[Nlnog] Virbl, de NLWhitelist en telefoontjes

Jan Hoogenboom jan at openpeering.nl
Wed Sep 10 17:59:17 UTC 2008 

Hoi,

> Nu pakken we 't idee smarthost, die word op de whitelist gezet, wij 
> gaan al onze servers daarheen configureren en jippie, virbl geeft 
> geen positives meer. (ook al word er geen virus minder door tegengehouden.)

Als je 1 (nou ja, 2 dan) centrale server gebruikt voor uitgaande mail, 
en uitgaande mail (poort 25 SMTP) vanaf je hele netwerk naar buiten in 
je routers op alle andere IP adressen blokkeerd heeft dat een aantal 
grote voordelen.

Veel worm/virus/etc software gebruikt niet de lokale mailserver maar 
probeert rechtstreeks mail het Internet op te jassen. Die worden dus 
meteen al effectief geblokkeert door het filter op je router. Heel 
effectief!

Verder is het verstandig om op die centrale mailserver vervolgens op al 
je mail die van intern komt en naar buiten wil eerst een spam/virus 
check te doen. Dan vis je de rotzooi er in principe op je eigen mail 
server al uit, en gaat er normaal gesproken weinig of geen rotzooi uit 
jouw netwerk naar buiten.

Goh, als je dat heel goed zou doen dan hoef misschien al niet eens meer 
perse op een whitelist te staan, want de kans dat er dan nog wat 
doorlekt waardoor VIRBL je op gaat pakken is dan al extreem veel kleiner 
geworden.

Maar goed, een doos van een provider die al zo veel moeite doet om 
ellende te voorkomen mag best het voordeel van de twijfel krijgen en op 
de whitelist komen ('trust').

En als het dan onverhoopt toch een keer fout gaat kun iemand die toch 
troep krijgt een dergelijke 'trusted' provider ook altijd wel bereiken, 
en zal ie vast ook wel bereidt zijn dan meteen actie te ondernemen.

Overigens zou VIRBL natuurlijk ook nog wel een warning kunnen sturen aan 
de bij de IP space geregisteerde partij wanneer een gewhiteliste server 
toch een virus stuurt...

'Trust' is eigenlijk iets dat je moet verdienen, en waarvan je moet 
bewijzen dat je het waard bent door de acties die je onderneemt om 
ellende te voorkomen.

Zo principieel zijn de regels van de NL whitelist niet eens geloof ik :-)

Maar het idee van een whitelist is niet om daar maar alles en iedereen 
op te gooien. Je wilt in ieder geval een bepaalde selectie maken.


> Oh nee wacht, we hebben een smarthost die alle uitgaande mail 
> afhandelt en geblacklist staat, dus nu zijn ALLE klanten de sigaar.
> Ik vind 't idee van een of twee centrale smarthosts niet zo'n heel 
> prettig idee in een omgeving waar veel shared web/mailservers in 
> staan, 't word wel erg makkelijk om compleet van internet geblacklist 
> te worden dan.

Maar goed, dingen als VIRBL bestaan ook niet om het leven van hosters 
makkelijker te maken. Ze bestaan om 'de rest van het Internet' te 
beschermen tegen virussen.

Dus ja, dat VIRBL 'lastig' is voor hosters is wel logisch. Maar dat 
betekent daarmee niet automatisch dat het een slecht idee is. Sterker nog...

Er gaan hier 2 belangen tegen elkaar in. Maar zonder VIRBL (of een 
andere vorm van een blacklist) kan 'de rest van het Internet' onmogelijk 
een vuist maken tegen hosters die niets of heel weinig doen tegen 
virussen die vanuit hun netwerk uitbreken.


> En ik denk dat als er genoeg klachten gaan binnenkomen bij de 
> verschillende grote providers die deze lijst momenteel wel actief 
> gebruiken vanwege het feit dat er naar mijn mening geen behoorlijke 
> whitelisting word gehanteert voor collega providers, zij de lijst er 
> ook wel uit zullen gooien omdat de groeiende afhandeling van klachten 
> over virbl niet opwegen tegen het scannen van een inkomend mailtje. 
> Dus dan gebruikt ook niemand die blacklist meer.

Op een gegeven moment leert de helpdesk: als er een klacht is over niet 
aankomende mail dan moet je degene die de mail verstuurd terugsturen 
naar z'n eigen hoster. Die kan dan in zijn eigen mail log zien waarom de 
mail niet verstuurd kon worden (geweigerd) en op VIRBL kijken waarom 
mail vanaf zijn server geweigerd wordt.

Helpdesks bij grote providers gaan het probleem dus vanzelf 
terugschuiven naar de bron: dat is het minster werk. En hun eigen 
mailservers zijn gewhitelist, dus andersom hebben ze zelf het probleem 
niet bij hun eigen klanten die mail versturen.


> Nu krijgen we van klanten te horen dat er een server is geblacklist en is
> het kwaad dus al uren dan al niet meer als een dag geleden geschied. Er word
> door jullie zo gehamerd op een 'goede abuse policy', waarom worden er dan
> geen mails gestuurd naar de abuse e-mail die bij RIPE staat van de
> betreffende range of AS ?

Het principe van VIRBL was toch altijd dat als jij je IP space 
registreerd bij VIRBL, je vanaf dat moment een mailtje krijgt als een 
van jouw IP's in VIRBL gelist is?
En dat je ook nog de headers van de 'offending' mail kon bekijken op de 
VIRBL website?
Of werkt dat niet meer tegenwoordig?

Ik kan me wel voorstellen dat BIT alleen wil mailen naar partijen die 
zich bewust zijn wat VIRBL is. Als je bij iedereen die virussen stuurt 
gaat mailen naar de bij het announcing AS geregistreerde abuse email 
adres levert dat denk ik wel heel erg veel load op voor de BIT helpdesk....

Groeten, Jan.

-- 
Jan Hoogenboom <jan at openpeering.nl>
Open Peering
Raamweg 17, 2596 HL  Den Haag, Holland
+31 (0)70 363 16 61 (voice)
+31 (0)70 392 22 16 (fax)

More information about the NLNOG mailing list