<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
--></style>
</head>
<body class='hmmessage'>
Thanks for summarizing the situation, Richard, but that's really frustrating nonetheless.<br>If the registrars can't enforce penalties because the whois information is broken or the ISP does not answer, it is basically useless to contact their abuse email, even for documentation purpose.<br><br>Same for abuse penalties: As one moderator in one very small forum, we are attacked daily by 10-20 spam posts that pass the barrier of the stopforumspam blacklist. I often find myself being the first to report a spammer in their database. Email spam does not seem to have the same problem, at least with the main email providers such as gmail and live, the blacklist they use seem to be efficient, I never receive spam on these accounts.<br><br>As an individual wasting at least 2 man-weeks every year (basically, that's my vacations gone) figthing abuse, what can we do to raise awareness and help stopping this abuse definitely? I understand that telcos have too much financial interest in that matter to let go the millions they make out of spam traffic, and I understand that the politicians can't really fight the telcos lobbies either, so what's left to us, and how can we help give the registrars the responsibilities and enforcement powers they should have?<br><br>For instance, it is a real shame that all these blacklist databases have been created privately by people fed up with abuse. This should be funded and controlled by the registrars IMHO. I think there are already clauses asking the telcos and ISPs to maintain the whois data up to date and accurate, and there should be the same about abuse, but you can't put such clauses if you don't have the means to enforce them or put the infrastructure that goes around, such as blacklists, and make their usage mandatory at all levels.<br><br>BTW, if btuser.net means you work for British Telecoms, congrats, I never experienced forum spam from one of their accounts (in my short moderator life.)<br>And you should renew the fee for that btuser.net domain, it goes to a godaddy.com spam page telling this domain is for sale at $1.99. ;-)<br><br>Thanks,<br>A naive Chimel.<br><br><br>> From: richard.cox@btuser.net<br>> Subject: Re: [anti-abuse-wg] Whois database accuracy<br>> To: anti-abuse-wg@ripe.net<br>> Date: Fri, 23 Oct 2009 14:20:53 +0000<br>> <br>> On Wed, 21 Oct 2009 Jerome Bouat <jerome.bouat@wanadoo.fr> wrote:<br>> <br>> > Could we possibly disconnect the network which aren't tidying their<br>> > whois records ?<br>> <br>> To amplify one of Brian's points:<br>> <br>> The problem there is that WE (which for the purposes of this discussion<br>> only, would include RIPE NCC) can't disconnect anybody.  You've made an<br>> invalid assumption which - frankly - I also made for many years, until<br>> the full reality of the situation dawned on me.<br>> <br>> The only people who can disconnect a network are its peers and upstreams.<br>> To a large extent that means that if any of the backbone networks agrees<br>> to accept the traffic, the network stays connected.  If ALL the backbone<br>> networks agree not to accept traffic from block owners that do not have<br>> (or do not answer) valid abuse etc addresses, then we would have a way<br>> forward.  It only takes one such backbone network to carry the traffic<br>> and the problem remains.  And experience tells us that there will be one.<br>> <br>> RIPE and other RIRs allocate IP ranges and ASNs.  Although there is<br>> a routing database, that does NOT actually control the routing.  All<br>> that RIPE NCC controls, is the entitlement to use the numbers, and the<br>> reverse DNS delegations.  Now, if the RIPE NCC were to recover a block<br>> allocation or ASN because the WHOIS data was bad, or the network would<br>> not deal with abuse issues reported (and by the way I am not advocating<br>> that as a policy) those addresses and ASN could continue to be used.<br>> All that would happen would be that rDNS would stop working, and there<br>> would no longer be any visible track of who was running that network.<br>> <br>> In an ideal world the upstreams would stop routing the traffic as soon<br>> as they became aware of the situation.  That's very far from being a<br>> universally adopted practice, as was found recently when several of the<br>> other RIRs withdrew numerous IP address blocks for non-payment of fees:<br>> and Afrinic's withdrawal of Zimbabwean blocks was one example of this<br>> triggered by the recent currency problems in Zimbabwe.<br>> <br>> IP traffic is just like international telephone routing - if an entity<br>> says it is using a number range, and its peers and upstreams accept the<br>> claim, then connections will get through.  And in many cases those<br>> upstreams will be influenced by the payments they get for the traffic,<br>> either at standard or enhanced rates.  If there are conflicting routing<br>> claims, then obviously the connectivity will become somewhat unreliable.<br>> <br>> So effectively the only people who can "disconnect" an address range<br>> are the individual ISPs - by rejecting that traffic locally - but that<br>> rarely happens either, because of the probability of losing legitimate<br>> traffic in the process.  There are a few network ranges that are known<br>> to be all used for crime or abuse, and a lot of ISPs now use the list<br>> at http://www.spamhaus.org/drop to block that traffic. I hope you do!<br>> <br>> For the other cases, pressure on the upstreams carrying the traffic<br>> from the entity that has misconfigured data, is probably the best way<br>> to get the problem fixed.  Blocking that traffic locally is a good<br>> thing for ISPs to do, but it will take a lot of them to impose blocking<br>> before corrective action will be taken.<br>> <br>> Regards,<br>> <br>> Richard<br>> Co-Chair, RIPE AA-WG<br>> <br>                                         <br /><hr />Nouveau Windows 7 : Trouvez le PC qui vous convient. <a href='http://clk.atdmt.com/FRM/go/181574580/direct/01/' target='_new'>En savoir plus.</a></body>
</html>