Proactieve houding bij abuse-afhandeling

In een artikel op CircleID werd onlangs de vraag gesteld: ‘Is Spamhaus nog relevant?’. Wij hebben een aantal experts in de Nederlands ISP-sector om hun visie gevraagd. Vandaag het artikel van Bart Vrancken, engineer bij BIT.

Grote verschillen
Je ziet tussen ISP’s helaas erg grote verschillen hoe met spam wordt omgegaan en iedereen heeft daar eigenlijk een beetje zijn eigen aanpak. Er is een kleine groep ISP’s die goed samenwerken met andere ISP’s, klanten en melders. Daar wordt immers iedereen beter van.

Snelheid van reacties
In de meeste gevallen heb je van die partijen binnen twee werkdagen wel een reactie, maar steeds vaker komt het neer op enkele (kantoor)uren. Er zijn zelfs groepen mensen die zelf een klein samenwerkingsverband aangaan (Abuse-NL bijvoorbeeld) waardoor er nog veel sneller geschakeld kan worden tussen partijen onderling. Een hele grote groep ISP’s wacht af en reageert pas als er flink over geklaagd wordt.

Gelukkig maar een paar ISP’s nemen geheel niet de moeite om er iets mee te doen en negeren dergelijke meldingen gewoon. Vaak omdat ze er geen tijd voor hebben maar in het ergste geval omdat ze diensten ten behoeve voor het spammen faciliteren.

Toegevoegde waarde van Spamhaus en anderen
Spamhaus heeft zeker een toegevoegde waarde voor het filteren van spam. Voor ons als ISP niet alleen voor onze e-mail diensten, maar ook voor het controleren van onze access diensten. BIT gebruikt bijvoorbeeld informatie van Spamhaus, CBL en Senderbase pro-actief om IP-spaces in de gaten te houden. Onze ‘Spamchecker’ combineert de informatie van dergelijke partijen om een beter beeld te geven of er iets aan de hand is. Een enkele vermelding op een RBL of abuse melding van een ontvanger betekent niet automatisch dat je aan het spammen bent.

Meldingen
Senderbase heeft bijvoorbeeld goede informatie over aantallen (volume en de veranderingen daarin), Spamhaus en CBL vermelden spammende en/of geïnfecteerde IP’s vrij snel. Als een bepaald IP-adres een flink volume verschil heeft, zijn reputatie van goed naar slecht verandert en op diverse blacklists verschijnt, weet je snel genoeg dat er iets aan de hand is. Zelfs al voordat je gebruikersmeldingen van derden krijgt kun je dus actie ondernemen.

Actie ondernemen
Als ISP heb je de mogelijkheden om een controle uit te voeren of er inderdaad spam wordt verzonden en – als dat inderdaad zo is – daar actie op te ondernemen. Met dat verhaal kun je weer een complete melding naar de eindgebruiker maken om zo effectiever het probleem aan te kunnen pakken.

Dekking
Hoe eerder een IP-adres dat overlast veroorzaakt wordt aangepakt, des te minder spam het internet op gestuurd zal worden. Het zal nog steeds er niet voor zorgen dat er een 100% dekkende oplossing is, maar ik ben prima tevreden met een 99% oplossing.

Oppermachtig?
Spamhaus wordt enorm vaak gebruikt bij ontvangende mailservers als RBL, daarmee zouden ze in theorie complete ISP’s (of zelfs een deel van de wereld) van een groot deel van de mailservers op het internet kunnen weren met alle gevolgen van dien. Maar ik denk niet dat het ooit zover gaat komen zonder dat daar een erg goede aanleiding voor is.

Dat uit zich ook wel in de weinige false positives die ik zie in hun lijsten. Natuurlijk is het vervelend als je op hun lijst verschijnt en je belangrijke bedrijfs e-mail niet aangenomen wordt door de mailserver waar je klanten mee werken. Maar vind je het niet veel fijner dat je een duidelijk signaal krijgt dat je server of werkstation iets op het internet aan het doen is waar anderen last van hebben?

Blacklisting
Zelfs de SMTP-servers van BIT zijn ooit wel eens op Spamhaus RBL’s vermeld en toen was dat ook weer terecht, omdat een klant van ons spam aan het versturen was via onze SMTP-servers. Door de melding hebben wij de oorzaak van het probleem kunnen aanpakken en waren we ook erg snel weer van de lijst af.

Tijdelijk SMTP-filter
In de vele abuse-cases die ik afhandel zijn de meeste eindgebruikers toch wel blij met een belletje dat er iets mis is. Wij zetten dan vaak een tijdelijk SMTP-filter op, zodat de klant in alle rust het probleem kan oplossen terwijl de rest van het internet daar geen last van heeft. Zonder betrouwbare informatie van een lijst zoals Spamhaus zouden die gesprekken zeker een stuk minder prettig verlopen.

Vertrouwen
Veelal kunnen ISP’s ook onderling zaken regelen, ondanks dat een van de ISP’s op een RBL van Spamhaus staat. Neem bijvoorbeeld de NL-Whitelist waardoor deelnemers elkaar onderling vertrouwen en ongeacht een RBL-listing van een partij als Spamhaus er nog steeds e-mail aangenomen blijft worden. Daarnaast zal Spamhaus hun macht ook vrij snel kwijtraken als ze niet meer gesteund worden door dezelfde community die gebruik maakt van hun diensten.

Reageer altijd
Het belangrijkste is om altijd te reageren op abuse-meldingen. Dat hoeft lang niet altijd een persoonlijk bericht te zijn, maar laat duidelijk merken dat je er iets aan gaat proberen te doen en doe dat vervolgens ook. Een proactieve houding zorgt er veelal voor dat je sneller van een RBL wordt gehaald, want je reputatie in abuse-afhandeling (positief of negatief) spreekt zich snel rond in ‘abuse’-land. Doe je dat niet, dan loop je uiteindelijk het risico dat het gaat escaleren en dat je dan niet alleen geblokkeerd gaat worden door diverse RBL’s. Maar dan op een dusdanig wijze dat je er met je complete IP-range(s) op vermeld wordt en daar ook niet meer zo makkelijk vanaf gaat komen.

Ze doen hun best
Dat is natuurlijk een extreme situatie, maar er zijn zeker gevallen bekend waar het zo ver is gekomen. Het beleid van Spamhaus is erg helder en zelfs in deze uiterste gevallen is er veel communicatie van Spamhaus met de betrokken ISP en de rest van de community waardoor je toch echt kunt concluderen dat ze hun best doen om betrouwbare lijsten aan te leveren. Doe er dus je voordeel mee!



Bart Vrancken
is senior UNIX- en Windows-engineer bij BIT. BIT levert internettoegang via diverse accessnetwerken, email- en hostingdiensten en (managed) colocatie diensten vanuit haar datacenters in Ede.