05.13
Da wir aktuell die Bounce-Meldungen von nicht mehr existierenden Abuse-Adressen auswerten, lässt sich daraus ein Bild erkennen, wie der Provider die Reports einstuft.
Viele Provider aus Südamerika, lassen die Postfächer einfach immer voll oder die Abuse-Adresse ist ein Verteiler auf 3 bis 10 andere Postfächer, welche aber fast alle nicht mehr existieren.
Telefonica aus Brasilien z.B. hat zwei E-Mailadressen im Whois, aber die eine ist immer voll und von der anderen existiert der Host/Domain nicht.
Ebenfalls Brasilien: brasiltelecom.net.br (welche mittlerweile oi.br sind), haben wie telesp.net.br und telemar.net.br noch ur-alte Whois-Einträge, wodurch die doch sehr vielen Reports nicht zugestellt werden können.
Der Server mit den wenigsten Spammails ist garantiert der Server von virtua.com.br, da diese die Verbindungen nur sehr selten annehmen und dann irgendwann verlieren, bevor man die Empfänger-Adresse übermittelt hat.
Wenn uns eine CERT-Adresse für das Land des Providers vorliegt, erhalten die CERT-Teams den Report auch, damit diese die aktuelle Adresse ausfindig machen und den Report weiterleiten können.
Am schlimmsten sind Provider, welche nach dem dritten Report von drei unterschiedlichen IP-Adressen z.B. unsere IP-Adresse sperren. Da kann man wie z.B. bei home.net.ua sofort feststellen, das dieser Provider nichts gegen Spam, Phishing, Bots usw. aus seinem Netzwerk unternimmt.
Vor allem, da wir in unseren Reports ausdrücklich darauf hinweisen, das wenn die Provider die Meldungen an eine andere Adresse oder gar nicht mehr erhalten möchten, diese uns einfach kurz antworten können, dann blockieren wir jeden Report für die Abuse-Adressen und stellen die Netze/IP’s auf unseren internen Firewall dauerhaft auf DROP.
Am besten gefallen uns die Griechen (otenet.gr), welche den Reports nachgehen und sich manuell ohne Template für die Reports bedanken und bei so was eine harte Richtlinie haben.