Hoi,
Nu pakken we 't idee smarthost, die word op de whitelist gezet, wij gaan al onze servers daarheen configureren en jippie, virbl geeft geen positives meer. (ook al word er geen virus minder door tegengehouden.)
Als je 1 (nou ja, 2 dan) centrale server gebruikt voor uitgaande mail, en uitgaande mail (poort 25 SMTP) vanaf je hele netwerk naar buiten in je routers op alle andere IP adressen blokkeerd heeft dat een aantal grote voordelen. Veel worm/virus/etc software gebruikt niet de lokale mailserver maar probeert rechtstreeks mail het Internet op te jassen. Die worden dus meteen al effectief geblokkeert door het filter op je router. Heel effectief! Verder is het verstandig om op die centrale mailserver vervolgens op al je mail die van intern komt en naar buiten wil eerst een spam/virus check te doen. Dan vis je de rotzooi er in principe op je eigen mail server al uit, en gaat er normaal gesproken weinig of geen rotzooi uit jouw netwerk naar buiten. Goh, als je dat heel goed zou doen dan hoef misschien al niet eens meer perse op een whitelist te staan, want de kans dat er dan nog wat doorlekt waardoor VIRBL je op gaat pakken is dan al extreem veel kleiner geworden. Maar goed, een doos van een provider die al zo veel moeite doet om ellende te voorkomen mag best het voordeel van de twijfel krijgen en op de whitelist komen ('trust'). En als het dan onverhoopt toch een keer fout gaat kun iemand die toch troep krijgt een dergelijke 'trusted' provider ook altijd wel bereiken, en zal ie vast ook wel bereidt zijn dan meteen actie te ondernemen. Overigens zou VIRBL natuurlijk ook nog wel een warning kunnen sturen aan de bij de IP space geregisteerde partij wanneer een gewhiteliste server toch een virus stuurt... 'Trust' is eigenlijk iets dat je moet verdienen, en waarvan je moet bewijzen dat je het waard bent door de acties die je onderneemt om ellende te voorkomen. Zo principieel zijn de regels van de NL whitelist niet eens geloof ik :-) Maar het idee van een whitelist is niet om daar maar alles en iedereen op te gooien. Je wilt in ieder geval een bepaalde selectie maken.
Oh nee wacht, we hebben een smarthost die alle uitgaande mail afhandelt en geblacklist staat, dus nu zijn ALLE klanten de sigaar. Ik vind 't idee van een of twee centrale smarthosts niet zo'n heel prettig idee in een omgeving waar veel shared web/mailservers in staan, 't word wel erg makkelijk om compleet van internet geblacklist te worden dan.
Maar goed, dingen als VIRBL bestaan ook niet om het leven van hosters makkelijker te maken. Ze bestaan om 'de rest van het Internet' te beschermen tegen virussen. Dus ja, dat VIRBL 'lastig' is voor hosters is wel logisch. Maar dat betekent daarmee niet automatisch dat het een slecht idee is. Sterker nog... Er gaan hier 2 belangen tegen elkaar in. Maar zonder VIRBL (of een andere vorm van een blacklist) kan 'de rest van het Internet' onmogelijk een vuist maken tegen hosters die niets of heel weinig doen tegen virussen die vanuit hun netwerk uitbreken.
En ik denk dat als er genoeg klachten gaan binnenkomen bij de verschillende grote providers die deze lijst momenteel wel actief gebruiken vanwege het feit dat er naar mijn mening geen behoorlijke whitelisting word gehanteert voor collega providers, zij de lijst er ook wel uit zullen gooien omdat de groeiende afhandeling van klachten over virbl niet opwegen tegen het scannen van een inkomend mailtje. Dus dan gebruikt ook niemand die blacklist meer.
Op een gegeven moment leert de helpdesk: als er een klacht is over niet aankomende mail dan moet je degene die de mail verstuurd terugsturen naar z'n eigen hoster. Die kan dan in zijn eigen mail log zien waarom de mail niet verstuurd kon worden (geweigerd) en op VIRBL kijken waarom mail vanaf zijn server geweigerd wordt. Helpdesks bij grote providers gaan het probleem dus vanzelf terugschuiven naar de bron: dat is het minster werk. En hun eigen mailservers zijn gewhitelist, dus andersom hebben ze zelf het probleem niet bij hun eigen klanten die mail versturen.
Nu krijgen we van klanten te horen dat er een server is geblacklist en is het kwaad dus al uren dan al niet meer als een dag geleden geschied. Er word door jullie zo gehamerd op een 'goede abuse policy', waarom worden er dan geen mails gestuurd naar de abuse e-mail die bij RIPE staat van de betreffende range of AS ?
Het principe van VIRBL was toch altijd dat als jij je IP space registreerd bij VIRBL, je vanaf dat moment een mailtje krijgt als een van jouw IP's in VIRBL gelist is? En dat je ook nog de headers van de 'offending' mail kon bekijken op de VIRBL website? Of werkt dat niet meer tegenwoordig? Ik kan me wel voorstellen dat BIT alleen wil mailen naar partijen die zich bewust zijn wat VIRBL is. Als je bij iedereen die virussen stuurt gaat mailen naar de bij het announcing AS geregistreerde abuse email adres levert dat denk ik wel heel erg veel load op voor de BIT helpdesk.... Groeten, Jan. -- Jan Hoogenboom <jan at openpeering.nl> Open Peering Raamweg 17, 2596 HL Den Haag, Holland +31 (0)70 363 16 61 (voice) +31 (0)70 392 22 16 (fax)