<div dir="ltr">
<div>Hello all,</div><span class="gmail-im"><div><br></div><div>> 
I believe Hetzner as an example does this or something similar.</div><div><br></div></span><div>They indeed do. I've noticed it especially with reports from the 
German Federal Office for Information Security when I've left <br></div><div>portmapper open to the internet or something else equally harmless in its intent. Much better dealt with by the customer <br></div><div>directly, as Hetzner could do almost nothing in this case.</div>

<div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Thanks,</div><div>Q</div><div>Director</div><div><br></div><div><a href="https://as207960.net" target="_blank"><img src="https://as207960.net/assets/img/logo2.png" alt="https://as207960.net" width="96" height="96"></a><a href="https://www.youracclaim.com/badges/4570b2d1-947f-426a-832d-d0e4bf445267/public_url" target="_blank"><img src="https://docs.google.com/uc?export=download&id=1eTLtStC9XjwQfXVUl5Y-lJUodLWsohJV&revid=0B1xtLMPA5OIsMlNUNHk1dkxBeXFwazRxNnFJck5SUnBRWE53PQ" width="96" height="96"></a></div><div><br></div><div><a href="https://as207960.net" target="_blank">https://as207960.net<br></a><div>AS207960 Cyfyngedig</div><div>Phone: +44 29 2010 2455 (ext 601)</div><div>Fax: +44 29 2010 2455</div><div>Address: 13 Pen-y-lan Terrace, Caerdydd, Cymru, CF23 9EU</div><div><br></div><div>AS207960 Cyfyngedig, trading as Glauca Digital, is:
                </div>
                <ul><li>
                        a limited company registered in Wales (№
                        <a href="https://find-and-update.company-information.service.gov.uk/company/12417574" target="_blank">12417574</a>)
                    </li><li>
                        a registered data controller with the Information Commissioner's Office (№
                        <a href="https://as207960.net/assets/docs/ico_registration.pdf" target="_blank">ZA782876</a>)
                    </li><li>
                        registered for VAT in the EU (№ EU372013983)
                    </li></ul></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 21 Feb 2021 at 02:44, Cynthia Revström via anti-abuse-wg <<a href="mailto:anti-abuse-wg@ripe.net">anti-abuse-wg@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Ronald,<div><br></div><div>Can you please stop attacking ideas (such as web forms) implying that they only have malicious use cases.</div><div><br></div><div>> I hold them responsible because they obviously</div>> fail to have in place contractual clauses that would persuasively<br>> deter this behavior on the part of their customers.<div><br></div><div>In many cases it is practically impossible to know if your customers are sending legit emails or spam without having people reporting it.</div><div>As TLS is used in many cases now, the provider can't look at the network data to see what the customer is sending even on a technical level, disregarding any trust/potential legal issues.</div><div><br></div><div>> The provider in question is a perfectly lousy coder and is thus</div><div>> unable and/or unwilling to write code to parse emailed abuse</div><div>> reports.</div><div><br></div><div>Hi, I am actually primarily a software dev and not a network engineer, it is not even close to as easy as you make it out to be.</div><div>Sure you can have a regex to extract IP addresses and other messy things like that, but you can't be sure what that address is, it might be your customer, it might be the address they say you attacked, etc.</div><div>My point here is that parsing free form text in this way without having a clearly defined structure is far from trivial.</div><div>Also please stop assuming bad faith by saying that providers are "unwilling" to do this.</div><div>If they could drastically lower the amount of manual work needed here with a bit of code, they absolutely would in almost all cases.</div><div><div><br></div><div>> And anyway, don't actual human beings need to look at these things,</div><div>> in the end, in order to be able to react to each of them properly</div>> and in a professional fashion? <div><br></div><div>Web forms can have pros and cons, I am just going to take the case of a VPS/Dedicated server hosting company.</div><div><br></div><div>If the hosting company provides a web form, they can have a field where they explicitly ask for the offending IP address.</div><div>This report could then automatically also be sent to the customer in question, because we shouldn't assume the customer is malicious, they might just have a bad config that made them a relay for example.</div><div>This could make it so the report is acted upon sooner potentially as the hosting company might take a few days to reply but maybe the customer can act sooner.</div><div>(I believe Hetzner as an example does this or something similar.)</div><div><br></div><div></div><div><br></div><div>> A provider that is routinely receiving so many abuse reports that</div>> it can barely keep up with them all has bigger problems that just<br>> the manner in which abuse reports are received.<br></div><div><br></div><div>Due to the automated procedure by some providers for abuse reports, if I have one bad host sending spam, I might get an abuse report for every single email they receive, so even if it is just one customer I might wake up to 200 emails.<br></div><div>But if I had a way to group it by sender IP address, that would be a lot more manageable.</div><div>(this was just a hypothetical example) </div><div><br></div><div>Now I absolutely agree that having an abuse email address that is acted upon in a reasonable amount of time (maybe a week or so) is still essential as the web forms aren't standardised or might rely on technology like captchas.</div><div>But if you send me 200 emails about the same host in one day, I am probably still going to be mildly annoyed and I could see how this is actually unmanageable for larger providers.</div><div><br></div><div>I think the true solution here is just to have a standard email template or similar so providers could easily and reliably parse it automatically (at least partially).</div><div>just a very quick example that I didn't consider for more than a minute: the standard could be as easy as just beginning every report email with "abuse-host=192.0.2.20,192.0.2.21\n\n" and whatever other fields are needed.</div><div><br><div><div><div dir="ltr"><div dir="ltr">-Cynthia</div></div></div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 21, 2021 at 2:51 AM Ronald F. Guilmette <<a href="mailto:rfg@tristatelogic.com" target="_blank">rfg@tristatelogic.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">In message <20210218200036.066496E3600F@ary.qy>, <br>
