Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties
Bron: ORDB

Terwijl de hoeveelheid spam maar blijft groeien, vinden de makers van de ORDB-blacklist dat ze wel wat beters te doen hebben. Deze week is de stekker uit de Open Relay DataBase-servers getrokken.

Verdrinken in spam Het project werd vijfeneenhalf jaar geleden in het leven geroepen om de verspreiding van spam bij de bron aan te pakken. In de ORDB werden servers opgenomen die als 'open relay' fungeerden, wat wil zeggen dat ze mail van willekeurig welke afzender doorstuurden. Deze functionaliteit - menigeen zal tegenwoordig eerder van 'configuratiefout' spreken - maakte het voor spammers mogelijk om grote hoeveelheden ongewenste e-mail te versturen zonder dat ze daarop aangesproken konden worden. Door categorisch alle mail te weigeren van ip-adressen waarop een dergelijke server actief was, kon een forse hap van de ongewenste mail worden tegengehouden. Het gebruik van dergelijke blacklists was nooit helemaal onomstreden: met name de lijst van Spamcop haalde regelmatig het nieuws omdat onomstreden mailverstuurders als Gmail en Xs4all als spambronnen werden aangemerkt.

Tijden veranderen, en zo ook de methodes die spammers gebruiken: het aandeel dat botnets in de spamverspreiding hebben, groeit de laatste tijd sterk. Door particuliere pc's te hacken en als mailserver in te richten, onttrekken malafide mailverstuurders zich aan blacklists als die van ORDB: niet alleen hebben particulieren vaak een dynamisch ip-adres, zodat opname in een blacklist in feite zinloos is, maar het zijn er ook domweg te veel. De handmatige controle van te blokkeren adressen kostte zoveel tijd en leverde desondanks zo weinig op, dat de ORDB-maintainers hebben besloten om wat nuttigers met hun tijd te gaan doen. Dynamische filters, greylisting en geauthentificeerde mail zijn betere methoden, denken ze, en daarom zal ordb.org de jaarwisseling niet meer meemaken.

Lees meer over

Gerelateerde content

Alle gerelateerde content (32)
Moderatie-faq Wijzig weergave

Reacties (68)

Misschien wordt het tijd dat providers geen mailserver connecties accepteren anders dan op uitdrukkelijk verzoek.
Ofwel standaard kan je geen mailserver aan het net hangen pas na verzoek aan de ISP
En hoe gaan we dat controleren wijsneus?

Gewoon even poort 25 (uit me hoofd..) afsluiten is niet de optie.

Mocht je een lijst met legitieme mailservers bedoelen die bekend is bij elke mailserver.. dat betekend dus een project van de omvang van DNS. Bijne elk bedrijf en elke provider heeft een mailserver. En dan de homebrewers niet te vergeten die zelf wat hosten.

Mischien is het de moeite waard aangezien er nogsteeds 0,02% van de mensen op spam reageert, en het probleem blijft groeien. Keerzijde is: Wie gaat bepalen wie legitiem is, en het is (daar isie weer) weer beperking van vrijheid, omdat er een handje vol mensen misbruik van een medium maakt.
Orange heeft in haar netwerk geconfigureerd dat poort 25 naar buiten toe voor abonnees idd dicht staat en dat uitgaande mail dus altijd via de orange smtp server verstuurd moet worden. De botnetjes werken dan dus niet aangezien die meestal niet zo intelligent zijn dat ze een relay host kunnen gebruiken (en Orange kan natuurlijk heel snel opmerken als iemand zijn smtp server aan het bombarderen is en die abonnee afsluiten). Het is best een forse maatregel, maar eerlijk gezegd sta ik er wel achter.
Een mailspam server kan op elke poort draaien die er maar bestaat, als de spam op een later punt maar weer relayed wordt door een server op port 25.

Orange heeft enorm veel spammers.
een aantal ISP's in nederland blockt poort25, echter heeft dat weinig invloed op het aantal open relays(unpatched windows).
Dit gebeurt al, bijna alle KPN isp's (Planet, Hetnet, muv Xs4all) doen dit. @Home meen ik ook. Deze isp's hebben poort 25 dichtstaan, maar dit is dus alleen voor ontvangen dacht ik.. Je kan dan wel altijd een mailrelay met een lagere prio gebruiken die de mail alsnog aflevert op je mailbak.

