Security Professionals - ipfw add deny all from eindgebruikers to any

Stelling: een provider gebruikt 100+ ip adressen voor uitgaande email in een zijn c klasse netwerk, dus die provider is een 'spammer'.

28-09-2015, 09:25 door Anoniem, 15 reacties
Ik kan op het ogenblik tot geen andere, meest voor de hand liggende conclusie komen dan deze. Maar ik zou graag willen weten wat professionals van deze stelling vinden.

De argumentatie bij de conclusie dat er van dat netwerk spam afkomstig is, is als volgt.

Voor een normale email verwerking heb je niet zoveel ip adressen nodig (we hebben het hier niet over partijen als google). Je kunt zelfs meerdere servers via één ip adres laten versturen, dus het gebruik van zoveel ip adressen is wat mij betreft niet afhankelijk van een capaciteitsprobleem.

Het probleem van spammers is dat de herkomst ip adressen op de dns blacklists komen te staan, en al dan niet tijdelijk, niet meer te gebruiken zijn. Door het gebruik van veel ip adressen kunnen zij overschakelen naar ip adressen die nog niet geblokkeerd zijn, en wellicht in de tussentijd een delisting aanvragen van de geblokkeerde.

Je komt echt niet zomaar met je ip adres op een blacklist, dus bestaat de behoefte voornamelijk bij partijen een discutabel verzend beleid hebben.

Graag had ik alleen inhoudelijke reacties van professionals, je weet wel mensen met jarenlange handson ervaring in systeembeheer, meerdere servers beheren, niet alleen met de muis of met applicaties als cpanel kunnen werken.

Voorbeeld:

84.244.156.53 mail-84-244-156-53.sp-mta12-1.net.
84.244.156.54 mail-84-244-156-54.sp-mta12-1.net.
84.244.156.55 mail-84-244-156-55.sp-mta12-1.net.
84.244.156.56 mail-84-244-156-56.sp-mta12-1.net.
84.244.156.57 mail-84-244-156-57.sp-mta12-1.net.
84.244.156.58 mail-84-244-156-58.sp-mta12-1.net.
84.244.156.59 mail-84-244-156-59.sp-mta12-1.net.
84.244.156.60 mail-84-244-156-60.sp-mta12-1.net.
...
84.244.156.239 mail-84-244-156-239.watkanikkokenmet.nl.
84.244.156.240 mail-84-244-156-240.watkanikkokenmet.nl.
84.244.156.241 mail-84-244-156-241.watkanikkokenmet.nl.
84.244.156.242 mail-84-244-156-242.watkanikkokenmet.nl.
84.244.156.243 mail-84-244-156-243.watkanikkokenmet.nl.
84.244.156.244 mail-84-244-156-244.watkanikkokenmet.nl.
84.244.156.245 mail-84-244-156-245.watkanikkokenmet.nl.
84.244.156.246 mail-84-244-156-246.watkanikkokenmet.nl.
84.244.156.247 mail-84-244-156-247.watkanikkokenmet.nl.
84.244.156.248 mail-84-244-156-248.watkanikkokenmet.nl.
84.244.156.249 mail-84-244-156-249.watkanikkokenmet.nl.
84.244.156.250 mail-84-244-156-250.watkanikkokenmet.nl.
84.244.156.251 mail-84-244-156-251.watkanikkokenmet.nl.
84.244.156.252 mail-84-244-156-252.watkanikkokenmet.nl.
Reacties (15)
28-09-2015, 11:33 door wica128
Deze partij heeft zo te zien, gewoon alle adressen die ze beschikbaar hebben, voorzien van een PTR record. Wat zeer netjes is. Zodat een ieder kan zien bij wie ze zouden moeten klagen.

Als ik vervolgens de IP blok bekijk, welke door anti spam gemakkelijk te weren is, 84.244.156.0/24 zijn de meerderheid van de IP's niet in gebruik.

Dus mocht het een spam boer zijn, is die niet slim om alles binnen 1 subnet te houden.

