Onderwerp: Mailserver op blocklist (virbl.bit.nl)

Vandaag heeft onze mailserver voor de tweede keer in een week tijd het genoegen om op virbl.bit.nl vermeld te staan.
Met het gevolg dat o.a. BIT, Versatel, Tiscali, Telfort en Tele2 onze e-mail niet meer accepteren, en dit ons klanten kost.


Overigens komt dit niet doordat een klant van ons een virus verspreid.
Het betreft hier klanten met e-mail forwarding.
Een klant ontvangt van iemand anders een e-mail met virus op zijn eigen domeinnaam, en dit wordt vervolgens doorgestuurd naar zijn bestaande e-mail adres.
Omdat het doorsturen via onze mailserver loopt, zijn wij degenen die op de blocklist komt.

Nu hebben we aan BIT gevraagd wat we kunnen doen om vermelding in het vervolg te voorkomen.
Maar het antwoord kwam erop neer dat we dan maar "geen virussen moesten doorsturen".

Dit lijkt me echter niet erg realistisch.
Zelfs als je in commerciele anti-virus software zou investeren, is het niet uitgesloten dat er een paar virussen worden doorgelaten.
En zijn dat er meer dan 2 per WEEK, dan is dat al genoeg voor een tijdelijke vermelding op hun lijst.


Hoe gaan anderen met dit soort zaken om?
Neem aan dat we niet de enige zijn die hier mail forwarding aanbieden.

Dat is de 'aard van het beestje' forwarding.
Wij staan zelf bijvoorbeeld geen forwarding toe zonder dat mail verwerkt is door onze anti-spam en anti-virus.

Oorspronkelijk geplaatst door maxnet

Dit lijkt me echter niet erg realistisch.
Zelfs als je in commerciele anti-virus software zou investeren, is het niet uitgesloten dat er een paar virussen worden doorgelaten.
En zijn dat er meer dan 2 per WEEK, dan is dat al genoeg voor een tijdelijke vermelding op hun lijst.

[flauw]
Als je de zelfde software gebruikt als BIT, dan wordt als de virus niet gevonden wordt, deze ook niet bij BIT gevonden [/flauw]
Maar met een standaard virusfilter (of 2) hou je 99.5% tegen. En al laat je er nu 100 per week door sturen, stuur je er dan nog maar 0.5 door per week. Te weinig om die lijst te komen.

Oorspronkelijk geplaatst door maxnet

Hoe gaan anderen met dit soort zaken om?
Neem aan dat we niet de enige zijn die hier mail forwarding aanbieden.

Alles wat de mail server op komt wordt gecontrolleerd op virussen en spam. De instellingen daarvan mag de klant zelf bepalen en daarna mag het pas doorgestuurd worden.
Stelt een gebruiker in dat die toch die virusmails wil hebben, krijgt die ipv de orginele email, een vervangende email met een download link voor het (virus)bestand erin.

Maar voorlopig is er geen enkele klant die die instelling aan heeft staan.

Oorspronkelijk geplaatst door bakkerl

[flauw]
Als je de zelfde software gebruikt als BIT, dan wordt als de virus niet gevonden wordt, deze ook niet bij BIT gevonden [/flauw]

Zij gebruiken o.a. ClamAV, Sophos EN NOD32.

Maar zelfs als we die alle drie zouden aanschaffen/installeren, vraag ik me nog steeds af of dat echt een oplossing voor dit probleem is.
Denk aan bijv. de situatie dat hun systeem net de nieuwe virusdefinities heeft gedownload en die van ons dat over een uur pas doet.

Maar met een standaard virusfilter (of 2) hou je 99.5% tegen. En al laat je er nu 100 per week door sturen, stuur je er dan nog maar 0.5 door per week.

Ze tellen het aantal berichten met virus.

Als je dus een virusscanner hebt die 99.5% van de viri detecteerd, en eentje die tot de 0.5% behoort zit bij 3 berichten, heb je ook een vermelding.

Met clamav kom je al een heel eind, wij hebben er nooit last van gehad in ieder geval

Maxnet,

Dat probleem zie ik ook terug op onze mailservers. Vanaf eind augustus komt de mailserver regelmatig op de block list. Als ik het virus dan door virustotal laat analyseren zie ik dat het grootste deel van de virus scanners dit nog niet herkennen inclusief clamav.

Daarna kan ik er vanuit gaan dat de mailserver opgenomen wordt in de virbl lijst.

Ook als clamav een uur later wel het virus herkend dan is het meestal al te laat om de blokkade te voorkomen.

Zelf gebruiken we geen blacklisten waarbij je niet de mogelijkheid hebt om binnen een korte tijd je mailserver kan verwijderen van de lijst. Virbl doet dit echter niet, je hebt geen mogelijkheid om de mailserver tussentijds te verwijderen, en je server is dus voor een lange periode van 24 uur aanwezig in de blacklist.

Heb je inmiddels een oplossing Maxnet? Zou je deze met ons willen delen aub?