Niettemin is dit een vorm van censuur en dient dit paardenmiddel geen gemeengoed te worden bij de serieuze isp's die wel een goede draaiende abuse afdeling hebben..
Je kunt gewoon via de wxs servers mail versturen met behulp van wat telnet commando's, zonder dat je inlogt op die systemen.
Zolang het mailtje maar een geldige afzendernaam of een geldig ontvangstnaam heeft, die behoord bij die wxs servers, wordt het dus wel doorgestuurd.

En dan ben ik gewoon een leek in dat email gedoe.
Maar kon dus gewoon mailtje maken via telnet op die mail servers en naar een adres sturen.
En ja, volgens mij moest ik dus telnetten naar iets met poort 25 erop.
En wxs is dus van planet.

Meeste spam wat ik tegenwoordig ontvang is rejected mails, omdat een of andere kut mongool mn email in de from tag heeft :(
Aan de ene kant jammer. Elke Blacklist hielp, maar aan de andere kant hielp de ordb lijst de laatste jaren inderdaad niet zo veel meer. Ik gebruikte 'm daarom ook niet meer. De blacklists van Spamhaus en Spamcop presteerden beter.

Overigens is Spamhaus bezig met een project, Policy Block List (PBL), waarbij reeksen van dynamische IP adressen bij providers op de lijst komen. Als jij als eigenaar van een semi-vast dynamisch IP adres wel legitieme mail verstuurd kun je je laten de-listen, maar al die mensen die onwetend miljoenen spams versturen vanaf hun dynamische IP adres worden dan wel geblokt. Ik ben heel benieuwd of dit gaat werken. Uiteindelijk is blacklisten op afzender IP beter dan welk content filter dan ook.
nah, dan spoofen ze de ip weer --- het is een wapenwedloop, uiteindelijk gaat de 95% gewone internetters niet kunnen volgen en onweten spam versturen.
IP spoofen lukt niet zomaar bij TCP, maar alleen bij eenrichtingsverkeer als UDP. Het antwoord komt namelijk niet terug als de geadresseerde fout is. Bovendien filteren veel ISP's data met een gespoofde afzender..

Spamhaus heeft inderdaad een uitstekende blacklist.
sbl-xbl.spamhaus.org houdt 90% tegen en list.dsbl.org nog eens de helft van wat spamhous niet opmerkt.
Sorbs is niet aan te raden, geeft veel false positives.
Op http://www.robtex.com/rbls/ kun je handmatig een IP checken tegen vele blacklists tegelijk.
Oplossingen aan de ontvangende kant zijn prima en noodzakelijk maar het meest effectief is inderdaad om het onkruid bij de wortel aan te pakken: de spammer zelf.

zwaardere straffen, betere wetgeving, meer actieve opsporing en vervolging

het worden er minder, maar er zijn helaas helaas nog steeds wettelijke spamparadijzen lijkt me waar spammers zonder concequenties hun gang kunnen gaan.
Goed idee, maar volgens mij is het niet mogelijk om het alleen met betere wetgeving, meer actieve opsporing en vervolging te regelen. Er zullen altijd landen zijn die daar niet aan meewerken.

Maar misschien een idee om die landen dan maar in z'n geheel op de blacklist te zetten? Ik verwacht toch geen gewenste mail uit een hakkie-takkie land... :)
Maar probleem is vaak, dat het zeer onduidelijk is WIE de spammer is.
Veel te veel open relays en andere opties om sporen te verbergen.
ORDB wordt erg bedankt voor de afgelopen jaren, onze mailservers hebben er altijd gebruik van gemaakt. Jammer dat de manier van communiceren over het stoppen van de dienst zo mager is. Een emailtje aan de abuse@IP_address die gebruik maken van de service had ook wel gemogen.

Hmm.. Heeft dit soms stiekem iets te maken met de Chello 'storing' (lees: spamproblemen) en Spam golf ? ;)

http://www.nu.nl/news/924...ederlandse_providers.html

en

http://www.nu.nl/news.jsp?n=923088&c=50
Een emailtje aan de abuse@IP_address die gebruik maken van de service had ook wel gemogen.
Ik heb netjes een waarschuwing gekregen hoor.
* judgem is blij dat hij zijn Chello mailadres nooit geactiveerd heeft :7
Het project werd vijfeneenhalf jaar geleden in het leven geroepen om de verspreiding van spam bij de bron aan te pakken.

