beheerders van) de NLwhitelist, en ik neem aan dat er goede redenen zijn aangedragen waardoor ze niet gedelist zijn, maar voor buitenstaanders is dat niet inzichtelijk. Ik kan mij daarom best voorstellen dat kleine ISP's die met een aanzienlijk lagere hitcount wel gelist zijn daar verbolgen over zijn.
Ik ben overigens wel benieuwd wat hier aan de hand, want van een MTA verwacht je enkel wat bounces. Virusses komen in de regel van enduser IP's, en Online filtert uitgaand poort 25/tcp.
Ik kan me de benieuwdheid voorstellen maar ik vind het niet aan mij om hier uitgebreid uit de doeken te doen wat daar aan de hand is. Ook gezien het publieke karakter van deze lijst. Mogelijk wil Online zelf laten weten hoe en wat, maar nogmaals vind ik dat niet aan mij om op straat te zetten.
Ik bedoel meer: zijn het bounces, forwards of slimme virussen die de smarthost instelling uit Outlook misbruiken? Dat lijkt me geen geheime informatie, want dat is aan de besmette e-mails te zien. [1] http://www.webhostingtalk.nl/overige/140690-mailserver-op-blocklist-virbl-bi... Maarten
Hi!
Ik neem aan dat men dan nog steeds aan het overleggen is, want tot op heden blijft smtp-7.orange.nl in hoog tempo voor vermeldingen zorgen:
smtp-7.orange.nl huist, hoe onlogisch ook, in Belgie. De beheerders van die machine zijn op de hoogte van hun listing.
Belgie? Volgens mij zit France Telecom al een tijdje in ... Frankrijk... Lille.francetelecom.net :-) Whats in the name.
Ik ben overigens wel benieuwd wat hier aan de hand, want van een MTA verwacht je enkel wat bounces. Virusses komen in de regel van enduser IP's, en Online filtert uitgaand poort 25/tcp.
Ik kan me de benieuwdheid voorstellen maar ik vind het niet aan mij om hier uitgebreid uit de doeken te doen wat daar aan de hand is. Ook gezien het publieke karakter van deze lijst. Mogelijk wil Online zelf laten weten hoe en wat, maar nogmaals vind ik dat niet aan mij om op straat te zetten.
http://online.gebruikers.eu/news.php?readmore=20 Reporting volume zal de komende dagen gaan afnemen. Iets met doorsturen van mail -> Ziggo. Van paar honderd duizend mailboxen, en daarin ook virussen. Omdat het ongescanned door gezet is. Bye, Raymond.
participants (3)
-
maarten@tepaske.net -
marks@bit.nl -
raymond@prolocation.net