Mag ik vragen waarom deze vraag?
28-09-2015, 11:51 door Anoniem
Ja, dat is een spammer. (lijkt me)
Ik heb in mijn hele loopbaan van 28 jaar nog nooit een organisatie met 100+ uitgaande IP-adressen gezien.
(maar wie weet zijn ze er wel)
28-09-2015, 12:49 door Anoniem
Door wica128: Deze partij heeft zo te zien, gewoon alle adressen die ze beschikbaar hebben, voorzien van een PTR record. Wat zeer netjes is. Zodat een ieder kan zien bij wie ze zouden moeten klagen.
voor de stelling niet relevant of iemand in staat is zijn dns te configureren.

Door wica128:
Als ik vervolgens de IP blok bekijk, welke door anti spam gemakkelijk te weren is, 84.244.156.0/24 zijn de meerderheid van de IP's niet in gebruik.

Dus mocht het een spam boer zijn, is die niet slim om alles binnen 1 subnet te houden.
voor de stelling niet relevant wat de huidige activiteit is en blokkeringsmogelijkheden (maar ga er maar van uit dat over het algemeen geautomatiseerde blokkering systemen op ip adres werken en niet op een subnet)
28-09-2015, 14:12 door Anoniem
Altijd heerlijk een anonieme discussie voeren. Je hebt geen idee meer tegen wie je praat of met wie je aan het discuteren bent.


Door Anoniem:
De argumentatie bij de conclusie dat er van dat netwerk spam afkomstig is, is als volgt.

.......

Graag had ik alleen inhoudelijke reacties van professionals, je weet wel mensen met jarenlange handson ervaring in systeembeheer, meerdere servers beheren, niet alleen met de muis of met applicaties als cpanel kunnen werken.

Wat voor een discussie precies? Of wat überhaupt eigenlijk?
28-09-2015, 14:14 door wica128
@TS "Mag ik vragen waarom deze vraag?"
28-09-2015, 14:44 door Anoniem
zonder content beetje moeilijk te zeggen; er is geen wet die verbied om 100 IPs als uitgaand cluster te configureren, sterker nog is dit een beetje een trend aan het wordne om een cluster te gebruiken voor uitgaand verkeer.

maargoed; bij de uiteindelijke bepaling of iets spamt geld imho "content is king"

succes ermee.
28-09-2015, 14:44 door Briolet - Bijgewerkt: 28-09-2015, 14:46
Door Anoniem: (maar ga er maar van uit dat over het algemeen geautomatiseerde blokkering systemen op ip adres werken en niet op een subnet)

Niet perse. Ik dacht dat b.v. uceprotect.net hele subnets op een bloklist zetten als er van meerdere IP's uit dat subnet spam komt. (Level 2 blokkade). In hun lijstje staat zelfs een level 3 blokkade waarbij een hele ISP op een bloklist komt.

Bij Ziggo speelde dat een jaar geleden toen mensen plots niet meer naar bepaalde adressen konden mailen omdat er vanuit andere IP's gespamd werd. Zelf ervoer ik dit ook bij 1 van mijn uitgaande mailtjes.
28-09-2015, 15:07 door Anoniem
Je conclusie is gebaseerd op de absurde aanname dat jij voor iedereen kan bepalen hoe hun netwerk en diensten georganiseerd moeten zijn.
29-09-2015, 04:00 door Anoniem
De stelling komt niet door hanlon's razor heen.

"Never attribute to malice that which is adequately explained by stupidity."

100 ip adressen voor uitgaande email lijkt op een spammer, dat is +1 voor spammer
deze 100 allemaal op een rij hebben is niet goed voor spammers, -1 voor spammer
resultaat, meer informatie nodig.

het lijkt mij meer op een foutje in een config ergens, of een goedbedoelde ongeinformeerde handeling.
round robin op de mail als loadbalancer iemand?