Open relay servers zijn volgens mij niet de bron maar de spammer die zijn opdracht naar deze servers stuurt. En als je nog verder gaat kijken moet je de opdrachtgevers voor de spammails anpaken wat in veel gevallen makkelijker opspoorbaar is dan de spammer.
"Na Web2.0 nu tijd voor Mail2.0"
Wat gaan ze hier dan tegen doen? De beste manier is gewoon om de woorden in een inbox te checken die het meeste voorkomen. Ik maak me ernstige zorgen rond de spam-ontwikkeling. Straks krijgt het een dominante positie in de internetwereld en moet men rekening gaan houden met 'spam-delays'...
Op het ogenblik dat jij de woorden in je inbox checkt is de mail al ontvangen en dat is dus GEEN oplossing.
Ik wil die mail helemaal niet ontvangen, ik wil zelfs niet hebben dat m'n mailserver de verbinding accepteert die een spammer probeert op te bouwen.
Dat is de reden waarom ik bijvoorbeeld geen spamfilters gebruik, maar alleen blacklists en een greylist.
Ik vind dat [u]WEL[/u] een oplossing. Ik kan het me niet veroorloven mails niet te ontvangen. Ik wil ze (eventueel geflagd) wel hebben, en dan kan ik altijd nog zelf bepalen of het spam is. False positives (geen spam, niet ontvangen) zijn bij mij veel erger dan false negatives (wel spam, wel ontvangen).
En je weet dat een account zonder enige vorm van filtering al gauw 100+ spammails per dag ontvangt? (beetje n00b-gebruiker krijgt het al snel op 200 door zijn/haar email adres aan jan-en-alleman te geven).
helaas zijn de meeste SPAM mailtjes tegenwoordig niet meer te 'flaggen' d.m.v. woorden! Ze gebruiken namelijk plaatjes...
Ook de subject's worden steeds moeilijker om te blokkeren. Soms klik ik al zo'n mailtje omdat ik denk dat het iets belangrijks was van een buitenlandse klant o.i.d.
Zo denken helaas (te) velen erover. Bekijk het eens op deze manier:
  • Als jij besluit om mail van aanbieders die op een Blacklist staan te weigeren, gaat dat mailtje, indien het een legitieme afzender is) terug naar de afzender die een bericht krijgt dat zijn/haar mailtje niet afgeleverd kon worden om een meestal meegegeven reden.
  • Als je besluit om mail wel te accepteren maar in een spam mailbox binnen te laten komen, zul je regelmatig die mailbox moeten checken om daar de weinig false positives tussenuit te pikken. Daar gaat vaak tijd inzitten en soms mis je ze, terwijl de afzender denkt dat zijn mailtje gewoon is aangekomen en dus een reactie verwacht.
  • Als je besluit om je mail alleen te taggen en wel in je inbox te laten komen, is voor velen de verhouding tussen spam en ham zo ver zoek dat je de ham nauwelijks nog terug vind wat dus ook het gevaar heeft dat je legitieme mail mist.
Het voordeel van methode 1 is verder dat de afzender erop wordt gewezen dat zijn/haar provider of bedrijf op een blacklist staat en er dus actie ondernomen moet worden. Daarnaast is die methode voor het netwerk van alle betrokkenen verreweg het beste.
Ik denk dus dat het belangrijk is te realiseren dat bij blacklisting jij misschien niet weet of je een false positive hebt, maar de afzender dit wel weet.
Dan kun je ze nog steeds flaggen hoor, ook voor plaatjes zijn er anti-spam oplossingen :) (kost alleen een berg meer CPU-tijd)

En juist daarom is het geen oplossing, de gemiddelde ISP gaat geen 100 zware servers neerzetten alleen omdat hij op picturespam wil checken.. ;)
Klaus wat je schrijft gaat al lang niet meer op.
Ik heb een Wanadoo/Orange account.
Mijn hoofd email adress kent niemand behalve wanadoo.
Al mijn e-mailen doe ik via een alias.
Binnen een paar maanden zat mijn mailbox al stampvol op dat geheime adres.
a) Spammers en hun botnets hoeven mail-adressen niet te weten, ze bruteforcen de boel gewoon. En gemiddeld domein ontvangt per dag 500+ mails waarvan de meeste To: adressen niet kloppen / niet bestaan.

