10.13
Blocklist ist in erster Linie auf Mails von Fail2Ban zugeschnitten und zwar für die Mails, welche über die Aktion „sendmail-whois-lines“ versendet wurden.
In diesen Mails, steht der Dienst, die Whoisausgabe (optional) und dann die Logfiles. Wenn wir in den Mails die Whois-Daten finden, verwenden wir diese, ansonsten führen wir eine Whois-Abfrage aus und cachen diese.
Wenn wir allerdings für ein ASN/IP-Range bereits eine eigene Adresse vom z.B. Cert oder von dem zuständigen Abuse-Team direkt erhalten haben, nehmen wir sofort die eingetragene Adresse.
Ansonsten parsen wir die Whois-Daten und prüfen auf folgende Felder:
- Abuse-Mailbox
- **AbuseEMail (und ähnliche ARIN-Schreibweisen)
- Abuse-C-Feld und dort „Mail“
- irt-nfy
- Tech-EMail
- Tech-Contact
- Trouble-/Remarks-Feld mit der Suche nach abuse*@, security@, csirt@, reportsto,
Sollten wir darin nicht fündig werden, so prüfen wir den RIPE-Abuse-Finder und cachen dessen Ergebnisse ebenfalls zwischen.
Sollte auch der Abuse-Finder keine Adresse gefunden haben, so prüfen wir die Contact-Datenbank von abusix.org. Sollten wir von dort auch kein Ergebnis erhalten, so geht der Report an uns zum manuellen prüfen.
Dies kommt eigentlich nur vor, wenn z.B. uralte Einträge existieren, wo keine Instanz eine Adresse hat. Diese haben dann nicht mal auf dem Hostnamen des Providers/Gateways eine Kontakt-Adresse und abuse.net hat ebenfalls nichts.
Diese Reports können wir dann natürlich nicht zustellen.
Wir haben uns auch schon eigene Whois-Server angeschaut um die Daten nicht über die Whois-Server der Registrys einzeln abzufragen, sondern z.B. per FTP zu syncen, allerdings waren dort nie die korrekten Adressen drin oder aufgrund der Richtlinien nicht im FTP-Data enthalten.