20+ jaar ervaring.
29-09-2015, 17:48 door Anoniem
Allee mannekes.
Deze adressen behoren volgens Whois toe aan We-dare, een grote hosting en rackspace provider in de regio Rotterdam.
Lijkt me dus meer op een blok automatisch geprovisionde mailhosts die vervolgens voor klanten van deze provider kunnen worden ingezet. Er zijn verschillende manieren om dit in te richten en dit is er 1 van. Dit lijkt mij ook wel een partij die weet wat ze doen.
29-09-2015, 20:00 door karma4
Door Anoniem: Allee mannekes.
Deze adressen behoren volgens Whois toe aan We-dare, een grote hosting en rackspace provider in de regio Rotterdam.
Lijkt me dus meer op een blok automatisch geprovisionde mailhosts die vervolgens voor klanten van deze provider kunnen worden ingezet. Er zijn verschillende manieren om dit in te richten en dit is er 1 van. Dit lijkt mij ook wel een partij die weet wat ze doen.
Komt door Ockcham's razor https://nl.wikipedia.org/wiki/Ockhams_scheermes. Hoe vaak lees je niet dat een spammer bij de zelfde cloudprovider overlast voor anderen veroorzaakt (ook zelf meegemaakt).
29-09-2015, 22:43 door Anoniem
Door Anoniem: Allee mannekes.
Deze adressen behoren volgens Whois toe aan We-dare, een grote hosting en rackspace provider in de regio Rotterdam.
Lijkt me dus meer op een blok automatisch geprovisionde mailhosts die vervolgens voor klanten van deze provider kunnen worden ingezet. Er zijn verschillende manieren om dit in te richten en dit is er 1 van. Dit lijkt mij ook wel een partij die weet wat ze doen.

Als je een partij bent die weet wat je doet, weet je dan ook waarom je 10+ mailhosts met eigen IP automatisch configureerd voor een obscuur domeintje?
Op deze manier heeft een middelgrootte hosting provider al meer IP adressen nodig dan IPv4 biedt (oke, hier overdrijf ik een beetje) als ze dit voor elke klant doen.

Ik hou het op meer rechten of bedoelingen dan technische competentie als uitleg, ook geen spammer. (ik sluit geen script uit zoals je aandraagt)
30-09-2015, 12:24 door Anoniem
Vanuit loadbalancing oogpunt is dit volledig begrijpelijk. Echter vanuit operationele security is het een nachtmerrie.

Om een konkreet antwoord te geven op je vraag: Dit is idd een of meerdere servers die marketing emails verturen.
Het versturen van bulk mail / spam gaat veel sneller als je meerdere email STREAMS tot je beschikking hebt?
30-09-2015, 14:48 door Anoniem
We-Dare is weldegelijk een spammer. Ze draaien daar de dienst simpel-mail.com. Een bulk mail/spam dienst die net over het randje gaat. Ik heb daar enkele maanden lang spam van ontvangen op een e-mail adres dat alleen bij adobe bekend was en tijdens de adobe hack is buitgemaakt.
07-10-2015, 16:10 door Anoniem
Ook net nederlandse spam ontvangen van een ip adres waarvan alle reverse lookups iets met mail, mta etc hebben. Ik snap niet hoe deze gasten ip space hebben gekregen.