b) Spammer is slim en zet tijdelijk geheel automatisch een geldig gratis email-adres op. Spammer verstuurr spam naar je alias met dat geldige gratis geautomatiseerde email-adres als MAIL FROM. Mailserver van je alias accepteerd spam (en voegt eventueel wat Headers toe die aangeven dat het vermoedelijk om spam gaat, bouncen zal die niet doen tenzij het verzenden IP-adres op een blacklist staat). Mailserver van je alias stuurt het bericht door naar je Wanadoo/Orange Mailserver. Die bounced het bericht wel -als zijnde spam- en dus stuurt de Mailserver van je alias-mail adres netjes de bounce door naar het tijdelijk geheel geautomatiseerde ontvangst-adres van de spammer, die op zijn beurt geheel automatisch het geheime adres uit de bounce haalt en vervolgens doorverkoopt voor 0.00001 cent. Tot zover je geheime email-adres.
@Han van Vilsteren
Ik zou dan alle IP addressen vanuit die apenlanden in een blacklist willen hebben staan (alle subnetten uit afrika bv om eens mee te beginnen).
Wat is dit nou voor een schandalige opmerking die je hier maakt?! Los van het feit dat de meeste spam niet eens uit dergelijke landen komt. Lees je eens in de materie. |:(

Bah! Walgelijk. :r
Klaus wat je schrijft gaat al lang niet meer op.
Ik heb een Wanadoo/Orange account.
Mijn hoofd email adress kent niemand behalve wanadoo.
Al mijn e-mailen doe ik via een alias.
Binnen een paar maanden zat mijn mailbox al stampvol op dat geheime adres.
Ik zat tot 2 weken geleden inderdaad ook rond de 100. Nu pak em beet 8 tot 10 per dag.. zomaar. Ik heb nergens filters staan, ook niet bij mijn ISP. Dus ik zie eigenlijk ineens een sterke terugval in SPAM. Ik wil ook alles zien wat evt gefilterd word. False positives kan en wil ik niet missen.
helaas zijn de meeste SPAM mailtjes tegenwoordig niet meer te 'flaggen' d.m.v. woorden! Ze gebruiken namelijk plaatjes...
Thunderbird doet het op mijn pc alvast uitstekend. Nochtans werken heel wat van die spammails met plaatjes.
Mailservers die op een blacklist staan, die horen blijkbaar geen mail te versturen. Als het een echt belangrijke mailserver is dan zorg je als beheerder wel dat deze van de blacklist afkomt, zo niet, dan kan het kortweg nooit belangrijk zijn.

Om even aan te geven hoe goed het werkt:
Ik heb het afgelopen jaar 4x een spammail binnengekregen. En toevallig al die keren lag m'n greylist eruit omdat ik met m'n mysql server aan het kloten was.
Ik heb 1x van iemand te horen gekregen dat er mail niet was doorgekomen van haar. Even gekeken waar het aan lag en het was een overactieve blacklist. Die gebruik ik nu dus niet meer, er zijn nog zat andere.
Resultaat: ik heb geen probleem dat m'n bandbreedte wordt gebruikt om spam te ontvangen, ik hoef zelf nergens mailtjes tussenuit te vissen en ik heb nauwelijks cpu kracht nodig om mailtjes te gaan filteren. 3x winst t.o.z. spamassassin of andere programmas die de filtering pas toepassen wanneer het mailtje al is ontvangen.
helaas zijn de meeste SPAM mailtjes tegenwoordig niet meer te 'flaggen' d.m.v. woorden! Ze gebruiken namelijk plaatjes...
Dan kun je ze nog steeds flaggen hoor, ook voor plaatjes zijn er anti-spam oplossingen :-) (kost alleen een berg meer CPU-tijd)
En je aliassen (die alle mail weer redirecten naar je hoofemail box, tenzij je eigenlijk een sub-account bedoelt) heb je wel 'gepubliceerd'? :Z
Veel makkelijker: alle zooi met 1 plaatje weigeren. Dan heb je (voorlopig...) het gros wel te pakken.
Als mail beheerder kan ik zeggen dat wij de laatste tijd overstormd worden door emails met het wel of niet aankopen van aandelen. Dit zijn de emails waarin de text als plaatje word voorgesteld en waar de letters in een sinus beweging op een regel staan. Hier is bijna niets aan te doen. Als ik van deze duizenden emails er willekeurig 10 tallen controleer en kijk dmv whois via welke ISP's ze worden verstuurd dan zijn het allemaal afrikaanse landen Tunesie Egypte Algerije en zo kan ik wel even doorgaan. Klachten richting abuse@deze.isp's hebben tot op heden niets opgeleverd. Toevallig komen in deze landen allemaal apen voor :-)

Nee zonder gekheid als hier blacklists gehanteerd zouden worden van de ISP's die deze spam mail toelaten zal de druk uiteindelijk toenemen om dit toch aan te pakken.

