Diese Stellungsnahme habe ich sooeben von der Swisscom erhalten. Generell stellt sich die Frage was ein öffentlicher Wireless Service tun kann um dieses Problem zu lösen und wie man mit über Wireless versendete E-Mails behandelt so dass 'false-positives' vermieden werden können.
Irgendwelche Ideen wie man das Problem angehen könnte ?
-------------------------------------------------------------------------------
I've just received this statement to the swisscom pwlan blacklist problem which I've reported earlier to this list. AFAIK there is no easy solution to this problem and to avoid false positives in the spam-scanning prozess.
Any creative ideas how to solve this ?
-------------------------------------------------------------------------------
Sie haben uns auf ein Problem aufmerksam gemacht, das wohl im Zusammenhang mit dem Sober-Virus steht, von dem u.a. auch unsere PWLAN Kunden betroffen sind. Besten Dank für Ihre Störungsmeldung und die uns zur Verfügung gestellten detaillierten Unterlagen zu diesem Vorfall.
Leider müssen wir Ihnen mitteilen, dass die gemachten Abklärungen bei unseren Spezialisten vom PWLAN Netzbetrieb und Entwicklung ergeben haben, dass wir im Moment keine Möglichkeit sehen, das von Ihnen gemeldete Problem zu beheben, da wir die Verursacher der Spam-Mails nicht eruieren und herausfiltern können.
In der Zwischenzeit haben wir unsere Supportorganisationen sowie die Security-Abteilung über den Vorfall informiert (siehe Anhang).
Wir bedauern sehr, dass Sie und Ihre Kunden von diesem Problem betroffen sind und dadurch grosse Unannehmlichkeiten entstehen und bitten Sie um Verständnis. Nochmals besten Dank für Ihre Unterstützung.
Probleme bei Mailversand über PWLAN im Zusammenhang mit Sober-Virus
Ausgangslage:
Wenn unsere Kunden den PWLAN-Service nutzen, wird für den Internetzugang eine öffentliche IP-Adresse aus dem Bereich XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX benutzt. Kunden haben uns mitgeteilt, dass diese IP-Adressen zur Zeit von mehreren Firewall Blacklists ausserhalb von Swisscom, insbesondere bei Mailprovidern, blockiert werden.
Ursache:
Wir vermuten, dass PCs, die mit dem Sober Virus verseucht sind, via PWLAN-Service ungewollt Spam-Mails mit einer Absender-Adresse von PWLAN versendet haben. Als Folge davon wurden obige IP-Adressen im Firewall bzw. Spam-Filter gewisser Mail-Provider automatisch vorübergehend gesperrt. Es ist für die Kunden eines betroffenen Providers nicht mehr möglich, Mails via PWLAN zu verschicken. Es können eventuell Mails verloren gehen und unter Umständen merkt der Kunde nicht, dass seine Mails nicht abgeschickt wurden!
Situation bei PWLAN von Swisscom: Swisscom Mobile betreibt den Service PWLAN als Internet Service Provider ohne Content Filterung, das heisst, wir wissen nicht, welche Kunden Spam-Mails aussenden. Wir haben weder in den Hotspots noch im Data Center die Möglichkeit, bestimmte PWLAN-Kunden abzufangen und zu identifizieren.
Massnahmen:
Leider sehen wir im Moment keine Möglichkeit, das aufgetauchte Problem zu lösen. Die Spam Filter werden die betroffenen IP-Adressen nach unbestimmter Zeit wieder freigeben. Die Kunden sind darauf hinzuweisen, dass sie unbedingt ihre Antiviren-Software aktualisieren sollen, damit sie nicht von diesem Virus betroffen werden und in unserem Netz nicht weiterhin Spam-Mails verbreitet werden.
Martin Blapp, mb@imp.ch mbr@FreeBSD.org ------------------------------------------------------------------ ImproWare AG, UNIXSP & ISP, Zurlindenstrasse 29, 4133 Pratteln, CH Phone: +41 61 826 93 00 Fax: +41 61 826 93 01 PGP: <finger -l mbr@freebsd.org> PGP Fingerprint: B434 53FC C87C FE7B 0A18 B84C 8686 EF22 D300 551E ------------------------------------------------------------------
Hello Martin,
I've just received this statement to the swisscom pwlan blacklist problem which I've reported earlier to this list. AFAIK there is no easy solution to this problem and to avoid false positives in the spam-scanning prozess.
Any creative ideas how to solve this ?
Well, it's not very creative but I think it's common sense, that if you cannot trust the users sending mail through your mailserver you have a situation comparable to an open-relay server - moreover if Swisscom claims it cannot find the responsible users ("da wir die Verursacher der Spam-Mails nicht eruieren und herausfiltern können").
In this case they have to either require every user who wishes to send mail through their servers to authenticate so they can track the people down when something happens or they have to close relaying completely and ask their users to use a mailserver responsible for their mail address' domain.
Jean-Pierre
On 19 May 2005, Martin Blapp wrote:
Leider müssen wir Ihnen mitteilen, dass die gemachten Abklärungen bei unseren Spezialisten vom PWLAN Netzbetrieb und Entwicklung ergeben haben, dass wir im Moment keine Möglichkeit sehen, das von Ihnen gemeldete Problem zu beheben, da wir die Verursacher der Spam-Mails nicht eruieren und herausfiltern können.
I have never used Swisscom's PWLAN. Is this really an anonymous service?
This is not very creative, but why not just check if an IP address is blacklisted before assigning it to a client? - If this yields too many "unusable" addresses, the whole PWLAN service as it is provided today probably needs to be reconsidered.
Oliver
I have never used Swisscom's PWLAN. Is this really an anonymous service?
yes & no: you can either use your mobile number to access the wireless lan (and it gets charged to your phone bill) or you buy the prepaid cards.
This is not very creative, but why not just check if an IP address is blacklisted before assigning it to a client? - If this yields too many "unusable" addresses, the whole PWLAN service as it is provided today probably needs to be reconsidered.
i think the problem was not a spammer, but virus-affected users. we got on blacklist several times where ppl announced the virus-propagated spam (or the virus itself) to the blacklists...
-steven