96.45.68.0 96-45-68-0-block.reverse.ezzi.net.
96.45.68.1 e1.mxout.mta4.net.
96.45.68.2 mailer3.campaignmail.delivery.
96.45.68.3 mta.litoralmagazine.com.
96.45.68.4 e4.mxout.mta4.net.
96.45.68.5 mail1.astriauniversity.com.
96.45.68.6 e6.mxout.mta4.net.
96.45.68.7 mlr4.causemail.org.
96.45.68.8 mail1.123lottosystem.net.
96.45.68.9 mlr5.causemail.org.
96.45.68.10 e10.mxout.mta4.net.
96.45.68.11 mail1.royalsender.com.
96.45.68.12 e12.mxout.mta4.net.
96.45.68.13 e13.mxout.mta4.net.
96.45.68.14 e14.mxout.mta4.net.
96.45.68.15 mail.applying-guide.net.
96.45.68.16 e16.mxout.mta4.net.
96.45.68.17 mail2.salesleads.se.
96.45.68.18 e18.mxout.mta4.net.
96.45.68.19 e19.mxout.mta4.net.
96.45.68.20 e20.mxout.mta4.net.
96.45.68.21 mta.powerandlove.org.
96.45.68.22 mail4.webdesignforbrands.com.
96.45.68.23 e23.mxout.mta4.net.
96.45.68.24 eravirtual.organizacaovirtual.com.
96.45.68.25 e25.mxout.mta4.net.
96.45.68.26 e26.mxout.mta4.net.
96.45.68.27 mail.depressiontribe.com.
96.45.68.28 mail1.shoeroom.com.ar.
96.45.68.29 mta.mazily.com.
96.45.68.30 mail3.livehealthydaily.com.
96.45.68.31 e31.mxout.mta4.net.
96.45.68.32 e32.mxout.mta4.net.
96.45.68.33 pmac.nbme.org.
96.45.68.34 mta.mlgnr.com.
96.45.68.35 e35.mxout.mta4.net.
96.45.68.36 e36.mxout.mta4.net.
96.45.68.37 mail1.feedbackrj.com.br.
96.45.68.38 e38.mxout.mta4.net.
96.45.68.39 mail1.smartfinancialnews.com.
96.45.68.40 e40.mxout.mta4.net.
96.45.68.41 elastic1.email06-jobhutch.com.
96.45.68.42 elastic1.email06-careerflash.net.
96.45.68.43 elastic1.email06-career-hub.net.
96.45.68.44 elastic1.email06-employmentsolutionsforyou.com.
96.45.68.45 e45.mxout.mta4.net.
96.45.68.46 e46.mxout.mta4.net.
96.45.68.47 e47.mxout.mta4.net.
96.45.68.48 elastic2.e5-employment-committee.com.
96.45.68.49 elastic2.e5-career-posting.com.
96.45.68.50 e50.mxout.mta4.net.
96.45.68.51 mta.forodepresidentes.org.
96.45.68.52 mta.inmovementnews.com.
96.45.68.53 e53.mxout.mta4.net.
96.45.68.54 smtp.visualvisitor.com.
96.45.68.55 e55.mxout.mta4.net.
96.45.68.56 mail1.kingtonez.club.
96.45.68.57 e57.mxout.mta4.net.
96.45.68.58 e58.mxout.mta4.net.
96.45.68.59 e59.mxout.mta4.net.
96.45.68.60 mta.billandpay.com.
96.45.68.61 e61.mxout.mta4.net.
96.45.68.62 e62.mxout.mta4.net.
96.45.68.63 96-45-68-63-bcast.reverse.ezzi.net.
96.45.68.64 96-45-68-64-block.reverse.ezzi.net.
96.45.68.65 96-45-68-65-cust-gw.reverse.ezzi.net.
96.45.68.66 elastic1.email06-employscape.com.
96.45.68.67 elastic1.email06-workhunter.net.
96.45.68.68 elastic1.email06-career-discover.net.
96.45.68.69 elastic1.email06-careersearcher.org.
96.45.68.70 f70.mxout.mta4.net.
96.45.68.71 f71.mxout.mta4.net.
96.45.68.72 f72.mxout.mta4.net.
96.45.68.73 f73.mxout.mta4.net.
96.45.68.74 elastic2.e5-occupation-finder.com.
96.45.68.75 elastic1.e5-profession-finder.com.
96.45.68.76 f76.mxout.mta4.net.
96.45.68.77 f77.mxout.mta4.net.
96.45.68.78 elastic2.email06-career-spot.com.
96.45.68.79 elastic2.email06-employgoal.com.
96.45.68.80 elastic2.email06-employboard.com.
96.45.68.81 f81.mxout.mta4.net.
96.45.68.82 f82.mxout.mta4.net.
96.45.68.83 f83.mxout.mta4.net.