Dat jij het walchelijk vind kan ik begrijpen maar het is dan toch wel typisch dat multinationals dit toch zwaar overwegen.
Dat is de reden waarom ik bijvoorbeeld geen spamfilters gebruik, maar alleen blacklists en een greylist.
Niet bekend met spamassassin?
Ik ben het mee eens dat dat eigenlijk geen oplossing is. Het kwaad is al binnen. Op mijn computer gebruik ik All-in-One secretmaker. Die kun je trainen, maar kost daardoor wel wat tijd. Aanvankelijk werden mijn mailtjes (waar niets aan spam inzit) gezien als spam door dat ding (als ik mijzelf een BCC stuurde omdat de mail vanaf mijn MDA was verstuurd). Dus ondanks zeer "mooie" technieken is dat soort spul ook niet feilloos.

Daarnaast gooit Microsoft Outlook alles bij de ongewenste e-mail tenzij ik het programma anders "beveel" (ook een beetje paard achter het wagen.... }:O ).

Het grote probleem bij dit alles is dat je ook goede mail gaat verwijderen, omdat die letterlijk verzuipt tussen de spam (wanadoo is een geliefde provider voor spam :? )

Naar mijn idee is er maar één mooie oplossing:
abonnementen goedkoper en per verstuurde email (lees emaladres) 1 cent in rekening brengen. Is en blijft natuurlijk de vraag hoeveel het die spammers oplevert, want er zijn en blijven nog altijd een aantal domme mensen die ingaan op de "aanbiedingen" (waar wordt de meeste Viagra besteld :? ). Misschien moet het dus 2 cent per email worden.......
Alle providers zijn geliefd voor spam, wanadoo heeft gewoon geen (goede) spamfilter.

Ik krijg op mijn @home ook dagelijks spam, maar heb die hebben wel een spamfilter...
99% van de spam komt gewoon van onveilige windows systemen moesten ze nu eens het probleem bij de bron aanpakken...
De bron? De bron zit nog dieper: er is blijkbaar nog steeds een markt voor spam berichten. Zo lang het nog iets oplevert, zal het niet ophouden...
De mensen die hun systeem niet patchen, zomaar "ja" klikken, en geen antivirus hebben uitroeien? Goed idee... :z

Als je doelde op windows veiliger maken: de mensen wiens pc geïnfecteerd is patchen toch niet, dus wat doet het er toe.
Ik lees altijd met verbazing de berichten over de hoeveelheid spam die mensen ontvangen.Mijn pc staat 24/7 aan,en ik surf overal.Ik ontvang hooguit een spam bericht per maand,meer echt niet.Ik gebruik Thunderbird voor mijn e-mail en mijn provider is @Home.
Zou het voor een groot gedeelte aan de mensen zelf liggen die gewoon overal hun e-mail adres achterlaten.Dat lijkt mij oorzaak nummer 1.
Helaas is zorgvuldig met je e-mail adres niet altijd voldoende. Veel spammers sturen namelijk mail naar "miljoenen willekeurige tekenreeksen"@eendomein.ext, grote kans dat jouw adres daar ook tussen zit.

Ook is het niet altijd mogelijk je e-mail geheim te houden, zeker in zakelijk gebruik.

Als je niet meer dan één spam-bericht per maand ontvangt, dan heb je gewoon geluk.
Ook daar zijn oplossingen voor.
Als je server tarpitting gebruikt, dan kunnen ze een brute-force spam attack wel op hun buik schrijven!
Als je altijd binnen blijft zitten kun je ook niet door een auto overreden worden :)

Als je een communicatiemiddel niet kunt gebruiken dan heeft het ook weinig zin om het te hebben.
Ik ben heel trughoudend met mijn emailadressen, maar ontvang toch aardig wat spam per dag

Vooral als je een eigen domein hebt gaan ze gewoon de gangbare adressen af (admin@, info@, ect) :( :( :( :( :(
Ik vind de titel een beetje erg fout: ORDB stopt: 'Blacklist niet effectief tegen spam'

Blacklists werken prima, echter is er geen nut meer voor een open relay blacklist omdat die vorm bijna niet meer voorkomen.

Mischien een betere titel: ORDB stopt: 'SPAM via open relay email bijna uitgebannen'
Daarom staat er ook 'Blacklist niet effectief tegen spam' en niet het meervoud Blacklists. Het gaat hierbij specifiek om de blacklist ORDB.
"EEN BLACKLIST IS NIET EFFECTIEF" is dan ook een gelezen interpretatie en ook fout. Kortom, slechte titel dus die de lading niet dekt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True