'Twintig internetproviders zijn verantwoordelijk voor helft spam'
De helft van het aantal spamberichten dat wereldwijd wordt verzonden, is te herleiden naar twintig verschillende isp's. Dat ontdekte een onderzoeker aan de Universiteit Twente. Eén internetprovider maakt het wel heel bont: 62 procent van zijn ip-adressen verzond spam.
Van de 42.200 verschillende internet service providers die onderzoeker Giovane César Moreira Moura van de Universiteit Twente onderzocht, waren er slechts twintig verantwoordelijk voor de helft van alle spam, phishing-mails en andere ongewenste e-mail. Dat schrijft de onderzoeker in zijn proefschrift.
Veel van de 'spamproviders' waren gevestigd in India, Vietnam en Brazilië. De internetprovider van wiens netwerk de meeste misbruik wordt gemaakt, is het Nigeriaanse Spectranet. Maar liefst 62 procent van de ip-adressen die die provider beheert, blijkt spam te verzenden.
Volgens de onderzoeker is het internet vergelijkbaar met een stad, waarbij in bepaalde delen meer criminaliteit voorkomt dan in andere. Net zoals inwoners bepaalde delen uit voorzorg ontwijken, kunnen netwerkbeheerders meer rekening houden met de herkomst van internetverkeer, denkt hij. Zo is de kans groter dat een e-mailbericht phishing betreft als dit van een Amerikaanse provider komt, terwijl 'normale' spammails vooral van Aziatische providers komen.
Reacties (39)
Tja er is sowieso al weinig handhaving in dat soort landen, laat staan digitale opsporing en handhaving. Criminelen spelen daar handig op in door zo'n provider op te richten.
Eens in de tijd komt er dan een Amerikaanse handelsdelegatie langs die dit aankaart bij de regering en dan wordt de boel opgerold omdat ze anders ontwikkelingshulp gaan verliezen en dan gaan de spammers door naar een ander land.
Eens in de tijd komt er dan een Amerikaanse handelsdelegatie langs die dit aankaart bij de regering en dan wordt de boel opgerold omdat ze anders ontwikkelingshulp gaan verliezen en dan gaan de spammers door naar een ander land.
[Reactie gewijzigd door GrooV op vrijdag 15 maart 2013 16:43]
Blokkeer poort 25 en klaar.
Zo moeilijk is dat toch niet?
Zo moeilijk is dat toch niet?
Poort 25 blokkeren in een datacenter? Zullen de klanten leuk vinden.
Nee, poort 25 blokkeren van de DSL/kabel verbindinden naar buiten het netwerk van de provider. Heeft niets met datacenters te maken. Voor zakelijke klanten kun je het eventueel openzetten, maar die kunnen ook SMTP-over-SSL (poort 456 dacht ik) gebruiken... Wat voor consumenten ook al vaak wordt gebruikt naar de provider-SMTP.
Normaal wordt het andersom gedaan, dus geen mail van buiten eigen netwerk accepteren met uitzondering van andere SMTP-servers als ze een bericht voor een van je users hebben.
Verbindingen uit je eigen netwerk naar een mailserver buiten je eigen netwerk laat je met rust, dat mag de ontvangende partij controleren. Als er een abuse melding binnenkomt handel je dat dan wel af.
Als alle ISP's nu inderdaad SMTP_AUTH over SSL zouden gebruiken dan zou er, naast hogere eisen voor je eigen datacenter, in ieder geval een keten van vertrouwen zijn vanaf user naar je server en kun je netwerk agnostisch werken en toch de veiligheid waarborgen. Dan kun je sowieso fijnmaziger filteren op users en hoef je niet direct te filteren op mailruns en kun je users makkelijker per account afsluiten als dat nodig blijkt.
Vziw doet alleen XS4All dit op het moment, maar kan me vergissen.
Verbindingen uit je eigen netwerk naar een mailserver buiten je eigen netwerk laat je met rust, dat mag de ontvangende partij controleren. Als er een abuse melding binnenkomt handel je dat dan wel af.
Als alle ISP's nu inderdaad SMTP_AUTH over SSL zouden gebruiken dan zou er, naast hogere eisen voor je eigen datacenter, in ieder geval een keten van vertrouwen zijn vanaf user naar je server en kun je netwerk agnostisch werken en toch de veiligheid waarborgen. Dan kun je sowieso fijnmaziger filteren op users en hoef je niet direct te filteren op mailruns en kun je users makkelijker per account afsluiten als dat nodig blijkt.
Vziw doet alleen XS4All dit op het moment, maar kan me vergissen.
