PDA

Bekijk Volledige Versie : Mailserver op blocklist (virbl.bit.nl)



maxnet
01/09/08, 20:17
Vandaag heeft onze mailserver voor de tweede keer in een week tijd het genoegen om op virbl.bit.nl vermeld te staan.
Met het gevolg dat o.a. BIT, Versatel, Tiscali, Telfort en Tele2 onze e-mail niet meer accepteren, en dit ons klanten kost.


Overigens komt dit niet doordat een klant van ons een virus verspreid.
Het betreft hier klanten met e-mail forwarding.
Een klant ontvangt van iemand anders een e-mail met virus op zijn eigen domeinnaam, en dit wordt vervolgens doorgestuurd naar zijn bestaande e-mail adres.
Omdat het doorsturen via onze mailserver loopt, zijn wij degenen die op de blocklist komt.

Nu hebben we aan BIT gevraagd wat we kunnen doen om vermelding in het vervolg te voorkomen.
Maar het antwoord kwam erop neer dat we dan maar "geen virussen moesten doorsturen".

Dit lijkt me echter niet erg realistisch.
Zelfs als je in commerciele anti-virus software zou investeren, is het niet uitgesloten dat er een paar virussen worden doorgelaten.
En zijn dat er meer dan 2 per WEEK, dan is dat al genoeg voor een tijdelijke vermelding op hun lijst.


Hoe gaan anderen met dit soort zaken om?
Neem aan dat we niet de enige zijn die hier mail forwarding aanbieden.

davinci
01/09/08, 20:30
Dat is de 'aard van het beestje' forwarding.
Wij staan zelf bijvoorbeeld geen forwarding toe zonder dat mail verwerkt is door onze anti-spam en anti-virus.

bakkerl
01/09/08, 20:59
Dit lijkt me echter niet erg realistisch.
Zelfs als je in commerciele anti-virus software zou investeren, is het niet uitgesloten dat er een paar virussen worden doorgelaten.
En zijn dat er meer dan 2 per WEEK, dan is dat al genoeg voor een tijdelijke vermelding op hun lijst.


Als je de zelfde software gebruikt als BIT, dan wordt als de virus niet gevonden wordt, deze ook niet bij BIT gevonden ;)
Maar met een standaard virusfilter (of 2) hou je 99.5% tegen. En al laat je er nu 100 per week door sturen, stuur je er dan nog maar 0.5 door per week. Te weinig om die lijst te komen.



Hoe gaan anderen met dit soort zaken om?
Neem aan dat we niet de enige zijn die hier mail forwarding aanbieden. Alles wat de mail server op komt wordt gecontrolleerd op virussen en spam. De instellingen daarvan mag de klant zelf bepalen en daarna mag het pas doorgestuurd worden.
Stelt een gebruiker in dat die toch die virusmails wil hebben, krijgt die ipv de orginele email, een vervangende email met een download link voor het (virus)bestand erin.

Maar voorlopig is er geen enkele klant die die instelling aan heeft staan.

maxnet
01/09/08, 21:20
Als je de zelfde software gebruikt als BIT, dan wordt als de virus niet gevonden wordt, deze ook niet bij BIT gevonden ;)


Zij gebruiken o.a. ClamAV, Sophos EN NOD32.

Maar zelfs als we die alle drie zouden aanschaffen/installeren, vraag ik me nog steeds af of dat echt een oplossing voor dit probleem is.
Denk aan bijv. de situatie dat hun systeem net de nieuwe virusdefinities heeft gedownload en die van ons dat over een uur pas doet.




Maar met een standaard virusfilter (of 2) hou je 99.5% tegen. En al laat je er nu 100 per week door sturen, stuur je er dan nog maar 0.5 door per week.


Ze tellen het aantal berichten met virus.

Als je dus een virusscanner hebt die 99.5% van de viri detecteerd, en eentje die tot de 0.5% behoort zit bij 3 berichten, heb je ook een vermelding.

DutchTSE
01/09/08, 22:30
Met clamav kom je al een heel eind, wij hebben er nooit last van gehad in ieder geval :)

efactory
18/09/08, 10:43
Maxnet,

Dat probleem zie ik ook terug op onze mailservers. Vanaf eind augustus komt de mailserver regelmatig op de block list. Als ik het virus dan door virustotal laat analyseren zie ik dat het grootste deel van de virus scanners dit nog niet herkennen inclusief clamav.

Daarna kan ik er vanuit gaan dat de mailserver opgenomen wordt in de virbl lijst.

Ook als clamav een uur later wel het virus herkend dan is het meestal al te laat om de blokkade te voorkomen.

Zelf gebruiken we geen blacklisten waarbij je niet de mogelijkheid hebt om binnen een korte tijd je mailserver kan verwijderen van de lijst. Virbl doet dit echter niet, je hebt geen mogelijkheid om de mailserver tussentijds te verwijderen, en je server is dus voor een lange periode van 24 uur aanwezig in de blacklist.

Heb je inmiddels een oplossing Maxnet? Zou je deze met ons willen delen aub?


Met vriendelijke groet,
Marco

Erik H.
18/09/08, 11:12
Ik heb het probleem gehad, maar wat WIJ nu doen is ALLE inkomende mail (dus ook de forwarders) tegen HUN eigen blacklist aanhouden en preventief blokkeren. Er staat duidelijk aangegeven op de site hoe je hun instellingen kan gebruiken ....

efactory
18/09/08, 11:32
Goed idee, bedankt.

Mikey
18/09/08, 11:56
Erik, wij ervaren dit probleem ook, echter op moment de source nog bekend staat als schoon kun je checken wat je wilt, uiteindelijk ben je als partij de dupe. Daarbij vind ik het niet de taak aan ons om een forward te controleren, het heet niet voor niets forward. Maar goed dit is een discussie met wellus en nietus :)

Het probleem wordt gewoonweg en wat we inmiddels wel gewend zijn verlegd, ipv dat de smtp server bij de provider gescanned wordt, moeten wij als content provider er maar voor op draaien, Het is diegene die het grootst zijn met de nog grotere arrogantie die het uiteindelijk voor het zeggen hebben. Ik raad dan ook iedereen aan zoveel mogelijk headers bij BIT aan te vragen, zij blacklisten. Dan bieden zij ook maar de ondersteuning. Het is toch van de zotte dat op elke plek waar een mail voorbij komt deze gescanned moet worden op inhoud. Sterker nog als klant zijnde heb je eigenlijk geen keus dan door iemand anders te laten scannen... Terwijl je misschien als bedrijf zijnde zelf al deftige oplossingen hebt op moment de mail op de server binnenkomt.

Dat door forwards en virussen op moment veel geblocked wordt kun je wel zien aan de mailing die recent door BIT verstuurd is, hier kun je als netwerk owner icm je AS zelf inmiddels de headers ophalen.

maxnet
18/09/08, 13:58
Heb je inmiddels een oplossing Maxnet?

Op dit moment nog niet.

Maar ik ben bang dat de oplossing gaat worden dat we zelf maar BIT, Concepts ICT, Luna, Multikabel, NL Hosting, Prolocation, Vispa, WideXS gaan blokkeren.
Dit zijn de "contributors" van de lijst.

Het aantal partijen dat wel van de lijst gebruik maakt, maar deze niet samenstelt is een stuk groter. Dan komt daar de e-mail tenminste weer gewoon aan.


Gister ook weer een leuke.
Onze mailserver ontvangt een e-mail vanaf een IP uit het netwerk van WideXS.
Deze kan niet afgeleverd worden, en onze mailserver maakt een bounce bericht aan.
Vervolgens wordt het bounce bericht door WideXS aangezien als "Email.Fakemail" en komen wij op de lijst.

Onze mailserver stuurt alleen de eerste x aantal kb van een bericht mee met de bounce. De kans dat hier daadwerkelijk een volledig virus bij zit, is niet bijzonder groot.
Maar al zou dat wel het geval zijn, dan nog was deze ironisch genoeg uit hun eigen netwerk afkomstig.




Ik heb het probleem gehad, maar wat WIJ nu doen is ALLE inkomende mail (dus ook de forwarders) tegen HUN eigen blacklist aanhouden en preventief blokkeren.


Heb je ook gekeken wie je dan zoal blokkeert?

Erik H.
18/09/08, 14:17
@ maxnet:

Als 1 van de servers op hun blacklist komt dan heb ik honderden mailtjes / telefoontjes van klanten die hun mail retour krijgen. Dus dan wordt ik wel met mijn rug tegen de muur gedrukt om hun blacklist maar preventief te gebruiken ?

Hier denken wij er nu ook maar over na om met een groep mensen een blacklist op te gaan zetten. Anders hoor je er tegenwoordig niet meer echt bij geloof ik ..... (headbang)

maxnet
18/09/08, 14:37
Als 1 van de servers op hun blacklist komt dan heb ik honderden mailtjes / telefoontjes van klanten die hun mail retour krijgen.

Het gebruik van hun blacklist garandeert je niet dat je er niet alsnog op komt.

Wel dat je klanten minder e-mail gaan ontvangen.
Het zijn niet alleen kleine partijen die op de lijst terecht komen.

Cliff
18/09/08, 14:38
Je moet zorgen dat je op de NL Whitelist terechtkomt, dan word je altijd ge-exclude door virbl

maxnet
18/09/08, 14:58
Je moet zorgen dat je op de NL Whitelist terechtkomt, dan word je altijd ge-exclude door virbl



This zone contains mailservers of Dutch business- and consumer ISPs which qualify for addition via the current policy guidelines:

* The relay- and forwarding servers of entities which operate their own autonomous system (AS) based in the Netherlands;
* The relay- and forwarding servers of Dutch access oriented consumer ISPs with at least an IPv4 /16 in use in their access area network(s);
* The relay- and forwarding servers of Dutch business oriented ISPs with at least an IPv4 /20 assigned address space and in use.


Leuk als je een eigen netwerk hebt of access providers bent.
Maar als je alleen hosting aanbied, heb je geen /20.
Voor virtual hosting is er niet zo snel een noodzaak voor 4096 IP-adressen.


En ook op de dnswl.org lijst kom je niet zo snel (ja, geprobeert).

Cliff
18/09/08, 15:19
Relayen via de smarthost van je ISP zoals je ook zou moeten doen als je 1 enkel machinetje hebt.

Dennis
18/09/08, 15:44
Zelfde probleem hier! Is afschuwelijk, gezien grotere partijen er ook gebruik van maken.

Het ging in dit geval om een forwarder op onze server, waardoor onze server werd geblacklist. Daarbij reageren ze niet op e-mails voor headers, erg jammer dat mensen zo met hun blacklists omgaan.

cridea
18/09/08, 15:50
Voor de Cpanel hosters onder ons: Zorg ervoor dat in je WHM bij Exim Configuration Editor de volgende optie uitstaat:

Skip scanning messages for virii/malware when the scanner is unavailable, and allow mail delivery to continue.

Dit bleek voor een van onze servers de oplossing.

Erik H.
18/09/08, 16:17
Zelfde probleem hier! Is afschuwelijk, gezien grotere partijen er ook gebruik van maken.

Het ging in dit geval om een forwarder op onze server, waardoor onze server werd geblacklist. Daarbij reageren ze niet op e-mails voor headers, erg jammer dat mensen zo met hun blacklists omgaan.

Ik moet zeggen dat de keren dat ik om de headers vroeg deze binnen een paar uur binnen waren.

Mikey
18/09/08, 16:28
hetzelfde hier, tot nu toe altijd netjes de header(s) mogen ontvangen...

Dreas
18/09/08, 16:37
Gister ook weer een leuke.
Onze mailserver ontvangt een e-mail vanaf een IP uit het netwerk van WideXS.
Deze kan niet afgeleverd worden, en onze mailserver maakt een bounce bericht aan.
Vervolgens wordt het bounce bericht door WideXS aangezien als "Email.Fakemail" en komen wij op de lijst.


Waarom kon je de email gedurende het aflever proces niet gewoon weigeren met een 5xx code dan? Een bounce bericht sturen lijkt me sowieso niet verstandig? De email had nooit geaccepteerd mogen worden in de eerste plaats.

Dreas
18/09/08, 16:41
Ik begrijp de frustraties hier van het onterecht gelist worden. Echter sta ik wel achter het principe dat alle virussen er gewoon op de mailserver uitgefilterd moeten worden zonder dat deze bij een eindgebruiker (al dan niet via een forward) uit kunnen komen. Gebeurd dit niet correct, dan veroorzaak je overlast en loop je het risico gelist te worden. Het goed bijhouden van de virusscanner(s) is dus simpelweg erg belangrijk.

maxnet
18/09/08, 17:23
Waarom kon je de email gedurende het aflever proces niet gewoon weigeren met een 5xx code dan?

Ging in dit geval ook om e-mail forwarding.
Dan weten we op het moment dat het berichtje bij ons binnenkomt nog niet met zekerheid of die ook op de uiteindelijke bestemming afgeleverd kan worden.

Als een e-mail adres echt dood is, dan wordt de forward door ons na verloop van tijd verwijderd, en krijgt men in het vervolg een 5xx.

Maar het komt bijv. ook regelmatig voor dat de mailbox van de eindbestemming even te vol zit (quota exceeded), en als het dan na een dag nog niet lukt om het bericht af te leveren, dan levert dat een bounce bericht op.
We gaan er immers vanuit dat de meeste e-mail legitiem is, en dat de afzender toch wel wilt weten dat zijn e-mailtje niet aangekomen is.

Overigens maken we gebruik van greylisting. Hierdoor worden veel virussen met ingebouwde SMTP engine al geweerd.


En nogmaals, ik heb er zo mijn twijfels over of er uberhaupt wel een virus bij het bounce bericht zat.
Uit onze eigen log bestanden is verder op te maken was het oorspronkelijke bericht een HTML e-mail van 5 kb was, dat is wat aan de kleine kant voor een virus, en ook de afzender oogt legitiem.

t.bloo
18/09/08, 17:30
Ik snap nooit zo waarom er zo'n probleem gemaakt wordt van de payload van een mailtje. Wat iemand met z'n attachement doet is toch de verantwoording van de ontvangende partij? Zo bezitten we hier toch behoorlijk wat computers, maar geen een waar ooit iets met een virus wordt gedaan.

Dennis
18/09/08, 17:33
Ik heb het probleem gehad, maar wat WIJ nu doen is ALLE inkomende mail (dus ook de forwarders) tegen HUN eigen blacklist aanhouden en preventief blokkeren. Er staat duidelijk aangegeven op de site hoe je hun instellingen kan gebruiken ....Dat helpt totaal niet tegen virussen helaas.

Ik heb net weer 2 e-mails gestuurd naar virbl@bit.nl. E-mails van dinsdag en woensdag onbeantwoord gebleven. Hopelijk krijg ik deze keer reactie. Het probleem begint erg vervelend te worden, zeker gezien de server maar 2000 e-mails per dag verstuurd en hiervan 80% zakelijk is.

Het gaat bij mij steeds om "Seen by multikabel". Houdt dit heel ziggo in? Indien dit slechts een kleine e-mail range is voor @multikabel.nl oid, overweeg ik zeker de hele multikabel range te gaan blokkeren voor een week.

Graag hoor ik van jullie!

Dreas
18/09/08, 17:48
Ging in dit geval ook om e-mail forwarding.
Dan weten we op het moment dat het berichtje bij ons binnenkomt nog niet met zekerheid of die ook op de uiteindelijke bestemming afgeleverd kan worden.

Als een e-mail adres echt dood is, dan wordt de forward door ons na verloop van tijd verwijderd, en krijgt men in het vervolg een 5xx.

Maar het komt bijv. ook regelmatig voor dat de mailbox van de eindbestemming even te vol zit (quota exceeded), en als het dan na een dag nog niet lukt om het bericht af te leveren, dan levert dat een bounce bericht op.
We gaan er immers vanuit dat de meeste e-mail legitiem is, en dat de afzender toch wel wilt weten dat zijn e-mailtje niet aangekomen is.


Op die manier verstuur je dus zelf ook spam. Alle inkomende spam (toch meer dan 95% tegenwoordig) met gespoofde afzenders die jij niet kan afleveren bounce je vervolgens naar het gespoofde adres. Die zit dan met jouw overlast. Op die manier is de kans dat je zelf op meerdere blacklisten terecht komt ook groot. Je kan beter met een 4xx (temp reject) response antwoorden en als je na een dag nog steeds niet kan afleveren met een 5xx (permanent reject) response.

Dennis
18/09/08, 17:53
En is het mogelijk tijdelijk qmail 1 dag te laten mailen via een reserve-ip?

Mikey
18/09/08, 18:16
En is het mogelijk tijdelijk qmail 1 dag te laten mailen via een reserve-ip?

en dan, gelijk je dns ed omgooien ivm spf ?

maxnet
18/09/08, 18:29
Het gaat bij mij steeds om "Seen by multikabel". Houdt dit heel ziggo in? Indien dit slechts een kleine e-mail range is voor @multikabel.nl oid, overweeg ik zeker de hele multikabel range te gaan blokkeren voor een week.


multikabel zijn voornamenlijk @quicknet.nl adressen.

Betrof een stuk of 50 klanten, en die hebben we een paar weken terug een pop3 accountje aangeboden.
Hebben helaas maar 2 personen gebruik van gemaakt.

Zijn voornamenlijk beginnende gebruikers, die er tegen op zien om aan de instellingen van hun e-mail programma te zitten.

-----



Je kan beter met een 4xx (temp reject) response antwoorden en als je na een dag nog steeds niet kan afleveren met een 5xx (permanent reject) response.


Ken je ook een mailserver die dat ondersteund en ook goed werkt met grote berichten?

Wat ik ervan begrepen heb is dat de e-mail dan real-time naar de uiteindelijke bestemming moet worden doorgestuurd.
Heb je er echter filters tussen zitten, dan moet het bericht eerst helemaal bij jou binnen zijn, voordat je kan beginnen met het versturen naar de uiteindelijke bestemming.

Dit zou vervolgens problemen kunnen geven indien het een bericht van 10 mb is, en de uiteindelijke bestemming zit achter een slome verre oosten verbinding.

Dan kan het zijn dat de mailserver van de afzender die nog steeds zit te wachten op bevestiging dat het bericht geaccepteerd is, het te lang vind duren (timeout), en het nog een keer probeert.

Dreas
18/09/08, 18:48
Ken je ook een mailserver die dat ondersteund en ook goed werkt met grote berichten?

Wat ik ervan begrepen heb is dat de e-mail dan real-time naar de uiteindelijke bestemming moet worden doorgestuurd.
Heb je er echter filters tussen zitten, dan moet het bericht eerst helemaal bij jou binnen zijn, voordat je kan beginnen met het versturen naar de uiteindelijke bestemming.

Dit zou vervolgens problemen kunnen geven indien het een bericht van 10 mb is, en de uiteindelijke bestemming zit achter een slome verre oosten verbinding.

Dan kan het zijn dat de mailserver van de afzender die nog steeds zit te wachten op bevestiging dat het bericht geaccepteerd is, het te lang vind duren (timeout), en het nog een keer probeert.

Dit gaat een beetje teveel offtopic, maar het kan wel gewoon en emails van meer dan 10MB zijn geen probleem. Je mag me PMen als je meer info wilt of je kan een nieuw topic openen. :)

Jeeves_
19/09/08, 17:33
Ik heb net weer 2 e-mails gestuurd naar virbl@bit.nl. E-mails van dinsdag en woensdag onbeantwoord gebleven. Hopelijk krijg ik deze keer reactie. Het probleem begint erg vervelend te worden, zeker gezien de server maar 2000 e-mails per dag verstuurd en hiervan 80% zakelijk is.


Jammer dat je hier zo oneerlijk over doet. Zoals meerdere mensen hier al aangeven wordt op verzoeken voor headers netjes gereageerd.

Zo ook bij jou:
Jij: 09/12/2008 12:40:24
Virbl: 09/12/2008 13:39:19

Jij: 09/17/2008 14:15:53
Virbl: 09/17/2008 16:13:43

Jij: 09/17/2008 14:18:09 (Geen vraag, slechts een paar logregels)
Virbl: Niet

Jij: 09/17/2008 14:18:41 (dezelfde als drie minuten daarvoor)
Virbl: Niet

Jij: 09/17/2008 14:27:46
Virbl: 09/17/2008 14:50:14

Jij: 09/18/2008 15:49:37
Virbl: 09/18/2008 16:38:57

Ook op jouw verzoeken is netjes gereageerd. Misschien is het handiger om jouw (en Virbl z'n) tijd te steken in het voorkomen dat je virussen stuurt, in plaats van hier zitten roepen hoe onaardig Virbl is.

Dennis
19/09/08, 23:02
Ik heb de e-mails naar dennis@citus.nl nooit ontvangen. Ik heb mijn e-mails later op mijn hotmail adres inderdaad wel ontvangen, de eerste ironisch gezien de map "Ongewenste Post" van Hotmail.

Daarbij heb ik jullie zelf per e-mail op de hoogte gesteld van deze topic als positief gebaar en bedankt voor het reageren op mijn herinneringsemails via mijn hotmail adres met duidelijke toelichting.

Hierbij mijn excuses dat ik dit niet alsnog achteraf heb gemeld in dit topic op webhostingtalk.nl. Ik heb destijds echt mijn e-mails op dennis@citus.nl niet beantwoord gezien. Ik ga er vanuit dat deze gewoon door jullie beantwoord is, echter heb ik deze niet ontvangen.

Update: De oorzaak blijkt een blokkade van onze Barracuda Spam Firewall te zijn. De e-mails zijn dus gewoon beantwoord door Virbl, echter heb ik ze nooit ontvangen.

Erik H.
19/09/08, 23:35
Ik heb de e-mails naar dennis@citus.nl nooit ontvangen. Ik heb mijn e-mails later op mijn hotmail adres inderdaad wel ontvangen, de eerste ironisch gezien de map "Ongewenste Post" van Hotmail.

Daarbij heb ik jullie zelf per e-mail op de hoogte gesteld van deze topic als positief gebaar en bedankt voor het reageren op mijn herinneringsemails via mijn hotmail adres met duidelijke toelichting.

Hierbij mijn excuses dat ik dit niet alsnog achteraf heb gemeld in dit topic op webhostingtalk.nl. Ik heb destijds echt mijn e-mails op dennis@citus.nl niet beantwoord gezien. Ik ga er vanuit dat deze gewoon door jullie beantwoord is, echter heb ik deze niet ontvangen.

Update: De oorzaak blijkt een blokkade van onze Barracuda Spam Firewall te zijn. De e-mails zijn dus gewoon beantwoord door Virbl, echter heb ik ze nooit ontvangen.

Dit is toch wel ironie in zijn zuiverste vorm :p

efactory
26/09/08, 10:24
Helaas bleek het invoeren van de virbl lijst in onze eigen mailserver niet de oplossing om een blacklist te voorkomen. We staan er weer op.

Ik begin er een beetje moe van te worden. Als ik de documentatie op virbl ga doorlezen wordt hier een combinatie van virus scanner / mailsoftware aangeraden welke wij ook daadwerkelijk gebruiken. Niet voldoende dus om een blacklist te voorkomen.

Tevens heb ik erg moeite mee dat het niet mogelijk is om je mailserver van de lijst te verwijderen en dat er een periode van 24 uur overheen gaat voordat je eindelijk weer normaal mail kunt versturen.


Mocht nog iemand een goede oplossing weten, graag. Ben zelfs aant twijfelen om dan maar diep in de buidel te tasten en de mailservers uit te rusten met een betere virus scanner. Blijkbaar laat clamav toch nog behoorlijk wat door.

Zijn er mensen die een scanner aan kunnen raden die wel alles kan opvangen wat virbl detecteerd?


Mvg
Marco

dreamhost_nl
26/09/08, 12:33
Ik zou je aanraden toch even in conclaaf te gaan met de beheerders van virbl. Wat heb je tenslotte voor garantie dat je niet meer op de blacklist komt indien je een prijzige scanner aanschaft? Lijkt me dat de virbl bedoelt is om kwaadwillenden buiten te houden en niet goedbedoelende ISPs.

efactory
26/09/08, 13:26
Ik heb inderdaad de situatie samengevat in een e-mail en deze naar virbl gestuurd. Ik hoop snel van hun een antwoord te krijgen.

Als we de situatie kunnen oplossen door gebruik te maken van een andere virus scanner, so be it, dan doe ik dit graag.

Dreas
01/10/08, 15:51
Kan je hier nog even hun suggestie laten weten?

HBCS
01/10/08, 15:59
Wij staan er ook sinds een paar dagen op. Heb nu een virusscanner laten installeren en hopelijk zijn we in korte tijd weer af. En ja dat een redirect via een mailadres hieer de oorzaak van is, is wel erg jammer.

brinkie
02/10/08, 15:09
Ik heb de laatste weken ook steeds vaker problemen hiermee. Ongeveer twee week geleden exim zo geconfigureerd dat bounce-mails (die meestal voor de blacklisting zorgden) werden gestript van bijlagen > 1 Kb. Dat heeft twee week goed gewerkt maar sinds gisteren staan we er weer op met twéé servers vanwege forwardmails (en het valt mij op dat je er wel héél snel op staat! Eén of twéé mails zijn genoeg om geblacklist te worden!).

