-google-ads-
2011
10.13

Blocklist ist in erster Linie auf Mails von Fail2Ban zugeschnitten und zwar für die Mails, welche über die Aktion „sendmail-whois-lines“ versendet wurden.

In diesen Mails, steht der Dienst, die Whoisausgabe (optional) und dann die Logfiles. Wenn wir in den Mails die Whois-Daten finden, verwenden wir diese, ansonsten führen wir eine Whois-Abfrage aus und cachen diese.

Wenn wir allerdings für ein ASN/IP-Range bereits eine eigene Adresse vom z.B. Cert oder von dem zuständigen Abuse-Team direkt erhalten haben, nehmen wir sofort die eingetragene Adresse.

Ansonsten parsen wir die Whois-Daten und prüfen auf folgende Felder:

  • Abuse-Mailbox
  • **AbuseEMail (und ähnliche ARIN-Schreibweisen)
  • Abuse-C-Feld und dort „Mail“
  • irt-nfy
  • Tech-EMail
  • Tech-Contact
  • Trouble-/Remarks-Feld mit der Suche nach abuse*@, security@, csirt@, reportsto,

Sollten wir darin nicht fündig werden, so prüfen wir den RIPE-Abuse-Finder und cachen dessen Ergebnisse ebenfalls zwischen.

Sollte auch der Abuse-Finder keine Adresse gefunden haben, so prüfen wir die Contact-Datenbank von abusix.org. Sollten wir von dort auch kein Ergebnis erhalten, so geht der Report an uns zum manuellen prüfen.

Dies kommt eigentlich nur vor, wenn z.B. uralte Einträge existieren, wo keine Instanz eine Adresse hat. Diese haben dann nicht mal auf dem Hostnamen des Providers/Gateways eine Kontakt-Adresse und abuse.net hat ebenfalls nichts.

Diese Reports können wir dann natürlich nicht zustellen.

Wir haben uns auch schon eigene Whois-Server angeschaut um die Daten nicht über die Whois-Server der Registrys einzeln abzufragen, sondern z.B. per FTP zu syncen, allerdings waren dort nie die korrekten Adressen drin oder aufgrund der Richtlinien nicht im FTP-Data enthalten.

-google-ads-

Hinterlasse einen Kommentar

2 Kommentare auf "Wie ermittelt blocklist die Abuse-Adressen und woher erhält blocklist diese?"

  Subscribe  
Benachrichtige mich zu:

Hmm, wir erhalten nun vom zweiten Nutzer dieses Fail2Ban Services Emails an ziemlich alle unsere Email Adressen welche in unserem RIPE Whois record zu finden sind.

Obwohl wir sowohl das abuse-mailbox: Attribut wie auch ein IRT Objekt erstellt haben welches die einzige richige Emailadresse beinhaltet.

Und auch abusix.org kennt via DNS unsere richtige Abuse Emailadresse.

Hat dieser Reporting Service noch irgendwelche Bugs?