SoBig.F@mm og dreyfing innan Íslands
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?)
abuse er þekkt netfang ekki satt? Það er það sem ég nota alltaf og mér hefur sýnst vera góð hefð fyrir. NB þá var ég einn af þeim sem fékk tech-c póstinn og ég sinnti honum, en eins og kannski gefur að skilja þá svarar maður ekki öllum pósti nema ástæða sé til - þetta hefur mér fundist vera einnig hefð fyrir með abuse og ripe netföng og finnst það bara fínt sjálfum.
og var nokkrum tímum síðar búinn að fá read receipt frá fimm manns. Ég hef enn ekki fengið neitt svar, en hins vegar hefur adsl7-24.simnet.is dúndrað út nokkur hundruð skeytum í mínu nafni á hverjum degi síðan.
Sá sem er tengdur með þessu vistfangi núna var lokað um daginn og hann hreinsaði hjá sér vélina - eru þetta smitaðir póstar?
Ég er hér með einn lista, úttakið af "grep from= /var/log/maillog |sed 's/^.*relay=//g'|sort|uniq -c|sort -rn|head -15" af secondary MX hi.is:
1351 adsl-37-32.du.simnet.is [157.157.180.32] Sá sem er með þetta ip vistfang núna tengdist kl. 23:03 í kvöld, ég verð að fá tímasetningu á allavega einu skeyti til að vera handviss.
584 adsl-36-14.du.simnet.is [157.157.179.14] og þessi tengdist kl. 13:14 í dag, þarf sömuleiðis nákvæmara info.
454 adsl-20-223.du.simnet.is [157.157.127.223] og þessi tengdist kl. 9:39 í morgun og er þar með nokkuð safe bet en betra að fá nákvæmar upplýsingar þegar um svona er að ræða.
Þess má geta að engin þessara véla hefur nokkuð að gera með að senda póst í gegnum okkar secondary MX.
Að sjálfsögðu ekki, en þannig hagar þessi vírus sér. Varðandi viðbrögð Símans við kvörtunum þá getum við alltaf bætt okkur og það hafa örugglega verið álagstengdir dagar sem ullu töfum í úrvinnslu. Ég held samt að gagnrýni vegna stakra ábendinga sem ekki er svarað skili engu, hvorki fyrir Símann, viðskiptavinina eða Internet samfélagið. Sjálfur hef ég unnið úr tugum kvartana og sent hundruðir. Það er samt áhugavert að það eru engar staðlaðar leiðir fyrir ISPa eða aðra tengda internetinu til að hafa samskipti um svona mál eða senda ábendingar. Gurus er einn slíkur staður en ekki ætlaður til þess og ekki við hæfi beinlínis, RIPE netföngin eru góð en alltof oft stale og sama með postmaster, hostmaster og eða abuse þó það skili besta árangrinum. Þyrfti líklega að vera sér field í RIPE fyrir abuse tengiliða og samskiptainfo? mbk, -GSH
Daginn Guðbjörn! Vegna talnana sem þú vildir fá uppl.um: Guðbjörn S. Hreinsson skrifaði þann 29. Ágúst 2003 eitthvað á þessa leið:
1351 adsl-37-32.du.simnet.is [157.157.180.32] Sá sem er með þetta ip vistfang núna tengdist kl. 23:03 í kvöld, ég verð að fá tímasetningu á allavega einu skeyti til að vera handviss. Sé ekki þessa í loggi...
584 adsl-36-14.du.simnet.is [157.157.179.14] og þessi tengdist kl. 13:14 í dag, þarf sömuleiðis nákvæmara info.