Hoe wouw je dan mail ontvangen?
Mail ontvangen doe je met POP3 of IMAP, geen daarvan gaan over poort 25. Versturen gaat wel over 25, maar dat laat je dan alleen toe naar de eigen SMTP server (dus poort 25 naar "buiten" blokkeer je).
En een provider heeft mij te vertellen dat ik mail moet versturen via zijn server ipv mijn eigen server of zo ?
Ik dacht toch van niet.
Ik dacht toch van niet.
Als je zelf een mailserver draait (sendmail bv.) wordt mail toch echt bezorgd door een inbound verbinding over poort 25 te maken naar jouw server.Mail ontvangen doe je met POP3 of IMAP, geen daarvan gaan over poort 25. Versturen gaat wel over 25, maar dat laat je dan alleen toe naar de eigen SMTP server (dus poort 25 naar "buiten" blokkeer je).
Je moet alleen zorgen voor een zinnige mailserver-configuratie die niet zo maar alle mail doorstuurt maar alleen mail voor je eigen domein accepteert.
Mail word niet ontvangen op POP3 of IMAP die word ontvangen op de mailserver en die kun je vervolgens uitlezen via POP3 of IMAP. Klein verschil dus mail komt wel degelijk binnen op poort 25 en gaat ook er uit via poort 25.
Maar zelfs bij een zakelijk account van ziggo kan je geen mails versturen dit moet via smtp.ziggo.nl om maar een voorbeeld te geven.
Maar zelfs bij een zakelijk account van ziggo kan je geen mails versturen dit moet via smtp.ziggo.nl om maar een voorbeeld te geven.
Nee als we toch gaan mieren..
mail gaat er uit op een random poort en komt binnen op poort 25
Ik kan btw wel degelijk verbinden naar poort 25 met xms.
mail gaat er uit op een random poort en komt binnen op poort 25
Ik kan btw wel degelijk verbinden naar poort 25 met xms.
heb zo het vermoeden dat Moreira Moura en Giovane César geen Nederlanders zijn, maar slechts werkzaam bij de UT.
sterker nog, dit zijn niet eens twee personen:
http://wwwhome.cs.utwente.nl/~mourag/
sterker nog, dit zijn niet eens twee personen:
http://wwwhome.cs.utwente.nl/~mourag/
[Reactie gewijzigd door justinkb op vrijdag 15 maart 2013 16:46]
Het betreft dus Mr. Moura met de voornamen Giovane César Moreira.
G.C.M. Moura
G.C.M. Moura
Waarschijnlijk heeft iemand de (doop?)namen in een verkeerd veld in het cms gerammeld.Giovane César Moreira Moura was born in Goiânia, the capital of the state of Goiás, Brazil,
in 1981. He has obtained a degree in Computer Engineering from the Federal University
of Goiás (UFG), in 2006
[Reactie gewijzigd door Mr_Light op vrijdag 15 maart 2013 17:12]
Volgens mij toch wel Giovane César als voornaam en Moreira Moura als achternaam. In Brazilië hebben de meeste mensen een dubbele achternaam (naam van moeder en naam van vader)
Tsja, en wie weet heeft hij de NL nationaliteit. Alsof het boeiend is wat hij nou precies is.
Nigeria ... lol ...
Misschien de ISPs dwingen sancties op te leggen aan hun gebruikers?
Overigens :
is het Nigeriaanse Spectranet. Maar liefst 62 procent va
terwijl 'normale' spammails vooral van Aziatische providers komen
dacht dat Nigeria een Afrikaans land was
Misschien de ISPs dwingen sancties op te leggen aan hun gebruikers?
Overigens :
is het Nigeriaanse Spectranet. Maar liefst 62 procent va
terwijl 'normale' spammails vooral van Aziatische providers komen
dacht dat Nigeria een Afrikaans land was
ik denk dat ze er op doelen met "normale" spammails reclame. Nigeria zal meer phishing sturen, en er zijn ook veel scammers actief in nigeria.
Die ¤200 voor de Nigeriaanse prins heb ik natuurlijk ook nooit teruggezien. Damn.
Statistiek is moeilijk 
62% van de IP adressen van die Afrikaanse provider, niet 62% van de spam ...
62% van de IP adressen van die Afrikaanse provider, niet 62% van de spam ...
Oepsie ... inderdaad ... mijn fout ... komt ervan om tijdens het tweakers lezen af en toe afgeleid te zijn door te werken he
Op het moment dat nigeria van het web zou worden afgesloten daalt de wereldwijde ellende door phishing, scams, veiling oplichting, prijzen winnen / Gifts (Marktplaats anyone ?) etc. zo hard dat we ons er enorm over zouden verbazen.
