Hoi,

Ik ga hier een stelling voorleggen waar ik zelf ook twee-zijdig over denk, maar ok.

De stelling: "Providers moeten verkeer naar poort 25 (SMTP) naar servers anders dan hun SMTP-servers blokkeren, dit om zo te voorkomen dat computers geïnfecteert door trojans spam versturen"

Waarom?
Het is wel gebleken dat veel mensen geen idee hebben dat hun PC aan het spammen is. Zo belde mijn buurman mij laatst en vertelde me dat zijn internet het niet meer deed.

Wat bleek? Zijn internet was afgesloten omdat zijn PC aan het spammen geweest was voor 24 uur.

Ok, prima actie van die ISP, echter heeft die PC wel 24 uur kunnen spammen, reken maar dat je van veel spam kan versturen.

Als providers toestaan dat er alleen mail via hun SMTP servers gaat kunnen er rate limiters op gezet worden met automatische triggers.

Iemand mag bijvoorbeeld 10 mailtjes per minuut maximaal versturen met een piek van 100 voor 2 minuten, als je bijvoorbeeld een uitnodiging naar wat vrienden wil sturen.

Er zijn natuurlijk een hoop voor en tegens en dat begrijp ik.

Echter ben ik van mening dat het internet, indien het in deze vorm blijft bestaan, het geen 10 jaar meer uit houd.

Op dit moment is het een chaos, veel mensen zien het internet als een speeltuin waar ze kunnen doen en laten wat ze willen. Iedereen verschuild zich achter zijn privacy en vind daarom dat alles maar zo anoniem mogelijk moet zijn.

Dat heeft echter wel zijn keerzijde, door die anonimiteit gebeuren er wel veel malafide zaken waar bijna geen grip op te krijgen is.

Maar ik dwaal een beetje af, terug naar de blokkering.

Ik weet dat dit een inperking is als gebruiker, je betaald immers voor internet, maar hoe hard heb je het echt nodig?

Als hoster kan je je klanten een SMTP op een alternatieve poort aanbieden, zo kunnen mensen wel via jou mailen.

Als we van het spam probleem willen afkomen moet er denk ik samen worden gewerkt, want filteren is niet het idee. En er blijven gekken die op die mailtjes blijven klikken.

Wat is jullie mening hier over?

Prima als het standaard dicht staat, als het maar mogelijk is het open te laten zetten. :)
De gemiddelde internet gebruiker is nou eenmaal niet instaat zelf te zorgen voor een goede bescherming.

Waarom zou het dan open moeten als je via een alternatieve poort het alsnog kan regelen?

Veel ISP's hebben Dynamische IP's en het is technisch nogal lastig om dat in je firewalls iedere keer aan te passen als jij een nieuwe lease krijgt.

Vind best als ze standaardporten sluiten echter moet er wel de mogelijkheid zijn om het toegankelijk te maken.

De 90% die het internet gebruikt heeft geen flauw idee hoe het werkt en wat andere kunnen doen. Hun beschermen ok.

Ik ben voorstander!

Scheelt een hoop spam en technisch is het allemaal makkelijk mogelijk zonder al te veel werk.

Hier ook voorstander

Moest direct even aan onderstaande denken....

"I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation

K, spam is niet zo prettig... ik baal er ook wel een beetje van.

Ik voel er wel voor om de 'domme' thuisgebruiker even uit te leggen wat het SMTP/poort 25 verhaal is en vervolgens een bepaalde email limiet individueel af te spreken. (een triggertje zoals een soft- en hardquota op te versturen mails bv)

Het zou wel degelijk helpen, echter blijft spam bestaan. Je maakt het echter wel duurder. Als elke ISP (utopie) dit zou doen dan zouden spammers terug moeten grijpen op eigen servers ipv botnets wat ze veel meer geld zou kosten. Na een tijd is het misschien dan niet meer rendabel om te spammen.

Als ze port 25 dichtgooien komen er wel slimmere hacks die mail spammen op een andere port.
Ze kunnen beter goede firewall software in de moden bouwen.

Gr, Gazkin

Veel ISP's hebben Dynamische IP's en het is technisch nogal lastig om dat in je firewalls iedere keer aan te passen als jij een nieuwe lease krijgt.
Dat ben ik niet met jou eens. Ik werk met meerdere ISP's en elk geeft vaste IP adressen.

Er zullen er ongetwijfeld zijn die het niet doen maar dat wil niet zeggen dat het onmogelijk is.


Het zou wel degelijk helpen, echter blijft spam bestaan. Je maakt het echter wel duurder. Als elke ISP (utopie) dit zou doen dan zouden spammers terug moeten grijpen op eigen servers ipv botnets wat ze veel meer geld zou kosten. Na een tijd is het misschien dan niet meer rendabel om te spammen.
Als elke ISP eens zou stoppen om de eigen smtp servers voor spam te laten misbruiken waren we al een heel eind.

SMTP servers van grote(re) ISP's kan je helaas niet zomaar blokkeren.


Als ze port 25 dichtgooien komen er wel slimmere hacks die mail spammen op een andere port.
Ze kunnen beter goede firewall software in de moden bouwen.

Gr, Gazkin
Het probleem is de desktop, de stommeling die op een linkje klikt of een attachment heeft geopend.. Dat kan je niet op de firewall oplossen.. wat eigenlijk ook niet helemaal klopt hoor.. je zou aan een proxy kunnen denken die met av van alles tegen zou kunnen houden.. maar of je daar vrolijk van wordt..
In ieder geval zal je dan meer voor je routertje gaan betalen..



Zelf ben ik eigenlijk tegen filtering maar ik zou er geen probleem mee hebben als uitgaand verkeer op poort 25 niet meer kan. Het probleem wat ik met filteren heb is dat je eigenlijk niet weet waar het begint en waar het stopt.

Ik ben het eigenlijk wel eens met groups.google.com (http://groups.google.com/group/nl.internet.misbruik/browse_thread/thread/d00b5945f8ceafd1/e3c585ae9cd29873?lnk=st&q=slrneo7blc.vcd.vinces%40xs2.xs4all.nl&rnum=1#e3c585ae9cd29873), een trojaned host doet tegenwoordig, helaas, meer dan alleen spam verstouwen via poort 25. Gaan we dan ook poort 80 sluiten vanwege gastenboekspam (slechts e1n enkel voorbeeld)?