Met vriendelijke groet,
Marco

Ik heb het probleem gehad, maar wat WIJ nu doen is ALLE inkomende mail (dus ook de forwarders) tegen HUN eigen blacklist aanhouden en preventief blokkeren. Er staat duidelijk aangegeven op de site hoe je hun instellingen kan gebruiken ....

Goed idee, bedankt.

Erik, wij ervaren dit probleem ook, echter op moment de source nog bekend staat als schoon kun je checken wat je wilt, uiteindelijk ben je als partij de dupe. Daarbij vind ik het niet de taak aan ons om een forward te controleren, het heet niet voor niets forward. Maar goed dit is een discussie met wellus en nietus

Het probleem wordt gewoonweg en wat we inmiddels wel gewend zijn verlegd, ipv dat de smtp server bij de provider gescanned wordt, moeten wij als content provider er maar voor op draaien, Het is diegene die het grootst zijn met de nog grotere arrogantie die het uiteindelijk voor het zeggen hebben. Ik raad dan ook iedereen aan zoveel mogelijk headers bij BIT aan te vragen, zij blacklisten. Dan bieden zij ook maar de ondersteuning. Het is toch van de zotte dat op elke plek waar een mail voorbij komt deze gescanned moet worden op inhoud. Sterker nog als klant zijnde heb je eigenlijk geen keus dan door iemand anders te laten scannen... Terwijl je misschien als bedrijf zijnde zelf al deftige oplossingen hebt op moment de mail op de server binnenkomt.

Dat door forwards en virussen op moment veel geblocked wordt kun je wel zien aan de mailing die recent door BIT verstuurd is, hier kun je als netwerk owner icm je AS zelf inmiddels de headers ophalen.

Oorspronkelijk geplaatst door efactory

Heb je inmiddels een oplossing Maxnet?

Op dit moment nog niet.

Maar ik ben bang dat de oplossing gaat worden dat we zelf maar BIT, Concepts ICT, Luna, Multikabel, NL Hosting, Prolocation, Vispa, WideXS gaan blokkeren.
Dit zijn de "contributors" van de lijst.

Het aantal partijen dat wel van de lijst gebruik maakt, maar deze niet samenstelt is een stuk groter. Dan komt daar de e-mail tenminste weer gewoon aan.


Gister ook weer een leuke.
Onze mailserver ontvangt een e-mail vanaf een IP uit het netwerk van WideXS.
Deze kan niet afgeleverd worden, en onze mailserver maakt een bounce bericht aan.
Vervolgens wordt het bounce bericht door WideXS aangezien als "Email.Fakemail" en komen wij op de lijst.

Onze mailserver stuurt alleen de eerste x aantal kb van een bericht mee met de bounce. De kans dat hier daadwerkelijk een volledig virus bij zit, is niet bijzonder groot.
Maar al zou dat wel het geval zijn, dan nog was deze ironisch genoeg uit hun eigen netwerk afkomstig.

Ik heb het probleem gehad, maar wat WIJ nu doen is ALLE inkomende mail (dus ook de forwarders) tegen HUN eigen blacklist aanhouden en preventief blokkeren.

Heb je ook gekeken wie je dan zoal blokkeert?

@ maxnet:

Als 1 van de servers op hun blacklist komt dan heb ik honderden mailtjes / telefoontjes van klanten die hun mail retour krijgen. Dus dan wordt ik wel met mijn rug tegen de muur gedrukt om hun blacklist maar preventief te gebruiken ?

Hier denken wij er nu ook maar over na om met een groep mensen een blacklist op te gaan zetten. Anders hoor je er tegenwoordig niet meer echt bij geloof ik .....

Oorspronkelijk geplaatst door Erik H.

Als 1 van de servers op hun blacklist komt dan heb ik honderden mailtjes / telefoontjes van klanten die hun mail retour krijgen.

Het gebruik van hun blacklist garandeert je niet dat je er niet alsnog op komt.

Wel dat je klanten minder e-mail gaan ontvangen.
Het zijn niet alleen kleine partijen die op de lijst terecht komen.

Je moet zorgen dat je op de NL Whitelist terechtkomt, dan word je altijd ge-exclude door virbl

Oorspronkelijk geplaatst door Cliff

Je moet zorgen dat je op de NL Whitelist terechtkomt, dan word je altijd ge-exclude door virbl

This zone contains mailservers of Dutch business- and consumer ISPs which qualify for addition via the current policy guidelines:

* The relay- and forwarding servers of entities which operate their own autonomous system (AS) based in the Netherlands;
* The relay- and forwarding servers of Dutch access oriented consumer ISPs with at least an IPv4 /16 in use in their access area network(s);
* The relay- and forwarding servers of Dutch business oriented ISPs with at least an IPv4 /20 assigned address space and in use.

Leuk als je een eigen netwerk hebt of access providers bent.
Maar als je alleen hosting aanbied, heb je geen /20.
Voor virtual hosting is er niet zo snel een noodzaak voor 4096 IP-adressen.


En ook op de dnswl.org lijst kom je niet zo snel (ja, geprobeert).

Relayen via de smarthost van je ISP zoals je ook zou moeten doen als je 1 enkel machinetje hebt.