Vraag aan jullie: hoe kan ik die forwards blokkeren c.q. laten scannen (ik gebruik DA/Spamassasin) wanneer er een virus in zit? Iemand een suggestie?

Langzamerhand wordt ik knap flauw van dit verhaal. Zojuist de headers binnengekregen nadat in eerste instantie de opvraag geweigerd werd omdat men 'de relatie tussen de server en mij' niet zag. Het zijn ook inderdaad steeds twéé bedrijven die er voor zorgen dat ik gelist wordt: ConceptsICT en Multikabel. Als ik vervolgens m'n servers langs (vele) andere blacklists houd dan zie ik dat ik daar niet vermeld wordt.

Mijns inziens is het niet mijn probleem, eigenlijk, maar het probleem van de ontvangende partij/VIRBL. Die moet de oorspronkelijke afzender blacklisten en niet de forwarder!

t.bloo
02/10/08, 15:33
Die moet de oorspronkelijke afzender blacklisten en niet de forwarder!

Daar heb je wel een punt. SPF controle bijvoorbeeld weet wel altijd feilloos op te merken dat je een forwarder bent, waarom kan dat hierbij niet.

brinkie
02/10/08, 16:48
Daar heb je wel een punt. SPF controle bijvoorbeeld weet wel altijd feilloos op te merken dat je een forwarder bent, waarom kan dat hierbij niet.

Normaliter reageren ze altijd snel op mail, maar ik heb ze dus een mail gestuurd met betrekking hiermee en nog niets gehoord. Ben benieuwd naar de reactie.

Heb overigens, omdat ze ook de oorspronkelijke afzenders wel opnemen in de blacklists (gaan álle ip-adressen in de header die op de route lagen bij de aflevering blijkbaar in!), VIRBL zelf opgenomen in m'n exim config. Dat blokkeerde in 10 minuten ongeveer 40 afzenders daardoor.. even afwachten en monitoren of er niet legitieme afzenders worden geblocked cq. ik geen klachten krijg.. VIRBL zelf gebruiken is w.s. niet helemaal waterdicht, maar goed, .. de kans zal wel sterk verkleind worden dat ik dan uiteindelijk nog op de lijst kom met m'n servers, hoop ik..

Heb op het DirectAdmin forum en in de knowledge base nog gezocht hoe je effectief forwards of aliassen kan scannen maar helaas zéér weinig (geen) informatie kunnen achterhalen.

nieuwhier
07/10/08, 01:33
Het feest is ook bij ons begonnen. Steeds meer servers staan op die blacklist en ook hier gaat het om ConceptsICT en Multikabel.

Ik vind dit niet kunnen, het is alsof de postbode post in de vuilnisbak gooit omdat hij vindt dat de ontvanger dat niet wil hebben. Laat de goede man het gewoon in de brievenbus gooien en de ontvanger er wat mee laten doen.

Het betreft hier ook forwarders overigens.
Ik word hier goed pissig van, je kunt niet zomaar hele servers gaan blokkeren omdat een (vermeend!) virus tussenzit!

brinkie
07/10/08, 02:00
Ook onze servers staan er (weer) op, nadat het een paar dagen goed gegaan is. Ik geef het op, heb er alles aan gedaan inmiddels (bijlagen bij bounces strippen, ClamAV staat er op, spamfilters enz). En inderdaad wéér multikabel. VIRBL is echt te erg voor woorden, vooral -zoals ik eerder zei- omdat andere blacklists ons niet vermelden. En men weigert de verantwoording te nemen voor de blacklisting, die leggen ze terug naar multikabel.

nieuwhier
07/10/08, 08:59
Wij hebben dit ook nog niet eerder meegemaakt, in vele jaren nog nooit op een lijst gestaan. Ik heb het idee zelfs dat hier juridisch wel eens niet in orde zou kunnen zijn. Ik zou best bereid zijn geld in een toetsing op het nederlands recht en eventueel kort geding te stoppen.

brinkie
07/10/08, 14:56
Wij hebben dit ook nog niet eerder meegemaakt, in vele jaren nog nooit op een lijst gestaan. Ik heb het idee zelfs dat hier juridisch wel eens niet in orde zou kunnen zijn. Ik zou best bereid zijn geld in een toetsing op het nederlands recht en eventueel kort geding te stoppen.

Een oplossing zoeken (waardoor je niet meer gelist wordt) is goedkoper, sneller en klantvriendelijker .. daarom probeer ik dat. Ik heb VIRBL nu zelf ook in gebruik, daardoor voorkom ik blacklistingen gedeeltelijk. Helaas slipt er echter toch altijd nog wel eens iets tussendoor. Is eenvoudig te realiseren maar eigenlijk vind ik het van de zotte.

Tot nog toe nog steeds geen goede oplossing voor m'n forwarders-probleem,..

V.w.b. het juridische aspect is het echt lastig, VIRBL ontrekt zich aan zijn verantwoordelijkheden door te stellen dat providers het niet hóeven te gebruiken. Providers (ISP's) zeggen: "we melden alleen maar, het staat een ieder vrij er wel of niet iets mee te doen". Het bekende kastje-muur verhaal, uiteindelijk.

Mikey
07/10/08, 15:56
V.w.b. het juridische aspect is het echt lastig, VIRBL ontrekt zich aan zijn verantwoordelijkheden door te stellen dat providers het niet hóeven te gebruiken. Providers (ISP's) zeggen: "we melden alleen maar, het staat een ieder vrij er wel of niet iets mee te doen". Het bekende kastje-muur verhaal, uiteindelijk.

Helemaal mee eens als ze de source listen ipv het doorgeef luik dat in de meeste gevallen een forwarder betreft. Het ziet er eerder naar uit dat de gedachten gang ergens iets mist. Men list de verkeerde partij en wijst dus doelbewust iemand aan die niet eens de source is...

nieuwhier
07/10/08, 16:01
VIRBL ontrekt zich aan zijn verantwoordelijkheden door te stellen dat providers het niet hóeven te gebruiken. Providers (ISP's) zeggen: "we melden alleen maar, het staat een ieder vrij er wel of niet iets mee te doen".

VIRBL zal gelijk hebben, die bieden formeel alleen maar gereedschap. Het zijnde ISP's die aangesproken moeten worden. Het is toch niet zo dat ze het alleen maar melden ? Ze nemen de mail toch ook niet aan ?

MartijnRSD
14/10/08, 13:13
Volgens BIT moet iemand die een mail forward daar de verantwoordelijkheid voor nemen:

"I'm innocent! I only forward messages!

If those messages contain virusses, you're not innocent. You are sending virusses around, you're just not originating them. Scan messages before you forward them."

Zelf nemen ze natuurlijk geen verantwoordelijkheden voor de door hun opgezette lijst:

"We don't block anything. We only provide a list with IP's which have sent virusses to us or one of our contributors.

The people using the list are the people that decide how they which to implement it. Some use it to give messages a score in spamchecking, others use it to completely block messages from a listed IP. BIT is not responsible for blocking your mail. If blocking happens, the recipient chose to do so."

Maar hoe gebruik je de lijst dan volgens BIT? Zo dus:
# Block all connections from hosts on Virbl
deny
message = Connection blocked. You are on $dnslist_domain ($dnslist_text)
dnslists = virbl.dnsbl.bit.nl

Dat er gescand kan worden op virussen door een server die alleen doorstuurt is een discussiepunt. Je moet dan natuurlijk wel dezelfde virusscanners gebruiken anders heeft het natuurlijk nog geen zin.

nieuwhier
14/10/08, 13:17
Het lijkt mij dat iedereen het wel eens is met het scannen van mail. Maar de situatie dat je virusdefs van een server per ongeluk niet bijgewerkt zijn, scanner gecrashed is of zo en dat je dan na 2 mails geblokkeerd wordt dat kan gewoon niet vind ik.

Laat ze dan net zoals het met spam gaat warnings uitsturen of zo, daar kun je wat mee.

brinkie
14/10/08, 15:12
Zelf nemen ze natuurlijk geen verantwoordelijkheden voor de door hun opgezette lijst:
[..]
Maar hoe gebruik je de lijst dan volgens BIT? Zo dus:
# Block all connections from hosts on Virbl
deny
message = Connection blocked. You are on $dnslist_domain ($dnslist_text)
dnslists = virbl.dnsbl.bit.nl


Ik heb ze ook al een paar keer op de tegenstrijdigheden c.q. inconsequentie hierin gewezen. Zij wijzen echter consequent terug naar de providers, die weer terugverwijzen naar bit. Heb er schoon genoeg van inmiddels, heb het zelf ook in gebruik genomen, maar dat helpt niets. Het blokkeert wel veel afzenders, maar als ze mij bij één a twéé doorgeglipte mails ook weer blokkeren dan heb ik er niets aan, alleen maar last van. Zie dat diverse mensen het hier gebruiken, ga nu nog een andere virusscanner proberen naast ClamAV....

Ps. daarnaast: scanners kunnen ook false-positives geven, daar wordt dus niets aan gedaan. Als een scanner een false-positive geeft, ben ik zuur.. ik vind dat onbegrijpelijk. De limiet van 1 a 2 keer is echt veel te laag.

dreamhost_nl
14/10/08, 16:49
Wij zijn met een server ook wel eens op die blocklist beland. Dit kwam door een virus dat doorgestuurd was via netwerken die zelf van deze blocklist gebruik maken; hoe dubieuzer kan zo'n blocklist dan niet zijn? :thumbdown:

ccchosting
14/10/08, 16:51
Installeer clamd configureer deze in je exim en het probleem is verholpen.

Ook wij werden de laatste weken om de haverklap toegevoegd aan de BIT lijst vanwege uitgaande virussen (forwarders en dat soort zaken).
Nu al ruim 2 weken niet meer gebreurd nadat we clamd hebben geinstalleerd.

P.S, wij hebben BIT wel uit de bloklist verwijderd, wordt wel erg veel berichten tegen gehouden de laatste maanden.
(blocked by BIT.NL stondt volop in onze logfiles)

brinkie
14/10/08, 16:54
Installeer clamd configureer deze in je exim en het probleem is verholpen.

Ook wij werden de laatste weken om de haverklap toegevoegd aan de BIT lijst vanwege uitgaande virussen (forwarders en dat soort zaken).
Nu al ruim 2 weken niet meer gebreurd nadat we clamd hebben geinstalleerd.

Met clamd bedoel je ClamAV neem ik aan?? Die heb ik geinstalleerd (is beschikbaar als port voor FreeBSD) maar nog slipt er af en toe wel eens iets door. Klaarblijkelijk is de installatie/configuratie niet helemaal goed gegaan indertijd. Als je tips/aanwijzingen hebt, hoor ik het graag.. (bllijft het feit dat er fals positives vanuit andere netwerken met andere scanners gemeld kunnen worden!). Ik wil hier graag vanaf..

ccchosting
14/10/08, 17:05
Inderdaad clamd is onderdeel van clamAV.
clamd staat geloof ik voor deamen

gewoon ff checken of proces clamd draaid en het zaakje in je exim.conf zetten.
Dit laatse verschilt per systeem

brinkie
14/10/08, 21:07
Inderdaad clamd is onderdeel van clamAV.
clamd staat geloof ik voor deamen

gewoon ff checken of proces clamd draaid en het zaakje in je exim.conf zetten.
Dit laatse verschilt per systeem

Ja draait, ja staat in Exim. Toch slipt het e.e.a. er af en toe doorheen, volgens Multikabel dan..

dreamhost_nl
15/10/08, 10:08
...volgens Multikabel dan..

Dat is dezelfde partij die ons viri doorstuurde en daarna aangaf dat een van onze servers geblocklist was; viri die via hun eigen mail servers kwamen dus... :thumbdown:

brinkie
15/10/08, 15:56
En het wordt steeds gekker. Nu stond vanmorgen Ziggo op de VIRBL met een aantal mailservers (en klaagden klanten bij mij!) en nu staat mijn server er weer op door toedoen van hen. Ik wordt hier echt helemaal doodziek van!! Ga w.s. zelf in elk geval geen gebruik meer maken van VIRBL want zo kan niemand meer mail verzenden/ontvangen. Wat mij betreft boycotten we die waardeloze lijst met z'n allen.

dreamhost_nl
15/10/08, 21:14
Op de 1e plaats in de statistieken (http://virbl.bit.nl/stats/) staat een IP-adres van Internet provider Orange (smtp-7.orange.nl). Het is toch op z'n minst vreemd te noemen als concullega (inbel/kabel)providers elkaar gaan blokkeren...

brinkie
15/10/08, 21:23
Op de 1e plaats in de statistieken (http://virbl.bit.nl/stats/) staat een IP-adres van Internet provider Orange (smtp-7.orange.nl). Het is toch op z'n minst vreemd te noemen als concullega (inbel/kabel)providers elkaar gaan blokkeren...

Oh, oke, de klanten die belden zeiden dat ze bij @Home zaten, dus nam ik maar aan dat het klopte.. Maar daar speelt écht een probleem, kijk die aantallen eens zeg! 5384 meldingen! Dan kun je met recht stellen dat zo'n server geblocked moet worden.

Iets anders: ik meen me te herinneren dat jij aangaf dat ClamAV bij jullie wel goed werkt/je geen problemen hebt met VIRBL? Kun je me misschien op weg helpen of heb je tijd te kijken wat ik fout doe (tegen vergoeding, pm me svp eens?). Het gaat om 3 webservers, draaiiend onder FreeBSD 6.2.. Ik heb denk ik toch iets verkeerd gedaan indertijd en m'n colo (die normaliter me bij dit soort dingen altijd zeer behulpzaam zijn) hebben gewoonweg geen tijd..

EDIT:
Ik zie dat jullie cPanel gebruiken, ik gebruik DirectAdmin, mogelijk dat het e.e.a dus op mijn machines anders werkt en je daar niet uit komt.. enfin, in z'n algemeenheid dan maar: als iemand hier ervaring heeft met het configureren en juist werkend krijgen van ClamAV op een FreeBSD 6.2 machine, pm me svp, want ik heb er meer dan genoeg van dat het niet goed werkt!

maxnet
16/10/08, 02:21
Na mijn vorige post zijn we alsnog aan dnswl toegevoegd, en zijn we gelukkig zelf van het probleem af. :)





Het is toch op z'n minst vreemd te noemen als concullega (inbel/kabel)providers elkaar gaan blokkeren...

Het probleem met blocklists is dat vrijwel geen enkele provider de moeite neemt om eens te kijken wie je zoal blokkeert, voordat besloten wordt zo'n lijst te gebruiken.

Bijgevoegd een lijstje met hosts die de afgelopen dagen op de virbl lijst stonden gesorteerd per tld. Bekende enduser access provider addressen zijn er tussenuit gefilterd.

Staan aardig wat concullega's in binnen- en buitenland op.

Randy
16/10/08, 03:06
Het is toch niet zo moeilijk, gewoon je boeltje netjes op orde houden. De BIT-lijst is met 24 uur nog redelijk mild ook nog.

dreamhost_nl
16/10/08, 11:55
Zoals in de thread te lezen valt is de blocklist op z'n minst obscuur te noemen (servers die er gebruik van maken die zelf viri versturen en daarna blocklisten als dezelfde e-mail retour komt)... :yes:
Wellicht dat je brinkie kunt helpen? DirectAdmin + FreeBSD is toch net wat anders qua setup dan cPanel + CentOS... :unsure:

bakkerl
16/10/08, 19:13
Hoe reageerd BIT op http://www.nu.nl/news/1792876/50/%27IP-checker%27_weblog_in_strijd_met_privacywet.html
Bit verzameld hier ook een lijst met ip adressen zonder de 'bezoeker' vooraf te waarschuwen. Hoe ver wordt dit dus dan nog toegestaan?

dreamhost_nl
16/10/08, 20:11
"Duitse rechtbank: ip-adres is geen persoonsgegeven"
http://webwereld.nl/ref/newsletter/53153 ;)

bakkerl
16/10/08, 20:13
"Duitse rechtbank: ip-adres is geen persoonsgegeven"
http://webwereld.nl/ref/newsletter/53153 ;)

BIT is een Nederlands bedrijf. Dus wat heeft de duitse wetgeving/rechtspraak hier mee te maken dan?

brinkie
16/10/08, 21:04
Zoals in de thread te lezen valt is de blocklist op z'n minst obscuur te noemen (servers die er gebruik van maken die zelf viri versturen en daarna blocklisten als dezelfde e-mail retour komt)... :yes:

Ik kreeg vandaag ook weer klachten van klanten: "mensen kunnen mij niet meer email sturen omdat jouw server het blokkeert". Je kan uitleggen wat je wilt aan klanten dat *ik* het niet blokkeer maar dat hun provider (Chello en Orange) hun servers op een blacklist staan maar ze accepteren het niet.

Daarom stop ik zelf met het gebruik van VIRBL. Ik heb er m'n buik van vol, in alle opzichten!! Volgende week ga ik er wel weer induiken, de komende dagen eerst een 'ondernemersbeurs' dus even andere dingen aan het hoofd!

Glenn
16/10/08, 21:18
Op de lijst:

87.x251.45.20 compuxticxation-19.cxolo.xbit.nl
21x3.1x36.0.13x3 elmxa.coxlo.bit.nl
213.15x4.243.6x3 logxict62.cxolo.bit.nl

Her en der wat xjes voor google.

brinkie
16/10/08, 21:27
Op de lijst:

87.x251.45.20 compuxticxation-19.cxolo.xbit.nl
21x3.1x36.0.13x3 elmxa.coxlo.bit.nl
213.15x4.243.6x3 logxict62.cxolo.bit.nl

Her en der wat xjes voor google.

Hilarisch!!! Ze blacklisten hun eigen servers!?

:thumbup:


Ik heb het probleem gehad, maar wat WIJ nu doen is ALLE inkomende mail (dus ook de forwarders) tegen HUN eigen blacklist aanhouden en preventief blokkeren. Er staat duidelijk aangegeven op de site hoe je hun instellingen kan gebruiken ....

Dat heb ik ook gedaan, met als gevolg (zie eerdere post) dat gisteren en vandaag een groot aantal klanten begonnen te klagen dat mensen hen niet meer konden bereiken.. Dus dáár ben ik nu per direct mee gestopt, het lost niets op én.. ik stond met m'n eigen servers wederom ook op de blocklist. Wat een gedonder zeg..

bakkerl
16/10/08, 22:16
Hilarisch!!! Ze blacklisten hun eigen servers!?
Dat zullen niet hun eigen servers zijn. Als de hostnaam colo erin heeft staan.

brinkie
17/10/08, 00:09
Dat zullen niet hun eigen servers zijn. Als de hostnaam colo erin heeft staan.

Je snapt wel wat ik bedoel, mag ik aannemen.. het zijn servers in hun colo-ruimte/onder hun verantwoording.

@all - ik heb een mail gestuurd naar bit over hun beleid, met de volgende inhoud:


Ik heb vandaag van een groot aantal klanten klachten gehad over de VIRBL-blokkades. Email van Chello (volgens de klanten?) en Orange klanten komt niet meer bij hen aan, omdat ik ook de VIRBL gebruikte. Daar ben ik dus per direct vanaf gestapt.

Mijns inziens is jullie policy niet langer houdbaar c.q. principieel onjuist. Complete servers blacklisten, dat kan gewoonweg niet. De economische schade die zo veroorzaakt wordt is té groot.

Block nu alleen de zendende partijen (= individuen die virussen verspreiden) of maak de marges acceptabeler, dus bijv. minimaal 10x gespot op één dag = blacklisten! Dat moet mogelijk zijn. Daarmee wordt jullie lijst écht waardevol. Nu zorgt het er alleen maar voor dat email binnenkort met een grinding halt tot stilstand komt in Nederland (zolang men VIRBL gebruikt).

Wijs niet terug naar de providers die de VIRBL gebruiken, uiteindelijk is BIT.nl degene die de lijst samenstelt. Providers vertrouwen er op dat deze lijst accuraat is. Dat is deze niet, want ook "false positives" zullen lijden tot blocklisting alsmede zogenaamde outdated (slechts enkele minuten al kan dit verschil maken!) virusdefinities.


Het antwoord was (wederom) teleurstellend, ...


De mailservers die op Virbl staan hebben virussen verstuurd, of ze nu zelf geinfecteerd zijn of niet. Een mailserver die full-body bounces verstuurd kan zonder problemen misbruikt worden om virussen mee te verspreiden. Mensen denken er niet over na dat een mailtje van MAILER-DAEMON ook wel eens een virus kan bevatten en openen het bericht zonder pardon. Mensen die een mailserver draaien moeten ook hun verantwoordelijkheid nemen in het tegengaan van virussen. Wat betreft de 'false positives' (die dus eigenlijk geen false positives zijn omdat er wel degelijk virussen verstuurd worden), ISP's hebben de kans om te voorkomen dat zij op Virbl terecht komen. Nederlandse ISP's kunnen zich zonder problemen op de nlwhitelist laten plaatsen, ze komen dan niet meer op Virbl. Orange heeft ervoor gekozen om dat niet pro-actief te doen en niet te reageren op klachten/verzoeken van hun klanten. De regels waarop de Virbl gebaseerd is zijn helder, de *gebruikers* van Virbl kiezen ervoor om met die regels te leven. Het is dus *wel* de verantwoordelijkheid van de gebruiker. Als je het er, zoals jij, niet mee eens bent gebruik je het niet. Dat is geen enkel probleem. Als er machines onterecht op Virbl staan, zullen we daar uiteraard actie op ondernemen.

Helaas kunnen dus alleen Nederlandse ISP's op de whitelist komen (onder bepaalde voorwaarden). De "kleinere" hostingpartijen zoals mijn bedrijf e.v.a. hier kunnen dat mooi vergeten. Ook al is mijn policy mbt spam, virussen e.d. waarschijnlijk strenger dan die van veel grote ISP's.

Ik ga in elk geval de discussie met BIT niet meer aan, dat is zinloos. Telkens krijg je dezelfde voorgeprogrammeerde standaard antwoorden. Ik wil best aan redelijke voorwaarden voldoen en heb ook veel moeite genomen voor het e.e.a. Maar in dit geval ga ik gewoon wachten, denk ik, tot ze stuklopen (zoals ik eerder voorspeld heb) op hun eigen rigide beleid. Want providers die zichzelf gaan blacklisten, bijvoorbeeld, zullen zoveel klachten van klanten krijgen dat ze niet anders kunnen dan stoppen met de VIRBL.

Wat ik lachwekkend vind is de houding van BIT naar de gemiddelde consument. Als mensen écht zo dom waren om elk attachment maar te openen dan was het niet best. Daarover zijn mensen lang genoeg voorgelicht..

Verder stelt men dus dat de gebruikers van de lijst er voor hebben gekozen met deze lijst en zijn beperkingen te leven. Dat betekent dus dat ISP's er voor kiezen hun klanten email te onthouden. Oók legitieme email en dat vind ik persoonlijk een heel kwalijke zaak. Door als provider gewoon de SMTP's en pop3-boxen te scannen voorkom je toch op een veel nettere manier ellende voor de gebruiker?

Ik zou er persoonlijk niet mee kunnen leven als KPNPlanet en XS4all, mijn ISP's, mijn mail van klanten zouden blocken omdat de mailserver van hun ISP door een onjuiste bounce policy of een false positive op de blacklist zouden komen...

xserve
17/10/08, 00:25
Hilarisch!!! Ze blacklisten hun eigen servers!?
Dat geeft maar aan dat ze zelf ook de negatieve consequenties durven dragen. Overigens belt BIT netjes haar eigen klanten op zodra ze op de lijst verschijnen. Het onderste IP is een machine van een klant van ons, die stuurde een e-mailadres door naar een Casema adres en dat ontving virussen. Inmiddels heeft de klant een virusscanner op de server laten installeren en het probleem is voorbij. (Wij hadden het overigens al opgelost voordat BIT ons belde, maar het blijft netjes.)

Wij gebruiken de Virbl lijst nog steeds en wij hebben ook de afgelopen weken veel klachten gehad van klanten. Dat is voor ons geen reden om het gebruik van de Virbl blacklist te stoppen, juist niet! De gebruikers die er last van hebben zullen een klacht in moeten dienen bij Chello/UPC/etc. Het probleem moet zoveel mogelijk bij de bron aangepakt worden. Als we blokkades gaan opheffen omdat het je even niet uitkomt dan komt er nooit een einde aan. Zolang grote access providers in Nederland mail die via hun servers wordt verstuurd niet controleren op virussen, zullen ze daarvan hinder ondervinden.

Als je zelf zorgt dat de mails die uit jou servers komen altijd gescand worden op virussen dan kom je zelf nooit op deze lijst. Als je klanten geen mail kunnen verzenden door hun accessprovider, dan zou je ze moeten aanraden om een andere accessprovider te nemen. Hun provider neemt het namelijk niet serieus.