Maar oke, providers zullen wel wat actie moeten ondernemen. Snel afsluiten, voorlichting, internet-rijbewijs e.d.

Poort 80 sluiten is natuurlijk geen optie. Het volume spam wat er via SMTP gaat over poort 25 is vele malen groter dan dat via gastenboeken enzo.

Goede voorlichting is een idee, echter hoe zorg je er dan voor dat het ook echt gebeurd?

Even een voorbeeld: Vroeger was het blijkbaar leuk om als inbreker bij iemand een 0900 nummer te bellen en dan de hoorn er naast te leggen, zo jaagde je iemand op een gigantische rekening.

KPN heeft toen geregeld dat je verbinding naar (meen 2 uur) automatisch verbroken werd met betaalde nummers.

Tja, het kan zijn dat je nogal kickt op bepaalde 0900 nummers en graag meer dan 2 uur telefoneert, maarja, uit jouw veiligheid heeft KPN besloten het te blokkeren.

Ik vind dat je met poort 25 blokkeren het in het zelfde straatje kunt plaatsen.

Spam mail sturen via een andere poort dan 25 lijkt me erg lastig, 99,99999% van alle SMTP-servers luistert op poort 25.

Spam mail sturen via een andere poort dan 25 lijkt me erg lastig, 99,99999% van alle SMTP-servers luistert op poort 25.
Je gaat, denk ik, voorbij aan het probleem. Het probleem is niet de spam (is een gevolg), het probleem is de trojan (of trojaned PC).
Wat denk je van private, vrijwel onzichtbare, P2P netwerken voor de uitwisseling van (al dan niet via irc) Warez, doorsturen van CC gegevens, ophalen van e-mailadressen lijsten, enz, enz.

Dat is inderdaad ook een groot probleem, maar dat kan je niet allemaal in 1x vangen.

Ik doel nu vooral op de spam, je weet wel, die mails waar ze viagra willen verkopen.

Phising en Virussen is weer een heel ander iets, maar ik heb het idee dat bij mensen de Anti-Virus scanner er beter in zit.

Ik vind dat je met poort 25 blokkeren het in het zelfde straatje kunt plaatsen.

Spam mail sturen via een andere poort dan 25 lijkt me erg lastig, 99,99999% van alle SMTP-servers luistert op poort 25.
Mooi.

Jammer dat de gemiddelde spammer eigenlijk net zo eenvoudig van jouw uitgaande mailserver gebruik zal kunnen maken. Keyloggertje en gebruikersnaam en wachtwoord zijn bekend..

Mooi.

Jammer dat de gemiddelde spammer eigenlijk net zo eenvoudig van jouw uitgaande mailserver gebruik zal kunnen maken. Keyloggertje en gebruikersnaam en wachtwoord zijn bekend..Zo ver ik weet gaat hun software niet zo ver of heb ik dat mis?

Hoewel het filteren van poort 25 een goede oplossing lijkt, zal het een tijdelijke oplossing zijn. De spammers vinden altijd wel weer een manier om hun "werk" te doen, zolang er genoeg "minder slimme mensen" zijn die op spam reageren. De enige manier (IMHO) om spam te stoppen, is om de spammers zeer zwaar aan te pakken (1 uur in de bak per spam mailtje bijvoorbeeld, tikt flink aan met de miljoenen spammetje die er dagelijks gestuurd worden).

Daarnaast ben ik absoluut tegen filteren van internetverkeer door internet providers. Filteren is en blijft een vorm van censuur en censuur valt nou eenmaal niet goed te praten. Net zoals poorten 135-139,445; een hele hoop mensen willen die graag blokkeren op de ISP routers/firewalls, ik ben van mening dat dat absoluut een slechte zaak is. Laat de gebruikers hun zooitje maar op orde maken. (Uiteraard is het filteren van verkeer naar je eigen server netwerk geen enkel probleem en zelfs verstandig)

Bij misbruik van de internetverbinding zou de gebruiker gewoon in quarantaine gezet moeten worden, zoals al bij meerdere ISP's gebeurt; ruim je zooitje op voordat je 't internet weer op mag. Dat is dan weer geen censuur, maar gewoon gebruiksvoorwaarden die nageleefd worden.

Overigens is het helemaal geen slecht idee om een "internet-rijbewijs" in te voeren. De basisfunctionaliteit (zoals webbrowsen, mailen via ISP servers en MSN) moeten gewoon voor iedereen beschikbaar zijn, wil je meer, dan moet je maar aantonen dat je genoeg clue hebt om je PC/netwerk in orde te houden. Het internet is een stuk ingewikkelder dan autorijden, dus ik zie niet in waarom hier geen geen verplichte test voor nodig zou moeten zijn. Maak die test ook gewoon 18+ en stel de gebruiker mede verantwoordelijk voor wat er met z'n systeem gebeurd, indien blijkt dat het systeem niet goed bijgewerkt is. Je mag tenslotte ook niet met een brakke auto de weg op, waarom dan wel met een brakke PC het internet op?

Verder is er zeer zeker een taak voor microsoft weggelegt, ik realiseer met dat er een hoop netwerkbeheerders zijn die het hier niet mee eens zullen zijn, maar ik ben van mening dat een windows systeem wat, zeg 2 maanden, niet is geupdate, zichzelf automatisch van internet moet afsluiten en alleen nog windowsupdate kan doen. Pak de illegale windowsversies ook maar gewoon keihard aan als dat daarvoor nodig is. Dwing alle windows machines om up to date te zijn en je bent gelijk van een hele hoop problemen af. Het gehuil dat windows zo duur is moet ook maar gelijk afgelopen zijn, als je windows te duur vindt pak je maar linux of *bsd of whatever. Geen legaal OS -> Geen updates -> Geen internet, lijkt mij niets mis mee.