Aug 29 20:26:48 giga sendmail[29551]: ruleset=check_relay, arg1=adsl-36-14.du.simnet.is, arg2=157.157.179.14, relay=adsl-36-14.du.simnet.is [157.157.179.14], reject=571 5.0.0 Notid mail.simnet.is Aug 29 20:44:20 giga sendmail[30305]: ruleset=check_relay, arg1=adsl-36-14.du.simnet.is, arg2=157.157.179.14, relay=adsl-36-14.du.simnet.is [157.157.179.14], reject=571 5.0.0 Notid mail.simnet.is Aug 29 21:01:07 giga sendmail[31328]: ruleset=check_relay, arg1=adsl-36-14.du.simnet.is, arg2=157.157.179.14, relay=adsl-36-14.du.simnet.is [157.157.179.14], reject=571 5.0.0 Notid mail.simnet.is Aug 29 21:35:58 giga sendmail[32758]: ruleset=check_relay, arg1=adsl-36-14.du.simnet.is, arg2=157.157.179.14, relay=adsl-36-14.du.simnet.is [157.157.179.14], reject=571 5.0.0 Notid mail.simnet.is Aug 29 22:27:11 giga sendmail[2678]: ruleset=check_relay, arg1=adsl-36-14.du.simnet.is, arg2=157.157.179.14, relay=adsl-36-14.du.simnet.is [157.157.179.14], reject=571 5.0.0 Notid mail.simnet.is Aug 29 22:43:53 giga sendmail[3713]: ruleset=check_relay, arg1=adsl-36-14.du.simnet.is, arg2=157.157.179.14, relay=adsl-36-14.du.simnet.is [157.157.179.14], reject=571 5.0.0 Notid mail.simnet.is Tengist okkur beint nokkuð ört. Alltaf hafnað vegna DUL-listans.
454 adsl-20-223.du.simnet.is [157.157.127.223] og þessi tengdist kl. 9:39 í morgun og er þar með nokkuð safe bet en betra að fá nákvæmar upplýsingar þegar um svona er að ræða.
Sé ekki þessa í loggi... kk, -B- -- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = -Björn Davíðsson- - Snerpa ehf. Tölvu og netþjónusta. bjossi@snerpa.is - 520-4000 - Mánagata 6 - 400 Ísafjörður.
Guðbjörn S. Hreinsson skrifaði þann 29. Ágúst 2003 eitthvað á þessa leið:
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?)
abuse er þekkt netfang ekki satt? Það er það sem ég nota alltaf og mér hefur sýnst vera góð hefð fyrir.
Abuse er fyrir misnotkun - að vísu er hægt að telja vírusskömmina misnotkun... Ég notaði postmaster vegna þess að í RFC: This standard specifies a single, reserved mailbox address (local-part) which is to be valid at each site. Mail sent to that address is to be routed to a person responsible for the site's mail system or to a person with responsibility for general site operation. The name of the reserved local-part address is: Postmaster so that "Postmaster@domain" is required to be valid.
RIPE netföngin eru góð en alltof oft stale og sama með postmaster, hostmaster og eða abuse þó það skili besta árangrinum.
postmaster og abuse ættu auðvitað að vera í lagi - og auðvitað eiga RIPE netföng að vera það líka en ég hef þó mun takmarkaðri trú á þeim, eins og kannski fleiri og þá af reynslu.
Þyrfti líklega að vera sér field í RIPE fyrir abuse tengiliða og samskiptainfo?
Ég leysti þetta nú svona (sjá t.d. http://www.rix.is/cgi-bin/rtwho?AS24743) remarks: +----------------------------------------+ remarks: | For abuse and security issues contact | remarks: | abuse@snerpa.is, http://network.it.is/ | remarks: +----------------------------------------+ kk, -B- -- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = -Björn Davíðsson- - Snerpa ehf. Tölvu og netþjónusta. bjossi@snerpa.is - 520-4000 - Mánagata 6 - 400 Ísafjörður.
Ég notaði postmaster vegna þess að í RFC:
This standard specifies a single, reserved mailbox address (local-part) which is to be valid at each site. Mail sent to that address is to be routed to a person responsible for the site's mail system or to a person with responsibility for general site operation. The name of the reserved local-part address is:
Postmaster
so that "Postmaster@domain" is required to be valid.
jamm, en maður hefur lagt meira upp úr að abuse netfangið sé lesið mjög oft, við höfum ekki lagt sömu áherslu á post- og hostmaster. mbk, -GSH
Ég notaði postmaster vegna þess að í RFC:
snip.
so that "Postmaster@domain" is required to be valid.
jamm, en maður hefur lagt meira upp úr að abuse netfangið sé lesið mjög oft, við höfum ekki lagt sömu áherslu á post- og hostmaster.
það sem skiptir máli í þessu er að netföng sem skráð eru sem formleg contact netföng fyrir *netið* sem misnotkun af þessu tagi á sér upptök í, séu lesin og up-to-date.... vandamálið (í þessu tilfelli) á upptök í ákveðinni IP tölu en menn geta ekki sent póst á abuse@1.2.3.4 eða postmaster@1.2.3.4 -- það getur verið á verulegu reiki hvaða *léni* viðkomandi IP tala tilheyrir! -- Marius
það sem skiptir máli í þessu er að netföng sem skráð eru sem formleg contact netföng fyrir *netið* sem misnotkun af þessu tagi á sér upptök í, séu lesin og up-to-date.... vandamálið (í þessu tilfelli) á upptök í ákveðinni IP tölu en menn geta ekki sent póst á abuse@1.2.3.4 eða postmaster@1.2.3.4 -- það getur verið á verulegu reiki hvaða *léni* viðkomandi IP tala tilheyrir!