Het zou net zoiets zijn dat als een Rusische kruidenier belastingontduiking doet het wel erg is, maar dat als het de Albert Heijn is dat het dan niet erg is. Want het is wel erg onhandig om daar geen boodschappen te doen... Op die manier zal Albert Heijn z'n gedrag nooit aanpassen. Want als er veel klanten lang blijven klagen dan zullen ze het wel aanpassen, voordat iedereen bij ze wegloopt.

Overigens is het zeker zo dat je moet uitkijken welke lijsten je gebruikt. Maar ik vind Virbl lijst nog steeds een goede en de condities die ze hebben zijn ook gewoon redelijk. En als je het er niet mee eens bent dan gebruik je hem toch niet?

wowzie
17/10/08, 00:30
Wij gebruiken de Virbl lijst nog steeds en wij hebben ook de afgelopen weken veel klachten gehad van klanten. Dat is voor ons geen reden om het gebruik van de Virbl blacklist te stoppen, juist niet! De gebruikers die er last van hebben zullen een klacht in moeten dienen bij Chello/UPC/etc. Het probleem moet zoveel mogelijk bij de bron aangepakt worden.


En dat is nu precies de reden waarom we deze blacklist *niet meer* gebruiken. Want wat er nu gaat gebeuren is dat UPC en Orange zich aanmelden voor de whitelist. Ze verdwijnen van de blacklist maar blijven hetzelfde aantal virussen sturen. Het daadwerkelijk filteren komt bij de hosting providers te liggen. Er is op wht al meerdere malen aangegeven dat de bron soms ook gewoon Ziggo zelf is, maar dat jij wordt geblokt, omdat Ziggo jou een mail stuurt. Dat kan natuurlijk niet de bedoeling zijn.

brinkie
17/10/08, 00:42
Het probleem moet zoveel mogelijk bij de bron aangepakt worden. Als we blokkades gaan opheffen omdat het je even niet uitkomt dan komt er nooit een einde aan. Zolang grote access providers in Nederland mail die via hun servers wordt verstuurd niet controleren op virussen, zullen ze daarvan hinder ondervinden.

Het grote probleem is mijns inziens dat die grote jongens (de 'albert heijns') zich wél op de white list kunnen laten zetten en dus gewoon door kunnen blijven gaan als ze maar aan de voorwaarden (http://noc.bit.nl/dnsbl/nlwhitelist/) voldoen en in die voorwaarden staat helemaal NIETS over het scannen van in- en uitgaande mail. De hele VIRBL is daarmee mijns inziens een farce!

En dat ik uiteindelijk zwicht voor de druk van mijn klanten -omdat ze gewoon de emails waaronder orders van hun éigen klanten willen kunnen blijven ontvangen- lijkt mij toch logisch. Klagen bij de grote ISP's heeft immers geen zin, dat geeft men zelf ook aan ivm Orange bijvoorbeeld:


Orange heeft ervoor gekozen om dat niet pro-actief te doen en niet te reageren op klachten/verzoeken van hun klanten.

Dat geldt niet alleen voor Orange. Andere helpdesken van grote ISP's doen ook net alsof ze niet weten waar hun klant het over heeft, en wijzen terug naar mij (!) omdat ik volgens de helpdeskmedewerker/ster "ten onrechte" de mail blokkeer. En de klant belt dan vervolgens mij weer "ja, maar, mijn provider zegt...". Dat kost allemaal veel te veel tijd en energie, want de klant (a) snapt absoluut niet wat er speelt en (b) wil gewoon zijn/haar email ontvangen. Eén van m'n klanten bijv. liep op deze manier bijna 3 orders mis voor de kassa-systemen die ze verkopen. Ik kan je vertellen, dan worden ze niet blij hoor. Aan wie 't ligt interesseert zo'n klant absoluut niet, ze willen die order hebben en "wel nu!".

Ik ben het er mee eens als je zegt dat de problemen dus bij de bron aangepakt moeten worden, maar door deze VIRBL lijst gebeurt dat dus niet vanwege de whitelisting-policy en de blacklisting op basis van server-nivo.

brinkie
17/10/08, 00:46
En dat is nu precies de reden waarom we deze blacklist *niet meer* gebruiken. Want wat er nu gaat gebeuren is dat UPC en Orange zich aanmelden voor de whitelist. Ze verdwijnen van de blacklist maar blijven hetzelfde aantal virussen sturen. Het daadwerkelijk filteren komt bij de hosting providers te liggen. Er is op wht al meerdere malen aangegeven dat de bron soms ook gewoon Ziggo zelf is, maar dat jij wordt geblokt, omdat Ziggo jou een mail stuurt. Dat kan natuurlijk niet de bedoeling zijn.

Helemaal mee eens dus, het ergste wat mij nu kan gebeuren is dat ik op de blacklist kom vanwege een forward/alias mailtje en dat kan ik oplossen door de klant uit te leggen dat hij dan de pop3-accounts op mijn server moet gebruiken ipv aliassen.

Glenn
17/10/08, 10:33
Ik waardeer dat jullie de strijd tegen de grote ISP's nog aangaan, maar ik heb die allang al opgegeven. Slechts van KPN heb ik een direct telefoonnummer naar de technische mensen die de knoppen bedienen. Bij Orange, Ziggo en al die anderen moet je eerst door de studentenhelpdesk die niet mogen doorverbinden. Omdat de klant het niet snapt ben je wel genoodzaakt om VIRBL niet meer te gebruiken.

Raar ook dat een Orange, Ziggo gewoon op de whitelist kan terwijl ze gewoon nog virussen verzenden. De kleine provider kan vanwege de eisen daar niet op terwijl die in de regel beter controleert op uitgaande virussen dan de grote jongens.

alexbik
17/10/08, 13:49
De kleine provider kan vanwege de eisen daar niet op terwijl die in de regel beter controleert op uitgaande virussen dan de grote jongens.

Ik begrijp die opmerking niet zo goed. Als je inderdaad al je uitgaande mail controleert op virussen en je stuurt ook geen full-body-bounces, dan is het sowieso uitgesloten dat je op Virbl komt.

En voor wat betreft de NLWhitelist: Dat is zeker geen vrijbrief voor 'grote jongens' (zoals jij ze omschrijft) om maar een beetje aan te rommelen, want er worden wel degelijk eisen gesteld aan o.a. het abuse beleid. En blijken die later niet te worden nageleefd, dan wordt de ISP in kwestie net zo makkelijk weer verwijderd als ie erop kwam.

In een van de reakties wordt gezegd dat ons beleid rigide is. Dat klopt, dat is het ook. Dat moet ook wel, want juist bij dit soort zaken is het belangrijk om de werkwijze helder te definieren, te communiceren en er aan vast te houden. Als mensen op basis van de door ons gedefinieerde regels besluiten om Virbl te gebruiken, zou het natuurlijk op zijn zachtst gezegd niet zo netjes zijn als we onszelf niet (altijd) aan die regels zouden houden.

Dat houdt dus ook in dat onze eigen klanten op precies dezelfde manier behandeld worden dan de rest van het internet. Verstuur je virussen, kom je op de lijst. Ook als je toevallig klant bent. Onze eigen klanten nemen we dan uiteraard contact mee op. Ik hoop dat je begrijpt dat we klanten van andere ISP's niet gaan bellen of mailen. Dat is de verantwoordelijkheid van de ISP in kwestie. ISP's kunnen van ons per mail notificaties krijgen mbt virus verspreidende hosts in hun netwerk. Dat kunnen ze helemaal zelf online regelen.

Tot slot nog een opmerking over het openklikken van virussen en attachments in bounces: Ja, dat gebeurt. Aan de lopende band zelfs. Ondanks alle voorlichting.

maxnet
17/10/08, 13:58
Als je inderdaad al je uitgaande mail controleert op virussen en je stuurt ook geen full-body-bounces, dan is het sowieso uitgesloten dat je op Virbl komt.


Als dit uitgesloten is, zoals je suggereert, waar dient het gebruik van een whitelist dan nog voor?

Glenn
17/10/08, 14:55
Ik begrijp die opmerking niet zo goed. Als je inderdaad al je uitgaande mail controleert op virussen en je stuurt ook geen full-body-bounces, dan is het sowieso uitgesloten dat je op Virbl komt.
Blijkbaar niet. Want niet alle virusscanner zijn even snel met het aanbieden van nieuwe definities. Tevens worden sommige bestanden door de ene wel en door de ander niet als virus gezien.


En voor wat betreft de NLWhitelist: Dat is zeker geen vrijbrief voor 'grote jongens' (zoals jij ze omschrijft) om maar een beetje aan te rommelen, want er worden wel degelijk eisen gesteld aan o.a. het abuse beleid. En blijken die later niet te worden nageleefd, dan wordt de ISP in kwestie net zo makkelijk weer verwijderd als ie erop kwam.
Wat heeft de NLWhitelist dan nog voor nut? Een whitelist voorkomt in de regel dat je op een blacklist komt. Wij (en nog een heleboel grote providers) hebben een fantastisch abusebeleid en handelen zeer snel op virusmeldingen. Sneller dan menig grote provider, maar door de technische eisen kunnen wij er niet op.


In een van de reakties wordt gezegd dat ons beleid rigide is. Dat klopt, dat is het ook. Dat moet ook wel, want juist bij dit soort zaken is het belangrijk om de werkwijze helder te definieren, te communiceren en er aan vast te houden. Als mensen op basis van de door ons gedefinieerde regels besluiten om Virbl te gebruiken, zou het natuurlijk op zijn zachtst gezegd niet zo netjes zijn als we onszelf niet (altijd) aan die regels zouden houden.

Misschien heb ik het verkeerd begrepen, maar een Tweakers.net wordt door BIT wel handmatig verwijderd (http://tweakers.net/plan/439). Niet bepaald consistent lijkt me.


Dat houdt dus ook in dat onze eigen klanten op precies dezelfde manier behandeld worden dan de rest van het internet. Verstuur je virussen, kom je op de lijst. Ook als je toevallig klant bent. Onze eigen klanten nemen we dan uiteraard contact mee op. Ik hoop dat je begrijpt dat we klanten van andere ISP's niet gaan bellen of mailen. Dat is de verantwoordelijkheid van de ISP in kwestie. ISP's kunnen van ons per mail notificaties krijgen mbt virus verspreidende hosts in hun netwerk. Dat kunnen ze helemaal zelf online regelen.
Tot slot nog een opmerking over het openklikken van virussen en attachments in bounces: Ja, dat gebeurt. Aan de lopende band zelfs. Ondanks alle voorlichting.
Begrijp me niet verkeerd, een VIRBL vind ik een goed initiatief, alleen ben ik van mening dat de eisen voor de whitelist niet kloppen en dat het ontbreken van het online kunnen opvragen van de headers een groot gemis is.

brinkie
17/10/08, 15:51
Ik begrijp die opmerking niet zo goed. Als je inderdaad al je uitgaande mail controleert op virussen en je stuurt ook geen full-body-bounces, dan is het sowieso uitgesloten dat je op Virbl komt.


Dat bestrijd ik. Ik gebruik ClamAV en doe geen fullbody bounces (bijlagen groter dan 1Kb worden gestript). Daarnaast doe ik verificatie of de afzenders daadwerkelijk bestaan.

En toch staan m'n servers af en toe op de VIRBL. Rara? Ja, blijkbaar wordt niet elk virus gesnapt. Dat kan een keer gebeuren. Ik heb gedacht dat ik wellicht ClamAV niet goed geinstalleerd heb (zou kunnen). Maar binnenkort ga ik nog een andere scanner installeren en dan zou het toch echt dus absoluut niet voor mogen komen, we zullen zien maar vooralsnog geloof ik niet dat dit dus klopt. Daarnaast blijf ik er bij dat een provider ook false positives kan geven. Email met bijv. een plaatje (JPG) er bij die aangezien wordt, ten onrechte, voor een virus. Daarnaast: 2x (?) een voorkomen en je staat op de lijst!


En voor wat betreft de NLWhitelist: Dat is zeker geen vrijbrief voor 'grote jongens' (zoals jij ze omschrijft) om maar een beetje aan te rommelen, want er worden wel degelijk eisen gesteld aan o.a. het abuse beleid. En blijken die later niet te worden nageleefd, dan wordt de ISP in kwestie net zo makkelijk weer verwijderd als ie erop kwam.

Als ik de voorwaarden zie op http://noc.bit.nl/dnsbl/nlwhitelist/ dan is het abusebeleid helemaal vrijblijvend. Daar worden geen eisen aan gesteld behalve dat je een 'helder en transparant' beleid moet hebben + dat er een actief beleid + email adres moet zijn.


In een van de reakties wordt gezegd dat ons beleid rigide is. Dat klopt, dat is het ook. Dat moet ook wel, want juist bij dit soort zaken is het belangrijk om de werkwijze helder te definieren, te communiceren en er aan vast te houden.

Maar pas het dan op iederéén toe en sta niet toe dat mensen die aan een paar minimale voorwaarden voldoen er onderuit komen. Echter, je weet net zo goed als ik en anderen hier dat dat niet kan, want dan is er geen grote provider meer die meedoet. Wat dat betreft zouden veel providers een voorbeeld kunnen nemen aan XS4all. Daar heb ik al jarenlang een account en nog nooit, maar dan ook nooit, is er een virus doorheen gekomen en alleen bij zeer hoge uitzondering wat spam. Petje af voor ze. Dus het kan gewoon, ook zonder VIRBL-blokkades.


Tot slot nog een opmerking over het openklikken van virussen en attachments in bounces: Ja, dat gebeurt. Aan de lopende band zelfs. Ondanks alle voorlichting.

Ik zou bijna zeggen: "nou en". Mensen hebben een eigen verantwoordelijkheid, ik heb er langzamerhand schoon genoeg van dat BIT de "politieagent" uit hangt op grond van door een klein aantal personen bepaald beleid wat je ook nog kunt ontduiken (zie eerder) als je maar "groot genoeg" bent en aan een paar minimale eisen voldoet. Ondertussen kreeg ik, toen ik zelf de VIRBL gebruikte, nog steeds gewoon virussen binnen. En andere, volstrekt legitieme, email aan mijn klanten (en mij) werd geblokkeerd vanwege het toepassen van het 'compleet' blacklisten van servers in plaats van afzenders. Dat kán je gewoon niet doen!

Jullie kunnen verwijzen naar je statistieken, maar het is dus zeker geen waterdicht systeem en daarnaast dus een té rigide methode met grote lekken door de toepassing van een whitelist op grond van een veel te "mager" beleid.

Jeeves_
17/10/08, 18:49
Misschien heb ik het verkeerd begrepen, maar een Tweakers.net wordt door BIT wel handmatig verwijderd (http://tweakers.net/plan/439). Niet bepaald consistent lijkt me.


Op het moment dat mensen contact met ons opnemen en uit kunnen leggen hoe zij op die lijst terecht zijn gekomen en wat ze eraan hebben gedaan kan er, als we dat verhaal kunnen verifieren, besloten worden om de machine weer van de lijst af te halen.



Begrijp me niet verkeerd, een VIRBL vind ik een goed initiatief, alleen ben ik van mening dat de eisen voor de whitelist niet kloppen en dat het ontbreken van het online kunnen opvragen van de headers een groot gemis is.

Sorry, wat? Misschien moet je http://virbl.bit.nl/evidencehowto.php even lezen. Veel meer mogelijkheden die ook de privacy van de geliste persoon een beetje beschermen kan ik niet verzinnen.

Verder kan je eigen ISP het wel gewoon zien, en kun je altijd virbl@bit.nl mailen.

Jeeves_
17/10/08, 19:13
Wat ik lachwekkend vind is de houding van BIT naar de gemiddelde consument. Als mensen écht zo dom waren om elk attachment maar te openen dan was het niet best. Daarover zijn mensen lang genoeg voorgelicht..


We krijgen wekelijks vragen om het virus toch nog maar te ontvangen, misschien dat het toch geen virus is.. Dus mensen nemen de waarschuwingen vaak nog steeds niet serieus.

Daar komt bij, als niemand het zou openen zouden er ook niet zoveel virussen via mail verstuurd worden, toch?

Jeeves_
17/10/08, 19:18
Als ik de voorwaarden zie op http://noc.bit.nl/dnsbl/nlwhitelist/ dan is het abusebeleid helemaal vrijblijvend. Daar worden geen eisen aan gesteld behalve dat je een 'helder en transparant' beleid moet hebben + dat er een actief beleid + email adres moet zijn.


Dus er zijn geen eisen, behalve:
* Actief abuse beleid
* Een helder en transparant beleid (dwz, er is over nagedacht)
* Een actief abuse adres

Dat zijn inderdaad bijna geen eisen nee...



Jullie kunnen verwijzen naar je statistieken, maar het is dus zeker geen waterdicht systeem en daarnaast dus een té rigide methode met grote lekken door de toepassing van een whitelist op grond van een veel te "mager" beleid.

Wie beweert er dat Virbl de oplossing voor alle problemen is? Dat is het niet. Het is een manier om de schade voor je mailsetup te beperken. Een veel betere stap in de richting van een oplossing zou zijn om al Microsoft software door de plee te spoelen, alle mensen die belabberde Joomla installs hebben draaien 'iets' aan te doen en mensen die niet snappen wat internet is er niet op toelaten. Maar ja, dat zijn helaas geen haalbare stappen...

Glenn
17/10/08, 19:53
Op het moment dat mensen contact met ons opnemen en uit kunnen leggen hoe zij op die lijst terecht zijn gekomen en wat ze eraan hebben gedaan kan er, als we dat verhaal kunnen verifieren, besloten worden om de machine weer van de lijst af te halen.
Je spreekt je collega tegen. Alex zegt geen uitzonderingen te maken, jij zegt dat dit wel kan. Op je site staat duidelijk dat je pas na 24 uur er vanaf kan. Er worden geen uitzonderingen gemaakt. Dus dat doen jullie nu wel? Wees eens duidelijk?




Sorry, wat? Misschien moet je http://virbl.bit.nl/evidencehowto.php even lezen. Veel meer mogelijkheden die ook de privacy van de geliste persoon een beetje beschermen kan ik niet verzinnen.
Dank. Hoelang hebben jullie dat al?


Verder kan je eigen ISP het wel gewoon zien, en kun je altijd virbl@bit.nl mailen.

Natuurlijk, maar mijn netwerkboer gaat echt niet iedereen mailen die op zo'n lijst komt. Zeker als het zo makkelijk is om listed te raken. Virbl@bit.nl heb ik ervaring mee, dat ging goed, maar het is zo giga veel werk.

Glenn
17/10/08, 19:56
Dus er zijn geen eisen, behalve:
* Actief abuse beleid
* Een helder en transparant beleid (dwz, er is over nagedacht)
* Een actief abuse adres

Dat zijn inderdaad bijna geen eisen nee...

Werk jij echt voor BIT?

Van diezelfde pagina:



* The relay- and forwarding servers of entities which operate their own autonomous system (AS) based in the Netherlands;
* The relay- and forwarding servers of Dutch access oriented consumer ISPs with at least an IPv4 /16 in use in their access area network(s);
* The relay- and forwarding servers of Dutch business oriented ISPs with at least an IPv4 /20 assigned address space and in use.

Als kleine partij hebben we dat niet. Dus hoe wil je dat wij er op komen?



Wie beweert er dat Virbl de oplossing voor alle problemen is? Dat is het niet. Het is een manier om de schade voor je mailsetup te beperken. Een veel betere stap in de richting van een oplossing zou zijn om al Microsoft software door de plee te spoelen,

Ah, MS-bashen. Fantastisch.


alle mensen die belabberde Joomla installs hebben draaien 'iets' aan te doen en mensen die niet snappen wat internet is er niet op toelaten. Maar ja, dat zijn helaas geen haalbare stappen...

:(

nieuwhier
17/10/08, 20:14
Die whitelist maakt deze hele discussie een beetje zielig.

Er wordt gezegd dat als je alles op virussen scant je nooit geblokkeerd kan worden. Maar waarom dan toch die whitelist ?

STOPPEN dus met die whitelist!!!

En als dat niet gebeurd moet je ons kleinere providers ook toelaten op een dergelijke whitelist, tegen normale voorwaarden natuurlijk.

Jeeves_
17/10/08, 22:11
Je spreekt je collega tegen. Alex zegt geen uitzonderingen te maken, jij zegt dat dit wel kan. Op je site staat duidelijk dat je pas na 24 uur er vanaf kan. Er worden geen uitzonderingen gemaakt. Dus dat doen jullie nu wel? Wees eens duidelijk?


Lees http://virbl.bit.nl/about.php, het kopje 'How can I be delisted?'.



Dank. Hoelang hebben jullie dat al?


Zie http://virbl.bit.nl/, daar staat het al vanaf 22 september.



Natuurlijk, maar mijn netwerkboer gaat echt niet iedereen mailen die op zo'n lijst komt. Zeker als het zo makkelijk is om listed te raken. Virbl@bit.nl heb ik ervaring mee, dat ging goed, maar het is zo giga veel werk.

Voorkomen dat je erop komt is vaak minder werk inderdaad. Maar goed, ik krijg het idee dat er alleen maar negatief wordt gedaan, zonder dat men zich er erg in heeft verdiept.

Jeeves_
17/10/08, 22:15
Werk jij echt voor BIT?


Dat leek me toch al vrij duidelijk.



Als kleine partij hebben we dat niet. Dus hoe wil je dat wij er op komen?


Niet, als kleine partij hoor je er ook niet op. Mijn punt was vooral dat brinkie roept dat alle grote partijen er zomaar op komen en dat die er nooit meer afhoeven. Dat is dus niet waar. Er zijn wel degelijk extra voorwaarden aan verbonden, behalve groot te zijn.



Ah, MS-bashen. Fantastisch.


Durf eens met droge ogen te zeggen dat Microsoft en partijen die hun zaken niet op orde hebben niet een grote rol in de virusdrama's spelen...

Jeeves_
17/10/08, 22:17
Die whitelist maakt deze hele discussie een beetje zielig.

Er wordt gezegd dat als je alles op virussen scant je nooit geblokkeerd kan worden. Maar waarom dan toch die whitelist ?

STOPPEN dus met die whitelist!!!

En als dat niet gebeurd moet je ons kleinere providers ook toelaten op een dergelijke whitelist, tegen normale voorwaarden natuurlijk.

Noem eens wat 'normale' voorwaarden?

brinkie
18/10/08, 01:29
Op het moment dat mensen contact met ons opnemen en uit kunnen leggen hoe zij op die lijst terecht zijn gekomen en wat ze eraan hebben gedaan kan er, als we dat verhaal kunnen verifieren, besloten worden om de machine weer van de lijst af te halen.


Dat is aantoonbaar niet waar. Jullie hebben mij meerdere malen delisting geweigerd ondanks dat ik aan je hierboven genoemde voorwaarden heb voldaan (uitleggen hoe ik er op gekomen ben met m'n servers en wat ik er aan heb gedaan om dit te voorkomen, zoals gebruik virusscanner, sender verification en zelfs deelname aan VIRBL). Het is ook in tegenspraak met wat je hier schrijft/linkt:


Lees http://virbl.bit.nl/about.php, het kopje 'How can I be delisted?'.

Want daar staat dat het niet kan "tenzij"...


Short answer; you can't. FIX the problem that caused you to be listed here. You will automatically be delisted, 24 hours after the last virus from your IP was found.

In het 'lange antwoord' staat dat je kan toelichten hoe je daar op bent gekomen:


one can think of situations in which you cannot help it that you are listed, for example as an ISP it is possible that your customers cause the listing of your relay server

Mijn engels zal wel niet zo goed zijn maar hier staat toch naar mijn mening écht dat je als ISP, wanneer je kan aantonen dat het "je klant z'n schuld is" kan worden gedeblokkeerd. Dat is toch zó hypocriet! Een ISP kan dus wel de schuld terugleggen naar z'n klant, zoals vaker geconstateerd zelfs op de whitelist worden gezet (onder voorwaarden die ik van nul en generlei waarde acht) maar een hostingprovider, zeker de kleinere, kan dat stomweg niet!

De VIRBL-lijst meet overduidelijk met twéé maten!


En als dat niet gebeurd moet je ons kleinere providers ook toelaten op een dergelijke whitelist, tegen normale voorwaarden natuurlijk.


Noem eens wat 'normale' voorwaarden?

Nou,.. wat dacht je van...

* Actief abuse beleid
* Een helder en transparant beleid (dwz, er is over nagedacht)
* Een actief abuse adres

Kunnen we hier allemaal denk ik zo aan voldoen?! Dat er hier negatief wordt ingestoken op de VIRBL-lijst lijkt mij inmiddels logisch. Want de verkeerde personen/partijen worden genaaid, in plaats van de échte verspreiders van viri. De oorspronkelijke afzenders en grote isp's die niets doen tegen het rondmailen van viri want die kunnen op de whitelist, en 'wij' niet.

Ik krijg opeens een 'Calimero-gevoel' ;)

Randy
18/10/08, 02:02
OT: Als we nu met z'n allen BIT even gaan blacklisten en alle spam gezamenlijk forwarden naar marks@bit.nl ?