Overigens geldt het updaten voor elk OS natuurlijk, maar aangezien het grootste deel van de botnets toch echt windows gebaseerd zijn, moeten we daar beginnen met het probleem aanpakken.

Tzijn niet alleen de ISP's die wat meer firewalling mogen doen maar ook de colocation providers.

1 Voorbeeldje om te beginnen (er zijn er wel nog een aantal):
- Anti-spoof filter, zorgen dat de uitgaande ip's niet gespoofd kunnen worden door per subnet een rule in te richten die het niet toelaat met een ander src-ip het netwerk uit te gaan.

Ik hou het even heel kort zonder de wereld problemen op te lossen.
Indien een isp zich hiermee wil bezig houden dan dienen klanten duidelijk de keuzen te krijgen om een 'beveiligde' Internet verbinding/pakket te nemen waarnaast natuurlijk de 'open' variant gewoon vrij gekozen kan worden.

Het is dan aan de isp om de consument duidelijk te maken wat de verschillen zijn. isp's kunnen dan zelf nog pakketten onderverdelen in bepaalde port/service blokkeringen of zelfs censureren van het Internet (tja als een consument daar zelf voor kiest... handig voor de kids wellicht).

Zo ver ik weet gaat hun software niet zo ver of heb ik dat mis?
Onderschat je tegenstander nooit.

Als het nodig is dan neem ik aan dat ze het wel gaan maken.

Enige manier om spam te stoppen is gebruikers voor te lichten en ze vertellen dat ze geen zooi van spam moeten kopen. Als dat niet gebeurd heeft het ook geen zin om spam te versturen. Iedere andere manier is kansloos, er zijn altijd wegen omheen.

Poort 25 blokkades zijn voor mij de nummer 1 irritatie aan ISP's. Als je ze uit kunt zetten, prima, maar zet ze niet voor al je gebruikers aan zonder een optie te hebben om ze uit te zetten, dan krijgt mijn mailserver hier het nogal moeilijk. Een uitgaande poort 25 blokkade zou ik nog enigszins mee kunnen leven though.

Poort 80 sluiten is natuurlijk geen optie. Het volume spam wat er via SMTP gaat over poort 25 is vele malen groter dan dat via gastenboeken enzo.


Dat is niet helemaal correct Wido. Als ontwikkelaar van de grootste gratis gastenboekenservice in Nederland kregen we recent een kleine miljoen spamberichten via een zombienetwerk gepost. Daarbij hebben we een kleine 100.000 (!) verschillende ip-adressen geteld. De laatste keer dat we in dezelfde tijd zoveel berichten via smtp ontvingen moet nog komen :D

Om even terug te gaan naar de stelling, denk ik dat wij (als branche) toch meer initiatieven moeten ontwikkelen om onze software slimmer te maken. Daarbij denk ik ook aan het volledig hanteren van de RFC's. De meeste mailservers accepteren brakke mailheaders, waardoor juist weer troep binnenkomt die de gemiddelde gebruiker natuurlijk weer gaat openen enz enz..

Een kant-en-klare oplossing is er niet, maar misschien moeten we eens beginnen met een adviessite voor hosters...

De operating systems zijn aan zet. We kunnen wel bezig blijven met lapmiddelen, maar het echte probleem is dat het mogelijk is om te spammen vanaf een PC door een trojan e.d.
Gelukkig is Vista al een stuk veiliger. Eigenlijk moet elk OS standaard een firewall hebben waarbij je expliciet toestemming geeft dat een programma verbindingen maakt met internet. En dan het liefst op zo'n wijze dat een user er niet omheen kan door blindelings op OK te klikken.

Om even terug te gaan naar de stelling, denk ik dat wij (als branche) toch meer initiatieven moeten ontwikkelen om onze software slimmer te maken. Daarbij denk ik ook aan het volledig hanteren van de RFC's. De meeste mailservers accepteren brakke mailheaders, waardoor juist weer troep binnenkomt die de gemiddelde gebruiker natuurlijk weer gaat openen enz enz..Dat heb ik dus een tijd gedaan.

Postfix precies zo afgesteld dat hij alleen mail ontving van servers die volgens de RFC correct waren.

Ik kan je vertellen, je krijgt een hele hoop boze klanten, want veel servers zijn brak afgestelt.

Ik had laatst ook nog een idee over een antispam maatregel en wel het volgende:

Je ziet de laatste tijd steeds vaker dat er gespammed wordt door gewoon adressen te gokken met behulp van een woordenboek oid. Dit betekend dus dat ze ook spam proberen te versturen naar allerlei niet bestaande adressen, maar die bouncen gewoon en het zal me niks verbazen als ze dat ook bij houden.

Nu was mijn idee om gewoon alle emails(op alle mogelijke adressen) te accepteren en dan de emails waar geen account voor is gewoon naar dev/null te sturen. Dit heeft naar mijn inzien een aantal voordelen namelijk:

- Spammer verbruiken veel meer traffic voor veel minder resultaat.
- Omdat je alle emails accepteerd zou je misschien in een 2e fase beter spam runs kunnen detecteren helemaal als je dit dan weer zou centraliseren.

Het eerste voordel zal er wellicht toe leiden dat je door de spammers genegeerd gaat worden. Ze zien namelijk dat er opeens heel veel mailtjes jouw kant op gaan en dan zullen ze zich ook wel afvragen of dat wel klopt en of dat nuttig is.

Ben benieuwd wat jullie ervan vinden?

Dat heb ik dus een tijd gedaan.
Postfix precies zo afgesteld dat hij alleen mail ontving van servers die volgens de RFC correct waren.
Ik kan je vertellen, je krijgt een hele hoop boze klanten, want veel servers zijn brak afgestelt.

Inderdaad, en omdat jij de enige bent lopen je klanten weg en komen ze naar ons... En om die reden draai jij het weer terug. Logisch, maar met wat inspanning moeten we toch wel tot een breedgedragen overeenkomst kunnen komen.?

Hoe wil jij alle hosters en ISP's zo ver krijgen om het ook allemaal zo strak af te stellen?