Dat land leeft van oplichting en ze zijn er nog trots op ook.....
Wel goed dat deze onderzoeker hier duidelijkheid in geeft....
@hieronder: Het is een feit dat bv Marktplaats Oplichtingsplaats extreem veel Nigeriaanse ellende kent, terwijl ik nog nooit berichten heb gehad voor "gifts" uit Azie....
Dat land leeft van oplichting en ze zijn er nog trots op ook.....
Wel goed dat deze onderzoeker hier duidelijkheid in geeft....
@hieronder: Het is een feit dat bv Marktplaats Oplichtingsplaats extreem veel Nigeriaanse ellende kent, terwijl ik nog nooit berichten heb gehad voor "gifts" uit Azie....
[Reactie gewijzigd door trm0001 op vrijdag 15 maart 2013 19:37]
Nou, niet echt.
Het staat bij ons zo bekend als oplichtland. Maar hoeveel spam bestaat er wel niet over enlarge your manhood en weet ik het wat, die verder niks met Nigeria te maken hebben?
Als die Nigeriaanse ISP 100 aansluitingen heeft, en er daar 62 van spam verzenden zit je al op je 62%.
Als die Aziatische isp's samen 1 miljoen aansluitingen hebben en er daar maar 1% van spam versturen, welke zou dan het meeste spam versturen denk je?
Die 62% van die Nigeriaanse isp is meer een leuke anekdote dan iets waar je conclusies uit kan trekken.
Het staat bij ons zo bekend als oplichtland. Maar hoeveel spam bestaat er wel niet over enlarge your manhood en weet ik het wat, die verder niks met Nigeria te maken hebben?
Als die Nigeriaanse ISP 100 aansluitingen heeft, en er daar 62 van spam verzenden zit je al op je 62%.
Als die Aziatische isp's samen 1 miljoen aansluitingen hebben en er daar maar 1% van spam versturen, welke zou dan het meeste spam versturen denk je?
Die 62% van die Nigeriaanse isp is meer een leuke anekdote dan iets waar je conclusies uit kan trekken.
hup al die ip ranges in de NL routers op AMS-IX en overige internet Hubs in de blocker!
Dat lijkt me niet handig, want dan tref je ook enorme aantallen mensen die géén spam verzenden. Lijkt me, héél zacht uitgedrukt, niet echt wenselijk 
Ach, lange tijd hebben in de begintijd van internet veel Europese ISP's ook gewoon hardcoded AOL geblokeerd.
En het beleid zoals ZennOX wordt in de praktijk ook al vaak gedaan. Meeste grote bedrijven maken gebruik van 3rd party diensten die automatisch hele domeinen blokkeren. KPN komt daar ook vaak in voor, zodat KPN mail (inclusief HetNet, etc) naar Amerikaanse multinationals vaak geblokeerd werd. Geen grote paniek onder KPN of diens gebruikers.
En het beleid zoals ZennOX wordt in de praktijk ook al vaak gedaan. Meeste grote bedrijven maken gebruik van 3rd party diensten die automatisch hele domeinen blokkeren. KPN komt daar ook vaak in voor, zodat KPN mail (inclusief HetNet, etc) naar Amerikaanse multinationals vaak geblokeerd werd. Geen grote paniek onder KPN of diens gebruikers.
Die vergelijking gaat niet geheel op. In jouw voorbeeld blokkeer je alleen de mail, maar XennOX's voorstel komt neer op een totale blokkade (dus niet alleen mail, maar *alle* verkeer) van die adressen, waardoor je die mensen dus de toegang tot (een deel van) Internet ontzegt.
Daarnaast is jouw voorbeeld (relatief) eenvoudig ongedaan te maken (door geen/andere blacklist te gebruiken of te laten de-listen), maar in dit geval kan dat dus niet.
En dat lijkt me niet de bedoeling, iets met vrijheid van informatie enzo, dat ook voor de (niet-spammende) abonnees van betreffende ISP's geld. Het zou de facto neerkomen op censuur, omdat je mensen in hun vrijheden beperkt.
Daarnaast is jouw voorbeeld (relatief) eenvoudig ongedaan te maken (door geen/andere blacklist te gebruiken of te laten de-listen), maar in dit geval kan dat dus niet.
En dat lijkt me niet de bedoeling, iets met vrijheid van informatie enzo, dat ook voor de (niet-spammende) abonnees van betreffende ISP's geld. Het zou de facto neerkomen op censuur, omdat je mensen in hun vrijheden beperkt.