Ik blijf erbij, je moet gewoon je spullen goed in orde hebben. Dat is *iets* meet dan de standaard DA-setup van de gemiddelde zolderkamerhoster. Ook mail die geforward moet worden kun je simpel meenemen met ClamAV. Daarnaast wil het updaten van ClamAV ook wel eens helpen... Anders loopt het de spuigaten (http://www.webhostingtalk.nl/scripting-en-programmeren/113942-explosieve-stijging-spam-4.html#post833334) uit :).

Hetzelfde geldt ook voor SpamAssassin. Eigenlijk moet je eerst CPAN updaten, maar ik zal het niveau laag houden.



$ cpan
cpan> force install LWP::UserAgent
cpan> install Archive::Tar
$ sa-update -D
$ killall spamd
$ /usr/bin/spamd -d -c -m 5

Jeeves_
18/10/08, 09:34
OT: Als we nu met z'n allen BIT even gaan blacklisten en alle spam gezamenlijk forwarden naar marks@bit.nl ?


Ah ja! Das pas een volwassen idee!

Jeeves_
18/10/08, 09:43
Dat is aantoonbaar niet waar. Jullie hebben mij meerdere malen delisting geweigerd ondanks dat ik aan je hierboven genoemde voorwaarden heb voldaan (uitleggen hoe ik er op gekomen ben met m'n servers en wat ik er aan heb gedaan om dit te voorkomen, zoals gebruik virusscanner, sender verification en zelfs deelname aan VIRBL). Het is ook in tegenspraak met wat je hier schrijft/linkt:


Ik blijf erbij dat jij je zaken niet op orde hebt als je in zo'n korte tijd zo vaak op Virbl terecht bent gekomen. Ook dat speelt mee. Op het moment dat wij een maitlje voorbij zien komen van iemand die we al herkennen van Virbl (het 'oh, daar heb je hem weer'-moment) dan kun je al niet echt meer verklaren waarom je erop terecht bent gekomen.

Zoals ik je in mijn uitgebreide reactie op je mailtje naar virbl@bit.nl al vertelde, smtp.bit.nl heeft in de afgelopen week 0 meldingen overoorzaakt op Virbl. En daar gaat echt niet weinig mail over heen.




Mijn engels zal wel niet zo goed zijn maar hier staat toch naar mijn mening écht dat je als ISP, wanneer je kan aantonen dat het "je klant z'n schuld is" kan worden gedeblokkeerd. Dat is toch zó hypocriet! Een ISP kan dus wel de schuld terugleggen naar z'n klant, zoals vaker geconstateerd zelfs op de whitelist worden gezet (onder voorwaarden die ik van nul en generlei waarde acht) maar een hostingprovider, zeker de kleinere, kan dat stomweg niet!

De VIRBL-lijst meet overduidelijk met twéé maten!


Het zal je mening zijn, maar hij klopt niet. Mensen gaan niet zomaar van die lijst af. De inschatting of er wel of niet tot delisting over wordt gegaan is aan de persoon die het verzoek (die er dus eigenlijk al niet hoort te zijn) op dat moment behandeld.

Vraagje: Hoeveel RBL's kennen jullie eigenlijk waar mensen reageren op mail, reageren op fora en zo openlijk handelen? Ik ken er niet een, behalve Virbl.



Nou,.. wat dacht je van...

* Actief abuse beleid
* Een helder en transparant beleid (dwz, er is over nagedacht)
* Een actief abuse adres

Kunnen we hier allemaal denk ik zo aan voldoen?! Dat er hier negatief wordt ingestoken op de VIRBL-lijst lijkt mij inmiddels logisch. Want de verkeerde personen/partijen worden genaaid, in plaats van de échte verspreiders van viri. De oorspronkelijke afzenders en grote isp's die niets doen tegen het rondmailen van viri want die kunnen op de whitelist, en 'wij' niet.

Ik krijg opeens een 'Calimero-gevoel' ;)

Dus iedere zolderkamerhoster gaat dan naar BIT mailen om op die lijst te komen. D'r worden ongeveer 40 zolderkamerhosters per dag geboren, die willen allemaal op die lijst, want dat is belangrijjk voor die zes mailtjes die ze vanaf hun dsl-lijn versturen. Twee dagen later gaan ze failliet, en ze vergeten dat even te melden bij de beheerder van de lijst. En daar heb je je vervuiling. Gevolg, binnen enkele weken is die lijst zo betrouwbaar als een Maserati, en staat de halve wereld op zo'n whitelist.

Nee dank je.

brinkie
18/10/08, 10:11
Ik blijf erbij, je moet gewoon je spullen goed in orde hebben. Dat is *iets* meet dan de standaard DA-setup van de gemiddelde zolderkamerhoster.

Sommige van de wat jij 'zolderkamer'-hosters noemt hebben hun spulletjes vaak prima voor elkaar. Maar goed, dat geheel terzijde.

Glenn
18/10/08, 17:08
Dat leek me toch al vrij duidelijk.
Jawel, maar Alex en jij beweren twee verschillende dingen. Vandaar:)



Niet, als kleine partij hoor je er ook niet op. Mijn punt was vooral dat brinkie roept dat alle grote partijen er zomaar op komen en dat die er nooit meer afhoeven. Dat is dus niet waar. Er zijn wel degelijk extra voorwaarden aan verbonden, behalve groot te zijn.
En waarom hoor je er als kleine partij niet op? Kan je dat eens uitleggen? Mijn ervaringen met kleine partijen is dat zij vele malen sneller op abusemails reageren dan de grote jongens (waar ik zelf soms bounces op ontvang).



Durf eens met droge ogen te zeggen dat Microsoft en partijen die hun zaken niet op orde hebben niet een grote rol in de virusdrama's spelen...
Natuurlijk. Maar als virusmaker richt je je op een platform dat het grootste aandeel heeft. Nu het aandeel van Apple toeneemt komen daar meer virussen voor. Toen het gebruik van IE afnam en Firefox toenam zag je ook meer exploits voor Firefox verschijnen. Dat heeft niets met de kwaliteit van MS te maken, maar het marktaandeel.

Microsoft levert kwaliteit, zeker met de Server 2008 generatie.

Glenn
18/10/08, 17:15
Ik blijf erbij dat jij je zaken niet op orde hebt als je in zo'n korte tijd zo vaak op Virbl terecht bent gekomen. Ook dat speelt mee. Op het moment dat wij een maitlje voorbij zien komen van iemand die we al herkennen van Virbl (het 'oh, daar heb je hem weer'-moment) dan kun je al niet echt meer verklaren waarom je erop terecht bent gekomen.
Jullie whitelisted partijen versturen ook nog steeds virussen. Zie ook jouw mailtje (of die van een collega) op NLNOG lijst. Die whitelist is kul. Schaf of die whitelist helemaal af, of maak 'm toegankelijk voor iedereen met een actief abuse beleid. Niet zoals nu.


Zoals ik je in mijn uitgebreide reactie op je mailtje naar virbl@bit.nl al vertelde, smtp.bit.nl heeft in de afgelopen week 0 meldingen overoorzaakt op Virbl. En daar gaat echt niet weinig mail over heen.




Het zal je mening zijn, maar hij klopt niet. Mensen gaan niet zomaar van die lijst af. De inschatting of er wel of niet tot delisting over wordt gegaan is aan de persoon die het verzoek (die er dus eigenlijk al niet hoort te zijn) op dat moment behandeld.
Dat komt op mij behoorlijk willekeurig over :)


Vraagje: Hoeveel RBL's kennen jullie eigenlijk waar mensen reageren op mail, reageren op fora en zo openlijk handelen? Ik ken er niet een, behalve Virbl.
Ik ken inderdaad geen enkele RBL die een whitelist hanteert voor grote jongens terwijl die gewoon ijskoud virussen en spam doorlaten. Dat je op fora reageert is een groot pluspunt, maar feitelijk niet belangrijk aangezien we meer hebben aan wijzigingen aan de RBL.



Dus iedere zolderkamerhoster gaat dan naar BIT mailen om op die lijst te komen. D'r worden ongeveer 40 zolderkamerhosters per dag geboren, die willen allemaal op die lijst, want dat is belangrijjk voor die zes mailtjes die ze vanaf hun dsl-lijn versturen. Twee dagen later gaan ze failliet, en ze vergeten dat even te melden bij de beheerder van de lijst. En daar heb je je vervuiling. Gevolg, binnen enkele weken is die lijst zo betrouwbaar als een Maserati, en staat de halve wereld op zo'n whitelist.

Nee dank je.
Schaf gewoon die complete whitelist af. Dan ben je van al het gezeur af en heb je daadwerkelijk een nuttige RBL. Een KPN Internet kan dus gewoon virussen verzenden terwijl de kleinere partij zichzelf een slag in de rondte werkt om geen virussen meer te verzenden. Dat laatste is niet erg, maar zo bereik je nooit dat KPN en andere grote jongens hun best gaan doen.

®on
18/10/08, 17:54
Wellicht speelt er ook iets anders: angst voor claims van de "grote jongens"?

mind
18/10/08, 18:10
Dus iedere zolderkamerhoster gaat dan naar BIT mailen om op die lijst te komen. D'r worden ongeveer 40 zolderkamerhosters per dag geboren, die willen allemaal op die lijst, want dat is belangrijjk voor die zes mailtjes die ze vanaf hun dsl-lijn versturen. Twee dagen later gaan ze failliet, en ze vergeten dat even te melden bij de beheerder van de lijst. En daar heb je je vervuiling. Gevolg, binnen enkele weken is die lijst zo betrouwbaar als een Maserati, en staat de halve wereld op zo'n whitelist.
Ik vind je redenatie wel heel erg kort door de bocht. Je zou het zelf als positief kunnen zien dat iedereen zijn mailserver ip's netjes registreert. Je weet dan als beheerder van de blacklist ook wie je moet aanspreken als er een bepaald IP virus mail stuurt. Stuur zo'n "gewhitliste" hoster automatisch een mailtje met daarin een uitleg waarom hij geblacklist is en wat hij er aan kan doen om dat in het vervolg te voorkomen. Voeg in die mail ook een linkje toe waarmee hij zich per direct weer kan delisten. Failliete hosters reageren niet en voila dat probleem is opgelost. Limiteer bovendien het aantal maalen delisten per periode en klaar is Kees.

Op deze manier beperk je de impact van de lijst voor goedwillende organisaties die een missertje hebben en doe je niets af aan de betrouwbaarheid.

brinkie
18/10/08, 19:10
Ik heb bij deze hier een 'publieke' RFC voor BIT.NL's policy:

1. iedereen die een actief abuse beleid voert kan op de whitelist
2. iedereen die meer dan 10 virusmails in één dag, gescand via onafhankelijke en controleerbare punten, doorlaat gaat op de blacklist, ongeacht punt 1. Of er kan worden gekozen voor een %-ratio (bijv. 1 op 100, wie daar binnen blijft heeft volgens mij een redelijk beleid).
3. criteria met betrekking tot het aantal ip-adressen/ranges worden opgeheven.

Dát is helder! En hanteerbaar. En waarschijnlijk meteen het einde van mogelijkheid verzending email via Chello, Orange enz hun mailservers.. Durven jullie dat aan??

Ps. ik ben benieuwd naar de onderbouwing voor de stelling dat er '40 zolderkamerhosters per dag' bij komen. Volgens mij verdwijnen er de laatste tijd nogal wat. Overigens, wat is een 'zolderkamerhoster'. Als iemand een kantoor-adres heeft, maakt hem/haar dat tot een betere hoster? Ik ken een colocator die een "bezemkast" huurt als kantooradres.. en toch z'n zaakjes op orde heeft en al jaren goed bekend staat. Ik ken ook bedrijven met prachtige hoofdkantoren, raden van bestuur enz. die massaal spam en viri doorlaten (om maar een te noemen: Orange). Wat prefereer je?


Jullie whitelisted partijen versturen ook nog steeds virussen. Zie ook jouw mailtje (of die van een collega) op NLNOG lijst. Die whitelist is kul.

Ik zeg hier ten overvloede een hartgrondig "amen, (vak)broeder" ;)

Glenn
18/10/08, 20:17
Goed, de input is er. PHP scriptje in elkaar flansen en we kunnen onszelf submitten \0/

Randy
18/10/08, 20:58
testerdetest... Sjello eens submitten



Reporting-MTA: dns; viefep18.chello.at
Arrival-Date: Sat, 18 Oct 2008 18:32:08 +0200
Received-From-MTA: dns; edge04.upc.biz (192.168.13.239)

Final-Recipient: RFC822; <randy@ispi.nl>
Action: failed
Status: 5.1.1
Remote-MTA: dns; mail.ispi.nl (212.79.254.226)
Diagnostic-Code: smtp; 550 Email blocked by BIT.NL - to unblock see http://virbl.bit.nl/

t.bloo
19/10/08, 00:23
Ik zit nu al 7 pagina's deze zeer interessante discussie mee te lezen. Als ik alles op een rijtje zet dan is de policy van die lijst niet waterdicht. Jeeves_ reageert ook een beetje te onzakelijk voor zo'n belangrijke positie, als je het mij vraagt.

Het is nogal wat, dat je een vehikel beheert waarmee je bewust de email van een derde partij kunt blokkeren! Voor dergelijke macht is normaal gesproken een toezichthouder, maar hier lijkt het meer een uit de hand gelopen vrijdagmiddagexperiment.

Als je dit proces zuiver doortrekt bij de "grote jongens" dan zal het geen lang leven beschoren zijn. Ben ook benieuwd wat de Opta er van vindt en of het stand houdt als er simpele regels voor discriminatie, monopolie misbruik en vrijheid van economisch verkeer tegenaan houdt. De TNT Post of Sandd hoeft niet aan te komen met een dergelijke lijst.

Ter overdenking: een "zolderkamerhost" die niet meer bestaat stuurt ook geen mail, dus dat probleem lost zich vanzelf op. Het voorstel van mind lijkt me ook een goede oplossing.


Nu het aandeel van Apple toeneemt komen daar meer virussen voor.
FUD. Wel objectief blijven hè.

mind
19/10/08, 12:00
Als je dit proces zuiver doortrekt bij de "grote jongens" dan zal het geen lang leven beschoren zijn. Ben ook benieuwd wat de Opta er van vindt en of het stand houdt als er simpele regels voor discriminatie, monopolie misbruik en vrijheid van economisch verkeer tegenaan houdt. De TNT Post of Sandd hoeft niet aan te komen met een dergelijke lijst.
Ik ben verder geen jurist, maar ik denk dat deze lijst ook niet voldoet aan artikel 33 van de Wpb. In Nederland wordt een IP nummer tegenwoordig nl. gezien als een persoonsgegeven en dat zou het einde van deze blocklijst kunnen betekenen.

Zie ook http://webwereld.nl/articles/53174/-ip-databank-van-geenstijl--hufterts--onrechtmatig-.html

Ik ben geenszins van plan om deze lijst te torpederen. In beginsel is het idee nl. best goed (over de uitvoering valt te twisten, maar dat is een ander verhaal). Het grootste probleem voor het voortbestaan van de lijst zal waarschijnlijk zijn dat het juridisch draagvlak flinter dun is.

De toekomst zal het leren...

Mikey
19/10/08, 12:33
Ik ben verder geen jurist, maar ik denk dat deze lijst ook niet voldoet aan artikel 33 van de Wpb. In Nederland wordt een IP nummer tegenwoordig nl. gezien als een persoonsgegeven en dat zou het einde van deze blocklijst kunnen betekenen.

Zie ook http://webwereld.nl/articles/53174/-ip-databank-van-geenstijl--hufterts--onrechtmatig-.html

Ik ben geenszins van plan om deze lijst te torpederen. In beginsel is het idee nl. best goed (over de uitvoering valt te twisten, maar dat is een ander verhaal). Het grootste probleem voor het voortbestaan van de lijst zal waarschijnlijk zijn dat het juridisch draagvlak flinter dun is.

De toekomst zal het leren...


Je kletst onzin, de GS database is makkelijk terug te leiden naar reageerders, werkelijke personen dus. De blocklisten zijn voor 99,99% computers waarvan de eigenaar niet eens weet dat ze mailen...

Mikey
19/10/08, 12:45
Ah ja! Das pas een volwassen idee!

Het is wel volwassen om niet de source te listen maar diegene die hem aanbied bij de grotere partijen ?

Memnon
19/10/08, 13:28
Hmm ik zit deze discussie een beetje mee te lezen. En los van de hele discussie wat nou wel of niet redelijk beleid is voor een blacklist, mis ik een beetje het punt dat niet virbl is die mails blokkeerd maar de ontvangende partijen.

Het zijn de mailservers van ontvangende partijen die er voor kiezen om de lijst te gebruiken en op basis daarvan mail te weigeren. Helaas zijn er erg veel mensen die in hun mailserver inderdaad stomme dingen zetten als 'block bij bit, check virbl'. Maar goed ik neem aan dat jullie als hosters wel weten het 'het werkt' met mail verzenden, ontvangen e.d.

Maar goed gezien de hoeveelheid mensen die hier 'klagen' dat ze zo vaak listed zijn lijkt het mij dat er toch redelijk wat partijen zijn deze lijst wel vertrouwen, goed vinden of iig gebruiken om jullie mail te weigeren.

Ik zou zeggen, als je mail ergens niet aankomt en jij vind het grote onzin. Overtuig de ontvangende partijen daarvan. Maar ik denk dat er niet veel partijen happig zullen zijn om mail te ontvangen van je als ou server virussen de wereld in loopt te sturen.

Verder lijkt mij persoonlijk, in alle redelijkheid, het beleid van de VIRBL blacklist, zeker vergelijken bij andere blacklists, zeer netjes open en duidelijk. Dus lijkt het me beter, als het toch zo belangerijk voor je is, om met goed doordachte, uitgewerkte, constructieve, solide ideeen om de lijst te verbeteren te komen.

BsHosting
19/10/08, 13:49
Die lijsten hebben pas nut als je de daadwerkelijke boosdoener gaat aanpakken nl de spammer die het doet.

Niet de servers van een bedrijf op de blacklist gooien die daar niks aan kan doen.

Er zijn bedrijven die sturen zelf gewoon de spam, en klagen dan als ze een bounce krijgen en gooien je op de blacklist.

bakkerl
19/10/08, 14:16
Die lijsten hebben pas nut als je de daadwerkelijke boosdoener gaat aanpakken nl de spammer die het doet.
Gelukkig gaat deze lijst niet over spammers... En gelukig gaat het hier ook niet om partijen die _zelf_ virii en/of spam versturen..

mind
19/10/08, 14:51
Je kletst onzin, de GS database is makkelijk terug te leiden naar reageerders, werkelijke personen dus. De blocklisten zijn voor 99,99% computers waarvan de eigenaar niet eens weet dat ze mailen...Ik baseerde mijn vorige post op het onderstaande.
In casu is sprake van een verwerking van IP-adressen. Volgens artikel 1 sub a Wbp wordt een persoonsgegeven gedefinieerd als ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. IP-adressen zijn in de meeste gevallen te herleiden tot natuurlijke personen en dienen daarom als persoonsgegevens te worden behandeld. In de Richtsnoeren licht het CBP dit als volgt toe: “Een IP-adres is een persoonsgegeven omdat het door een derde - de internetaanbieder- eenvoudig te herleiden valt tot een natuurlijk persoon, de afnemer van het internetabonnement. (...) Dat het IP-adres in sommige gevallen naar een rechtspersoon leidt, in plaats van naar een natuurlijk persoon, doet niet af aan het feit dat het in de meeste gevallen wel degelijk om persoonsgegevens gaat en dat dus de hele verzameling moet worden behandeld conform de Wbp. Ten slotte is van belang dat op basis van het IP-adres beslissingen kunnen worden genomen over de toegang tot bepaalde informatie, zonder dat een dienstverlener op internet überhaupt enige moeite hoeft te doen om zelf persoonsgegevens te verbinden aan een IP-adres.

” Ten aanzien van IP-adressen die naar rechtspersonen leiden, geeft de heer Berculo zelf aan dat er in veel gevallen voldoende informatie aanwezig is bij de beheerders van de bedrijfsnetwerken om het IP-adres alsnog tot een werknemer, dus betrokkene, te herleiden.

In casu is sprake van een zwarte lijst met IP-adressen die aangelegd is met het doeleinde om bepaalde personen te verhinderen een bijdrage te leveren aan een reactieforum. Deze zwarte lijst wordt ook ter beschikking gesteld aan derde partijen. Het doeleinde zou niet kunnen worden gehaald als in casu de IP-adressen niet herleidbaar zouden zijn naar bepaalde personen.
Het volledige artikel kan je hier vinden http://www.geencommentaar.nl/media/20081006_voorlopige_bevindingen_geencommentaar.pdf
Als jij dat als onzin wil bestempelen is dat jou goed recht. Ik constateer slechts dat de overeenkomsten tussen beide lijsten groot is.

Misschien dat iemand met een gedegen juridische kennis hier een uitspraak over wil doen op het forum, aangezien de IP nummer/Persoonsgegeven discussie wel interessant is.

RvdH
19/10/08, 15:24
Zolang BIT een whitelist blijft hanteren is de lijst niet serieus te nemen en zou niemand die lijst moeten gebruiken. Simpel.

Als die whitelist zou verdwijnen zou ik de lijst gaan gebruiken, dan is hij best nuttig.

Dreas
19/10/08, 15:45
VIRBL (en andere blacklists) blokeert mailservers .. het weren van een mailserver is volgens mij iets heel anders dan het weren van een persoon.

bakkerl
19/10/08, 15:51
VIRBL (en andere blacklists) blokeert mailservers .. het weren van een mailserver is volgens mij iets heel anders dan het weren van een persoon.

Als we dan een quote nemen uit de eerder genoemde pdf


Een IP-adres is een persoonsgegeven omdat het door een derde - de internetaanbieder- eenvoudig te herleiden valt tot een natuurlijk persoon, de afnemer van het internetabonnement. (...) Dat het IP-adres in sommige gevallen naar een rechtspersoon leidt, in plaats van naar een natuurlijk persoon, doet niet af aan het feit dat het in de meeste gevallen wel degelijk om persoonsgegevens gaat en dat dus de hele verzameling moet worden behandeld conform de Wbp.

Het maakt dus weinig uit of het ip terug gaat naar een mailserver of een echt persoon.

brinkie
19/10/08, 16:09
Hmm ik zit deze discussie een beetje mee te lezen. En los van de hele discussie wat nou wel of niet redelijk beleid is voor een blacklist, mis ik een beetje het punt dat niet virbl is die mails blokkeerd maar de ontvangende partijen.


Dat is inderdaad het excuus van BIT. Maar niet juist. Want de gebruiker (ISP, host) van de VIRBL gaat er vanuit dat de lijst er toe zal leiden dat smtp's die virussen versturen worden geblockt. Door het gebruik van de whitelist heeft VIRBL dit principe zelf ondergraven (zie eerdere posts) en anderzijds worden partijen geblockt die er niet op horen.


Het zijn de mailservers van ontvangende partijen die er voor kiezen om de lijst te gebruiken en op basis daarvan mail te weigeren. Helaas zijn er erg veel mensen die in hun mailserver inderdaad stomme dingen zetten als 'block bij bit, check virbl'. Maar goed ik neem aan dat jullie als hosters wel weten het 'het werkt' met mail verzenden, ontvangen e.d.

Als je de voorbeeldcode 'kopieert & plakt' van http://virbl.bit.nl/usage.php#exim dan is het logisch dat klanten (van klanten) zeggen: "hee, ik wordt geblokkeerd door.."


Maar goed gezien de hoeveelheid mensen die hier 'klagen' dat ze zo vaak listed zijn lijkt het mij dat er toch redelijk wat partijen zijn deze lijst wel vertrouwen, goed vinden of iig gebruiken om jullie mail te weigeren.

Beter lezen. Een listing wordt al bij het minste of geringste veroorzaakt, terwijl anderen de 'escape' van de whitelist hebben..


Ik zou zeggen, als je mail ergens niet aankomt en jij vind het grote onzin. Overtuig de ontvangende partijen daarvan. Maar ik denk dat er niet veel partijen happig zullen zijn om mail te ontvangen van je als ou server virussen de wereld in loopt te sturen.

Duh! Ik heb VIRBL ook gebruikt, zie eerder, en plots begon het klachten te regenen van mensen dat mail vanaf Orange, Chello e.a. niet meer aankwam (en nog steeds kwam het af en toe voor dat mijn eigen servers werden geblacklist, ondanks alle genomen maatregelen én deelname aan VIRBL). Denk je dat het helpt als die klanten van mij Orange bellen daarover? Sterker nog, zoals hier viel te lezen wenst Orange zelfs z'n eigen klanten hier niet over te antwoorden.


Verder lijkt mij persoonlijk, in alle redelijkheid, het beleid van de VIRBL blacklist, zeker vergelijken bij andere blacklists, zeer netjes open en duidelijk. Dus lijkt het me beter, als het toch zo belangerijk voor je is, om met goed doordachte, uitgewerkte, constructieve, solide ideeen om de lijst te verbeteren te komen.