Dit is wat al veel gedaan wordt. Gewoon mail naar niet bestaande adressen droppen. Want jouw server gaat anders proberen error mails terug te sturen naar weer andere niet bestaande adressen. Dit heeft bij ons al voor diverse problemen gezorgd.
Dat spammers bijhouden wat wel en niet bounced is absoluut niet waar kan ik je vertellen. En ze maken zich al helemaal niet druk over hoeveel mailtjes ze moeten sturen. Het detecteren van spamruns wordt wel gedaan door bijvoorbeeld hotmail en waarschijnlijk ook gmail.

Al met al is er geen andere oplossing mogelijk dan een compleet nieuw mailsysteem met authenticatie of bepaalde kosten per verzonden mail en het hele ratteplan wat velen anderen al zo vaak uitgedacht hebben maar waar het er voorlopig nog niet van zal komen :)


Ik had laatst ook nog een idee over een antispam maatregel en wel het volgende:

Je ziet de laatste tijd steeds vaker dat er gespammed wordt door gewoon adressen te gokken met behulp van een woordenboek oid. Dit betekend dus dat ze ook spam proberen te versturen naar allerlei niet bestaande adressen, maar die bouncen gewoon en het zal me niks verbazen als ze dat ook bij houden.

Nu was mijn idee om gewoon alle emails(op alle mogelijke adressen) te accepteren en dan de emails waar geen account voor is gewoon naar dev/null te sturen. Dit heeft naar mijn inzien een aantal voordelen namelijk:

- Spammer verbruiken veel meer traffic voor veel minder resultaat.
- Omdat je alle emails accepteerd zou je misschien in een 2e fase beter spam runs kunnen detecteren helemaal als je dit dan weer zou centraliseren.

Het eerste voordel zal er wellicht toe leiden dat je door de spammers genegeerd gaat worden. Ze zien namelijk dat er opeens heel veel mailtjes jouw kant op gaan en dan zullen ze zich ook wel afvragen of dat wel klopt en of dat nuttig is.

Ben benieuwd wat jullie ervan vinden?

Ik had laatst ook nog een idee over een antispam maatregel en wel het volgende:

Je ziet de laatste tijd steeds vaker dat er gespammed wordt door gewoon adressen te gokken met behulp van een woordenboek oid. Dit betekend dus dat ze ook spam proberen te versturen naar allerlei niet bestaande adressen, maar die bouncen gewoon en het zal me niks verbazen als ze dat ook bij houden.

Hoeveel spam krijg jij met een valide afzender?
99.999999% van alle spam heeft een willekeurige afzender. Indien die gebounced wordt, komt de reclame boodschap dan hopelijk bij iemand anders terecht.



Nu was mijn idee om gewoon alle emails(op alle mogelijke adressen) te accepteren en dan de emails waar geen account voor is gewoon naar dev/null te sturen. Dit heeft naar mijn inzien een aantal voordelen namelijk:

- Spammer verbruiken veel meer traffic voor veel minder resultaat.
- Omdat je alle emails accepteerd zou je misschien in een 2e fase beter spam runs kunnen detecteren helemaal als je dit dan weer zou centraliseren.

Het eerste voordel zal er wellicht toe leiden dat je door de spammers genegeerd gaat worden. Ze zien namelijk dat er opeens heel veel mailtjes jouw kant op gaan en dan zullen ze zich ook wel afvragen of dat wel klopt en of dat nuttig is.

Ben benieuwd wat jullie ervan vinden?

je opzet werkt dus niet omdat de afzenders dus niet kloppen. En meer traffic zullen de spammers niet hebben omdat ze hier wel een of ander bot netje voor hebben.

Spam wordt nog 31 dagen bewaard zodat bayes er ook nog wat mee kan.

Hoe wil jij alle hosters en ISP's zo ver krijgen om het ook allemaal zo strak af te stellen?

Thinking about that one :(

je opzet werkt dus niet omdat de afzenders dus niet kloppen. En meer traffic zullen de spammers niet hebben omdat ze hier wel een of ander bot netje voor hebben.

Ik wil niet niet filteren op afzender ik constateer dat er gewoon gespammed wordt op generieke (ontvanger) email adressen dus gewoon een lijst met voornamen pakken en een mailtje naar #voornaam#@isp.ext sturen.

Om deze discussie even naar een praktisch nivo te tillen:
In hoeverre is het mogelijk om met een basic IPTables firewall etc op je eigen server het verzenden van spam door een gebruiker te voorkomen? Dus op het moment dat een gebruiker gedurende x meer dan y berichten verstuurd wordt hier een tijdelijke ban op gezet? En zo ook voor interne mail vanuit bijvoorbeeld apache processen?

Je kan dan het beste een wrapper schrijven om de sendmail binarie heen. Daarin kan je dan checks doen en eventuele limits opleggen.

Dit kan niet met iptables maar moet op applicatieniveau gedaan worden. Je kan bijvoorbeeld de connecties naar je smtp server onderscheppen en limiteren, of nog beter een uitbreiding schrijven op qmail / sendmail / whatever. Iets wat vast wel gedaan is trouwens.. dus misschien kan iemand even zoeken (heb zelf geen tijd helaas :) )

Cpanel heeft een functie er voor i.c.m. Exim, opzich best aardig. Wij limiten gewoon op 60 mailtjes per uur ongeveer tenzij ik weet dat er klanten zijn die nieuwsbrieven versturen.

Ik vind blocken van poort 25 geen goed idee, limieten stellen en strenger zijn wel. Ik block bijvoorbeeld ook alle dynamic IP's via RBL lijsten omdat daar 99% spam vandaan komt.

Intern vanaf apache zou je kunnen doen met php's auto_prepend_file setting, waarmee je de mail() functie herschrijft zodat er rate-limiting in zit; ook kan je er dan wat headers in proppen die aangeven vanaf welke website en script 't mailtje gestuurd is, wat het makkelijker maakt om bij eventuele klachten terug te zoeken waar de rommel vandaan komt.

Misschien is 't helemaal geen slecht idee om hier zelfs een eenvoudige standaard van te maken zodat 't voor ons webhosters makkelijker wordt om abuse terug te zoeken als je een klacht krijgt?