Satt, nota menn þá frekar reverse skráningar til að finna kontakta (eða lén sem geta gefið kontakta) eða AS skráningar? mbk, -GSH
það sem skiptir máli í þessu er að netföng sem skráð eru sem formleg contact netföng fyrir *netið* sem misnotkun af þessu tagi á sér upptök í, séu lesin og up-to-date.... vandamálið (í þessu tilfelli) á upptök í ákveðinni IP tölu en menn geta ekki sent póst á abuse@1.2.3.4 eða postmaster@1.2.3.4 -- það getur verið á verulegu reiki hvaða *léni* viðkomandi IP tala tilheyrir!
Satt, nota menn þá frekar reverse skráningar til að finna kontakta (eða lén sem geta gefið kontakta) eða AS skráningar?
Nei, menn fletta þessum contact netföngum upp í gagnagrunnum LIR sem úthlutar viðkomandi IP tölum (þ.e. RIPE/ARIN/APNIC ...) það eru hinar "opinberu" upplýsingar um ábyrgarmenn IP neta. Tengilið AS# þarf svo að hafa samband við ef um er að ræða systematíska misnotkun frá einu af netum AS eða ef enginn viðbrögð eru við kvörtun um misnotkun (þ.e. svar eða að misnotkun hætti). Það þarf ekki endilega að vera að contactar lénsins sem PTR færslan bendir á séu ábyrgir fyrir upptaka-IP tölu misnotkunar (og því miður þá vantar alltof oft PTR færslur). Sem sagt -- haldið við RIPE skráningum ykkar neta og ykkar viðskiptavina! :-) -- Marius
Það var Föstudagur í Ágúst þegar Guðbjörn S. Hreinsson sagði:
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?)
abuse er þekkt netfang ekki satt? Það er það sem ég nota alltaf og mér hefur sýnst vera góð hefð fyrir.
Jú, ég hefði átt að gera það, auðvitað. Hitt var gamall vani, enda er abuse@ frekar nýr staðall og svo er ég vanur því að fletta upp á neti viðkomandi ef pósturinn kemur ekki frá póstþjóni viðkomandi léns. Einnig var ég einstaklega pirraður eftir að hafa verið að flokka og eyða pósti úr hólfinu mínu. Hverjum hefði dottið í hug að það væru svona margar tegundir af 1) delivery failure skeytum og 2) meldingum frá veiruleitarpóstgáttum? Mér finnst að það mætti staðla slík svör til að auðvelda sjálfvirka flokkun. --
Ditto! -GSH
Einnig var ég einstaklega pirraður eftir að hafa verið að flokka og eyða pósti úr hólfinu mínu. Hverjum hefði dottið í hug að það væru svona margar tegundir af 1) delivery failure skeytum og 2) meldingum frá veiruleitarpóstgáttum?
Mér finnst að það mætti staðla slík svör til að auðvelda sjálfvirka flokkun.
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?)
á tech-c og admin-c fyrir netið sem inniheldur 212.30.195.24 -- þ.e. whois -h whois.ripe.net 212.30.195.24 gefur % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyrigh inetnum: 212.30.195.0 - 212.30.195.255 netname: ISHOLF descr: Data Communications Department descr: Iceland Telecom country: IS admin-c: KMB251-RIPE tech-c: MH289-RIPE rev-srv: icenet.isholf.is rev-srv: dns2.isholf.is status: ASSIGNED PA notify: magnus@simi.is mnt-by: ICENET-MNT changed: magnus@simi.is 20000411 source: RIPE route: 212.30.192.0/19 descr: ICENET Autonomous system descr: Iceland Telecom origin: AS6677 mnt-by: ICENET-MNT changed: magnus@simi.is 19980819 source: RIPE person: Karl M. Bender address: Iceland Telecom address: IS-150 Reykjavik address: Iceland phone: +354 550 6331 e-mail: kbender@simi.is nic-hdl: KMB251-RIPE mnt-by: ICENET-MNT changed: magnus@simi.is 19981030 source: RIPE person: Magnus Hauksson address: Iceland Telecom address: Mulastod address: 150 Reykjavik address: Iceland phone: +354 550 6332 e-mail: magnus@simi.is nic-hdl: MH289-RIPE mnt-by: ICENET-MNT changed: magnus@simi.is 19981030 source: RIPE því miður virðast þetta vera ílla úreltar upplýsingar sem er ákveðið áhygguefni (ég veit fyrir víst að hvorugir þessara tengiliða hafa með þetta að gera lengur) Ég vildi EINDREGIÐ hvetja íslenska ISPa að halda við RIPE skráningum neta sinna.