De ideeën die aangedragen worden, worden tot nog toe door BIT terzijde gelegd. Andere blacklisten vermelden mijn servers nooit, behalve de VIRBL. Tjee, .. hoe zou het toch komen dat ik een béétje chagrijnig wordt van ze?

De énige echte goede oplossing is: blokkade op basis van afzender (individueel ip-adres) en niet op basis van mailservers.

bakkerl
19/10/08, 16:18
Maar wie is de eerste die nu echt de procedure gaat doorlopen van CBP dat de WBP wordt overtreden? Als ik alles hier zo lees is BIT nu gewoon hard aan het lachen om al die 'kleine' partijen hier die zo aan het jammeren zijn.

Zelf heb ik geen systemen ooit op die lijst gehad, dus kan de procedure niet beginnen.

Memnon
19/10/08, 16:32
Dat is inderdaad het excuus van BIT. Maar niet juist. Want de gebruiker (ISP, host) van de VIRBL gaat er vanuit dat de lijst er toe zal leiden dat smtp's die virussen versturen worden geblockt. Door het gebruik van de whitelist heeft VIRBL dit principe zelf ondergraven (zie eerdere posts) en anderzijds worden partijen geblockt die er niet op horen.


Als je de voorbeeldcode 'kopieert & plakt' van http://virbl.bit.nl/usage.php#exim dan is het logisch dat klanten (van klanten) zeggen: "hee, ik wordt geblokkeerd door.."

Hmm, volgens mij staat daar gewoon netjes dat je connection block wordt, en met de reden. En niet de ' connection block by bit ' zoals je wel eens voorbij ziet komen. Zoals ik b.v. in deze thread al eens had aangegeven.
http://www.webhostingtalk.nl/directadmin/134125-exim-conf-wijzigen.html.

Het is misschien een klein, maar voor mijn gevoel wel een belangerijk verschil.




Beter lezen. Een listing wordt al bij het minste of geringste veroorzaakt, terwijl anderen de 'escape' van de whitelist hebben..



Duh! Ik heb VIRBL ook gebruikt, zie eerder, en plots begon het klachten te regenen van mensen dat mail vanaf Orange, Chello e.a. niet meer aankwam (en nog steeds kwam het af en toe voor dat mijn eigen servers werden geblacklist, ondanks alle genomen maatregelen én deelname aan VIRBL). Denk je dat het helpt als die klanten van mij Orange bellen daarover? Sterker nog, zoals hier viel te lezen wenst Orange zelfs z'n eigen klanten hier niet over te antwoorden.

Deze twee opmerkingen kan ik niet rijmen. Sommigen hebben een escape (zoals ik begrijp met voorwaarden zoals genoemd in de NLWhitelist) maar toch worden ook de 'grote' jongens' gelist. En als je dat Chello en Orange gelist worden als gebruiker van VIBRL vervelend vind, kan ik me ook nog wel voorstellen.. maar dan zou je deze tot ook zelf kunnen whitelist op jouw platform ?!

Daarnaast moet ik toch ook zegggen dat ik ik het vreemd blijf vinden dat er ook zat mailplatforms zijn die tot miljoenen mailtjes per dag behandelen die niet dezelfde problemen hebben als jij. Maar goed, het kan ook domme pech zijn natuurlijk :sneaky2:



De ideeën die aangedragen worden, worden tot nog toe door BIT terzijde gelegd. Andere blacklisten vermelden mijn servers nooit, behalve de VIRBL. Tjee, .. hoe zou het toch komen dat ik een béétje chagrijnig wordt van ze?

Goed dat je ideeen aandraagd, maar je kunt er natuurlijk niet vanuit gaan dat jouw ideeen ook altijd geimplementeerd zullen worden. Hoe vervelend dat dan ook is voor jou. Er zijn altijd meerdere meningen en invalshoeken die tot andere beslissingen kunnen leiden.

Maar als ik zo eens naar virbl.nl kijk zie ik dat er de laatste regelmatig wat features bijkomen. Dus ik zou zeggen, goed project, goed initiatief, goede ontwikkelingen, lekker zo bezig blijven :yes:.

Iets positiever mag best wel mensen.

brinkie
19/10/08, 17:07
Maar wie is de eerste die nu echt de procedure gaat doorlopen van CBP dat de WBP wordt overtreden? Als ik alles hier zo lees is BIT nu gewoon hard aan het lachen om al die 'kleine' partijen hier die zo aan het jammeren zijn.

Zelf heb ik geen systemen ooit op die lijst gehad, dus kan de procedure niet beginnen.

Dus als ik dit goed begrijp:


Het volledige artikel kan je hier vinden http://www.geencommentaar.nl/media/2...commentaar.pdf
Als jij dat als onzin wil bestempelen is dat jou goed recht. Ik constateer slechts dat de overeenkomsten tussen beide lijsten groot is.

Dan geldt dit ook voor 'rechtspersonen'? Het feit dat mijn servers (2 van de 3 overigens, de 3e staat er nooit op!) er op voorkomen, het ip-adres met een aantal handelingen tot mij als persoon/bedrijf zijn terug te leiden is grond genoeg voor een klacht vanwege overtreding van de wet bescherming persoonsgegevens?

Ik ben bereid een dergelijke klacht in te dienen.. want (ik blijf mijzelf herhalen vrees ik) het blacklisten van complete servers (shared ip-adressen) slaat nergens op.

bakkerl
19/10/08, 20:23
Dus als ik dit goed begrijp:
Dan geldt dit ook voor 'rechtspersonen'? Het feit dat mijn servers (2 van de 3 overigens, de 3e staat er nooit op!) er op voorkomen, het ip-adres met een aantal handelingen tot mij als persoon/bedrijf zijn terug te leiden is grond genoeg voor een klacht vanwege overtreding van de wet bescherming persoonsgegevens?
Dat is wel wat er in de pdf staat welke over het verzamelen van ip's en weer verstrekken aan derden zonder berichtgeving aan de eigenaar in geval van geencommentaar staat.



Ik ben bereid een dergelijke klacht in te dienen.. want (ik blijf mijzelf herhalen vrees ik) het blacklisten van complete servers (shared ip-adressen) slaat nergens op.
De procedure neemt wel veel tijd (doorloop tijd) in beslag. De gehele procedure kun je op de site van cbp vinden.

maxnet
19/10/08, 21:12
Hmm ik zit deze discussie een beetje mee te lezen. En los van de hele discussie wat nou wel of niet redelijk beleid is voor een blacklist, mis ik een beetje het punt dat niet virbl is die mails blokkeerd maar de ontvangende partijen.


De vraag is in hoeverre de ontvangende partijen wel eerlijk zijn voorgelicht, en zich realiseren dat zij met het gebruik van de lijst ook veel hosting providers blokkeren.
Mede doordat hier mensen doen alsof hun neus bloed, en het probleem niet bestaat.
Als virusscanners 100% effectief waren, en dit zouden uitsluiten, dan zou er geen whitelist nodig zijn, en zou BIT zelf ook maar 1 virusscanner nodig hebben i.p.v. de drie verschillende die ze nu gebruiken.


In het verleden is het systeem verder min of meer gepresenteerd als een hulpmiddel dat effectief is tegen grootschalige uitbraken van virussen met ingebouwde SMTP engine zoals Sober.
Dat het centraal blokkeren van de systemen van duizenden besmette endusers nuttig kan zijn om te voorkomen dat mailservers en scanners overbelast raken, zal niemand ontkennen.
Normale mailserver rate limits zijn immers niet effectief indien het om veel verschillende IP-adressen gaat.


Het probleem is echter dat ook doelbewust de systemen van providers op de virbl lijst worden opgenomen.
Terwijl ze er ook voor hadden kunnen kiezen deze geautomatiseerd uit te sluiten, door bijvoorbeeld ook bij te houden hoeveel legitieme e-mails er vanaf een bepaald IP de afgelopen tijd zijn gestuurd.
En dat is jammer.

Dennis
20/10/08, 19:57
Trying 195.121.6.51...
Connected to mailin.planet.nl (195.121.6.51).
Escape character is '^]'.
Connection closed by foreign host.
Welke blacklists gebruikt Planet Internet? Ik zie dat ik volgens WHT, Barracuda en Virbl niet op een blacklist sta.

dreamhost_nl
20/10/08, 20:19
Misschien is het wat anders, zoals een SPF of rDNS die incorrect zijn ingesteld. Heb je daar al naar gekeken? Krijg je geen bounce e-mail als je naar een PI e-mail adres een e-mail stuurt?

brinkie
20/10/08, 20:55
VIRBL functioneert als een 'zwarte lijst'. Zonder mensen in kennis te stellen (want: ook ip-adressen van particulieren kunnen daar vermeld worden en dit kan terugleiden tot hun persoonsgegevens) van opname op de lijst en zonder mogelijkheid te bieden deze gegevens te (laten) verwijderen publiceert men persoonsgebonden gegevens zoals ip-adres en -ingeval van een mail/webserver- de op persoonsnaam gestelde domeinnaam welke hieraan gebonden is.

Voorbeeld: mijn eigen situatie, en die van andere hostingpartijen. O.b.v. de VIRBL-listing is de domeinnaam te zien van de server, welke in slechts een paar handelingen terug te voeren is tot NAW-gegevens. Hiermee overtreed men, als houder en actief beheerder van de VIRBL de regels van het CBP, en dan gaat het hier in het voorbeeld van het CBP zelfs over zwarte lijsten waarbij de houders/makers er van criminelen vermelden (lijkt mij toch heel wat ernstiger dan het onbedoeld door laten slippen van een mailtje waarin zich een potentieel virus bevind!):


Zwarte lijsten mogen in beginsel dan ook niet geplaatst worden op internet. Mocht u op een zwarte lijst op internet staan, zoek dan eerst uit wie de houder is van de website en leg daar uw klacht neer. Als u meent dat uw gegevens onrechtmatig zijn gepubliceerd en de houder van de website reageert niet of niet naar uw tevredenheid op uw klacht, kunt u zich wenden tot het CBP.

Bron: website MijnPrivacy.nl (http://www.mijnprivacy.nl/Vraag/Onderwerp/Internet/Zwarte_lijsten/Zwarte_lijsten.htm)

Ik zal z.s.m. bij BIT een officiele klacht indienen tegen het blacklisten en verspreiden van mijn persoonsgebonden gegevens (ik heb een eenmansbedrijf en dus is het altijd terug te voeren op mij als persoon). Wordt hierop niet bevredigend gereageerd dan zal ik een formele klacht indienen bij het CBP. Immers, de mensen die een mail terugkrijgen van providers die VIRBL gebruiken met melding dat server 'x' van BrinkhostDotCom op de zwarte lijst staat worden in de waan gebracht dat ik criminele of onoorbare praktijken uitvoer. Hiermee wordt ik in mijn goede naam aangetast.

VIRBL's stelling (meermaals per mail en ook hier geuit) dat niet zij maar de ISP's die de VIRBL gebruiken verantwoordelijk zijn kan geen stand houden aangezien zij de gegevens verzamelen en beschikbaar stellen en daarmee de eerst verantwoordelijke zijn.

Glenn
20/10/08, 20:58
Moet je dan ook gelijk niet de diverse RBL's aanklagen die je de mogelijkheid bieden hun RBL te mirrorren? Dan beschik je ook over de IP's. Lijkt me geen slimme zet om dit nu toe te passen.

We hebben meer aan een BIT die gaat reageren en niet afhaakt wanneer er weerstand komt.

brinkie
20/10/08, 21:08
Moet je dan ook gelijk niet de diverse RBL's aanklagen die je de mogelijkheid bieden hun RBL te mirrorren? Dan beschik je ook over de IP's. Lijkt me geen slimme zet om dit nu toe te passen.

We hebben meer aan een BIT die gaat reageren en niet afhaakt wanneer er weerstand komt.

Glenn - misschien had je het nog niet gelezen, maar op andere lijsten komen mijn servers nooit voor, alleen (2 van de 3) op de VIRBL. En gelukkig ook niet elke dag, maar dat maakt niet uit. Het gaat om het feit dat men niet luistert naar mensen. En anderen vrolijk op een whitelist zet die daarmee gevrijwaard zijn van blacklisting. Het is wat mij betreft "alles of niets". Bij voorkeur middels een algemene, door de diverse partijen gezamenlijk overeengekomen, policy die door niemand te ontduiken is.

Suggesties die zijn aangedragen zijn tot nu toe geweigerd. Wie niet horen wil.. (en daar komt bij: ze overtreden de wet).

Glenn
20/10/08, 21:11
Ja, dat snap ik en heb ik gelezen :) Maar, als je een principe uitspraak krijgt kon men dat ook nog wel eens door willen voeren op andere blacklists. Ben er mee eens dat VIRBL moet veranderen, maar de manier waarop zet ik vraagtekens bij :)

bakkerl
20/10/08, 21:21
Ja, dat snap ik en heb ik gelezen :) Maar, als je een principe uitspraak krijgt kon men dat ook nog wel eens door willen voeren op andere blacklists. Ben er mee eens dat VIRBL moet veranderen, maar de manier waarop zet ik vraagtekens bij :)

Voorlopig heeft BIT alleen naar grote partijen geluisterd(?) of de mogelijkheid gemaakt voor grote partijen om buiten de lijst te blijven. Waarom is dit gedaan? Daar hebben ze nog geen antwoord opgegeven. Is het zo dat ze bang zijn voor de juridische gevolgen als grote partijen wel op komen te staan?

Voorlopig zie ik (als ik goed kijk) in dit topic alle mensen uit ede er positief tegen de lijst staan. Dit zullen dan wel allemaal BIT medewerkers zijn (ja, een heel snel kort door de bocht aanname). Maar alleen zij verdedigen de huidige manier of je moet er maar positief tegen aan kijken.

Voor de 'kleinere' onder ons, die kunnen er niet positief tegen aankijken, zij worden nu de dupe van die de blacklist en de eigenaar vindt het wel best zo. Ook al doen de kleinere nog zo hard hun best om het niet door te sturen, worden toch zij alleen aangepakt. En dat is in dit topic ook al genoem, er zijn al virussen vanuit de partijen gekomen welke op die whitelist staan. Dus daar mogen ze dan wel eens correct op aangesproken worden. Ook al is dit een kleine partij tegen een grote partij.

En er zijn in dit topic al meerdere suggesties gedaan. Bit-medewerkers zijn ook in dit topic aktief. Dus een reactie waarom een idee 'slecht' zou zijn mogen ze dan ook wel op reageren.

Dat dit als het helemaal tot het einde gaat, een "slechte" uitspraak kan worden tegen alle RBL lijsten welke er (in Nederland) bestaan, hoeft niet iemand nu tegen te houden. Dat kun je nu niet afschuiven op de (huidige) klagers, maar meer op de houding van de huidige eigenaren van de lijst(en).

Jeeves_
20/10/08, 23:43
Beste mensen, er komen nogal wat tegenstrijdigheden langs hier.

1:
Ik ga naar het CPB, want ik sta op een blacklist en dat ie te herleiden tot een rechtspersoon en dat mag niet!
vs
Ik wil op de whitelist (wat is juridisch het verschil tussen een blacklist en een whitelist, qua privacy?), want dan kom ik niet op de blacklist

2:
Alle grote jongens komen niet op de blacklist want die staan op een whitelist, oeh wat oneerlijk!
vs
Als ik VIrbl aanzet krijg ik allemaal klachten van mijn gebruikers dat ze geen mail meer kunnen ontvangen van Chello, UPC en Orange!

3:
De grote jongens hebben vrij spel en worden niet aangesproken op hun verantwoordelijkheid!
vs
Mark Schouten (that would be me) heeft gemaild naar NLNog dat er een extra feature in Virbl is gebouwd om gewhiteliste hosts ook te laten zien. Het gevolg hiervan is dat er voor de beheerders van VIrbl (die toevallig ook de NLWhitelist beheren) meer inzicht hebben in hoe vervuilend een gewhiteliste host eigenlijk is. Vervolgens zal een ISP aangesproken worden op zijn vervuilgedrag (het eerste mailtje is er afgelopen zaterdag uit gegaan) en bij geen gehoor of actie zullen de hosts van de betreffende ISP van de NLWhitelist verdwijnen. Waarop de machines gewoon op Virbl terecht zullen komen.

4:
Ik scan al mijn uitgaande mail op virussen!
vs
Ik sta wekelijks op Virbl!
Als je inderdaad, echt al je mail uitgaand scant is de kans dat je op Virbl terecht komt echt miniem. smtp.bit.nl, die met vier redelijke machines achter 1 IP-adres zit heeft nog geen whitelisted-entries veroorzaakt in de afgelopen week. En daar komt echt wel een hoop mail uit hoor. Controleer alsjeblieft je instellingen nog eens.

BIT en daarmee Virbl, staan echt wel open voor suggesties. Maar de suggesties die hier gedaan worden zijn niet bedoeld om VIrbl een betere lijst te maken. De suggesties die hier gedaan worden zijn vooral bedoeld om zelf niet op Virbl te komen. Terwijl dat echt niet zo moeilijk is om te voorkomen. smtp.bit.nl bereikt het door alleen clamav te gebruiken.

BIT gebruikt op zijn inkomende, betaalde virusscandienst een drietal virusscanners. Waarom? Omdat een enkele virusscanner niet 100% te vertrouwen is. Drie zijn het ook niet, maar dan kom je een stuk dichter in de buurt. Zoals gezegt doen we uitgaand alleen Clamav en dat voldoet prima.

BIT Wordt beticht van geen antwoord geven op de vraag waarom de whitelist gebruikt wordt. Het antwoord is simpel, eigenlijk. Virbl is bedoelt om virusversturende machines te listen, niet om zoveel mogelijk email verkeer plat te leggen. Dus is er voor gekozen om de reeds bestaande nlwhitelist aan te pakken om nederlandse ISP's te whitelisten. Tevens hebben we er kort geleden, op verzoek van onze concullega's de dnswl erbij gepakt. Het doel is niet om iedereen dwars te zitten, het doel is om in kaart te brengen wie er vervuild en om de schade bij een uitbraak te beperken.
We hebben ervoor gekozen om een grens te trekken wanneer we iemand op een whitelist zetten. Puur uit verantwoordelijkheids gevoel ten op zichte van het internet. Hoe moeilijk dat ook te geloven valt. Maar als wij iedereen op de whitelist gaan zetten, wie wil dan die lijst nog gebruiken? Daar wordt ie onbetrouwbaar van.

BIT Wordt beticht van bang zijn voor de grote jongens. Als we bang zijn voor de grote jongens, waarom hebben we dan mailservers van een paar grote jongens geweigerd omdat die niet aan de voorwaarden voldoen? Waarom staan er dan een aantal machines van grote jongens op?

Alle frustratie van het gelist staan op Virbl kan ik me voorstellen. Ondanks dat het zo'n klote lijst is lijken toch wel een hoop mensen het te gebruiken, anders zou men er niet zo'n last van hebben. Het juridisch aanvechten van zo'n lijst is een keuze die je kunt maken. Over de uitkomst ervan wil ik geen uitspraken doen, maar over de gevolgen van het verbieden van blacklists wel. Er gaat ontzettend veel troep over het internet heen. Wij, BIT, als kleine partij krijgen per dag ruim 3.000.000 mailtjes aangeboden met gebruik van blacklists. Gemiddeld blokkeren we zo'n 40 ontvangers per seconde dankzij blacklists.
Van de 3000000 overgebleven mailtjes is ongeveer 99% spam, en dat is echt niet overdreven. Het gebruik van blacklists is in de praktijk gewoon broodnodig.
Virussen hebben niet meer tot doel om mensen te plagen door hun beeld om te draaien. Virussen hebben tot doel om de geinfecteerde machine over te nemen en te gebruik voor ddos'es en spamruns. Onderschat alsjeblieft het nut van virussen voor spammers niet.

Er is een groep voor hosters, ISPConnect. Mogelijk bij een aantal van jullie wel bekend. Misschien is ISPConnect wel bereid om een bruikbare betrouwbare lijst bij te houden van mailservers van hosters, en mogelijk kunnen we die dan ook gebruiken in combinatie met VIrbl.

Ik zal morgen expliciet bij de gebruikshints van Virbl melden dat de gegeven voorbeelden compleet blokkeren en dat je het ook op een andere manier kunt gebruiken. Ik denk zelf niet dat het er helderder op wordt, maar ik krijg wel het idee dat mensen hier dat prettig vinden.

Mikey
21/10/08, 00:33
Neem je jezelf nu serieus met punt 1 ?

De whitelist kan ik mezelf voor aanmelden, de ander wordt buiten mijn weten om voor mij gedaan. Wou je een nog duidelijker verschil ?

En verder blokkeer je meer dan dat je per dag ontvangt,

40 mails per seconden blokkeren is per dagdeel totaal 3456000 blokkeren. Gemiddeld ontvang je 3.000.000 mailtjes op een dag :)

bakkerl
21/10/08, 00:44
@Jeevees

Waar ik nog geen reactie op zie, is om die hele whitelist te scrappen en ipv daarvoor een ratio gebruiken om systemen pas op te nemen.

Dan kun je servers welke 5 false-negatives doorlaten welke maar 100 mails per dag bezorgen wel opnemen, maar servers die 10k mails doen niet (getallen en waardes even fictief genomen)

brinkie
21/10/08, 00:53
Beste mensen, er komen nogal wat tegenstrijdigheden langs hier.

1:
Ik ga naar het CPB, want ik sta op een blacklist en dat ie te herleiden tot een rechtspersoon en dat mag niet!
vs
Ik wil op de whitelist (wat is juridisch het verschil tussen een blacklist en een whitelist, qua privacy?), want dan kom ik niet op de blacklist


enz.

Dat je tegenstrijdigheden ziet op een forum lijkt mij niet vreemd. Iedereen heeft z'n mening (en recht daar op) en heeft z'n eigen voorkeuren. Persoonlijk hoef ik niet op de whitelist, maar ben er een voorstander van deze volledig af te schaffen. De "gelijke monniken" enzo.

Voor het overige lees ik weinig nieuws. En ja, het is interessant om te weten of wat jullie doen wel mag. Sterker nog: ik waardeer het feit dat m'n servers herkenbaar, terug te leiden op mijn persoonlijke gegevens incl. telefoonnummer enz., geblacklist worden niet.

Vandaar dat een toetsing van de methodiek mijns inziens een goede zaak is. En ook omdat je je dan niet meer kan verschuilen achter hen die de lijst toepassen (op correcte dan wel minder correcte wijze) maar zélf verantwoordelijkheid moet dragen. Iets wat steeds afgeschoven is door BIT omdat jullie steeds terugwijzen naar de providers die de VIRBL gebruiken.

Een, gechargeerd, voorbeeld c.q. vergelijking: wat je doet is het zelfde als de fabrikant van wapens. Je maakt wapens, en vervolgens zeg je: "Ja, ik ben niet verantwoordelijk voor het feit dat mensen er anderen mee doodschieten want ze kunnen er ook mee op blikjes schieten". Dat is juridisch gezien misschien wel zo, maar ethisch niet.

Je maakt hier een wapen in de strijd tegen virussen. Wat ik op zich apprecieer. Maar vervolgens biedt je het aan elke hufter aan om daarmee andermans (legitieme) mail(server) te blokkeren op grond van het doorlaten van één a twéé virussen! Terwijl je toch echt wel zult snappen dat dat ook niet in het belang is van de (goedwillende) kleinere hosters. Klinkt een beetje (om in het kromme voorbeeld te blijven) als: "In Nederland staat een wapenfabriek, en dus sluiten we Nederland wereldwijd de komende 24 uur uit van het economische verkeer". In plaats van alléén die wapenfabriek aan te pakken. Denk je eens in wat er met de B.V. Nederland gebeurt als we 24 uur uitgesloten zouden worden?

Dat m'n server er af en toe opstaat, het zij zo. Ik baal er wel van, maar anderzijds kan ik er wel mee leven omdat de overlast niet zo groot is voor m'n klanten. Wat veel meer overlast voor ze gaf was toen ik 'm zelf een weekje of twee gebruikte. Omdat (ik val in herhaling) door de policy van 't compleet blacklisten van servers veel klanten legitieme mail niet meer ontvingen. Ik ben me rot geschrokken van het aantal klachten en hoe slecht dit uitwerkt in de praktijk.

Tja,.. uiteindelijk is de klant degeen die m'n hypotheek betaalt, dus luister ik voorzover mogelijk en redelijk (en het niet schadelijk is voor m'n bedrijfsvoering) naar de eisen en wensen van de klant.

Er spelen hier dus meerdere zaken, en die kunnen inderdaad tegenstrijdig klinken of zijn. Dat is dan maar zo. BIT roept de lijst in het leven c.q. publiceert deze, dan moet ze ook de consequenties van haar inconsequente beleid (waardoor er eveneens 'tegenstrijdige' reacties komen) maar dragen en/of accepteren ook.