Even snel een voorbeeldje in elkaar gehacked om geforceerd headers toe te voegen aan alle mailtjes die vanuit PHP gestuurd worden:
http://www.westlandhosting.nl/gpl/mail.php

Hier is zonder al te veel moeite rate-limiting aan toe te voegen.

Als we als hosting providers allemaal zoiets invoeren, zou de spam vanaf onze servers een heel stuk makkelijker terug te vinden zijn en probleemscripts dus ook aan te wijzen en te verbeteren. Minder uitgaande spam en dus, op termijn, minder binnenkomende spam :-)

Zoiets ben ik al mee bezig om dat in de source van PHP er in te patchen.

Ik wil meesturen:

- $_SERVER['REMOTE_ADDR']
- $_SERVER['HTTP_HOST']
- $_SERVER['REQUEST_URI']
- $_SERVER['SCRIPT_FILENAME']
- $_SERVER['REQUEST_URI']
- De userID onder wie het mailtje verstuurd werd (dankzij mod_ruid!)

Intern vanaf apache zou je kunnen doen met php's auto_prepend_file setting, waarmee je de mail() functie herschrijft zodat er rate-limiting in zit; ook kan je er dan wat headers in proppen die aangeven vanaf welke website en script 't mailtje gestuurd is, wat het makkelijker maakt om bij eventuele klachten terug te zoeken waar de rommel vandaan komt.

Misschien is 't helemaal geen slecht idee om hier zelfs een eenvoudige standaard van te maken zodat 't voor ons webhosters makkelijker wordt om abuse terug te zoeken als je een klacht krijgt?

Even snel een voorbeeldje in elkaar gehacked om geforceerd headers toe te voegen aan alle mailtjes die vanuit PHP gestuurd worden:
http://www.westlandhosting.nl/gpl/mail.php

Hier is zonder al te veel moeite rate-limiting aan toe te voegen.

Als we als hosting providers allemaal zoiets invoeren, zou de spam vanaf onze servers een heel stuk makkelijker terug te vinden zijn en probleemscripts dus ook aan te wijzen en te verbeteren. Minder uitgaande spam en dus, op termijn, minder binnenkomende spam :-)

Ik heb zeker intresse hierin. Ik denk namelijk dat dit wel eens een hele efficiente oplossing kan zijn voor gehackte PHPBB fora en andere slechte scripts die gebruikt worden om te spammen...

Of het nou als sendmail wrapper, in PHP gepatched, of als auto_prepend_file gedaan wordt maakt niet echt veel uit, het doel is gelukkig bij allemaal hetzelfde, zo duidelijk mogelijk aangeven in de headers, uit welk script een mail()tje is verzonden, zodat je eindelijk eens kan vinden welk script van welke klant het probleem oplevert.

"beginnende programmeurs" zullen altijd "minder nette" code blijven schrijven waardoor spammers mail script kunnen misbruiken; het is een illusie om te denken dat we dat kunnen stoppen, het enige wat we kunnen doen is zoveel mogelijk relevante informate opnemen in de headers van alle mailtjes, zodat problemen zo snel mogelijk gevonden kunnen worden.

Als dit in de standaard PHP source opgenomen zou kunnen worden, dan zou dat een hele hoop hosting/netwerk providers erg blij maken, patches zijn dus zeer zeker welkom! Standaard header namen zijn hierbij zeker ook wenselijk, om eventueel automatische verwerking van abuse e-mail deels automatisch te kunnen verwerken.

Bijvoorbeeld:

X-Requesting-IPAddress: 192.168.0.0
X-Sent-From-Webpage: http://www.example.net/brakscript.php
X-Webpage-UserID: 666
X-Report-Abuse-To: abuse@example.net

ofzo :)

Denk er momenteel over na om alle uitgaande mail via een eigen smarthost te jagen die op spam kan scannen.

@Wido
Een degelijke patch bestaat volgens mij al voor php.. FF gezocht:
http://choon.net/php-mail-header.php
Nog niet gebruikt maar het schijnt goed te werken.

Die had ik inderdaad al als basis gepakt, ik krijg daarmee alleen segmentation faults ;)

SIGSEGV's zijn altijd fijn :)

Ik ben even gaan spelen in de sourcode van PHP en ik krijg nu terug:


X-Track-ServerName: XXX.pcextreme.nl
X-Track-ServerIP: 85.92.129.XX
X-Track-URI: /apache2-default/mail.php?ikbeneenl33teScriptor
X-Track-RemoteIP: 85.92.XXX
X-Track-Method: GET
X-Track-UID: 33

Was toch makkelijk dan ik dacht :)

Ik ben even gaan spelen in de sourcode van PHP en ik krijg nu terug:


X-Track-ServerName: XXX.pcextreme.nl
X-Track-ServerIP: 85.92.129.XX
X-Track-URI: /apache2-default/mail.php?ikbeneenl33teScriptor
X-Track-RemoteIP: 85.92.XXX
X-Track-Method: GET
X-Track-UID: 33

Was toch makkelijk dan ik dacht :)

Heb je dit ook al werkend voor jullie dedi's met DA?

Ik heb hem geschreven voor PHP 5.2.0.

Dit is de patch: http://crew.pcextreme.nl/~wido/patches/php-5.2.0-mail.patch

Ik heb hem geschreven voor PHP 5.2.0.

Dit is de patch: http://crew.pcextreme.nl/~wido/patches/php-5.2.0-mail.patch

Draai je PHP5 naast 4 of losstaand?

Ik draai PHP5 als module, PHP4 heb ik er allang uit gebonjourd.

Volgende stappen uitgevoerd:

patch -p0 < php-5.2.0-mail.patch

Vervolgens:

sh /usr/local/directadmin/customapache/configure.apache_2
make
make install

maar helaas krijg ik met het testscript van choon geen headers te zien in Thunderbird. Kan het zijn dat er iets is misgegaan? of dat er ergens een paar headers gestript worden?

