Level 1: 74841 IP's, Level 2: 13551 Netzbereiche, Level 3: 1061 ASN's. Datenstand: 11.10.2024 10:17 CEST Echtzeit Spamausbruchsmonitor |
|
English Das Projekt SPAM-FAQ Blacklist Policy für Level 1 für Level 2 für Level 3 Hilfe für ISPs Marketing Tips Wie benutzen ? Delisting Policy Kontakt Spendenaufruf Sponsoren Neuigkeiten Lizenz Datenabfrage Pranger Netzstatus Statistik Unsere Produkte |
UCEPROTECT Blacklist Policy LEVEL 2 Im Regelfall kann man davon ausgehen, daß es sich bei einem Netz aus dem von multiplen IP's aus immer wieder Spammails versendet werden, entweder um einen DIALUP-Pool oder den IP-Bereich einer Spamfirma handelt.
Aus derartigen Netzen kommen üblicher Weise keine wichtigen Mails, weil kaum ein vernünftiger Provider seine Smarthost in die selben Netze legen würde, wie seine Dialups.
Um Spam aus bereits auffällig gewordenen Netzen präventiv abzufangen, wird unsere BLACKLISTE Level 2 generiert. UCEPROTECT-Level 2 eskaliert dynamisch und listet die betreffende Allocation wenn innerhalb von 7 Tagen die Anzahl der Impacts der im Level 1 gelisteten IP's bestimmte Grenzwerte überschreitet. Allocationen die kleiner sind als /27 werden automatisch sofort im Level 2 gelistet, wenn eine einzelner Impact erfolgt ist, ein /26 Netz listen wir bei mindestens 2 Impacts, und ein /25 bei mindestens 3 Impacts.Ausgehend vom /24 Netz bei 4 oder mehr Impacts berechnet sich die weitere automatische Eskalation nach folgender Formel: Netzmaske - 1 = ((Wert der Netzmaske + 1) + (Wert der Netzmaske +3)) Beispiele: /23 = ((Wert von /24) + (Wert von /26)) Zu Deutsch: Ein /23 ist im Level 2 gelistet wenn 4 + 2 = 6 Impacts von IP's aus dem Bereich im Level 1 gezählt wurden. /10 = ((Wert von /11) + (Wert von /13)) Zu Deutsch: Ein /10 ist im Level 2 gelistet, wenn 651 + 303 = 954 Impacts von IP's aus dem Bereich im Level 1 gezählt wurden. Wir denken wir haben die Formel verständlich erklärt. Die Eskalationsgrenzen werden aber auch im IP, Impact und ASN Test angezeigt. Zur Vermeidung von False Positives werden IP's die bei ips.whitelisted.org registriert sind, grundsätzlich vom Level 2 ausgenommen. Eine Eskalation auf Level 2 ist fast immer ein Indikator dafür, daß Provider nicht schnell genug gegen Mißbrauch vorgehen. Um zu verhindern, daß verantwortungsbewusste Provider in Level 2 landen, haben wir einen Providerschutz installiert. Bei neuen Einträgen in Level 1 wird zunächst der 4-Stunden-Providerschutz wirksam. Das bedeutet, daß zunächst keine weiteren Impacts von dieser IP für 4 Stunden gezählt werden. Dies gibt dem Provider 4 Stunden Zeit, um geeignete Maßnahmen zu ergreifen, bevor weitere IMPACTS von dieser IP gezählt werden. Der Impact Zähler kann daher bei neuen Level 1-Listings nur um maximal 1 pro 4 Stunden erhöht werden. Auf jeden Fall ist unsere Geduld begrenzt. Wenn 24 Stunden nach Eintrag im Level 1 immer noch Missbrauch von der IP festgestellt wird, reduziert sich der Providerschutz auf eine Stunde. Sollte auch 48 Stunden, nachdem die IP im Level 1 gelistet wurde, noch Mißbrauch von ihr ausgehen, wird der Providerschutz entfernt und unbegrenzt jeder Impact gezählt. Provider sollten daher bei jedem Eintrag im Level 1 sofort handeln, um zu verhindern, daß auch nur eine einzige missbräuchliche IP den zugehörigen Netzbereich auf Level 2 bringt, wenn ihr Impact Zähler unkontrolliert steigt. Manuell und permanent werden unabhängig von bestehenden Level 1 Listings und Impacts Netzbereiche im Level 2 gelistet, bei denen der Verdacht besteht, daß sie extra zum Spammen eingerichtet wurden. Dieser Verdacht ist grundsätzlich gegeben wenn: - Der Provider Spammer / Abuser innerhalb des Netzbereiches rotiert. - Der Provider IP Adressen oder Netzbereiche von Blacklisten blockiert, um zu erreichen, daß Spammer unter dem Radar von Blacklisten bleiben (Umgehungstatbestand). - Der Netzbereich ganz oder teilweise einem bekannten Spammer / Spamsupporter / Listwasher / Botnet Operator / Malware Distributor zugeordnet werden kann. - Ein auffälliges Mißverhältnis zwischen regulären Mails und Spams besteht. Wir empfehlen die Verwendung der UCEPROTECT BLackliste Level 2 zum blocken auf Systemen, bei denen der Einsatz der Level 1 Liste nicht effizient genug gegen Spammer ist. Sie werden mit Level 2 vorwiegend Botnetze, DSL-Pools sowie IP's von Spammerfirmen treffen. Natürlich ist es dabei möglich, daß auch wenige erwünschte Mails abgewiesen werden. BESCHWEREN SIE SICH NICHT BEI UNS - WIR HABEN SIE GEWARNT!. Übermäßig vorsichtigen Usern empfehlen wir, UCEPROTECT Level 2 in einem Scoring System zu verwenden, und z.B. 4 Punkte zu vergeben, vorausgesetzt daß 5 der Schwellenwert für die Spamerkennung ist. Falls Sie ein echter BOFH sind, empfehlen wir Ihnen natürlich, auf allen 3 UCEPROTECT-Leveln zu blocken. Um eine Vorstellung von der Performance unseres UCEPROTECT-Levels 2 und anderer Blacklisten innerhalb der letzten 4 Wochen zu erhalten, empfehlen wir Ihnen, sich die Statistiken einiger unserer Kunden aus dem öffentlichen Dienst anzusehen.
|