The Spamhaus Project

non-profit organisatie

The Spamhaus Project of kortweg Spamhaus is een non-profitorganisatie/-bedrijf. De organisatie werd in 1998 opgericht door Steve Linford.

Doel van The Spamhaus Project is de ontwikkelingen op het gebied van spam te volgen en om de internetgemeenschap mogelijkheden te bieden om de overlast erdoor te verminderen. Ook probeert Spamhaus (juridische) maatregelen te nemen tegen grootschalige spammers.[1]

Spamhaus is gevestigd in Genève, Zwitserland en Londen. De organisatie telt momenteel 28 onderzoekers, die gevestigd zijn in 28 landen.

Spamhaus is verantwoordelijk voor het beheer van een aantal databases die gebruikt worden om de overlast van spam te verminderen. Deze zogenaamde DNSBL of DNS Blacklists (zwarte lijsten) bevatten informatie over hosts en IP-adressen die daadwerkelijk gebruikt zijn of kunnen worden om op grote schaal spam te versturen. Volgens opgave van de organisatie worden meer dan 1,4 miljard individuele mailboxen beschermd met één of meer van de Spamhausdiensten.[2]

Naast het beheren van de DNSBL-filterdatabases houdt Spamhaus ook een database bij van bekende grootschalige spammers via het project ROKSO.

Anti-spamfilters

bewerken

Spamhaus beheert een aantal veelgebruikte anti-spamdatabases, waaronder:

The Spamhaus Blacklist

bewerken

The Spamhaus Blacklist of SBL Advisory is een databank met IP-adressen waarvan Spamhaus adviseert om geen e-mail te accepteren. Het is een zogenaamde DNS Blacklist.[3] Beheerders van e-mailservers kunnen de SBL-lijst gebruiken om e-mail te weigeren die afkomstig is van een IP-adres dat in het verleden gebruikt is om spam te versturen. De database wordt actief onderhouden. De volgende IP-adressen komen in aanmerking voor opname in de SBL Advisory:[4]

  • Originators: bronnen van spam: het IP-adres waarvandaan de spammail verstuurd is. Deze informatie komt van zogenaamde spamtraps of wordt verstrekt door externe partijen die Spamhaus erkend heeft als betrouwbare bronnen.
  • Servers: mailservers die gebruikt zijn om spam te versturen.
  • Operations: IP-adressen van personen of organisaties uit de ROKSO-lijst worden opgenomen in de SBL, ook al is er vanaf dat mailadres (nog) geen spam verstuurd.
  • Spam Support Services: organisaties/providers die hun diensten verlenen aan personen of bedrijven die op de ROKSO-lijst zijn opgenomen.

Behalve opname op de lijst is ook de procedure om van de lijst afgehaald te worden van belang. Als een bepaalde server misbruikt is door derden om spam te versturen en de eigenaar van die server heeft afdoende maatregelen genomen om herhaling te voorkomen, kan hij een verzoek indienen om van de SBL Advisory-lijst gehaald te worden. Spamhaus heeft hiervoor een grotendeels geautomatiseerde procedure.[5]

XBL Advisory

bewerken

Naast de SBL Advisory Blacklist met IP-adressen van bronnen of servers die daadwerkelijk gebruikt zijn voor het versturen van spam of in gebruik zijn door ROKSO-leden, is er ook de XBL Advisory Blacklist met IP-adressen die misbruikt kúnnen worden om spam te versturen. Hierbij moet gedacht worden aan onvoldoende beveiligde mailservers of openproxyservers.[6] De XBL-lijst bevat naast de gegevens die Spamhaus zelf verzameld heeft ook de gegevens van de door Spamhaus vertrouwde externe databases CBL- en NJABL-blacklists. Een internetgebruiker kan op deze lijst terechtkomen, en zal dan geen mail meer kunnen verzenden aan vele externe contacten (dus niet naar een van de momenteel 1,4 miljard Spamhaus-gebruikers). Op de website van de organisatie is te lezen hoe internetgebruikers een opname ongedaan kunnen maken of hoe zij kunnen voorkomen dat ze op de lijst terechtkomen.[7]