[Reactie gewijzigd door wildhagen op vrijdag 15 maart 2013 17:16]
Bla bla vrijheid bla.
Vast wel. Maar iedere keer dat ik weer eens een scan of echte inbraakpoging vanuit azie op mijn server detecteer gooi ik het hele subnet op de blacklist, ongeacht hoe groot dat subnet is. Ondertussen is half china geblokkerd, de andere helft lijkt me een kwestie van tijd.
Er zouden meer BOFH's moeten zijn, vooral bij grote providers, dat zou al die spam ellende een stuk verminderen. (Denk ik)
Vast wel. Maar iedere keer dat ik weer eens een scan of echte inbraakpoging vanuit azie op mijn server detecteer gooi ik het hele subnet op de blacklist, ongeacht hoe groot dat subnet is. Ondertussen is half china geblokkerd, de andere helft lijkt me een kwestie van tijd.
Er zouden meer BOFH's moeten zijn, vooral bij grote providers, dat zou al die spam ellende een stuk verminderen. (Denk ik)
Vraag me af of bij die providers poort 25 ook niet gewoon open staat op de relay zodat ieder willekeurig scriptje wat gehosted wordt kán spammen?
Het zal niet direct bij de providers zelf zijn, maar bij de klanten van de providers. Iemand die op een gare windows 98 bak werkt heeft een beveiliging die geen klap waard is, dikke kans dat je daar gewoon nog met een javascript op een website lokaal code kan uitvoeren. Dan is het installeren van een mail relay natuurlijk een koud kunstje.Vraag me af of bij die providers poort 25 ook niet gewoon open staat op de relay zodat ieder willekeurig scriptje wat gehosted wordt kán spammen?
Al zouden die providers er verstandig aan doen om abonnees die spammen gewoon af te sluiten. Dat gebeurt hier in NL ook. Zo heb ik laatst nog bij een vriend op de woonvorm van bijna alle bewoners de laptops en PCs schoongemaakt omdat er een paar tussen zaten die besmet waren.
XS4All had gewoon zonder pardon de hele woonvorm (zit op 1 lijn) afgesloten en alles wat mensen te zien kregen was een pagina van XS4All waarop werd uitgelegd dat de verbinding was afgesloten tot er wat wordt gedaan aan de besmetting van PCs op het achtergelegen netwerk.
Als voormalig medewerker van de helpdesk van een isp kan ik dat bevestigen. En terecht ook. Anders doen een hoop mensen er toch niks aan (ze voelen het zelf niet).
Vaak gaan mensen dan lopen klagen dat ze zomaar afgesloten zijn (of dat hun mailadres tijdelijk geblokeerd is als het puur het mailadres is) dat ze dat maar niet vinden kunnen. En maar niet snappen dat als dat niet gedaan werd ook hun inbox dagelijks een stuk voller zou zitten met spammails (omdat die dan vaak van bekenden afkomen en dus niet geblockt worden).
Maar gelukkig begrijpen een hoop mensen het ook wel als je het zo uitlegt.
Vaak gaan mensen dan lopen klagen dat ze zomaar afgesloten zijn (of dat hun mailadres tijdelijk geblokeerd is als het puur het mailadres is) dat ze dat maar niet vinden kunnen. En maar niet snappen dat als dat niet gedaan werd ook hun inbox dagelijks een stuk voller zou zitten met spammails (omdat die dan vaak van bekenden afkomen en dus niet geblockt worden).
Maar gelukkig begrijpen een hoop mensen het ook wel als je het zo uitlegt.
[Reactie gewijzigd door crizyz op vrijdag 15 maart 2013 18:58]
Het betreft hier niet zoals het artikel meldt meerdere, maar slechts 1 onderzoeker.
En zijn volledige naam is Giovane César Moreira Moura. Een proefschrift schrijf je doorgaans namelijk ook alleen
En zijn volledige naam is Giovane César Moreira Moura. Een proefschrift schrijf je doorgaans namelijk ook alleen
Tja, al die Nigeriaanse prinsen die hun geld moeten verstoppen, dat zal wel een hele hoop false positives opleveren in dit onderzoek.
Zou er een reden zijn om Nigeria niet af te sluiten van ons email verkeer? Ik neem dat er eigenlijk zo goed al geen business uit komt dat naar west Europe gaat. Behalve Shell e.d. maar die hebben eigen mailfaciliteiten.
warem sluiten ze die providers niet?
Net neutraliteit is een groot goed.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
