Nederlandse provider ontkent betrokkenheid bij aanval op Spamhaus

Toen ik de lijst van cbravo2 eens wat ging onderzoeken kwam ik er achter dat ze niet alleen in de Spamblock SBL staan (dat is de Spamhaus Block List, lijst met IP adressen van spambronnen) maar ook in de DROP list:

Uit mijn eigen log:
spamhaus:Denying 84.22.96.0/19 (SpamHaus DROP block)
spamhaus:Denying 205.189.71.0/24 (SpamHaus DROP block)
spamhaus:Denying 205.189.72.0/23 (SpamHaus DROP block)
De DROP lijst is vanochtend om 4 uur opgehaald en is dus recent.

Dus het is wel iets erger dan dat (volgens Spamhaus dan). De DROP list (Don't Route Or Peer) is een separate lijst waar IP adressen op staan die gestolen zijn. Volgens Spamhaus zijn de adressen die genoemd worden in die lijst dus niet het eigendom van CB3ROB. De DROP en SBL lijsten zijn (volgens Spamhaus) onafhankelijk van elkaar. Spamhaus adviseert om IP adressen in de DROP lijst niet te behandelen of te routeren (m.a.w. het hele adres blacklisten), voor SBL is het advies om alleen geen e-mail van die adressen te accepteren.

Ik heb ook nog even gecheckt op een aantal van die IP adressen:
no-sense@polaris:~/src$ whois 205.189.72.99
#
# The following results may also be obtained via:
# http://whois.arin.net/res...howARIN=false&ext=netref2
#

NetRange: 205.189.71.0 - 205.189.73.255
CIDR: 205.189.71.0/24, 205.189.72.0/23
OriginAS:
NetName: NET-EARTH5
NetHandle: NET-205-189-71-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Assignment
RegDate: 1995-03-22
Updated: 2005-01-31
Ref: http://whois.arin.net/rest/net/NET-205-189-71-0-1

OrgName: Planet Communications & Computing Facility
OrgId: PCCF
Address: 5921 Agean Drive
City: Mississauga
StateProv: ON
PostalCode: L5M-6Y3
Country: CA
RegDate: 1994-08-30
Updated: 2007-11-26
Ref: http://whois.arin.net/rest/org/PCCF

OrgTechHandle: LGA9-ARIN
OrgTechName: Gallegos, Leah
OrgTechPhone: +1-757-631-9838
OrgTechEmail: jandl@wecn.net
OrgTechRef: http://whois.arin.net/rest/poc/LGA9-ARIN

OrgAbuseHandle: ABUSE540-ARIN
OrgAbuseName: Abuse Desk
OrgAbusePhone: +1-888-401-4357
OrgAbuseEmail: info@publicroot.org
OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE540-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
-------------
De hele 205.71 t/m 205.73 lijst is dus geen eigendom van CB3ROB. 84.22.108.0/24 is dat wel:

no-sense@polaris:~/src$ whois 84.22.108.239
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '84.22.108.0 - 84.22.108.255'

inetnum: 84.22.108.0 - 84.22.108.255
netname: A84-22-108-0
descr: Republic CyberBunker National Network 108
admin-c: CBMT1-RIPE
tech-c: CBMT1-RIPE
country: AQ
status: ASSIGNED PA
mnt-by: MNT-CB3ROB
mnt-lower: MNT-CB3ROB
mnt-routes: MNT-CB3ROB
source: RIPE # Filtered

role: Ministery of Telecommunications
address: One CyberBunker Avenue
address: CB-31337
address: CyberBunker-1
address: Republic CyberBunker
mnt-by: MNT-CB3ROB
admin-c: CBMT1-RIPE
tech-c: CBMT1-RIPE
nic-hdl: CBMT1-RIPE
source: RIPE # Filtered

% Information related to '84.22.108.0/24AS51787'

route: 84.22.108.0/24
descr: R84-22-108-0-24
origin: AS51787
mnt-by: MNT-CB3ROB
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.58.1 (WHOIS4)
-------------

Overigens blijkt uit de WHOIS dat Cyberbunker en CB3ROB op zijn minst veel met elkaar te maken hebben zo niet 1 en dezelfde persoon/entiteit zijn. Ik denk dat dit zaakje stinkt en ben dan ook blij dat ze in de lijst staan en (omdat ik die lijsten gebruik) er ook geen last van heb.

Als laatste vind ik wel dat 84.22.108.0/24 niet op de DROP lijst hoort te staan. Het lijkt er met mijn beperkte onderzoek op dat die IP adressen legaal zijn. Dat ze ook op de SBL staan is een heel andere zaak