La Fibre
Télécom => Télécom => 
Veille technologique => Discussion démarrée par: cali le 21 mars 2013 à 13:25:55
-
Hello,
Je pense qu'il est important pour beaucoup d'entre nous qui maintiennent des réseaux de parler de spamhaus.org
J'ouvre ce topic car cette compagnie a décidé de blacklister plusieurs de nos pools d'IPv4 sans aucun motif en associant toute notre compagnie à "Spammer and cybercriminal hosting".
Il semblerait que la cause soit un forum discutant des pratiques douteuses de SpamHaus hébergé sur cette plage, stophaus.com qui ne fait même pas tourner de serveur SMTP...
SpamHaus se déclare comme "international nonprofit organization", je pense que c'est de la bullshit. Ils font clairement en sorte de blacklister tous les réseaux possibles sans motifs afin de vendre leurs solutions inutiles à la con, comme la dérive des antivirus commerciaux. Ils n'ont aucun numéro de téléphone sur leur site, ni même une adresse... Je pense qu'ils vont aller faire un petit tour au tribunal rien que pour la calomnie.
Si vous avez des histoires avec cette milice merci de les partager, ça peut toujours être utile.
-
SpamHaus blacklist assez souvent les MX d'Orange ce qui impacte fortement et régulièrement nos clients.
Pour l'instant, ceux d'OVH et de Free restent valide.
-
Ils ne mettent pas un lien?
-
Nous on a ça: http://www.spamhaus.org/sbl/query/SBL179440 (http://www.spamhaus.org/sbl/query/SBL179440)
-
" SpyEye C&C Botnet C&C server @91.220.163.12 "
-
Qui est OffLine. (https://spyeyetracker.abuse.ch/monitor.php?host=91.220.163.12)
Sur un hébergeur de serveur dédiés, la présence de C&C n'est pas un événement exceptionnel.
-
Mais il y a pas ça, c'est que de la connerie. On a demandé au client et cherché nous-mêmes on a rien trouvé.
-
J'ai fait un blog post, je le copie ici:
The SpamHaus Project, an anti-spam company, has recently blacklisted our IP pools and listed us as cybercriminals. This blacklisting was precipitated by a website started by one of our customers to mock and discuss the doubtful activities of the "Nonprofit Organization" at http://stophaus.com (http://stophaus.com).
The server which is used to host the website has no SMTP software thus could not be used to issue unsolicited e-mails.
SpamHaus has requested us to remove the "spam/crime" in order to be unlisted, as there is no evidence or reason to discontinue service to our customer we may reserve the right to prosecute SpamHaus.
http://www.spamhaus.org (http://www.spamhaus.org) website neither lists any phone number nor the address which was used to register the trademark; Obviously they have done this in order to minimize risks of legal prosecutions.
We believe that it is important for people to learn how to prevent SPAM on their own rather than using services such as SpamHaus. SpamHaus plays on people's ignorance to build its notoriety, popular services such as hotmail.com, aol.com, yahoo.com started to use SpamHaus services to detect junk e-mails. Although it sounds good, SpamHaus does not prevent SPAM, and is not doing anything to make the Internet better:
Spam exists because it works. The issue is that people don't know how to reccognize it. Why don't they know about it? The main reason is that those people have been continuously using solutions which are doing the tasks for them, solutions which have never taught them anything but rather have made them even more vulnerable targets.
SpamHaus has existed since 1998 and so far has never shown any statistical decrease in spam e-mails, statistics show that SPAM practices have increased in a disproportion to the growing number of connected machines to the Internet. The SpamHaus process is futile, if one were to want to SPAM hotmail.com, aol.com, or yahoo.com (popular services using spamhaus) all that one would need to do is find a host which is not listed by spamhaus and use it to spread your malicious mails. This is exactly what happens, leaving more than enough time before spamhaus spots it... We have opened test accounts on hotmail.com (which uses spamhaus) we clearly receive more spam than on an account registered at an other such as gmail.com (google has its own filters).
You should never use solutions, especially when they are commercial, that are used as additional layers to either supervise or manage your infrastructures. Those solutions, rather than helping simply spread ignorance. Always read the documentation of tools you use, you won't waste your time and if you really do not want to, you'd be better off to pay an expert to do it rather than choosing an ineffective solution like spamhaus.
As to SpamHaus, it is clear than the number of clients for hotmail.com, aol.com, and yahoo.com have decreased (mostly because of gmail.com). Since those three were probably the biggest spamhaus customers, it is from a certain despiration for a shrinking market share that they try to compensate by harassing small entities such as ours. We invite you to share our message and we hope that large electronic mail services will use fewer services like spamhaus.org.
Dites-moi ce que vous en pensez :)
-
J'en pense que c'est vraiment des très grosses conneries.