PBL Advisory

bewerken

De PBL of Policy Blacklist bevat IP-adressen en IP-ranges die niet gebruikt zouden mogen worden als SMTP-servers, en waarvan daarom eigenlijk geen SMTP-sessie toegelaten zou moeten worden. IP-adressen en ranges die in de PBL staan, hoeven dus helemaal niet een bron te zijn geweest van spam, maar deze IP-adressen zouden niet gebruikt moeten worden als IP-adres van een SMTP-server (maar mogen wel een bron zijn van een e-mailbericht dat via een SMTP-server op een ander IP-adres wordt verstuurd). De voornaamste reden voor opname in deze lijst is dat het betreffende IP-adres (of de IP-adresrange) dynamische IP-adressen zijn voor interneteindgebruikers (breedbandgebruikers, adressen gebruikt voor inbeldiensten etc).[8] De PBL-lijst kan rechtstreeks geraadpleegd worden via pbl.spamhaus.org, maar het is eenvoudiger de ZEN-database te raadplegen: deze omvat naast de PBL ook SBL, XBL en SBLCSS.[9]

DBL Advisory

bewerken

De DBL bevat domeinnamen die gebruikt zijn in spammail. Het is een realtimelijst met domeinnamen die door beheerders van e-mailservers gebruikt kunnen worden om binnenkomende e-mails aan te merken als spam op basis van de links die in de berichten staan. Als in een e-mail verwezen wordt naar een website (via de Uniform Resource Locator) die in de DBL-database staat, kun je betreffende binnenkomende mailbericht aanduiden als spam of mogelijke spam. De URL die is opgenomen is namelijk ook genoemd in e-mails die zijn aangemerkt als spam.[10]

DROP: Don't route or peer list Advisory

bewerken

De DROP-database is bedoeld voor internetproviders met een eigen netwerk die verkeer uitwisselen met andere internetproviders (via peering of transit verkeer). Dit uitwisselen van IP-verkeer gaat meestal via internet-exchanges zoals de Amsterdam Internet Exchange, London Internet Exchange of DECIX. De DROP-lijst bevat IP-adresblokken die niet officieel uitgegeven zijn aan erkende internetproviders. De DROP-lijst neemt geen adresblokken op die officieel gebruikt mogen worden en beheerd worden door erkende providers, zelfs als de IP-adressen een bron zijn van spam. De DROP-lijst is een lijst met IP-adresblokken die (nog) niet zijn toegewezen aan internetproviders en/of nog niet toegekend zijn om gebruikt te worden.[11] Het toewijzen van IP-adresblokken aan internetproviders gebeurt via Regionale Internet Registry's. Voor Europa is het RIPE NCC verantwoordelijk, of het Réseaux IP Européens.

Naast bovenstaande verzameling DNS Blacklists onderhoudt Spamhaus ook een lijst van de grootste bekende spammers. Zij volgt actief de activiteiten van deze personen, bedrijven of organisaties. Deze 100 spamkoningen zijn verantwoordelijk voor 80% van het spamverkeer.[12] Het opnamebeleid op de ROKSO-lijst volgt het zogenaamde 3 strikes out-systeem: als men zich voor de eerste keer schuldig maakt aan grootschalige spam kan en zal het door de spammer gebruikte IP-adres voor het versturen van de spam wel in de SBL-lijst worden opgenomen, maar het komt nog niet op de ROKSO-lijst. Na drie gevallen van grootschalige spam volgt echter opname op de lijst. De onderzoekers van Spamhaus volgen de personen en organisaties op de lijst actief. Zodra ze er bijvoorbeeld achter komen dat een 'listed person' een nieuwe server heeft gehuurd bij een internetprovider, dan wordt het IP-adres van die server direct op de SBL-lijst gezet, ook al is die server helemaal nog niet gebruikt om spam te versturen.[13]

Spamhaus gebruikt vaak de term 'top 100'-spammers, maar de ROKSO-lijst bevat niet exact honderd personen of organisaties. Het aantal personen/organisaties dat voldoet aan de voorwaarden voor opname op de lijst ligt meestal rond de 100 tot 150.[14] De ROKSO-lijst wordt behalve voor het bovenstaande automatisch opnemen van IP-adressen die gebruikt worden door bij ROKSO geregistreerde personen/organisaties in de zwarte lijsten van Spamhaus ook gebruikt door providers: wanneer een provider een aanvraag krijgt voor een internetaansluiting of voor het huren van een server in een datacenter, controleert deze of de aanvrager niet op de ROKSO-lijst staat. Als hij wel op die lijst staat, kan de provider besluiten de gevraagde dienst niet te leveren of de provider kan extra voorwaarden stellen. Daarnaast kan de provider de IP-adressen van de verhuurde machines/aansluitingen doorgeven aan Spamhaus.[15]

  NODES
INTERN 15
Note 1
Project 6