96.45.68.84 f84.mxout.mta4.net.
96.45.68.85 f85.mxout.mta4.net.
96.45.68.86 f86.mxout.mta4.net.
96.45.68.87 f87.mxout.mta4.net.
96.45.68.88 mailer1.campaignmail.us.
96.45.68.89 mailer2.campaignmail.us.
96.45.68.90 mailer3.campaignmail.us.
96.45.68.91 f91.mxout.mta4.net.
96.45.68.92 f92.mxout.mta4.net.
96.45.68.93 f93.mxout.mta4.net.
96.45.68.94 f94.mxout.mta4.net.
96.45.68.95 f95.mxout.mta4.net.
96.45.68.96 f96.mxout.mta4.net.
96.45.68.97 email.hp2015.fr.
96.45.68.98 f98.mxout.mta4.net.
96.45.68.99 mail1.parkengineering.com.au.
96.45.68.100 f100.mxout.mta4.net.
96.45.68.101 f101.mxout.mta4.net.
96.45.68.102 f102.mxout.mta4.net.
96.45.68.103 f103.mxout.mta4.net.
96.45.68.104 f104.mxout.mta4.net.
96.45.68.105 f105.mxout.mta4.net.
96.45.68.106 f106.mxout.mta4.net.
96.45.68.107 f107.mxout.mta4.net.
96.45.68.108 mta4.mlgnr.com.
96.45.68.109 f109.mxout.mta4.net.
96.45.68.110 f110.mxout.mta4.net.
96.45.68.111 f111.mxout.mta4.net.
96.45.68.112 f112.mxout.mta4.net.
96.45.68.113 f113.mxout.mta4.net.
96.45.68.114 f114.mxout.mta4.net.
96.45.68.115 f115.mxout.mta4.net.
96.45.68.116 f116.mxout.mta4.net.
96.45.68.117 f117.mxout.mta4.net.
96.45.68.118 mlrsc11.thewashingtontimesemail.com.
96.45.68.119 mlrsc12.thewashingtontimesemail.com.
96.45.68.120 elastic2.email06-job-alerters.com.
96.45.68.121 elastic2.email06-job-a-day.com.
96.45.68.122 f122.mxout.mta4.net.
96.45.68.123 elastic2.email06-jobs-daily.com.
96.45.68.124 mlr1.washingtontimesemail.com.
96.45.68.125 mlr2.washingtontimesemail.com.
96.45.68.126 mlr3.washingtontimesemail.com.
96.45.68.127 96-45-68-127-bcast.reverse.ezzi.net.
96.45.68.128 96-45-68-128-block.reverse.ezzi.net.
96.45.68.129 g129.mxout.mta4.net.
96.45.68.130 g130.mxout.mta4.net.
96.45.68.131 mail.itbr.com.
96.45.68.132 mx1.epostamx1.us.
96.45.68.133 g133.mxout.mta4.net.
96.45.68.134 g134.mxout.mta4.net.
96.45.68.135 g135.mxout.mta4.net.
96.45.68.136 g136.mxout.mta4.net.
96.45.68.137 g137.mxout.mta4.net.
96.45.68.138 elastic.deedgrabber.com.
96.45.68.139 g139.mxout.mta4.net.
96.45.68.140 elastic.mandala-intl.com.
96.45.68.141 g141.mxout.mta4.net.
96.45.68.142 g142.mxout.mta4.net.
96.45.68.143 mta.rijksmuseum.nl.
96.45.68.144 mail1.eeri.org.
96.45.68.145 g145.mxout.mta4.net.
96.45.68.146 mta.touchpointclients.net.
96.45.68.147 mail2.rodpumptracker.com.
96.45.68.148 g148.mxout.mta4.net.
96.45.68.149 mta.nations-baseball.com.
96.45.68.150 mta.redspa.co.uk.
96.45.68.151 g151.mxout.mta4.net.
96.45.68.152 g152.mxout.mta4.net.
96.45.68.153 g153.mxout.mta4.net.
96.45.68.154 g154.mxout.mta4.net.
96.45.68.155 g155.mxout.mta4.net.
96.45.68.156 g156.mxout.mta4.net.
96.45.68.157 g157.mxout.mta4.net.
96.45.68.158 g158.mxout.mta4.net.
96.45.68.159 g159.mxout.mta4.net.
96.45.68.160 mail1.emailproject.fr.
96.45.68.161 mta.homnick.com.
96.45.68.162 mtb.vinivi.com.
96.45.68.163 g163.mxout.mta4.net.
96.45.68.164 g164.mxout.mta4.net.
96.45.68.165 mta.cityfashion.be.
96.45.68.166 g166.mxout.mta4.net.
96.45.68.167 mail2.emailproject.fr.
96.45.68.168 g168.mxout.mta4.net.
96.45.68.169 mail169.click-jordan.com.
96.45.68.170 mta.click2sell.org.