Wido: Weet je zeker dat je patch werkt ;)



From - Tue Dec 19 22:14:15 2006
X-Account-Key: account7
X-UIDL: UID12-1165688746
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <***@****>
X-Original-To: ***@****
Delivered-To: ***@****
Received: from ***.***.nl (***.***.nl [194.50.**.**])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by ***.nl (Postfix) with ESMTP id F3E3527E3E
for <***@****>; Tue, 19 Dec 2006 22:15:14 +0100 (CET)
Received: from **** by ***.****.nl with local (Exim 4.63)
(envelope-from <***@****>)
id 1GwmIK-0007Ng-Uv
for sander@svx.nl; Tue, 19 Dec 2006 22:14:40 +0100
To: ***@****
Subject: Test Subject 1
Message-Id: <E1GwmIK-0007Ng-Uv@***.****.nl>
From: ***@****
Date: Tue, 19 Dec 2006 22:14:40 +0100

Test Message 1

Je gaat Apache opnieuw bouwen, dat werkt natuurlijk niet.

Je moet wel je PHP opnieuw bouwen.

Ja, die patch werkt, ik heb hem al draaien op een DA server met PHP 5.0

Maar we raken erg offtopic.

Ik zie dat de meeste mensen zeggen dat de ISP's wel mogen firewall, als er maar een uitzondering gemaakt kan worden?

Zolang er een mogelijkheid is om een volwaardige, ongecensureerde internet aansluiting te krijgen en de provider duidelijk aangeeft wat er gefilterd wordt, voordat er een contract wordt aangegaan, dan moet het kunnen. Voor volwaardige toegang mogen wat mij betreft ook best enkele voorwaarden gesteld worden aan de gebruikers, om misbruik tegen te gaan.

Het probleem is echter, waar begin je met firewallen en waar stop je? Ga je alleen 25/tcp outbound blocken (of transparant via een policy server forceren), of ga je gelijk ook de SMB/CIFS poorten blokkeren? MSSQL? MySQL? Ga je poort 80 via een proxy gooien en filteren? Waar houdt het op, en WIL je als ISP die verantwoordelijkheid wel? Want "jullie filteren toch? nou ben ik toch nog gehacked, het is jullie schuld!" zal ontwijfeld iets zijn wat de helpdesk vaak gaat horen.

Filteren lijkt me niet de oplossing. Limiten wel, zeker als het gaat om max aantallen emails per (24) uur. De reden dat filteren mij niet 'de' oplossing lijkt, is omdat de kans dat je teveel filtert (te) groot is.

Wat ik ook doe, is in m'n template ingesteld, dat alle domeinnamen/zones die ik toevoeg aan BIND, er automatisch een geldig(!) spf-record wordt toegevoegt. Op het moment dat genoeg hosters dat doen, kan je mail die niet door je spf heen komen vanzelf bannen. Gmail en hotmail doen dit immers ook al.

Ah, maar daar is weer een ander probleem mee, sommige klanten gebruiken niet jouw mailserver voor uitgaande mail, maar die van hun ISP (omdat de ISP bijv. poort 25 blocked!). Zijn ze dan lekker mee :-)

Zorg er dan dus wel voor dat het SPF record is aan te passen zodat de mailserver van de ISP van de klant er ook in kunnen worden gezet! :-)

ik wil even als eindgebruiker reageren.

Ik heb internet via een stichting en zit op surfnet.
Alleen de verbinding wordt geleverd, geen pop box en/of mail faciliteiten.

Ik ben dus verplicht een andere mailserver te gebruiken.
Daarnaast komt ook het feit dat ze 25 dicht hebben gezet dus ik moet wel via een andere poort op een andere server connecten.

( En daarop is geen garantie op reverse DNS en SPF etc... )

Een andere oplossing is om de adverteerders flink aan te pakken.
Dus de bedrijven die de opdracht geven voor de spam, in de meeste gevallen de viagra verkopers etc.

Als zei aangepakt worden dan denken ze wel 2 keer na voordat een spammer opdracht geven om een x aantal ongevraagde mails te versturen. Deze bedrijven zijn immers bekend want anders heeft adverteren geen zin.

Als er geen adverteerders zijn dan is de markt voor de spammer ook weg.

Een andere oplossing is om de adverteerders flink aan te pakken.
Dus de bedrijven die de opdracht geven voor de spam, in de meeste gevallen de viagra verkopers etc.

Als zei aangepakt worden dan denken ze wel 2 keer na voordat een spammer opdracht geven om een x aantal ongevraagde mails te versturen. Deze bedrijven zijn immers bekend want anders heeft adverteren geen zin.

Als er geen adverteerders zijn dan is de markt voor de spammer ook weg.
Dan nemen die een postadres in China.. good luck and have fun.

Als je iets tegen spammen wil doen moet je gewoon geen zaken doen met spammers. Ook niet met hen die in het verleden spam hebben verzonden. Dus ook niet als het aanbod interessant is.
Doe je er wel zaken mee dan stop je daar na het ontvangen van spam mee..

Vraag maar eens aan hoe_heet_die_krant_ook_alweer hoe het spammen ze is bevallen..


Filteren lijkt me niet de oplossing. Limiten wel, zeker als het gaat om max aantallen emails per (24) uur. De reden dat filteren mij niet 'de' oplossing lijkt, is omdat de kans dat je teveel filtert (te) groot is.

Wat ik ook doe, is in m'n template ingesteld, dat alle domeinnamen/zones die ik toevoeg aan BIND, er automatisch een geldig(!) spf-record wordt toegevoegt. Op het moment dat genoeg hosters dat doen, kan je mail die niet door je spf heen komen vanzelf bannen. Gmail en hotmail doen dit immers ook al.
Het gaat erom of clubs als wanadoo, chello, tiscali etc etc uitgaand verkeer op poort 25 zouden moeten stoppen.
Dit zal voor zeker 97% van de gebruikers geen enkel probleem zijn. Ze hebben geen clue wat poort 25 is. Of denk jij echt dat het voor tante toos op 4 hoog achter iets uitmaakt? Zij is wel een prima candidaat voor een botje.