Jú, ég hefði átt að gera það, auðvitað. Hitt var gamall vani, enda er abuse@ frekar nýr staðall og svo er ég vanur því að fletta upp á neti viðkomandi ef pósturinn kemur ekki frá póstþjóni viðkomandi léns.
Þetta er misnotkun frá vírussmitaðri vél (það að vírusinn sendi frá sér póst skiptir ekki máli og því kemur þetta postmaster lítið við).
Einnig var ég einstaklega pirraður eftir að hafa verið að flokka og eyða pósti úr hólfinu mínu. Hverjum hefði dottið í hug að það væru svona margar tegundir af 1) delivery failure skeytum og 2) meldingum frá veiruleitarpóstgáttum?
RIGHT! -- aðalvandamálið með þetta Sobig vírusástand hafa verið þessi !#$% vírusvarnarforrit sem þekkja vírusinn og vita að hann falsar bæði netfang viðtakanda og sendanda en senda SAMT meldigar til sendanda um að hann hafi verið að senda smitað skeyt og jafnvel LÍKA til viðtakanda um að vírusvarnarforrit hafi hreinsað vírus úr skeytinu. ARG! -- Marius
Það er samt áhugavert að það eru engar staðlaðar leiðir fyrir ISPa eða aðra tengda internetinu til að hafa samskipti um svona mál eða senda ábendingar.
Reyndar eru um þetta mjög sterkar hefðir. Þegar um mistnotkun er að ræða frá ákveðinni IP tölu er eiganda netsins flett upp í RIPE (eða ARIN/APNIC ..) og kvörtun sent til tech-c og/eða admin-c. Það getur verið á reiki hvaða aðrar addressur ætti að nota, en ISPar bera ábyrgð á að halda við skráningum neta sinna (skilyrði IP úthlutunar).
Þyrfti líklega að vera sér field í RIPE fyrir abuse tengiliða og samskiptainfo?
Reyndar eru menn að koma upp slíku, en tech-c og admin-c hafa dugað hingað til (allavega fyrir ISPa sem halda þessu vel við -- hinir munu hvort sem er ekki lesa abuse/postmaster/hostmaster eða hvað annað sem mönnum dettur í hug að senda á) Ath að mikilvægt er að þetta sé staðlað þar sem stundum þarf að fletta þessu upp í sjálvirkum búnaði. -- Marius
Marius Olafsson wrote:
Ath að mikilvægt er að þetta sé staðlað þar sem stundum þarf að fletta þessu upp í sjálvirkum búnaði.
Ég ætla hér að stinga upp á nýju extension-field skv. rfc2822 4.1 sem einkennir alla sjálfvirka pósta sem slíka og gefur til kynna tegund pósts. T.d. Auto-Submitted: og gildið gæti verið eitthvað þessara: DSN-to-sender DSN-to-postmaster Virus-notice-to-sender Virus-notice-to-postmaster vacation acknowledgement complaint Þar sem tegundum póstkerfa á netinu hefur fjölgað gífurlega á síðustu árum og alls kyns kerfi sem senda sjálfvirkan póst hafa sprottið upp eins og gorkúlur út um allt (og engin tvö eru eins!) þá er það farið að verða æ erfiðara að flokka slíkan póst. Þetta extension-field gæti hjálpað til að minnka þennan vanda. --
Elías Halldór Ágústsson wrote:
Marius Olafsson wrote:
Ath að mikilvægt er að þetta sé staðlað þar sem stundum þarf að fletta þessu upp í sjálvirkum búnaði.
Ég ætla hér að stinga upp á nýju extension-field skv. rfc2822 4.1 sem
Döh. Einhverra hluta vegna tókst mér að lesa rfc822 í stað rfc2822.
participants (5)
-
Bjorn Davidsson -
Elias Halldor Agustsson -
Elías Halldór Ágústsson
-
Guðbjörn S. Hreinsson -
Marius Olafsson