Ps. dat jullie in staat zijn met ClamAV zulke goede resultaten te bereiken: prachtig. Het is mij niet gelukt, en anderen ook niet blijkbaar. Zal ik wel een prutser zijn maar doe dan voor "pruters" als mij een constructieve bijdragen; lever dan liever een duidelijke "how to" aan aan mensen, onder het motto: "hoe voorkom je dat je server virussen verspreid of doorgeeft". Voorkom je ook weer een hoop virusverspreiding mee, dat is toch jullie doel? Of raak ik nu een gevoelige commerciële snaar?

Jeeves_
21/10/08, 08:03
bakkerl:
Dat is technisch erg slecht haalbaar.

Mikey:
Goed punt, dat is inderdaad een verschil. Maar ik gok dat als ik nu uit de losse pols, zonder te vragen een whitelist zou hebben gemaakt met de machines van de hosters uit dit forum erop, er geen enkele klacht binnen zou zijn gekomen.
De 3000000 mailtjes die we alsnog aannemen komen bovenop de 3456000 recipients die we rejecten.

brinkie:
Niemand ontkent de verantwoordelijkheid van het maken van die lijst. Die maken we, dat staat onomstootbaar vast. Waar we geen verantwoordelijkheid voor kunnen nemen, is of en hoe andere partijen die lijst gebruiken. Dat ligt buiten onze macht en staat iedereen vrij.

Ik heb twee handreikingen gedaan, daar is verder niet op gereageerd. Voor mij is deze discussie klaar. Jullie zijn er tegen, wij zijn ervoor. So be it, het ga jullie goed. Mogelijk op een andere thread. Bedankt voor de feedback, zoals jullie merken word er wel degelijk iets mee gedaan.

alexbik
21/10/08, 10:17
Moet je dan ook gelijk niet de diverse RBL's aanklagen die je de mogelijkheid bieden hun RBL te mirrorren? Dan beschik je ook over de IP's. Lijkt me geen slimme zet om dit nu toe te passen.

We hebben meer aan een BIT die gaat reageren en niet afhaakt wanneer er weerstand komt.

Voor zover ik weet hebben we overal op gereageerd? Zo niet hoor ik graag welke vragen je nog open hebt staan.

Ik zie de klacht van Brinkie met belangstelling tegemoet. Ik heb er alle vertrouwen in dat het CBP tot de conclusie komt dat RBL's niet in strijd zijn met de WBP. Zo niet, hoop ik dat Brinkie zich realiseert dat hij de geschiedenis in zal gaan als de vent die RBL's in Nederland de nek omdraaide. Ik zou 't niet op m'n cv zetten.

klaver
21/10/08, 12:44
VIRBL functioneert als een 'zwarte lijst'. Zonder mensen in kennis te stellen (want: ook ip-adressen van particulieren kunnen daar vermeld worden en dit kan terugleiden tot hun persoonsgegevens) van opname op de lijst en zonder mogelijkheid te bieden deze gegevens te (laten) verwijderen publiceert men persoonsgebonden gegevens zoals ip-adres en -ingeval van een mail/webserver- de op persoonsnaam gestelde domeinnaam welke hieraan gebonden is.


Ik vraag me af hoe een geautomatiseerd systeem zoals VIRBL aan de hand van één specifiek IP adres jouw persoonlijke gegevens zou kunnen opzoeken en je op de hoogte kan stellen dat je IP adres opgenomen is in de lijst. Dat is dus niet mogelijk. VIRBL kan gelukkig wel zien welke ISP de eigenaar is van een blok IP-adressen door het bijbehorende subnet op te vragen bij de openbare whois gegevens van bijvoorbeeld RIPE. Vervolgens word de ISP op de hoogte gebracht dat het IP adres is opgenomen in de VIRBL lijst. De ISP kan vervolgens in hun eigen administratie nalopen aan welke klant ze het IP adres uitgedeeld hebben en de melding doorsturen naar jou.

Via deze procedure voldoet VIRBL wel degelijk aan de meldingsplicht.

brinkie
21/10/08, 12:56
Ik vraag me af hoe een geautomatiseerd systeem zoals VIRBL aan de hand van één specifiek IP adres jouw persoonlijke gegevens zou kunnen opzoeken en je op de hoogte kan stellen dat je IP adres opgenomen is in de lijst. Dat is dus niet mogelijk.

Simpel:

http://virbl.bit.nl/lookup/index.php?ip=91.192.36.168
Results for 91.192.36.168 (server01.superhost.nl)

Vervolgens even naar de SIDN (http://sidn.nl/ace.php/c,727,43,,,,Is_de_naam_nog_vrij_.html?ACE_Id=223c1 af7ab465c7fdd5d6d25b2eb1790&lang=NL&uitgebreid=CHECKED&domein=superhost.nl&zoek.x=27&zoek.y=8) en je hebt m'n gegevens.

Dit mag dus niet. Ik geef het hier nu zelf 'vrij' dat mag wel..
Het vervelende is dat het stukje code dat VIRBL als voorbeeld voor bijv. Exim geeft aan iedereen toegemaild wordt die een 'bounce' krijgt, oftewel wil verzenden via deze server. En dus zet VIRBL mij direct of indirect op een publieke zwarte lijst.

Verder, en daar dacht ik eigenlijk later pas aan, is er dus zeker ook nog een belangrijke economische schade want als iemand een site bij mij heeft staan met een bestelsysteem dan kunnen mails die vanuit dat systeem worden verstuurd ook niet aankomen in sommige gevallen (bijv. een forward naar een mailaccount bij een provider die VIRBL actief heeft).

De VIRBL brengt daarmee mijn klanten (potentieel) schade toe. Buiten mijn weten en toedoen mengen zij zich in mijn klanten hun zaken (en mijn zaken). Dat kan niet dat een bedrijf (BIT) op die manier een ander bedrijf, waar zij geen enkele relatie mee hebben, schade toebrengt. Dat is uiterst verwerpelijk en waarschijnlijk zelfs illegaal.

Mikey
21/10/08, 13:02
bakkerl:
Dat is technisch erg slecht haalbaar.


Technisch is alles mogelijk, lijkt meer op niet kunnen of niet willen.

@brinkie, lekker triest dat je ineens over economische schade begint, begin dan eerst te klagen bij de grotere en langer bestaande blacklisten like spamhause, als je die zover gekregen hebt dat ze je betalen kom dan maar terug. Maar dit is lekker makkelijk héh, zeuren in het nederlands, zeuren in het engels is vast te moeilijk ?

klaver
21/10/08, 13:45
Simpel:

http://virbl.bit.nl/lookup/index.php?ip=91.192.36.168
Results for 91.192.36.168 (server01.superhost.nl)

Vervolgens even naar de SIDN (http://sidn.nl/ace.php/c,727,43,,,,Is_de_naam_nog_vrij_.html?ACE_Id=223c1 af7ab465c7fdd5d6d25b2eb1790&lang=NL&uitgebreid=CHECKED&domein=superhost.nl&zoek.x=27&zoek.y=8) en je hebt m'n gegevens.

Dit mag dus niet. Ik geef het hier nu zelf 'vrij' dat mag wel..
Het vervelende is dat het stukje code dat VIRBL als voorbeeld voor bijv. Exim geeft aan iedereen toegemaild wordt die een 'bounce' krijgt, oftewel wil verzenden via deze server. En dus zet VIRBL mij direct of indirect op een publieke zwarte lijst.

Hier haal je dus twee dingen door elkaar, het IP adres zelf is niet persoonsgebonden, het is de reverse DNS naam die je zelf hebt ingesteld welke te herleiden is.

Daarnaast zul je eerst het IP adres moeten invoeren op de virbl website voordat die informatie tevoorschijn komt, dat is dus niet 'publiekelijk beschikbaar stellen' zoals je dat zelf noemt, want je moet eerst het IP adres weten.

Ten slotte wil ik je er op wijzen dat je blij mag zijn dat de VIRBL alleen IP adressen verzamelt van virus verspreidende mailservers en dat ze daar geen verdere (juridische) stappen op ondernemen. In Nederland is het namelijk strafbaar om virussen te verspreiden, zie artikel 350a lid 3 van de wet computercriminaliteit.

Dreas
21/10/08, 14:00
Daarnaast zul je eerst het IP adres moeten invoeren op de virbl website voordat die informatie tevoorschijn komt, dat is dus niet 'publiekelijk beschikbaar stellen' zoals je dat zelf noemt, want je moet eerst het IP adres weten.


Dat is ook niet helemaal waar (http://virbl.bit.nl/download/virbl.dnsbl.bit.nl.txt).

brinkie
21/10/08, 14:12
Technisch is alles mogelijk, lijkt meer op niet kunnen of niet willen.

@brinkie, lekker triest dat je ineens over economische schade begint, begin dan eerst te klagen bij de grotere en langer bestaande blacklisten like spamhause, als je die zover gekregen hebt dat ze je betalen kom dan maar terug. Maar dit is lekker makkelijk héh, zeuren in het nederlands, zeuren in het engels is vast te moeilijk ?

Eigenlijk heb ik niet echt zin om op postings van dit nivo in te gaan, maar vooruit.. FYI: ik heb een ICT-opleiding op HBO-nivo gevolgd, studeer nu online aan een erkende Amerikaans Universiteit (http://www.moody.edu/) (theologie, voor "de hobby"..) en dus is Engels niet zo'n probleem voor me..

Als je deze discussie had gelezen had je geweten dat VIRBL de enige lijst is waarop (2 van de 3) van mijn servers voorkomen. Op andere kom ik bij mijn weten (diverse malen geverifieerd de laatste maanden) niet voor.

Zullen we het verder maar on-topic houden?

bakkerl
21/10/08, 14:13
Ten slotte wil ik je er op wijzen dat je blij mag zijn dat de VIRBL alleen IP adressen verzamelt van virus verspreidende mailservers en dat ze daar geen verdere (juridische) stappen op ondernemen. In Nederland is het namelijk strafbaar om virussen te verspreiden, zie artikel 350a lid 3 van de wet computercriminaliteit.
Alleen verspreid die ze niet. Hij relay't de berichten waar ze inzitten. Dus die wet is niet van toepassing.

brinkie
21/10/08, 14:15
Ten slotte wil ik je er op wijzen dat je blij mag zijn dat de VIRBL alleen IP adressen verzamelt van virus verspreidende mailservers en dat ze daar geen verdere (juridische) stappen op ondernemen. In Nederland is het namelijk strafbaar om virussen te verspreiden, zie artikel 350a lid 3 van de wet computercriminaliteit.

En dan is dus de vraag: wie is de verspreider? En: hoe toon je het aan dat iemand of iets ze verspreid? Overigens, als men mij zou willen strafbaar stellen hiervoor, dan zijn er een paar andere, hele grote, bedrijven die ook in aanmerking komen .. (zie eerder, Orange bijvoorbeeld). Aangezien deze bedrijven ook niet aansprakelijk worden of zijn gesteld, verwacht ik niet dat mijn bedrijfje dat wordt want ik ben niet de verspreider.. (maar goed, die discussie ga ik verder maar niet meer aan).

t.bloo
21/10/08, 14:32
Waar we geen verantwoordelijkheid voor kunnen nemen, is of en hoe andere partijen die lijst gebruiken.

Dat vraag ik me dus af. Jullie beheren bedrijfsmatig een openbaar vehikel dat zegt "dat en dat bedrijf moet je geen zaken mee doen". Een blacklist dus, en daar zijn gelukkig strenge regels voor.

Het zou al zo ontzettend helpen als je eerst de originator blokkeert en niet een forwarder.

klaver
21/10/08, 14:39
Alleen verspreid die ze niet. Hij relay't de berichten waar ze inzitten. Dus die wet is niet van toepassing.

ik (of elke willekeurige andere partij) als ontvanger kan niet zien of een server systeem berichten relay't, als onvanger van virus berichten is de mailserver welke het bericht bij mij aflevert de bron (eventuele extra 'received' headers kunnen namelijk ook fake zijn).

Daarnaast ben je als eigenaar/beheerder verantwoordelijk voor je computersystemen en zul je alle redelijke maatregelen moeten nemen om misbruik van je systemen te voorkomen. Dat geld dus ook voor het verspreiden, doorsturen of bouncen van e-mail berichten met virussen.

Tegenwoordig is het installeren van een (gratis) virusscanner een fluitje van een cent, mocht je dit uit laksheid niet gedaan hebben, dan kan je zelfs nalatigheid ten laste worden gelegd.

brinkie
21/10/08, 15:32
Tegenwoordig is het installeren van een (gratis) virusscanner een fluitje van een cent, mocht je dit uit laksheid niet gedaan hebben, dan kan je zelfs nalatigheid ten laste worden gelegd.

Goed, nog maar een keer dan, de genomen maatregelen:

1. ClamAV;
2. aanscherping verificatie email (verificatie bestaande afzender);
3. aanscherping spamfilters.

En gebruik van VIRBL maar dit na enige tijd afgeschaft vanwege het feit dat ik daardoor veel klachten kreeg van klanten dat hún klanten hen niet meer konden mailen (wegens het feit dat Chello/@Home/Orange-klanten werden geblokt).

't lijkt mij dat ik in elk geval aan alle redelijke voorwaarden heb voldaan die er te stellen zijn. Met ClamAV heb ik nog steeds de vraag of het wel goed werkt, op de een of andere manier slippen forwards er regelmatig doorheen. Helaas is zowel hier als op het DA-forum niemand tot nu toe in staat geweest de vragen hieromtrent te beantwoorden. Sommigen hebben als oplossing er daarom voor gekozen (kon je eerder hier lezen) geen forwards/aliassen meer toe te staan.

Uit de mailheader is overduidelijk te zien wie de originater is.

maxnet
21/10/08, 15:57
ik (of elke willekeurige andere partij) als ontvanger kan niet zien of een server systeem berichten relay't, als onvanger van virus berichten is de mailserver welke het bericht bij mij aflevert de bron (eventuele extra 'received' headers kunnen namelijk ook fake zijn).


100% nauwkeurig zal het niet zijn, maar ik denk dat op het moment dat je telt hoeveel legitieme berichten je mailserver van een bepaald IP-adres binnen krijgt, je al een aardig eind kunt komen.
Daarbij kijk je niet naar de headers, maar alleen naar het IP-adres van het systeem dat verbinding met jouw mailserver maakt.

Indien een thuisgebruiker een virus heeft met ingebouwde SMTP engine, welke rechtstreeks verbindingen opzet naar mailservers, dan zal het aantal legitieme berichten 0 zijn, en het percentage berichten met virus vanaf dat IP 100%.
De legitieme e-mail die de gebruiker zelf verstuurd zal immers doorgaans niet rechtstreeks van zijn computer komen, maar via de relay mailserver van zijn provider lopen.

martijnj
23/10/08, 09:40
Hoi allen,

Deze discussie heeft me er toch maar toe doen besluiten om hier eens account aan te maken. Het hele verhaal heb ik met argusogen gevolgd, vooral om het feit dat onze maildozen ook continue op de virbl stonden.

De reden hiervoor bleek na nader onderzoek te liggen aan het feit dat ik virussen aan het bouncen was. Onze virusscanner herkende het virus en bouncede deze in z'n geheel terug naar de verzendende mailserver. De verzendende partij bleek echter tevens een partij te zijn die notificaties maakte naar de virbl. In dit geval was het een doos van multikabel. Een dergelijke situatie heb ik hier al meer gelezen en ik vond de reden waarom wij gelist werden ook tweeledig. Onze maildozen hadden sowieso geen volledige bounces mogen sturen, dat was mijn fout, een mega grote fout, en is inmiddels aangepast. Echter, een netwerk dat de virbl voedt hoort zelf ook geen virussen te versturen in mijn ogen. Hierop zou vanuit de virbl/bit een controle moeten komen.

Een ander punt waar ik veel mensen over zag klagen was het feit van 'ik forward alleen mail, je moet de source aanpakken'. Dit vind ik discutabel. In mijn simpele ogen hoort een mta alleen mail door te sturen, dat is het werk van een mta. Virusscanning e.d. hoort eigenlijk al op de machine van de eindgebruiker te gebeuren. Echter is het een feit dat eindgebruikers dat niet doen en nu is het derhalve de taak van een access provider, of een hostingpartij, geworden om ervoor te zorgen dat de rest van het Internet beschermd wordt tegen haar eigen gebruikers en vice versa.

Al met al vind ik de virbl een goed ding. Met de listing policy ben ik het niet helemaal eens. Twee virussen binnen 24 uur is wat kort door de bocht. Zeker op een drukke mailserver. Onze maildozen krijgen niet die getalen te verwerken zoals uit de voorbeelden die medewerkers van bit gaven. Maar als ik over 500.000 mailtjes per dag spreek zijn het ook weer niet de minsten. En toch lukt het ons om van die virbl af te blijven. Sinds m'n aanpassingen dus. En ja, dit gold al voordat we op de nlwhitelist kwamen ;-)

Een ander punt is het gebruik van de virbl op je eigen maildozen. Je kan dan wel gaan gillen van... 'm'n klanten zeuren want ze worden geblocked'. Tuurlijk, dat weet je van te voren als je die lijst gaat gebruiken. Je kan dan ofwel zelf die lijst niet meer gebruiken, ofwel je poot stijf houden en die klant die zeurt eens op de arm nemen en de boel in nijntje taal proberen uit te leggen. Dit laatste heeft, met dank aan de virbl, voor ons al meerdere malen vruchten afgeworpen. Voorbeeld, Orange klant is pissed, je legt het netjes uit.... klant zegt van 'volgens mij moet ik eens een goede provider gaan zoeken'. Je kan die virbl dus ook een beetje naar je eigen kant keren. Als je het goed uitlegt snappen je klanten het ook nog. Nog sterker, als het aan mij ligt zet ik die virbl zelfs nog boven m'n sasl auth check ;-)

Nu, tot zover de positieve punten. Enige negatieve punt in het hele gebeuren is die nlwhitelist. Ondanks het feit dat ik ons op deze lijst heb laten zetten zou ik die hele nlwhitelist liever niet zien. Deze haalt namelijk het hele idee van de virbl onderuit. Je bent gewoon whitelisted (not listed) totdat je op de virbl komt. Als men van bit zelf uit al zegt dat ze 3.000.000 mailtjes afhandelen zonder zichzelf te listen. Dan zou iedere andere grote partij dat ook moeten kunnen. 3M mailtjes per dag is een hoop ;-)

Afijn, lang verhaal kort... virbl rox, listing policy moet echt aangepast worden..., nlwhitelist moet exit.

My two cents,

Greets,
Martijn

martijnj
23/10/08, 15:19
Kennelijk kan ik m'n eigen post niet meer editten maar ik wil toch een kleine correctie doorgeven richting Multikabel. Ik maakte, bij nader inzien, onterecht de stelling dat ik virussen van hun, naar hun aan het bouncen was. Dit bleek niet het geval te zijn.

Mijn excuses.

Hans
24/10/08, 12:50
Wat me dwarszit is dat er geen fatsoenlijke ruimte is om je virusscanner te laten updaten. Onze ClamAV-installaties updaten iedere 2 uur, maar desondanks is een van de mailservers vandaag toch weer op de VirBL terecht gekomen. Charmant zou het zijn, dat blokkering pas geschiedt wanneer een virus tenminste 6 uur 'oud' is.

Wat Clam betreft mag ik 4x per uur checken of er updates zijn, dus dat doe ik nu dan maar. Alleen blijft het issue natuurlijk alsnog staan, want als McAfee een half uurtje eerder is dan de mensen van Clam, dan is er alsnog 3 kwartier tijd waarin het mis kan gaan.

Glenn
24/10/08, 14:55
Vandaar weer een mailtje op NLNOG mailinglist. Er staat inmiddels al een week een partij gewhitelist (Orange) die duizenden virusmailtjes uitstuurt. Die wordt binnenkort door BIT van de lijst geknikkerd.

Nu begrijp ik het helemaal niet meer. Die whitelist last dus eigenlijk een soort van grace-period in voor de gewhiteliste providers. Terwijl het idee van de RBL is dat iedereen die maar twee virussen verstuurd er op komt. Wat is de reden dat anderen dan wel meerdere mogen verzenden zonder directe consequenties?

Dit verklaart ook dat, wanneer je de VIRBL lijst gebruikt, je alsnog zelf er op kunt komen. Whitelisted partijen die virussen verzenden kunnen via een alias of forwarder dus gewoon er doorheen komen.

Whitelist > exit please.

michaelsnijder
24/10/08, 16:07
Wat me dwarszit is dat er geen fatsoenlijke ruimte is om je virusscanner te laten updaten. Onze ClamAV-installaties updaten iedere 2 uur, maar desondanks is een van de mailservers vandaag toch weer op de VirBL terecht gekomen. Charmant zou het zijn, dat blokkering pas geschiedt wanneer een virus tenminste 6 uur 'oud' is.

Wat Clam betreft mag ik 4x per uur checken of er updates zijn, dus dat doe ik nu dan maar. Alleen blijft het issue natuurlijk alsnog staan, want als McAfee een half uurtje eerder is dan de mensen van Clam, dan is er alsnog 3 kwartier tijd waarin het mis kan gaan.
De standaard Clamav Definitie's maakt geen verschil, die laat de laatste virussen gewoon door. Het probleem is op te lossen door gebruik te maken van andere definitie's.

Ik gebruik deze: http://www.sanesecurity.com/clamav/ / http://sanesecurity.blogspot.com

Wellicht dat BIT, dit als FAQ kan vermelden op de Virbl site om nog meer problemen te voorkomen.

nieuwhier
24/10/08, 18:13
Ik vind het allemaal goed, ben een groot voorstander van viruscontrole, spamcontrole etc. etc. Maar gewoon hoppa zo snel servers blokkeren vind ik helemaal fout.

Dus als er bij upc of ziggo in totaal 2 slechts gebruikers op 1 dag zijn (miljoenen accounts) dan zouden ze afgesloten moeten worden. Ronduit belachelijk!

maxnet
24/10/08, 20:10
Twee virussen binnen 24 uur is wat kort door de bocht.


Dus als er bij upc of ziggo in totaal 2 slechts gebruikers op 1 dag zijn (miljoenen accounts) dan zouden ze afgesloten moeten worden. Ronduit belachelijk!

Sterker nog, de lat ligt nog wat hoger.
Ze tellen het aantal mailtjes met virus per week.

Wel ben je na een dag weer van virbl af, als je er eenmaal op staat en er een dag lang geen virussen meer binnen zijn gekomen.



So when will you be listed?

We will list an IP after it has sent two virus-emails to one of our sources. (See the contributors page.) We will remember that you sent those emails for seven days. You will only be listed as long as the last time we 'saw' you sending virusses is less than 24 hours and the total sent emails is greater than two, in the last seven days. So if you've fixed the problem, you will be delisted automatically in 24 hours.

brinkie
24/10/08, 22:36
Wel ben je na een dag weer van virbl af, als je er eenmaal op staat en er een dag lang geen virussen meer binnen zijn gekomen.

Ja, van de VIRBL wel,.. maar er wordt nog wel geblokkeerd, ik citeer:



> Dit is vreemd, ik krijg mail retour terwijl de server 'spotted, not
> listed' is..

Ik denk dat u het beste bij @Home/Ziggo kunt klagen. De host is inderdaad niet meer listed op virbl, maar Ziggo lijkt een caching nameserver te gebruiken intern die virbl entries VEEL te lang vasthoudt. Wij hebben ze hier al op gehint, maar blijkbaar is er nog geen aktie ondernomen.
Met vriendelijke groeten, Teun Vink -- BIT


Tja... en alsof klachten van zo'n "kabouterhost" als mij bij Ziggo zin heeft! Die luisteren niet eens naar hun éigen klanten, laat staan naar mij..

KLACHT
Enfin, zoals hier eerder aangekondigd heb ik gisteren een klacht op de post gedaan voor BIT ihkv de regels rondom privacy en daarbij eveneens een aantal andere grieven over de VIRBL geuit.. voor wie interesse heeft: de brief kan je hier lezen (http://brinkhost.nl/download/virbl_wht.pdf) (PDF).

Voor mij is de zaak nu afgerond. Als men hierop niet bevredigend antwoord, zal ik inderdaad een klacht indienen bij het CBP.

Randy
24/10/08, 23:00
Je had al die tijd en moeite kunnen steken in het beveiligen van je server. Of, indien dat niet lukt, iemand inhuren die het wel voor je fixed. Het probleem is hierbij nog steeds niet opgelost. Mocht BIT toch overgaan tot het whitelisten verneem ik het graag. Dan zal ik je IP's handmatig in de blacklist zetten op mijn eigen (niet publieke) lijsten die ik gebruik. Scheelt de mensen die wel de moeite nemen om de boel veilig te houden een hoop ellende.

brinkie
24/10/08, 23:27
Je had al die tijd en moeite kunnen steken in het beveiligen van je server. Of, indien dat niet lukt, iemand inhuren die het wel voor je fixed. Het probleem is hierbij nog steeds niet opgelost.