Dat een grote club iets doet zegt niets. AOL vereist een geldige RDNS, toen wij dat deden stond de telefoon roodgloeiend.
Afijn, blader een stukje terug dan kan je lezen dat het Wido ook niet zo goed is bevallen..

Zelf ben ik van meining om huidige mail protocol weg te gooien en een nieuwe te laten komen, die wij mail 2.0 kunnen noemen?

Waarbij er uiteraard gebruikgemaakt zal worden van beveligingsprotocollen, die gekozen worden door de overheid. Voorbeelden genoeg, je kunt senderID koppelen aan persoonsnummer. Inclusief uitgebreidere communicatielapmiddel, van authenticeren van mailverkeer (of het daadwerkelijk van een juiste persoon afkomt).

Naast voorkomen van spam, is afzender fraude (wij allemaal kunnen immers andermans mailadres als afzender voor versturen van mails gebruiken) ook te voorkomen. Wat ik dus bedoel is, dat er meer controle moet komen voor mailverkeer...


Ok, leuk idee.. maar zoiets duurt jaren. Internet is (tot overheid hier meer controle over heeft) net een wildwest...

Of gaan wij spammers/blackhat hackers/whatever effe scalperen? :)

Een andere oplossing is om de adverteerders flink aan te pakken.
Dus de bedrijven die de opdracht geven voor de spam, in de meeste gevallen de viagra verkopers etc.

Als zei aangepakt worden dan denken ze wel 2 keer na voordat een spammer opdracht geven om een x aantal ongevraagde mails te versturen. Deze bedrijven zijn immers bekend want anders heeft adverteren geen zin.

Als er geen adverteerders zijn dan is de markt voor de spammer ook weg.Bedrijven die andere bedrijven inhuren om voor ze te spammen zijn sowieso nu ook al strafbaar.


Ik ben even gaan spelen in de sourcode van PHP en ik krijg nu terug:


X-Track-ServerName: XXX.pcextreme.nl
X-Track-ServerIP: 85.92.129.XX
X-Track-URI: /apache2-default/mail.php?ikbeneenl33teScriptor
X-Track-RemoteIP: 85.92.XXX
X-Track-Method: GET
X-Track-UID: 33

Was toch makkelijk dan ik dacht :)Maar dit wil je toch niet? Ik zou niet blij zijn met een X-Track-URI: /beheer_panel/mailinglist.php, ook al zou deze beveiligd zijn met username en password. Kun je niet beter een /var/log/spam_log maken? Met als output:
{date} - {path} - {subject} - {from} - {to}En dat elke regel een e-mail is. Eventueel log je alleen e-mail via Apache. Die standaard maillog bevat de rest wel.


Naast voorkomen van spam, is afzender fraude (wij allemaal kunnen immers andermans mailadres als afzender voor versturen van mails gebruiken) ook te voorkomen. Wat ik dus bedoel is, dat er meer controle moet komen voor mailverkeer... :)Maar het hele probleem is... als een klant dan mail wil gaan versturen via smtp.zijnprovider.nl voor zijndomein.nl dan wordt dit gezien als mogelijk een ongerechtigde smtp-server om voor dat domein te gaan mailen.

Ok, leuk idee.. maar zoiets duurt jaren. Internet is (tot overheid hier meer controle over heeft) net een wildwest...

Of gaan wij spammers/blackhat hackers/whatever effe scalperen? :)
Overheidscontrole op internet? Liever niet.

Scalperen lijkt mij een goed idee. Doe het ruim, een centimeter of 5 onder de kin :)

Pff, blij dat jullie ook eens na gaan denken. In andere topics werd de schuld van dit al soms nogal eens eenzijdig bij de gebruiker gelegd. Die zou bijvoorbeeld eerst een 'internet rijbewijs' moeten halen. Die vergelijking gaat enigszins mank. Van een nieuwe auto verwacht je dat die probleemloos rijden kan maar internet gebruikers worden opgezadeld met kwetsbare software vol gaten.

Mijn buurman is net toevallig ook afgesloten omdat zijn computer werd gebruikt om spam te versturen. De goede man heeft ruim voldoende kennis van het één en ander maar ja: 'de kinderen hé'. Van zijn provider kreeg hij diverse links opgestuurd die echter geen oplossing boden zodat hij nu de kerstdagen door moet brengen met een volledige herinstallatie.

Naar mijn mening is de gebruiker gewoon een consument die beschermd moet worden. Daar betaald hij immers voor. De verantwoordelijkheid ligt bij de software knoeiers en ook de ISP's / hosters. Spam wordt verstuurd via hun mailservers. De oplossing zou meer daar moeten worden gezocht in plaats van die af te wentelen op de klikkende consument die uiteindelijk ook maar klikt op wat de mailservers hem sturen.

Tenslotte geloof ik wel in autentificatie als (desnoods tijdelijke) oplossing.

@Henky!
Het filteren waar dit topic over gaat is het blokkeren van uitgaand verkeer via poort 25.

Kortom, al is de computer van je buurman nog zo vol met rotzooi.. dat zal mij worst zijn. Zolang er via zijn computer maar geen spam de wereld in kan vliegen.

Leuke vergelijking auto vs internet. Laatste keer dat ik keek mocht je niet zonder rijbewijs zelfstandig in een auto rijden.

De consument betaald voor internet en als de consument extra betaald krijgt deze ook bescherming.

De consument betaald voor internet en als de consument extra betaald krijgt deze ook bescherming.

Ja, dat jij het op dit punt niet met me eens bent weet ik inmiddels wel:-)

Een rijbewijs haal je in een auto die het doet. Je drukt op een knopje en voila, de ruitenwissers bewegen volgens plan.

Dat is nou het verschil. Diezelfde consument wordt de snelweg die Internet heet opgestuurd met gammele, kraakbare software. Vaak uit commerciële overwegingen te snel op de markt gegooid. En zelfs zonder op knopjes te drukken ontvangt hij ook al spam via de servers van de ISP's.

Daarom vind ik het gemakzuchtig de verantwoordelijkheid bij de consument te leggen en ben ik het eens met de consumentenbond die stelde dat ook hosters / ISP's hier een verantwoordelijkheid behoren te dragen.