En gros tu reproches à SpamHaus de ne pas avoir à lui tout seul résolu le problème de spam. C'est du délire.
Tu dis que Gmail fait mieux. Et?
Tes arguments sont un peu du niveau des arguments contre les OGM et contre Monsanto.
-
Je pense que spamhaus amplifie le phénomène et permet au spammeur bas de gamme de renforcer ses opérations.
Je leur reproche d'utiliser leur notoriété pour tenter d'acquérir un certain contrôle, ils ne sont clairement pas content de ce forum et ont aucune raison de blacklister un réseau complet pour ce motif.
Le délire c'est certainement plus de de tenter de régler le problème de spam avec leurs manières qu'autre chose.
Gmail fait mieux, et quoi ?
-
Pourquoi il faut s'inscrire pour consulter le forum?
Qu'est-ce qu'il y a de gênant sur le forum?
-
Je sais pas je suis pas inscrit non plus, et c'est pas le problème.
-
Alors, comment luter contre le spam?
-
Expliquer aux gens comment les reconnaitre et faire leurs propres filtres.
-
Je ne te comprends pas.
J'ai regardé récemment chez moi les spams (filtrés directement sur le serveur, donc d'habitude, je ne regarde jamais)... C'est une horreur! Des dizaines de spams par jour. Les spams actuels sont vraiment bien faits. Je ne vois pas comment chaque utilisateur, voire chaque admin, pourrait créer ses propres filtres. Une intelligence "centralisée" qui analyse des centaines de milliers d'e-mail, pour en déduire des règles valables à un instant donné (règle variant tous les jours), c'est donc une bonne idée. C'est sans doute la seule solution contre le spam.
Faire des règles "à la main", même pour un admin, ça relève à mon avis de l'impossible. Mais si tu as trouvé une solution pour le faire, n'hésites pas à nous la faire partager.
Le service SpamHaus.org n'est peut-être pas suffisamment sérieux selon toi, mais il ne faut pas généraliser.
Leon.
-
Mais il y a des indexeurs de spams qui font leurs boulots correctement, personnellement je fais des listes à partir des IP sources et ça fonctionne très bien, chacun fait ça, ce sont des listes perso et comme tu le dis il y a pleins de spams, ce qui montre bien que ce que fait spamhaus sert à rien mis à part casser les couilles.
-
Expliquer aux gens comment les reconnaitre et faire leurs propres filtres.
Mais déjà, avant de filtrer les spams dans les BAL, il faut que tu protèges les MX du flux de connections SMTP venant de spammeurs, que Francois Petillon (postmaster Free) qualifie de DDOS permanent :
Et donc tu surdimensionnes ta plateforme mail d'un facteur 100 ? Le jour où un nouveau botnet débarque et fait passer le ratio à 200, tu suis dans la journée ? Et quand on parle de 99% de trafic de merde, c'est du lissé sur 24h voir un mois. Et les variations dans la journée peuvent être plus conséquentes que cela (j'observe régulièrement des pointes à plus de *10 le trafic "moyen"). Et là, pour éviter de voir ta plateforme tomber, il va falloir prendre une très couteuse marge de manœuvre.
Légalement, les opérateurs _doivent_ protéger les infrastructures. Un gentil botnet qui ouvre des connexions par dizaines de milliers par seconde depuis des PCs compromis (donc depuis des connexions "lentes") se montre beaucoup plus agressif qu'un MTA standard et abouti assez facilement à l'équivalent d'un DDoS permanent sur une plateforme. Et que si on suit ton raisonnement, un opérateur a le droit de se proteger d'une attaque DDoS de 60 Gbps momentanée mais pas s'il s'agit d'une attaque permanente. J'aimerais bien voir la tête de Nerim dans cette situation (ce n'est pas une critique, juste une manière de souligner qu'il y a toujours une limite au niveau de "pollution" supportable).
François
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/ (http://www.frnog.org/)
http://www.mail-archive.com/frnog@frnog.org/msg15977.html (http://www.mail-archive.com/frnog@frnog.org/msg15977.html)
Il y a plusieurs façons de protéger les serveurs MX, une d'entre elles est de sous-traiter à un service de réputation publiant une ou plusieurs RBL, un autre est de gérer la réputation par IP en interne comme Free. On pourrait discuter des avantages de chaque solution, des problèmes, etc. (La solution Free permet à n'importe qui d'envoyer des courriels à Free depuis sa connexion ADSL.) Il est évident qu'il ne peut y avoir de solution parfaite à ce niveau là.
-
Pour moi le plus gros problème c'est pas ça, c'est que personne ne filtre le MAIL FROM (expéditeur), du coups si on choppe un smtp on peut non seulement faire du spam mais aussi faire croire qu'il provient de paypal.com, fbi.gov etc...