96.45.68.171 g171.mxout.mta4.net.
96.45.68.172 mailing.andestowerhills.com.
96.45.68.173 g173.mxout.mta4.net.
96.45.68.174 g174.mxout.mta4.net.
96.45.68.175 mailb.simplycharlottemason.com.
96.45.68.176 g176.mxout.mta4.net.
96.45.68.177 mail1.macecraft.com.
96.45.68.178 g178.mxout.mta4.net.
96.45.68.179 g179.mxout.mta4.net.
96.45.68.180 g180.mxout.mta4.net.
96.45.68.181 g181.mxout.mta4.net.
96.45.68.182 mail1.nachtboetiek.nl.
96.45.68.183 g183.mxout.mta4.net.
96.45.68.184 mta.emofree.com.
96.45.68.185 g185.mxout.mta4.net.
96.45.68.186 g186.mxout.mta4.net.
96.45.68.187 g187.mxout.mta4.net.
96.45.68.188 mail188.click-jordan.com.
96.45.68.189 mail189.click-jordan.com.
96.45.68.190 mail190.click-jordan.com.
96.45.68.191 96-45-68-191-bcast.reverse.ezzi.net.
96.45.68.192 96-45-68-192-block.reverse.ezzi.net.
96.45.68.193 h193.mxout.mta4.net.
96.45.68.194 h194.mxout.mta4.net.
96.45.68.195 h195.mxout.mta4.net.
96.45.68.196 mailing.loveinc.org.
96.45.68.197 mail1.suave.it.
96.45.68.198 h198.mxout.mta4.net.
96.45.68.199 h199.mxout.mta4.net.
96.45.68.200 mail1.bridgewebsemail.com.
96.45.68.201 mta.brandweerrooster.nl.
96.45.68.202 mail3.emailproject.fr.
96.45.68.203 mail4.emailproject.fr.
96.45.68.204 mail5.emailproject.fr.
96.45.68.205 h205.mxout.mta4.net.
96.45.68.206 mail206.click-jordan.com.
96.45.68.207 mail207.click-jordan.com.
96.45.68.208 mail208.click-jordan.com.
96.45.68.209 mail.focalpointnewsletters.com.
96.45.68.210 h210.mxout.mta4.net.
96.45.68.211 h211.mxout.mta4.net.
96.45.68.212 h212.mxout.mta4.net.
96.45.68.213 h213.mxout.mta4.net.
96.45.68.214 mail2.kingtonez.club.
96.45.68.215 h215.mxout.mta4.net.
96.45.68.216 h216.mxout.mta4.net.
96.45.68.217 h217.mxout.mta4.net.
96.45.68.218 h218.mxout.mta4.net.
96.45.68.219 h219.mxout.mta4.net.
96.45.68.220 mail1.gotofficials.com.
96.45.68.221 h221.mxout.mta4.net.
96.45.68.222 h222.mxout.mta4.net.
96.45.68.223 h223.mxout.mta4.net.
96.45.68.224 h224.mxout.mta4.net.
96.45.68.225 h225.mxout.mta4.net.
96.45.68.226 h226.mxout.mta4.net.
96.45.68.227 h227.mxout.mta4.net.
96.45.68.228 mail1.carports.com.
96.45.68.229 mail1.farwesterndistrict.org.
96.45.68.230 h230.mxout.mta4.net.
96.45.68.231 mail1.kingtonez.eu.
96.45.68.232 h232.mxout.mta4.net.
96.45.68.233 mail2.viewit.ca.
96.45.68.234 h234.mxout.mta4.net.
96.45.68.235 h235.mxout.mta4.net.
96.45.68.236 h236.mxout.mta4.net.
96.45.68.237 h237.mxout.mta4.net.
96.45.68.238 h238.mxout.mta4.net.
96.45.68.239 h239.mxout.mta4.net.
96.45.68.240 h240.mxout.mta4.net.
96.45.68.241 h241.mxout.mta4.net.
96.45.68.242 email.tat-oo.fr.
96.45.68.243 mail1.1mobility.com.
96.45.68.244 h244.mxout.mta4.net.
96.45.68.245 mail1.bia-genomics.net.
96.45.68.246 mta.gritmobilestrategies.com.
96.45.68.247 mta.jobdonelocal.com.
96.45.68.248 mail2.livehealthydaily.com.
96.45.68.249 h249.mxout.mta4.net.
96.45.68.250 h250.mxout.mta4.net.
96.45.68.251 h251.mxout.mta4.net.
96.45.68.252 h252.mxout.mta4.net.
96.45.68.253 mta.zeguestlist.com.
96.45.68.254 h254.mxout.mta4.net.
96.45.68.255 96-45-68-255-bcast.reverse.ezzi.net.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.