Je hebt het niet helemaal begrepen geloof ik (en ook niet gelezen welke moeite ik mij allemaal al getroost had incl. pogingen om iemand te vinden die het probleem van de alias-mails oplost want zelfs op het DA-forum kunnen ze me niet verder helpen hiermee).

Geeft niets. Maar kraam dan niet meteen zo'n betweterige onzin uit. Wanneer BIT mijns inziens de wet overtreed, is dat een toetsing waard. Want ik ben er schijtziek van dat een bedrijf, een concurrerend bedrijf, zich mengt in andermans bedrijfsvoering én.. daarbij andere bedrijven buiten schot houdt, de bedrijven die met náme de grote problemen veroorzaken bij de individuele gebruikers!

Leg de schuld van dat probleem nu niet bij mij neer! Ik wordt opgezadeld met hun eigenzinnige, starre en onhoudbare, illegale beleid. Daar pas ik voor.

Ps. wat jij in je filterjes zet zal mij de pies niet lauw maken.

michaelsnijder
24/10/08, 23:41
Je hebt het niet helemaal begrepen geloof ik (en ook niet gelezen welke moeite ik mij allemaal al getroost had incl. pogingen om iemand te vinden die het probleem van de alias-mails oplost want zelfs op het DA-forum kunnen ze me niet verder helpen hiermee).
.

Ik wil je even wijzen op mijn post: http://www.webhostingtalk.nl/overige/140690-mailserver-op-blocklist-virbl-bit-nl-10.html#post1012205 ik durf 250% zeker te beweren dat ook dit jou probleem oplost. Zoals eerder vermeld kun je met een standaard ClamAV installatie niet volstaan.

brinkie
24/10/08, 23:51
Ik wil je even wijzen op mijn post: http://www.webhostingtalk.nl/overige/140690-mailserver-op-blocklist-virbl-bit-nl-10.html#post1012205 ik durf 250% zeker te beweren dat ook dit jou probleem oplost. Zoals eerder vermeld kun je met een standaard ClamAV installatie niet volstaan.

Kijk, dat zijn constructieve reacties :thumbup:
Ik ga er a.s.a.p. in duiken.

michaelsnijder
25/10/08, 00:04
Heb even je blacklist vermelding bekeken:

1. Trojan.Dropper.Rechnung
MailScanner[8471]: ./7E5A150393.AA67F/Rechnung.zip: Trojan.Dropper.Rechnung FOUND
2. Trojan.Agent-57252
MailScanner[20058]: ./D0F9050506.09DE3/Report.1_10.zip: Trojan.Agent-57252 FOUND
3. Trojan.Dropper-15457
MailScanner[21195]: ./405CF50430.8BE7A/anjelina_video.zip: Trojan.Dropper-15457 FOUND


Zoals je ziet pakt ClamAV met de aangepaste definitie's juist de virussen op waarop jij geblacklist wordt. Hoop dat je hier wat mee kunt :)

Mikey
25/10/08, 11:17
1. Trojan.Dropper.Rechnung
MailScanner[8471]: ./7E5A150393.AA67F/Rechnung.zip: Trojan.Dropper.Rechnung FOUND

toegevoegd 24 october:
http://www.gossamer-threads.com/lists/clamav/virusdb/41493?page=last



2. Trojan.Agent-57252
MailScanner[20058]: ./D0F9050506.09DE3/Report.1_10.zip: Trojan.Agent-57252 FOUND


toegevoegd 23 october:
http://www.gossamer-threads.com/lists/clamav/virusdb/41485?page=last




3. Trojan.Dropper-15457
MailScanner[21195]: ./405CF50430.8BE7A/anjelina_video.zip: Trojan.Dropper-15457 FOUND

Toegevoegd 16 october:
http://www.gossamer-threads.com/lists/clamav/virusdb/41402?page=last

En ik begin langzaam wel een beetje te twijfelen in hoeverre je wel de moeite gedaan hebt, zoals je ziet: http://virbl.bit.nl/lookup/index.php?ip=91.192.36.168 is het voornamelijk "Trojan.Dropper-15457" deze sig zit al sinds 16 october in de clamav database en zou dus niet meer verspreid mogen worden door jouw machine. Echter zie ik 23-10 nog steeds een vermelding van je opkomen.

enough said so ?

brinkie
25/10/08, 18:59
enough said so ?

Ik heb ClamAV op die server enkele dagen geleden zelfs gedeïnstalleerd omdat het niet werkt naar behoren (zoals ook al eerder gezegd). Op de andere servers, waar het eveneens conform de instructies is geïnstalleerd, werkt het overigens ook niet naar behoren, zoals ik eerder in deze thread ook al heb aangegeven.

Overigens,.. wederom verleg je het probleem -althans probeer je dat- naar mij, niet naar de zendende partijen die op de whitelist staan.

Enough said. (Zonder 'so', dat doet men niet in het Engels).

Mikey
25/10/08, 19:09
Ik geloof je verhaal inmiddels totaal niet meer, en ik vermoed eerder dat we hier kunnen spreken over totale onkunde !

Mikey
25/10/08, 19:19
Overigens,.. wederom verleg je het probleem -althans probeer je dat- naar mij, niet naar de zendende partijen die op de whitelist staan.

Ik geef enkel aan dat hetgeen waarmee je gelist wordt nu ruim 9 dagen op de sig lijst staat, jij in de tussentijd gewoon opnieuw gereport wordt en eerder duid op onkunde. Verder begint jouw gezeik nu te ruiken zeker je de whitelist erbij haalt dat je net zolang gaat zeiken totdat men jouw servers op de whitelist opneemt. Juist zulke gebruikers zou men permanent moeten weren. Je geeft enkel aan wat je gedaan hebt, maar daar is dusver geen enkele onderbouwing of voorbeelden van terug te vinden. Ik zie zelfs geen aparte thread waar je specifiek om hulp vraagt, alleen big time zeuren...

Wordt tijd dat ze jou als user uit dit topic bannen, zeiken mag, maar doe dat direct bij bit en niet elk moment van de dag om dit topic omhoog te houden. Genoeg is genoeg !

®on
25/10/08, 20:55
Heren, dit topic is een interessante discussie, voor velen. Echter is het herhalen van gemaakte zetten niet bijster boeiend. Kortom, graag weer een zinnige draai aan dit topic geven aub.

GlennMatthys
25/10/08, 21:17
Ik sluit mij aan bij de mening van Mickey. Ik vind als je je eigen mailservers toelaat om berichten te verzenden naar andere mailservers dat je hiervoor de verantwoordelijkheid moet nemen. E-mail is gewoon zoals de openbare weg, iedereen mag participeren maar hou het netjes. Stel je eens voor dat iedereen op die openbare weg zou mogen zonder rijbewijs? Helaas is SMTP land het moderne equivalent van het wilde westen en alles behalve gereguleert.

brinkie
25/10/08, 23:11
Heren, dit topic is een interessante discussie, voor velen. Echter is het herhalen van gemaakte zetten niet bijster boeiend. Kortom, graag weer een zinnige draai aan dit topic geven aub.

Ben ik het mee eens, en aangezien er geen nieuwe gezichtspunten worden ingebracht maar alleen maar naar mij getrapt wordt door sommigen reageer ik daar (maar) niet op.

Overigens is mij bekend gemaakt dat door anderen dit topic met grote interesse wordt gevolgd, omdat een eventuele uitspraak van het CBP verregaande consequenties kan hebben. Dus de verzochte ban richting mij of het sluiten van dit topic zou ik persoonlijk erg jammer vinden.

Zolang ik geen nieuwe informatie heb zal ik eventjes niet posten (ook geen tjid voor, 'k heb een bedrijf & gezin..)

Randy
27/10/08, 20:36
En een update over Online en de virbl:



On Fri, 2008-10-24 at 16:34 +0200, Mark Schouten wrote:
> On Fri, 2008-10-24 at 11:49 +0200, Mark Schouten wrote:
> > We staan op het punt om te concluderen dat Online geen werkend
> > abuse-beleid heeft en dat ze derhalve niet op de NLWhitelist thuis
> > horen. Als Online niet binnen afzienbare tijd reageerd en actie
> > onderneemt om de verspreiding van virussen door hun mailservers tegen te
> > gaan zullen ze op maandag om 12.00 u van de NLWhitelist verwijderd
> > worden.
>
> Online heeft duidelijk laten merken de situatie serieus te nemen en
> wordt er hard gewerkt om de ontstane situatie te verhelpen.
>
> Maandagmorgen zal ik mij hier melden verdere informatie.

Online heeft het probleem kunnen localiseren en is met verschillende
partijen in hoog tempo aan het overleggen hoe dit probleem het beste op
te lossen is. Online heeft laten zien dat het wel degelijk een werkend
abuse-beleid heeft en dat ze zullen werken aan de communicatie om dit
aan de buitenwereld beter te laten zien.

De genoemde IP's van Online blijven dus op de NLWhitelist.

Nogmaals excuses voor mijn late reactie en dank voor de goeie acties van
Online.

--
Mark Schouten, Unix/NOC-engineer
BIT BV | info@bit.nl | +31 318 648688
MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF

bakkerl
27/10/08, 20:40
En een update over Online en de virbl:

En door dit soort berichten krijg je dus de scheve gezichten. Iemand die hard zijn best doet en alsnog met 1 van de 3 mailserver op de lijst komt heeft pech. Een grotere partij hoeft te beweren dat ze bezig zijn en kunnen dus (voorlopig) doorgaan met virussen via hun mailservers laten lopen.

HET grootste punt waar men nu tegen is. Laat Online ook maar op die lijst komen. Als ze dan toch zo hard bezig zijn, zijn ze na 24 uur wel van de lijst af, net als de rest van de hele wereld!.

Glenn
27/10/08, 20:43
Exactly. Een partijen die duizenden mails verstuurd heeft dagen de tijd om het op te lossen, terwijl een partij die een enkel mailtje laat gaan de dupe is. Gewoon kneiterhard online van de whitelist halen. Na 24 uur ben je toch weer weg.

Of is dit logica die ze alleen in Ede begrijpen?

nieuwhier
27/10/08, 20:52
Dat scannen moet daar is iedereen het over eens. Als je dat structureel! niet doet is het ook prima dat je geblocked wordt.

Concreet gaat het bij iedereen volgens mij toch maar om 3 dingen.
1) De whitelist en de vreemde en oneerlijke regels daaromheen
2) Te snel een block na 2 virussen (in 1 of 7 dagen?)
3) Geen mogelijkheid om een server direct van de lijst te krijgen

Mogelijke oplossingen (als er uberhaupt de wil is om mee te werken?!)
1) Een whitelist kan niet als je de rest van regels intakt laat. Die regels geven duidelijk aan dat een whitelist niet nodig zou zijn. Dus stop met de whitelist.
2) Bouw staffels in. Bijvoorbeeld: De 1e keer na 20 virussen, 2e keer na 10, 3e keer 5 etc.
3) Werk met accounts; geef mensen de mogelijkheid om per direct een ip te laten deblokkeren. Voorwaarden daarbij zijn prima, desnoods administratiekosten die ten goede komen aan het bestrijden of zo. (edit: en als je dan accounts hebt kun je ook warnings per mail verzenden)

Is er bij BIT uberhaupt de wil om naar iets toe werken waar iedereen(niet alleen de grote jongens) mee kan leven ?

Dreas
27/10/08, 21:30
Is er bij BIT uberhaupt de wil om naar iets toe werken waar iedereen(niet alleen de grote jongens) mee kan leven ?

Ik heb ze aangegeven dat ze het totale mailvolume van een een server moeten meenemen in de afweging hoeveel virussen tot listing leidt (zoals de meeste blacklists doen). Dan krijg je een eerlijk systeem. Ze nemen dit volgens mij wel in overweging. Op dit moment is de lijst moeilijk serieus te nemen. Zeker als ze zo flexibel met een partij als Online omgaan. Ik ken wel meer bedrijven op de whitelist zonder goed abuse beleid. Daar zou gezamenlijk veel harder tegen opgetreden moeten worden. Wij overwegen zelf ook de publicatie van enkele van onze interne blacklists dus dit is een interessant onderwerp :)

Het grootste probleem in mijn ogen is dat VIRBL een pemanent reject aanraadt op haar site. Zolang het beleid niet aangepast wordt, is een permanent reject veel te zwaar en kan veel beter een temp reject worden aangeraden (maar nog beter is om de score alleen te combineren met andere classifiers).

bakkerl
28/10/08, 00:12
Als je terug gaat lezen in de history van de nlnog maillijst, zie je ook dat de whitelist ooit is opgezet om juist collega's (vanuit BIT gezien), te onzien van de blacklist. Toen in 2003 hadden ze namelijk er last van dat ze mail niet van andere ontving. De lijst is dus daadwerkelijk opgezet om collega's te ontzien van blacklisting (en je komt toch niet zomaar op een blacklist, of heb ik het dan mis?).

quote van http://mailman.nlnog.net/pipermail/nlnog/2003-August/000525.html

Ik ben bezig met het samenstellen van een whitelist van mailservers van
nederlandse ISP's. Dit klinkt misschien bekend in de oren, maar het is
geen AOL-idee. Ik wil deze lijst gebruiken om voor blacklists checks te
doen zodat we geen last hebben van entries in bekende lists waar collega
ISP's in staan. Vanochtend bleek dat een niet nader te noemen
medium-sized collega in lists.dsbl.org stond, en dat er daardoor een
hoop legitieme mail verloren is gegaan. Dit willen we voorkomen door
middel van een whitelist, die overigens ook beschikbaar is voor derden.


De whitelist was (is?) dan ook
in eerste instantie bedoeld voor BIT intern om false positives te
voorkomen.
De whitelist was/is dus bedoel om false positives te voorkomen. Echter faalt BIT met deze lijst door bijvoorbeeld een online er nog wel op te laten staan, ook al weten ze dat online veel problemen heeft om hun mailscanning voor elkaar te krijgen of een abuse policy op orde te hebben. Hier bewijst BIT dat zelf selectief omgaat met de whitelist en niet handeld naar een concreet aantal punten om de whitelist te vullen.



Toen Alex met z'n briljante plan kwam om virusmails te blacklisten was
er des te meer reden om de lijst te vullen met de serieuzere ISPs.
Ik ben benieuwt dat Alex voor definitie gebruikt voor "serieuzere ISPs" en hoe dit rijmt met het 'geval' Online.

Ik ben voor een virbl, maar niet hoe er nu kunstmatig partijen bevoordeeld worden. Ik hoop nog steeds dat BIT serieus gaat nadenken over hoe de virbl nu in elkaar zit en waar de 'knelpunten' zitten. Zo niet, dan hoop ik dat Brinkie ver genoeg gaat.

Glenn
28/10/08, 11:15
Je gaat een whitelist opstellen omdat anders een hoop legitieme mail verloren gaat. Maar hallo, het feit dat verloren gaat is toch de trigger voor de verzendende ISP om wat aan zijn listing te doen? Als je zo'n whitelist in stand houdt kan het een Online dus aan hun kont roesten of ze gelist zijn. Totdat Mark mailt, joehoe Online, we gaan jullie toch blocken. Woordelijk rennen ze, maar tot gisteren is er niets veranderd. Knal ze maar eens op de blocklist, en zie eens hoe snel het dan opgelost is.

Nogmaals BIT, was is het nut van deze lijst?

nieuwhier
28/10/08, 20:26
Ik had het niet verwacht maar wederom staat een van onze servers erop. Een server met ongeveer 100.000 emails per dag.

De virusdefinities werden 6x per dag vernieuwd. Er zijn dan ook 6!!!! emails doorheen gegaan omdat deze net nog niet in de viruslijst zaten. Dat kan ik precies zien adv het tijdstip/datum van de viruslijst.
Ik laat die server zichzelf nu 24x per dag updaten.

De laatste melding was van 12:15(12:30 werd de update uitgevoerd). Doordat ik handmatig de virusscanner startte is er nog 1 doorgegaan terwijl ik bezig was.

Wij hebben echt een prima beleid en doen alles om virussen te voorkomen. Als ik dan die andere jokers met 80.000 virussen zie staan op die f... whitelist kan ik wel janken.

DIT kan toch niet de bedoeling zijn mensen van BIT.
En nu moet ik G.D 24 uur wachten tot die server weer toegelaten wordt ?!?!?!?!?!!!!!!

brinkie
28/10/08, 20:37
Je gaat een whitelist opstellen omdat anders een hoop legitieme mail verloren gaat.

In principe zou die mail niet verloren moeten gaan natuurlijk maar later weer aangeboden worden. Wat, als je veel mailverkeer hebt, extra (onnodige) serverload veroorzaakt natuurlijk, dat dan weer wel. En, je moet dus minimaal 24 uur lang mail opnieuw blijven aanbieden waarbij, met een beetje pech, weer een 'virus'-mail kan zitten.. waardoor de cirkel weer rond is.


Ik had het niet verwacht maar wederom staat een van onze servers erop. Een server met ongeveer 100.000 emails per dag.
[..]
Ik laat die server zichzelf nu 24x per dag updaten.

En nog ben je nooit 100% 'gedekt'?! Serieus, 6x per dag, dat is hartstikke netjes volgens mij. Dit soort reacties toont toch de totale zinloosheid in van de inmenging van BIT & vriendjes in het mailverkeer van anderen. De enige oplossing is, en dat is echt de enige, de originators blacklisten (zonder de lijst publiek te maken, wordt dus lastig) en de zendende smtp-server moet verplicht worden een goed beleid te hebben.

nieuwhier
28/10/08, 20:43
En nog ben je nooit 100% 'gedekt'?! Serieus, 6x per dag, dat is hartstikke netjes volgens mij. Dit soort reacties toont toch de totale zinloosheid ...

Hier zou nou die whitelist nuttig zijn. Wij zouden ons moeten kunnen registreren en ipnummers opgeven. Bij detectie van die 6 virussen zou er dan een mail gestuurd kunnen worden naar ons in de trend van 'LET OP'. DAAR hebben we dan allemaal iets aan.

Want wat gebeurd er nu ? Onze klanten sturen mails die niet aankomen. En ze snappen er werkelijk helemaal niets van!

Bit, reageer eens ?

Dreas
28/10/08, 20:48
In principe zou die mail niet verloren moeten gaan natuurlijk maar later weer aangeboden worden. Wat, als je veel mailverkeer hebt, extra (onnodige) serverload veroorzaakt natuurlijk, dat dan weer wel. En, je moet dus minimaal 24 uur lang mail opnieuw blijven aanbieden waarbij, met een beetje pech, weer een 'virus'-mail kan zitten.. waardoor de cirkel weer rond is.


Dat klopt niet. BIT raadt iedereen aan (en daarom doen de mensen die niet weten hoe ze een mailserver moeten beheren dat ook) om de emails met een 5xx code te rejecten (permanent reject) in plaats van een 4xx code (temporary reject). Je mailserver zal dus niet opnieuw proberen af te leveren en de email is wel degelijk "verloren" gegaan (de afzender heeft als het goed is wel een bounce gehad).

Dreas
28/10/08, 20:52
Kunnen de mensen die regelmatig onterecht gelist worden (er draait een up-to-date Clamav) mij het IP adres PMen? Ik kan eens kijken wat de trust-score in ons systeem is. Wellicht kunnen we de VIRBL lijst filteren op dit soort "false positives" en kan BIT daar wellicht weer iets mee doen.

nieuwhier
28/10/08, 21:14
BIT raadt iedereen aan (en daarom doen de mensen die niet weten hoe ze een mailserver moeten beheren dat ook) om de emails met een 5xx code te rejecten (permanent reject) in plaats van een 4xx code (temporary reject).
Dit is wel heel erg!

brinkie
28/10/08, 21:23
Dat klopt niet. BIT raadt iedereen aan (en daarom doen de mensen die niet weten hoe ze een mailserver moeten beheren dat ook) om de emails met een 5xx code te rejecten (permanent reject) in plaats van een 4xx code (temporary reject). Je mailserver zal dus niet opnieuw proberen af te leveren en de email is wel degelijk "verloren" gegaan (de afzender heeft als het goed is wel een bounce gehad).

Dan heb je het over rejects/bouncen. Mijn systeem, bijvoorbeeld, doet geen full body bounces; dat heb ik ingesteld door het volgende in Exim op te nemen:



bounce_return_body
bounce_return_size_limit = 1K
errors_reply_to = xxxxx @ superhost.nl


Oftewel een bounce is gelimiteerd tot 1K, waardoor een attachment nooit mee/terug komt. Dat werkt prima. Het probleem waar 'nieuwhier' (denk ik, gezien zijn eerdere reacties?) tegenaan loopt zijn die mailtjes die via een alias (forward) er door rollen. Dat is juist hét probleem mag ik wel zeggen; die worden dan bijv. geforward naar een user bij @Home die vervolgens constateert: "virus!" en de blacklisting gedaan...

almar
28/10/08, 23:35
Het zou realistischer van BIT zijn om de virusdefinitief pas EEN uur na toevoeging aan de definitiedatabase te gaan gebruiken. Dan heeft elke provider voldoende mogelijkheden om zijn/haar definities bij te werken. En is deze hele discussie overbodig.

Overigens doen wij ook een permanent rejection van mail op blacklist. Daarmee blokkeren we zo'n 250.000 e-mails per dag. En ik kan je vertellen dat de virusscanners daar erg blij mee zijn :D

brinkie
29/10/08, 00:08
Overigens doen wij ook een permanent rejection van mail op blacklist. Daarmee blokkeren we zo'n 250.000 e-mails per dag. En ik kan je vertellen dat de virusscanners daar erg blij mee zijn :D

Weten je klanten daarvan? En: wat vinden ze er van? Hoe reject je? Gewoon iedereen/alle servers op VIRBL? Dat heb ik ook twee weken gedaan, met zeer verbolgen klanten als gevolg..

nieuwhier
29/10/08, 01:00
Daarmee blokkeren we zo'n 250.000 e-mails per dag. En ik kan je vertellen dat de virusscanners daar erg blij mee zijn :D
Technisch gezien super, een behoorlijke ontlasting van de mailserver. Maar functioneel gezien heb ik er toch wel moeite mee. De tijd dat je er zeker kon zijn dat je email zijn doel zal bereiken lijkt zo onderhand wel voorbij.

Maar we hebben het hier alleen maar over virussen. Dat is toch een relatie klein percentage van het geheel. Het overgrote deel is spam en dan nog een klein deeltje wat echte ham is :-)

Het zou lekker zijn als BIT zich ook zo gaat gedragen bij ipnummers waar 2 spammailtjes per dag vandaan komen, dan kan alleen de whitelist nog met elkaar communiceren ;-) Gelukkig kun je tegenwoordig ook online postzegels bestellen ....

Mikey
29/10/08, 11:24
Weten je klanten daarvan? En: wat vinden ze er van? Hoe reject je? Gewoon iedereen/alle servers op VIRBL? Dat heb ik ook twee weken gedaan, met zeer verbolgen klanten als gevolg..


wel apart dat jij een van de weinige bent die hier vooral steen bij been blijft klagen. Ik heb je al aangesproken per PB, maar het wordt nu echt tijd dat je gewoon ophoud met de boel opzadelen met _jouw_ problemen !

almar
29/10/08, 16:04
Technisch gezien super, een behoorlijke ontlasting van de mailserver. Maar functioneel gezien heb ik er toch wel moeite mee. De tijd dat je er zeker kon zijn dat je email zijn doel zal bereiken lijkt zo onderhand wel voorbij.

Ja, functioneel gezien zou het een probleem kunnen zijn. Maar dat wordt het naar ons idee op het moment dat je een temporary rejection doet. Omdat je daarmee afhankelijk wordt van de queuelifetime van de verzendende partij. Door gelijk te bouncen weet de afzender gelijk dat er een probleem is. Bounce is in dit geval natuurlijk naar oorspronkelijke verzender.

Wij gebruiken al ruim een jaar of 4 RBL's en eigelijk weinig problemen. Uiteraard weten onze klanten dat.

Per dag forwarden wij een veelvoud van de eerder genoemde aantal mails, vrijwel altijd zonder problemen.

Ik denk serieus dat als mijn idee op de VIRBL wordt toegepast, de meeste problemen wel verholpen zullen zijn.

nieuwhier
29/10/08, 16:20
Ik denk serieus dat als mijn idee op de VIRBL wordt toegepast, de meeste problemen wel verholpen zullen zijn.
Ik noemde 1 server, heb ook andere eens bekeken en sporadisch zit er een melding op virbl tussen, uitsluitend gaat dat over nieuwe virussen. Dus jouw idee zal dit wel oplossen. Overigens gebruiken wij ook meerdere RBL's maar niet die van VIRBL ;-)

Blijft toch overeind de zin en onzin van de whitelist en het snelle blacklisten.

tifkap
30/10/08, 17:39
Beste

Het spijt me dat ik het moet zeggen, maar het probleem is niet dat BIT een automatische RBL bijhoud, maar het probleem is dat je een incompetente knoeier bent.

Waarom ben je niet in staat clamav werkend te krijgen?
Waarom zet je niet alle forwards naar de virbl feeders van Bit uit?

