bloghoved sidsel jensen

Når gode RBLer bliver rådne

I forrige uge var der furore på en af de mail-mailinglister jeg følger.

UCEPROTECT havde nemlig lavet et rimeligt ubehageligt og meget techbro-agtigt “ad feminam” angreb mod en person, som havde tilladt sig at stille spørgsmålstegn ved deres metoder - og mens skeletterne om UCEPROTECT og deres metoder væltede ud af skabene, så moderatorerne af listen sig nødsaget til at lukket diskussionen ned og det sker ellers YDERST sjældent. Sådan kan der hurtigt blive drama på en helt almindelig grå tirsdag.

Så kære brugere af en blocklist - denne guide går ud til dig, der skal vælge en fornuftig blocklist hvor både etikken, metoderne og teknologien bag er i orden.

Der findes mange typer af blocklists efterhånden - de mest typiske er DNSBL - altså DNS baserede blocklists og RBLs - altså real-time blocklists. Fælles for dem er at de indeholder en liste af IP addresser, som man har en formodning om sender spam og de bliver brugt af andre til at filtrere uønskede mails fra. Blocklists er nok en af de ældste spam-bekæmpelsesmetoder. Seneste skud på stammen er Hash blocklists, der bruges specifikt mod “malicous content” (skadeligt indhold), når du ikke kan blokere de store afsendere som f.eks. gmail, så det er en liste med kryptografiske hashes.

Hvis du ikke lige har læst afsnit 1.2 af https://tools.ietf.org/html/rfc6471 så tillad mig at komme med min egen kompilerede liste af gode råd her, ud fra hvilke kriterier der bør afgøre dit valg af liste. Typisk vil man iøvrigt kombinere flere forskellige lister, da man så dækker sig bedre ind.

  1. Hvad er formålet med brugen af listen? Hvem står bag listen?
  2. Har listen et fornuftigt website? Virker den ordentligt?
  3. Er listens politikker klart kommunikeret på deres hjemmeside?
  4. Er der klare linier for fjernelse fra listen og ikke mindst virker de rent faktisk?
  5. Koster det penge at blive fjernet? Hvor lang tid tager det at blive fjernet?
  6. Hvor lang tid har listen været i drift? Er den aktivt vedligeholdt?
  7. Er listen anbefalet andre steder? Findes der sammenligninger med denne liste og andre tilsvarende lister?
  8. Kan du finde statistik over falske positiver/negativer procenter for listings?
  9. Findes der en mailing-liste eller et community hvor du kan følge med i annonceringer etc.?

Jeg får lyst til at sige som korsridderen i Indiana Jones filmen - inden han skal finde og drikke af den hellige gral: "You must choose wisely..."

Det kan se nok så fint ud - men typisk viser bagsiden af medaljen sig først når man f.eks. ER blevet listet eller skal håndtere en listing - så en god tommelfingerregel er “hvor nemt er det at komme af listen igen?” Modtager man tidsstempler som er helt off, så man skal lede i sine maillogs i +/- 10-20 minutters span i stedet for +/- 1 min span? Findes der f.eks. fornuftige kontaktpunkter, du kan tage fat i hvis du skal have eskaleret en sag hurtigt? Skal du betale penge for at blive delisted hurtigere? Generelt skal det være nemt for dem, som rent faktisk prøver at løse et spam-problem, det er jo hele formålet med blocklists, ellers har vi hurtigt blokeret for et halvt internet. Så når en liste pludselig sænker sine thresholds en faktor 10 ud af det blå, og alle de store spillere efterfølgende opgiver at blive delisted, så er det en afsindigt dårlig combo.

Er der til gengæld en super nem “no questions asked” fjernelses-politik - så er det i min optik et kæmpe plus, for det betyder bl.a. at du får fjernet de fejlagtige listings lynhurtigt.

Nå - nok snak - her er mine anbefalinger:

  • Spamhaus Zen
  • Abusix
  • Validity (tidligere kendt som Return Path)
  • Invaluement (deres gratis Service-Provider DNSBL) - fanger f.eks. SendGrid spam afsindigt godt)
  • Proofpoint (ikke SORBS)
  • Cisco Senderbase
  • Barracuda (BRBL)

Er uheldet ude og du er blevet listed et sted og du får at vide af dine brugere, at mails bouncer, så brug f.eks. http://multirbl.valli.org/ - til at finde ud af hvilken liste du er havnet på og så et lille tip - lad være med at bede om at blive delisted før du har fundet ud af HVORFOR du blev listed. Hvis du har et spam-outbreak fra f.eks. en hacked konto, så “stop ulykken” FØR du beder om at blive fjernet fra listen, ellers risikerer du at blive listed igen og i længere tid. Et andet godt sted at checke er https://mxtoolbox.com/blacklists.aspx.

En lille bøn til alle mail-liste administratorerne - sørg nu for at holde en høj grad af mail-hygiejne på dine lister. Tommelfingerreglen siger at ca. 20% af e-mail adresserne på din liste “dør” i løbet af 1 år. Mange RBLs bruger tidligere aktive accounts som spam traps. Bouncer mail-adressen, så fjern den fra din liste. Liste forårs-rengøring en gang om året er ikke nok.

Bruger du idag UCEPROTECT vil jeg anbefale dig at finde en anden RBL leverandør og erstatte dem med en af de ovenstående alternativer. Det er ikke uden grund vi er begyndt internt at kalde dem "UCElessPROTECT". De har en lav catch rate og en høj falsk positiv procent. Hvis det ikke er grund nok, kan man med fordel læse - en vurdering af graden af professionalisme overlades som øvelse til læseren.

Bruger du en blocklist idag, som du er rigtig glad for?
Så hører jeg gerne om hvilken - giv tippet videre til de andre læsere i kommentarsporet og fortæl hvorfor du bruger lige præcis den liste.

Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Eirik Øverby

Vi opplevde å bli listet på en (for meg) obskur reputation-liste drevet av IBM, som en lang rekke firma i shipping-industrien brukte som "bibel". Helt umulig å få informasjon ut av, manuell prosess for "justering" av reputation, utelukkende enveis-kommunikasjon - men vi kunne for all del bli kunder og få en Key Account Manager som kunne hjelpe..

  • 0
  • 0
#2 Jesper Lund

Jeg bruger ingen RBL'er længere, af flere grunde.

  • Mine brugere vil hellere have spammail i en spamfolder, end afvist i døren. Afsendersystemet håndterer sjældent afvisninger godt. Altså, de forsøger ofte ikke at gøre noget ved det. Det går ud over mine brugere, som ikke får deres emails. Det er oftest emaillister der er problemet.
  • Det er for u-gennemskueligt hvordan politikken er for listerne, og da det bare for mig er et hobbyprojekt, gav det ikke mening at bruge så meget tid på at holde mig opdateret. Så var det nemmere bare at fjerne dem.
  • 1
  • 0
Log ind eller Opret konto for at kommentere