In de IRL wereld bestel je een product en mag je er wettelijk van uitgaan dat het product het dan ook doet zonder ongewenste bijzaken. Een koelkast behoort geen zwarte wolken stoom te produceren en een internetverbinding geen spam. Zo zou het moeten zijn.

-knip-
In de IRL wereld bestel je een product en mag je er wettelijk van uitgaan dat het product het dan ook doet zonder ongewenste bijzaken. Een koelkast behoort geen zwarte wolken stoom te produceren en een internetverbinding geen spam. Zo zou het moeten zijn.

Het mooie is, de internet verbinding van de klant produceert geen spam wanneer deze opgeleverd word.
Dat menig gebruiker niet weet wat hij doet kan je een ISP niet kwalijk nemen.
Ik ben een voorstander van het ECDL (European Computer Driver License). Een bewijs dat je weet wat een computer kan. Echter ben ik wel van mening dat men binnen ECDL meer aandacht mag besteden aan SPAM en Virussen/trojans.

Het blokkeren van poort 25 naar alles wat niet de mail server van de ISP is heeft weinig tot geen nut, en zal al snel op verzet stuiten bij de meer ervaren gebruikers.

Het volgende durf ik niet met zekerheid te zeggen maar heb ik ooit vernomen van een Planet Internet-klant:
Planet Internet blokkeert poort 25 naar binnen en naar buiten toe.
Wil je mail ontvangen met je eigen server moet je een speciale server van planet internet met MX record toevoegen, deze zal alle mail relayen en doorsturen naar de MX met hoogste prioriteit van je domein.
Uitgaand is hij verplicht om een smart-host op te geven, namelijk de planet internet mail-server.

Met deze methode kan planet internet namelijk alle mail scannen op spam. Ik zelf ben van mening dat Planet Internet niet mijn mail, onder mijn domein hoeft te scannen.

Zou iemand deze werking nog kunnen bevestigen?

Het blokkeren van poort 25 naar alles wat niet de mail server van de ISP is heeft weinig tot geen nut, en zal al snel op verzet stuiten bij de meer ervaren gebruikers.

Het stopt een deel van de spam of maakt het in ieder geval voor spammers lastiger. Ze verzinnen wel weer wat anders, maar dat vind ik op zich geen argument.

Verder vraag ik mezelf af hoeveel mensen er daadwerklijk last van zouden hebben. Die zouden via een opt-out uitgezonderd kunnen worden. Ik kan mezelf niet voorstellen dat het een groot aantal betreft.

Wel vermoed ik veel protest van de dat_wil_ik_ook hebben gebruikers. Die het willen hebben omdat het kan en toch niets meer kost.


Dat is nou het verschil. Diezelfde consument wordt de snelweg die Internet heet opgestuurd met gammele, kraakbare software. Vaak uit commerciële overwegingen te snel op de markt gegooid. En zelfs zonder op knopjes te drukken ontvangt hij ook al spam via de servers van de ISP's.
De software is de keuze van de klant.

Zo is het ook de keuze van de klant om al dan niet windows automatisch te laten updaten. Of om antivirus/antispyware e.d. te draaien of niet.

Jij wil niet weten hoe vaak ik contact met kleine (en soms grote) bedrijven op heb genomen om te melden dat zij een probleem hebben.. ik zal je zelfs de reacties besparen..

Als jij wist wat voor ongein er op internet rondvliegt zou je blij zijn als je provider verkeer op een groot aantal poorten zou blokkeren. En daar zou de clueless inderdaad door beschermd worden.

@Sander- phpbb fora moet je ( net als al je andere software ) gewoon updaten en je hebt nergens last van

Misschien een idee om alle Fw en Re email te vergelijken met het / een unieke sender/message ID om te checkken of de ontvanger daadwerkelijk de originele mail heeft verzonden?

Misschien een idee om alle Fw en Re email te vergelijken met het / een unieke sender/message ID om te checkken of de ontvanger daadwerkelijk de originele mail heeft verzonden?
Eenvoudig gezegd: ja. Maar de uitwerking is net even iets minder simpel.

er zijn toch een paar ID's die in de header worden verzonden en/of op de mailserver worden opgeslagen voor een bepaalde tijd of vergis ik me hier ?

in ieder geval... ALS dat zo is, Db tabel met de benodigde ID's + ip , timestamp enzo moet toch voldoende zijn?


offtopic update:

Leuke vergelijking auto vs internet. Laatste keer dat ik keek mocht je niet zonder rijbewijs zelfstandig in een auto rijden.
Not quite... op eigen terrein mag je onder de 18 autorijden. Ik weet niet of dat ook ZONDER begeleiding van ouder/rijbewijshouder het geval is..

er zijn toch een paar ID's die in de header worden verzonden en/of op de mailserver worden opgeslagen voor een bepaalde tijd of vergis ik me hier ?

in ieder geval... ALS dat zo is, Db tabel met de benodigde ID's + ip , timestamp enzo moet toch voldoende zijn?

Ja. Maar dan moet in ieder geval jouw mailserver wel degene zijn via welke men de e-mail heeft verzonden. Anders zie ik niet in hoe je het ga controleren.

Dit is eigenlijk alleen zinvol voor bounces. En denk, maar ik ben nog niet helemaal wakker :) dat je met de rest van de e-mail problemen kan krijgen. Een reply can immers ook een cc/bcc naar jouw klant/mailbox bevatten zonder dat de originele e-mail via jouw server is gekomen. Als je die ga bouncen/droppen ben je binnen de kortste keren de l.. uhhh sigaar :)


offtopic update:

Not quite... op eigen terrein mag je onder de 18 autorijden. Ik weet niet of dat ook ZONDER begeleiding van ouder/rijbewijshouder het geval is..
Op een afgesloten eigen terrein, anders mag het voor zover ik weet nog niet.

Beetje weinig zinvol nietwaar? Kan iemand leuk rondjes rijden op het eigen terrein, of beetje vooruit/achteruit als het een uitrit betreft.

Laat ik het dus bij deze aanvullen met "op de openbare weg" zodat ook jij gelukkig bent :p