Het antwoord is dat je niet weet hoe je eigen systemen in elkaar zitten. Je gebruikt DirectAdmin voor de configuratie, en zou waarschijnlijk waarschijnlijk nog geen SMTP-sessie herkennen als je leven er vanaf zou hangen.

De meeste mensen zouden dan iemand inhuren die wel competent is, maar jij hebt in plaats daarvan gekozen voor het klagen bij de boodschapper. Toen de boodschapper je (terecht) afwees, ben je op dit forum gaan klagen / gaan dreigen met legal action.

De oplossing is heel simpel: stuur geen virussen door, of laat het opereren van mail-system over aan mensen die het wel snappen.

Wij gebruiken gewoon clamav voor alle inkomende en uitgaande mail, en wij komen nooit op de RBL, ondanks het feit dat wij heel wat meer mail doen.

Je argument dat je niet op andere RBL's staat snijdt geen hout.. er zijn maar 3 virus RBL's ter wereld (waarvan een in japan).. hoe weet je trouwens dat je daar niet op staat?

Wij monitoren alle IP's in ons beheer bij alle bekende RBL's, inclusief de IP's van onze ADSL klanten, en checken periodiek alle domeinen die we hosten bij de URI-BL's .. iets wat elke ISP trouwens zou moeten doen.

MOD edit: als jij het spannend vind om anoniem te flamen, ga dan niet alle namen/bedrijfsnamen en gegevens van de ander opnoemen. Lekker laag kerel!

Reply MOD: Misschien.. maar wie is er begonnen met proberen BIT door het slijk te halen?

nieuwhier
30/10/08, 19:42
Wat mij betreft mag dit gesloten worden, ik vind dit geen leuke toon om op verder te discussieren.

brinkie
30/10/08, 21:02
Reply MOD: Misschien.. maar wie is er begonnen met proberen BIT door het slijk te halen?

Aangezien ik niet de TS (http://www.webhostingtalk.nl/overige/140690-mailserver-op-blocklist-virbl-bit-nl.html) ben voel ik me niet aangesproken en reageer dan verder ook niet op je aanmatigende post.

We hebben denk ik meer aan constructieve, opbouwende, posts.. zodat we met elkaar een probleem dat voor veel meer mensen speelt -en niet alleen voor deze 'prutser' maar zelfs voor hele grote ISP's zoals je had kunnen lezen- kunnen oplossen.


Wat mij betreft mag dit gesloten worden, ik vind dit geen leuke toon om op verder te discussieren.

Vind ik niet, als iemand hier wil azijnpissen in een topic, dan moet je niet meteen het topic laten sluiten/vergallen hierdoor en gewoon weer on-topic verder gaan. Doe ik ook met pubers, gewoon negeren :p als ze lopen te zeuren.

Ps!! Bedankt voor je adequate hulp nog, helaas nog geen tijd gehad om echt goed in je mail/aanwijzingen te te duiken, zodra ik "een paar vrije minuten" (..) heb ga ik zeker verder met je tips! Zal waarschijnlijk wel weer een latertje of weekend-werk worden. Eerst op een testserver er mee rommelen en kijken wat er dan gebeurt.

Want even voor alle duidelijkheid niemand, ook ik dus niet, wil toch dat er via zijn of haar systemen virussen doorglippen. VIRBL of niet..!

bas-dds
03/11/08, 17:10
Hier idemdito ook last van de virbl. Worden zelf niet gelist, maar hebben de virbl wel uit onze filtering moeten verwijderen.. Omdat het vooral de laatste tijd voor chello gebruikers bijna onmogelijk werd om onze klanten te mailen.. (chello staat er echt al wekenlang in.. op zich natuurlijk ook slecht.....)

Wel jammer, want deze rbl heeft jarenlang *wel* goed gewerkt, toen iedereen zich nog wel voor de nl-whitelist aan kon melden zonder eigen AS nummer e.d.

Volgens mij zou de virbl zich meer moeten focussen op ip's van eindgebruikers die besmet zijn, ipv smtp relays en servers van (grote en kleine) providers.

Pleit ook voor een whitelist waarbij ook de kleinere providers de kans kunnen krijgen op een whitelist opgenomen te worden (door desnoods aan te tonen dat ze wel een werkende abuse hebben, en daadwerkelijk achter meldingen aan gaan). Maar dan blijft natuurlijk de vraag wie deze gaat beheren. (is veel werk, geloof me!)

Het is mischien al vaker voorgesteld, maar mischien is het een goed idee voor ze om met 'trust' scores te gaan werken ipv met zo'n rigoreus black+whitelist systeem.. Waarbij de rbldns resultaten makkelijker geimplementeerd kunnen worden met bijv. spamassassin.

Dus bijv:

127.0.0.0 - listed by virbl = N virii received last 24 hrs (zonder naar whitelists te kijken)
127.0.0.1 - listed, ip not in in nlwhitelist of dutch isp's
127.0.0.2 - listed, ip not in general whitelist (moderated whitelist open voor allen)
127.0.0.3 - listed, ip is end-user verbinding (combo met d.u.l. achtige lijst?)
127.0.0.4 - ip listed in shitlist / top 10 / ....
127.0.0.5 etc etc

aan de hand van de dnsbl resultaten kan je dan bijv de spam-score wegen, of besluiten mail wel of niet aan te nemen...

Ik vind het initiatief van virbl persoonlijk echt lovenswaardig, maar vooralsnog is het hier *PLOINK* voor virbl, omdat het bijna onwerkbaar is geworden zo.

Als er een dul.virbl.bit.nl zou komen. (virbl voor eindgebruiker internet aansluitingen die sowieso niet direct horen te mailen) zou ik hem direct weer aanzetten hier.

nieuwhier
03/11/08, 17:39
... Mooi gesproken...

almar
03/11/08, 18:50
Persoonlijk denk ik dat als BIT zich in de discussie zou mengen het best wel een zinnig topic is. Maar aan de andere kant is er ook een virbl mailinglist dus...

Ik denk alleen wel dat er constructief gediscussieerd moet worden. Flamen heeft nog nooit een oplossing opgeleverd!

Dus wat mij betreft blijft dit topic gewoon open.

brinkie
03/11/08, 20:28
Persoonlijk denk ik dat als BIT zich in de discussie zou mengen het best wel een zinnig topic is. Maar aan de andere kant is er ook een virbl mailinglist dus...


BIT deed dat ook, althans een aantal van hun medewerkers, maar hebben zich uit de discussie teruggetrokken om hen moverende redenen..


Hier idemdito ook last van de virbl. Worden zelf niet gelist, maar hebben de virbl wel uit onze filtering moeten verwijderen.. Omdat het vooral de laatste tijd voor chello gebruikers bijna onmogelijk werd om onze klanten te mailen.. (chello staat er echt al wekenlang in.. op zich natuurlijk ook slecht.....)

Idem hierzo. Het interesseert Chello klaarblijkelijk geen ene malle moer (evenals Orange/Online). Zegt wel iets over hoe je met je klanten omgaat?? Chello-klanten moesten eens weten...

Overigens komen mijn machines al een tijdje niet meer voor, ook de grootste 'probleemmachine' is sinds vrijdag niet meer gelist. Ik heb extern iemand in moeten huren er voor om dat voor elkaar te krijgen, maar goed.. die kosten + overige geleden schade declareer ik nog wel bij BIT zodra m'n klacht gegrond is verklaard ;) ...

michaelsnijder
05/11/08, 13:22
Overigens komen mijn machines al een tijdje niet meer voor, ook de grootste 'probleemmachine' is sinds vrijdag niet meer gelist. Ik heb extern iemand in moeten huren er voor om dat voor elkaar te krijgen, maar goed.. die kosten + overige geleden schade declareer ik nog wel bij BIT zodra m'n klacht gegrond is verklaard ;) ...
Ik denk dat we wel reëel moeten blijven, het is dus niet reëel om kosten op BIT te verhalen omdat jij de mailserver niet op orde krijgt.. Begrijp me niet verkeerd maar als jij er voor kiest om mail services aan te bieden zul je er ook voor moeten zorgen dat je genoeg expertise hebt om dat ook echt goed voor elkaar te maken. Blijkbaar heb je niet voldoende expertise (of tijd...) om er voor te zorgen dat je geen virussen meer doorstuurt (Prima verder, ieder z'n ding...)

Overigens waren de tips / hints die ik je gegeven heb voor een leek zelfs te doen, ik denk dus dat je of geen zin hebt gehad om er nog meer energie in te steken of geen tijd hebt gehad.

Ik ben het op een X aantal punten met je eens maar hier draaf je wat mij betreft te ver door.

maxnet
05/11/08, 22:15
Het interesseert Chello klaarblijkelijk geen ene malle moer (evenals Orange/Online). Zegt wel iets over hoe je met je klanten omgaat?? Chello-klanten moesten eens weten...


Denk dat zo'n stelling iets te voorbarig is. Er is toch wel een redelijk verschil in het volume dat de twee provider doorlaten.

viefep18-int.chello.at heeft de afgelopen week volgens virbl 8 berichten met virus doorgelaten. En daarbij ging het om slechts 5 verschillende virussen.
smtp-7.orange.nl maar liefst 106.600 berichten.



Op SNDS kan je tegenwoordig ook zien hoeveel virussen je eigen mailservers naar Hotmail gebruikers sturen: https://postmaster.live.com/snds/index.aspx
Wel aardig om te zien welke virussen (nog) niet door ClamAV gedetecteerd worden.

bakkerl
06/11/08, 00:30
Denk dat zo'n stelling iets te voorbarig is. Er is toch wel een redelijk verschil in het volume dat de twee provider doorlaten.

viefep18-int.chello.at heeft de afgelopen week volgens virbl 8 berichten met virus doorgelaten. En daarbij ging het om slechts 5 verschillende virussen.
Dus als ze net een beetje op de verkeerde momenten komen, kan dat op 4x24 uur op de virbl lijst komen te staan.

Er wordt niet gekeken naar het volume wat die servers doen of hoeveel verschillende je wel nog doorliet. Die server zou voor die 4x24 uur gewoon op die virbl lijst moeten staan. Dat is de stelling welke BIT hanteert, tenzij je dus vriendje van BIT bent, dan kun je alles maken.



smtp-7.orange.nl maar liefst 106.600 berichten.
Er waarom staat die dan nog niet op die virbl?

Randy
06/11/08, 00:44
Er waarom staat die dan nog niet op die virbl?

Quote NLNOG: (27-09)



Online heeft het probleem kunnen localiseren en is met verschillende
partijen in hoog tempo aan het overleggen hoe dit probleem het beste op
te lossen is. Online heeft laten zien dat het wel degelijk een werkend
abuse-beleid heeft en dat ze zullen werken aan de communicatie om dit
aan de buitenwereld beter te laten zien.

De genoemde IP's van Online blijven dus op de NLWhitelist.

Nogmaals excuses voor mijn late reactie en dank voor de goeie acties van
Online.

--
Mark Schouten, Unix/NOC-engineer
BIT BV | info@bit.nl | +31 318 648688
MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF

nieuwhier
06/11/08, 00:46
Dit vind ik terecht en triest tegelijk....

Een kleine partij wordt gewoon geblocked als die een fout maakt.

brinkie
06/11/08, 00:46
Overigens waren de tips / hints die ik je gegeven heb voor een leek zelfs te doen, ik denk dus dat je of geen zin hebt gehad om er nog meer energie in te steken of geen tijd hebt gehad.


Ik heb je tips nog even nagezocht, maar die waren voor mijn specifieke situaties niet echt toepasselijk. Voor het overige had ik met één server met name problemen, twee andere niet/nauwelijks. Dat ik uiteindelijk tegen betaling iemand het heb laten oplossen heeft alles te maken met het feit dat het goedkoper (en dus efficienter) is iemand 2 uur te betalen die dit 'met twee vingers in de neus' doet dan er zelf ook nog maar een minuut in te steken om het op te lossen. Zelf kan ik dan m'n tijd besteden aan meer lucratievere opdrachten.

Oke, .. off topic verder, vrees ik.

bakkerl
06/11/08, 00:51
Quote NLNOG: (27-09)

Dat stuk heb ik ook gelezen. Vraag ik me nog steeds af waarom die partij nog steeds een $veel berichten per dag door mag laten gaan, terwijl een ander al met 2 foute geblokeerd wordt.

Laat ze bij online/orange maar harder lopen, dan maar niet om 17:00 weer naar huis om de volgende dag weer om 09:00 te beginnen. Oplossen die zooi en wel binnen 24 uur zodat je van die lijst afkomt.

michaelsnijder
06/11/08, 10:29
Het is allemaal wel leuk en aardig om te melden via een mailing list dat Online er aan werkt maar voorlopig is het probleem nog steeds, als je dus op de nlwhitelist staat kan je dus rustig op je gemak nog 2 weken naar het probleem kijken. Spijt me zeer maar dan hebben die meldingen via de mailing list voor mij ook geen waarde meer.

nieuwhier
06/11/08, 23:00
Nou PVD.... kreeg deze klachten van klanten over een andere server van ons.

Trojan.Kobcka-18 multikabel 2008-11-06 11:15:17 No
Trojan.Agent-59561 multikabel 2008-11-05 10:45:31 No
Trojan.Agent-59561 multikabel 2008-11-05 09:11:06 No
Trojan.Agent-59561 multikabel 2008-11-05 09:10:42 No

Deze server draait netjes een virusscanner en krijgt 6x per dag virusupdates. Als je deze virussen opzoekt dan zie je dat ze nieuw zijn. Deze server verstuurd ong. 100.000 mails per dag.

Dit is toch triest...

brinkie
07/11/08, 00:09
Voor de geïnteresseerden.. ik heb van BIT antwoord gehad op mijn klacht. Helaas hebben zij mijn brief niet opgevat zoals ik had gehoopt, en gaan ze niet op de privacy-aspecten in van het geheel. Desondanks (!!) heb ik per heden het volgende op mijn website gemeld aan onze cliënten (sorry voor de "Jip & Janneke taal"):


VIRBL (weer) geactiveerd
[06/11/2008] Na de succesvolle (her)implementatie van de ClamAV antivirussoftware, het (heden) default, geforceerd, aanzetten van spamfilters op alle cliëntaccounts en andere, eerdere, maatregelen tegen spam en virussen is vanavond de VIRBL-lijst (eveneens) weer geactiveerd.

Hoewel wij vraagtekens hebben bij het privacy-beleid van BIT met betrekking tot het publiceren van (op personen) herleidbare IP-adressen is deze blocklist de meest effectieve methode om de serverload (virusscanner moet soms honderden mails inééns verwerken!) te beperken, te voorkomen dat virussen afgeleverd worden op onze server (en uw computer!) en tevens uw én onze reputatie te beschermen!

Want,.. wanneer wij -ondanks alle getroffen maatregelen- toch een keer een virus er door laten slippen is de kans groot dat BrinkhostDotCom als "dader" wordt aangewezen, hoe onterecht dat volgens ons ook is. Tevens is de VIRBL op dit moment zo breed gedragen dat wij denken dat het 'tegen windmolens vechten' is wanneer wij weigeren hieraan mee te doen c.q. deze controle-lijst toe te passen.

Klachten over VIRBL/mail bounces?
Mocht u klachten krijgen over het feit dat men u geen email meer kan toezenden via onze servers wegens "virbl"-problemen dan kunt u de betreffende klagers terugverwijzen naar hun eigen providers. Want een vermelding op de VIRBL betekent niet anders dan dat hun eigen provider een mailserver gebruikt die (soms zelfs grote aantallen) virussen verspreid of doorlaat. Is dit niet het geval, dan is de het zeer wel mogelijk dat de betreffende klager zijn/haar eigen PC met een virus besmet en is het zaak dat hij/zij dit probleem direct, zelf, aanpakt.

Ik heb dus de VIRBL weer geactiveerd, vanwege het nut van de tool, en heb besloten klagende klanten toch te moeten terugverwijzen naar de desbetreffende ISP's die feitelijk het probleem veroorzaken. Op het risico af dat me dit misschien een paar klaten kost, maar ik denk dat ik ze uiteindelijk wel zal kunnen overtuigen dat het probleem elders ligt.

Dit wil niet zeggen dat ik vind dat BIT erg juist met privacy-gevoelige gegevens omgaat. Of ik de klacht hierover doorzet, weet ik nog niet. Wel vind ik dat BIT daar iets mee had moeten doen, het is jammer dat ze dat aspect negeren.


Het is allemaal wel leuk en aardig om te melden via een mailing list dat Online er aan werkt maar voorlopig is het probleem nog steeds, als je dus op de nlwhitelist staat kan je dus rustig op je gemak nog 2 weken naar het probleem kijken. Spijt me zeer maar dan hebben die meldingen via de mailing list voor mij ook geen waarde meer.

Dat vind ik inderdaad ook één van de méést "tenenkrommende" zaken rondom die hele lijst.. ik kreeg nog geen minúút om de zaak op te lossen (en heb dat uiteindelijk wel binnen redelijke tijd geregeld). Desondanks schreef BIT in hun brief dat mijn servers "niet op de whitelist konden" (dat geeft niets, daar ging het mij niet om maar wel om wat jij hier aanhaalt).

Goed, voorlopig laat ik de strijdbijl maar even rusten, heb (gelukkig) andere, positievere, zaken aan mijn hoofd..

nieuwhier
07/11/08, 00:15
Nou brinkie.... Principes heb je wel ;-)

brinkie
07/11/08, 00:31
Nou brinkie.... Principes heb je wel ;-)

Jazeker, .. ik vind de methodiek ook niet slecht, ik ben er niet tegen "uit principe" (ik blokkeer ook op andere criteria, bijv. "sender verify" immers?) maar de uitwerking discutabel (whitelisting, privacy). Maar wat moet ik anders?! Vanavond kwamen er op één server echt honderden mailtjes binnen vanaf een paar adressen en dan staat dat ding op die onzin te stampen..

Overigens moet ik nog zien hoe dit in de praktijk gaat uitpakken, stel je krijgt allerlei blocks die eigenlijk ten onrechte zijn,.. tja,..

nieuwhier
07/11/08, 00:37
Het principe vindt niemand slecht denk ik. Hoe het uitgewerkt is wel.
Ik blijf er bij dat je een ip van een hosting/mailserver niet op dezelfde manier kunt behandelen als een ip van een eindgebruiker. En dan die limiet van 2. Absurd. Maar ik moet niet in herhaling vallen.

brinkie
07/11/08, 00:55
Het principe vindt niemand slecht denk ik. Hoe het uitgewerkt is wel.
Ik blijf er bij dat je een ip van een hosting/mailserver niet op dezelfde manier kunt behandelen als een ip van een eindgebruiker. En dan die limiet van 2. Absurd. Maar ik moet niet in herhaling vallen.

We zijn het eens :)

Renalpha
07/11/08, 18:55
bit.nl niks mis mee...

Als webhoster kom je inderdaad wel eens op hen blocklist terecht.

Gewoon eventjes wachten (24uur) en je kan weer mailen.
Het probleem zit hem gewoon bij je klanten met hen virussen.

nieuwhier
07/11/08, 18:59
bit.nl niks mis mee...
Het probleem zit hem gewoon bij je klanten met hen virussen.
Ja ja... de meeste gevallen zijn emails die de klanten ontvangen en automatisch door laten sturen. Kunnen ze weinig aan doen he....

En als zo'n virus nog maar net een paar uur bestaat heb je dus pech?

met bit.nl is misschien niets mis, maar het gaat om de methodiek en de regels!

spininhetweb
26/02/09, 13:14
Het lijkt de laatste tijd mee te vallen bij bit. Wellicht hebben ze geleerd van alle ellende. Ik heb toentertijd in elk geval ook wel abuse-afdelingen van hun klanten gemaild.

Het echte probleem ligt in het feit dat zij zich voordoen als onafhankelijke organisatie, terwijl ze gewoon een hosting-provider zijn. Ze hebben twee petten op en zijn daardoor in de gelegenheid hun onwelgevallige concullega's te blacklisten. Dat is erg triest. Zo'n blacklist zou door een onafhankelijke stichting o.i.d. gerund moeten worden.

Dreas
26/02/09, 13:19
Het echte probleem ligt in het feit dat zij zich voordoen als onafhankelijke organisatie, terwijl ze gewoon een hosting-provider zijn. Ze hebben twee petten op en zijn daardoor in de gelegenheid hun onwelgevallige concullega's te blacklisten. Dat is erg triest. Zo'n blacklist zou door een onafhankelijke stichting o.i.d. gerund moeten worden.

Voor zover ik weet geeft BIT altijd netjes de reden waarom je gelist bent en is er nog nooit misbruik van macht gemaakt. Mocht dat ooit wel voorkomen dan zal dat snel genoeg bekend worden. VIRBL is een behoorlijk "primitieve" lijst qua opzet dus het lijkt me een overkill om dat bij een onafhankelijke stichting onder te brengen.

spininhetweb
26/02/09, 13:26
Tja, misbruik, misbruik... Als bedrijven die hun mail keurig conform RFC met resent-by headers en al doorsturen geblackilisted worden, dan maken ze misschien geen misbruik van de lijst, maar gaan ze met de door de grote ISP's gegunde macht ook niet erg secuur om.

Ze zijn daar hoe dan ook niet controleerbaar in. Ook ben ik wel benieuwd hoe vaak bit.nl, of coloklanten van bit op die lijst terechtkomen.

En mijn ervaring is ook niet dat ze "netjes" de reden geven. Ik vind hun opstelling eerder arrogant. Van "had je maar geen virus moeten sturen" naar "je moet bij de mensen zijn die de lijst gebruiken, niet bij ons."

Goendi
27/02/09, 01:07
Arrogantie is niet altijd ongepast. En zeker niet als de discussie achteraf zich toespitst op de arrogantie, en niet op de eigenlijke oorzaak: het virus.

Heb je enig idee hoeveel schade die dingen berokkenen? Het ligt *nooit* aan de verzender, als ik het zo lees, maar altijd aan de eindgebruiker. Wel, ik redeneer als volgt: als die verzenders nu eens zorgen dat hun klanten die zaken niet kunnen verzenden, en wat haar op hun tanden laten zien, dan zijn anderen de dupe niet van de virussen die hun klanten doorsturen. Ik moet er geen plaatje bij maken hoeveel zombies er tgv virussen en dergelijke gebruikt worden voor malafide praktijken, toch?

Dus, waar waren we, ooh ja arrogantie. Nou wie is er arrogant, diegene die de blacklist opstelt, of diegene die huizenhoog roept hoe hard zijn klanten janken omdat die virussen laat passeren? Al ooit eens een DDoS aanval gehad van een stel zombie pc's? Wel, ik kan je verzekeren dat de hosts die die attacks laten gedijen, vaak heel arrogant reageren alsof het absoluut niet hun verantwoordelijkheid is. Dus, virussen verzenden = blacklisted: fine by me! En ja: moet je idd geen virussen versturen.

spininhetweb
27/02/09, 01:19
Punt is dat een webruimteprovider zijn klanten de mogelijkheid biedt om onder hun eigen domein e-mailadressen te maken. Meestal kunnen die klanten er voor kiezen om mail voor bepaalde adressen door te laten sturen naar een ander e-mailadres, vaak hun persoonlijke adres bij een ISP.

Wanneer er nu een (ongewenst) virus voor zo'n klant binnenkomt, en dat virus wordt nog niet herkend door de antivirussoftware, dan wordt deze dus doorgestuurd. In zo'n doorgestuurd mailtje staan bepaalde headers, zoals resent-by, die gecheckt kunnen worden tegen de MTA en spf-entries. Daaruit blijkt in het geval van bonafide webruimteleveranciers afdoende dat niet zij de verzender van het virus zijn. De ISP zou in dat geval moeten kijken naar envelope-from headers en de received-... lijst.

De situatie waarin een virus nog onbekend is tijdens forward, en bekend tijdens aanbieden aan BIT is reëel, lees deze thread maar. Je update je virusdefinities wel elke paar uur, maar niet elke minuut... En als jij je definities om 10:00 hebt geüpdatet, en BIT om 10:05, en om 10:10 komt er een nieuw virus langs, dan ben jij volgens BIT (althans, enige tijd geleden) een virusverspreider...

BIT zou er goed aan doen (en heeft dan misschien ondertussen gedaan, want er zijn minder problemen), om collega's pas de blacklisten als er een virus wordt doorgestuurd dat langer dan een X aantal uur in de virusdatabase staat.

Het gaat dus niet om providers te virussen versturen, maar die ondanks alle bonafide inzet met virusscanners en blacklists een virus doorsturen.

Ik hoop, Goendi, dat je nu iets meer begrijp van de achtergrond en van het feit dat het vooral m.b.t. het forwarden van e-mail geen eenvoudige materie is waarin derhalve voorzichtig opgetreden moet worden.

We moeten met zijn allen vechten tegen trojans, DDossen en andere ellende, want iedereen heeft wel eens ergens gezien wat ze doen. Maar dat doe je niet door goedwillende medestrijders als vijanden neer te zetten.