-
Tu plaisantes, là.
1) SPF permet de filtrer le MAIL FROM, et ce protocole est utilisé dans le monde réel.
2) AUCUN utilisateur type "Mme Michu" n'est capable de retrouver le MAIL FROM dans un email qu'il reçoit. Même sur ce forum, je parie que la moitié des membres n'ont aucune idée de ce qu'est le MAIL FROM et ne sont pas capable de l'indiquer.
-
Cali, sinon, tu peux nous préciser en quoi consiste ton offre d'hébergement?
Il y a quelques temps, tu indiquais "Hébergement offshore". Est-ce que ça n'est pas de base une offre qui attire les clients un peu limite? Qui veulent faire des trucs un peu louche?
Leon.
-
Tu plaisantes, là.
1) SPF permet de filtrer le MAIL FROM, et ce protocole est utilisé dans le monde réel.
2) AUCUN utilisateur type "Mme Michu" n'est capable de retrouver le MAIL FROM dans un email qu'il reçoit. Même sur ce forum, je parie que la moitié des membres n'ont aucune idée de ce qu'est le MAIL FROM et ne sont pas capable de l'indiquer.
Je plaisante pas, moi j'apprends ça aux gens et ça marche bien.
-
Je plaisante pas, moi j'apprends ça aux gens et ça marche bien.
Tu apprends quoi aux gens?
À configurer SPF sur leur domaine?
À configurer SPF sur leur MX?
À retrouver le MAIL FROM dans un courriel?
Sérieusement, combien d'entre vous ont déjà recherché le MAIL FROM dans un courriel? (les administrateurs de SMTP ne comptent pas!)
-
Tu apprends quoi aux gens?
À configurer SPF sur leur domaine?
À configurer SPF sur leur MX?
À retrouver le MAIL FROM dans un courriel?
Sérieusement, combien d'entre vous ont déjà recherché le MAIL FROM dans un courriel? (les administrateurs de SMTP ne comptent pas!)
A trouver le MAIL FROM surtout.
-
Et?
Les gens vont vraiment regarder le MAIL FROM de leurs emails?
-
Et?
Les gens vont vraiment regarder le MAIL FROM de leurs emails?
Oui, et généralement ils sont très content d'avoir appris ça. Je l'ai même fait dans des écoles et j'avais des commentaires sympas des élèves.
-
Tant mieux si les gens aiment apprendre des choses, mais ça leur sert à quoi?
-
D'apprendre des choses ? Tu remets notre existence en question là, on va en discuter longtemps :p
-
C'est sympa d'apprendre comment fonctionne le protocole SMTP et où se trouve le MAIL FROM dans un courriel, mais ce n'est pas très important pour l'utilisateur.
-
Pourquoi ça ne serait pas important ?
-
En quoi est-ce important?
-
De si oui ou non on peut faire confiance à ce qu'on lit ? Moi je pense qu'il est important de connaitre les principes bases de ce qu'on utilise aussi couramment.
-
Quand est-ce qu'on peut faire confiance à une information quelconque de l'en-tête d'un courriel?
-
Le but ce n'est pas d'y faire une confiance aveugle, bien sur on peut toujours imaginer des scénarios. Le but c'est de permettre d’être plus vivace.
-
Contre 99,99 % des tentatives d'hameçonnage, il suffit de ne pas être hyper naïf.
-
Contre 99,99 % des tentatives d'hameçonnage, il suffit de ne pas être hyper naïf.
Je dirais pas 99,99%, mais ouais.
-
vous n'êtes pas les seuls à vous plaindre de spamhaus apparemment ;D
Recently, Spamhaus blocked servers maintained by Cyberbunker, a Dutch web host which states it will host anything with the exception of child pornography or terrorism-related material.
Sven Olaf Kamphuis, who claims to be a spokesman for Cyberbunker, said, in a message, that Spamhaus was abusing its position, and should not be allowed to decide "what goes and does not go on the internet".
Cyberbunker est semble-t-il suspecté de se venger via un ddos de près de 300Gbps
http://www.bbc.co.uk/news/technology-21954636#TWEET690031 (http://www.bbc.co.uk/news/technology-21954636#TWEET690031)
http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet (http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet)
l'effet ressenti sur London Internet Exchange (LINX):
(https://lafibre.info/images/bistro/201303_cacti_linx.png)
-
Je ne suis pas non plus pour la vengeance à coups de DDoS, je pense que ça leur fait trop de publicité en plus, Steve Linford fait que de crâner du coup et les gens croient à ses conneries...
-
Je plaisante pas, moi j'apprends ça aux gens et ça marche bien.
Le spam (y compris hameçonnage) marche dès qu'une toute petite partie des personnes répondent. Pourquoi les arnaques les plus débiles sont encore employées? Il y a des gens qui ont de vagues doutes, mais qui sont obéissants : un courriel leur demande de faire un truc, ils le font.
C'est bien la pédagogie, mais si ça touche 98 % du public c'est déjà très très bien. Il faudrait 99,999 % du public qui soit bien informée, qui agisse de façon responsable, etc. Ce n'est même pas approchable AMA.
-
Ouais, bah je préfère cette approche.
-
Ouais, expliquer des trucs je suis pour, faire que les gens comprennent mieux l'informatique, aussi, et les faire réfléchir aussi. Tout ça, c'est super.
Mais ça n'empêche pas qu'à un moment il faut protéger les serveurs SMTP, et les systèmes de réputation sont un des outils de filtrage. On peut combiner avec d'autres méthodes de filtrage, mais il ne peut pas y avoir de méthode idéale.
Un grand FAI peut avoir son propre système de réputation en interne, comme Free, mais il est basé sur l'antispam de Goto qui est très critiqué.
-
XenTime vient de perdre le transit IPv4 pour la plage 91.220.163.0/24 (et leur staff accuse SpamHauss d'avoir fait pression sur leur transitaire).
Le transit IPv6 marche encore donc j'en profite pour faire mes derniers backups avant que leur personnel me transfert dans un autre DC.
-
J'ouvre ce topic car cette compagnie a décidé de blacklister plusieurs de nos pools d'IPv4 sans aucun motif en associant toute notre compagnie à "Spammer and cybercriminal hosting".
Il semblerait que la cause soit un forum discutant des pratiques douteuses de SpamHaus hébergé sur cette plage, stophaus.com qui ne fait même pas tourner de serveur SMTP...
Ils ont la main assez longue SpamHaus pour faire perdre le transit IPv4 ?
-
SpamHaus èmet juste des notations, comme les agences de notation financières.
La note ici correspond à l'usage pour le SMTP, point.
(Ou alors ça changé récemment.)
-
SpamHauss fournis une liste de route à dropper (http://www.spamhaus.org/drop/drop.txt) et elle contient
91.220.163.0/24 ; SBL179440
% Information related to '91.220.163.0/24AS197424'
route: 91.220.163.0/24
descr: Xentime network
origin: AS197424
mnt-by: XNTM
source: RIPE # Filtered
Ce qui est en net contradiction avec la présentation de DROP (http://www.spamhaus.org/drop/):
The DROP list will not include any IP address space under the control of any legitimate network - even if being used by "the spammers from hell".
Que dire de plus ?
C'est de l'abus assez flagrant.
-
http://www.spamhaus.org/sbl/query/SBL179440 (http://www.spamhaus.org/sbl/query/SBL179440)
SBL180858 91.220.163.16 xentime.com 2013-04-06 Stolen CC fraud website
(...)
91.220.163.3
hack3rz.ru = Hacking forum
myexpressparcel.com = Scam site
91.220.163.5
series-fileserve.com = illegal downloads.
91.220.163.16
backstab.biz = Stolen credit cards
bstab.biz = Stolen credit cards
91.220.163.18
ccants.com = Offers illegal downloads.
91.220.163.20
xentime.com
Xentime.com is the "bullet proof web host" responsible
91.220.163.21
riffspot.info = Spam site
91.220.163.34
privateshop.biz = Stolen credit cards
91.220.163.35
megasearch.cc = Stolen credit cards
91.220.163.41
securealibaba.com = Scam site
91.220.163.43
sn1p3r.org = Malware
91.220.163.241
stophaus.com = Spammer collective
91.220.163.12
b59iu.com = Phishing
tagsalesdepot.com = Fraud
91.220.163.21
hackerspace.com.ua = Hacking
91.220.163.27
virushostr.ws = Malware
91.220.163.243
spamahost.com = Bulletproof hosting for spammers
Bon, c'est glauque, mais je ne vois pas de "hijacked netblocks" ici.
What are "hijacked netblocks"? (http://www.spamhaus.org/faq/section/DROP%20FAQ#258)A "hijacked netblock" is a netblock brought back from the dead, often by a spammer, also called a "zombie netblock." (The term "zombie" later became widely applied to the infected PC drones in a botnet.) The original owner of the block may have left it derelict for any number of reasons. Squatters then reclaim it with various ploys including registering an abandoned domain name to accept email to the point-of-contact domain contact, or printing up bogus letterhead, or doing a bit of human engineering over the telephone. Some hijackers even outright steal IP-space allocated to someone else just by announcing it under their BGP Autonomous System Number.
-
Il faut aussi noter que presque aucun des sites n'est encore accessible. (Le reseau est down pour le moment mais vous pourrez verifier lorsqu'il sera de nouveau operationel). De toute maniere ils n'ont pas a decide de ce qu'on peut heberger ou pas.