"John Levine" <<a href="mailto:johnl@taugh.com" target="_blank">johnl@taugh.com</a>> wrote:<br>
<br>
>Report web forms are out of the question because they do not scale. I<br>
>send about a hundred abuse reports a day about spam received from all<br>
>over the Internet, and I have no interest in using your form or anyone<br>
>else's to make a manual special case for under 1% of my reports.<br>
<br>
I'm real glad that John posted the above comment, as he has saved me<br>
from having to do so myself.  (But I will take this opportunity to<br>
elaborate on what John said anyway.)<br>
<br>
I am in 1000% agreement with John on this.  Abuse reporting forms do<br>
not scale... at least not for the *victims* of the abuse.<br>
<br>
I report email spams... by far the most common form of network abuse...<br>
to dozens of different providers every week.  At the moment in time<br>
when I send each of these reports, I have already been abused by each<br>
of these providers.  (I hold them responsible because they obviously<br>
fail to have in place contractual clauses that would persuasively<br>
deter this behavior on the part of their customers.)<br>
<br>
To make me "jump through the hoops" of first even just *finding* each<br>
provider's unique abuse reporting web form, and then navigating it<br>
sufficiently well to insure that I have dotted all of the i's and<br>
crossed all of the t's, as required, uniquely, for each different<br>
provider, just *adds* injury to the insult that I have already suffered<br>
at the hands of these same providers, and these same networks.<br>
<br>
The demand to use a web-based reporting form is itself a form of cost<br>
shifting.  It shifts more of the costs of dealing with network abuse<br>
onto the victims of abuse and away from the providfers that are actually<br>
originating the abuse in the first place.   In that sense it is arguably<br>
the same as spam itself.  Email spam only exists because it is a way<br>
of shifting the costs of advertising onto the recipient and away from<br>
the senders.  Likewise, demanding that I must find my way to, and then<br>
properly complete *your* unique web reporting form is yet another way<br>
of shifting the costs of dealing with *your* abuse of *my* inbox away<br>
from yourself and onto me.  Sure, it is maximally convenient FOR YOU,<br>
but how about a little more consideration for the victim?<br>
<br>
As John and others have noted, if I take up *my* time and effort to<br>
report to you abuse that is coming from *your* network, then I am NOT<br>
doing that for *my* benefit.  Rather all of the benefits of abuse<br>
reports flow to the network operator of the network where the abuse<br>
originated.<br>
<br>
I am not an imbecile, and I can easily enough block any arbitrary sender<br>
in my own local configuration, either by full email address, or by<br>
domain name, or by IP address range.  Thus, nothing obligates me to<br>
report any spam, and I can easily enough prevent myself from gettting<br>
spammed twice or more from the same source.  So how does it benefit<br>
*me* as a spam recipient, or send in a spam report?<br>
<br>
The answer is that it doesn't.  Period, full stop. I only do it out of<br>
a sense of community responsibility, i.e. to do my part to help pick<br>
up trash that other people leave lying around on the Internet.  In an<br>
ideal world the networks/providers who are the recipients of my spam<br>
reports would be greatful for my help in truing to keep their networks<br>
clean, EVEN TO THE POINT WHERE THEY SHOULD PAY ME OUT OF GRATITUDE upon<br>
receiving any professionally prepared report from me.  But they don't.<br>
(Sigh.)  At the very least they should have the minimal courtesy and<br>
respect to not make the task of sending them a report more cumbersome<br>
and more tedious than it needs to be.   Web reporting forms do the<br>
exact opposite, and they are thus every bit as anti-social as spam<br>
itself.<br>
<br>
<br>
Regards,<br>
rfg<br>
<br>
<br>
P.S.  Some providers try to justify or excuse their clearly anti-social <br>
demand that everyone reporting abuse to them must use a web form by<br>
claiming that they get too abuse many reports, on a regular basis, to<br>
allow them to do anything sane or useful with such reports UNLESS they<br>
come to them via a web form.<br>
<br>
This is 1000% bullshit, and it indicates two things:<br>
<br>
   1)  The provider in question is a perfectly lousy coder and is thus<br>
       unable and/or unwilling to write code to parse emailed abuse<br>
       reports.<br>
<br>
       And anyway, don't actual human beings need to look at these things,<br>
       in the end, in order to be able to react to each of them properly<br>
       and in a professional fashion?  If so, then how does the additional<br>
       automation of a web form even provide any real or useful service to<br>
       *either* the originator of an abuse report *or* to the sender of<br>
       such a report?  It doesn't, clearly.  It is just a way of maximally<br>
       inconveniencing the originators of abuse reports, and thus to<br>
       quite apparently deter them from reporting AT ALL.<br>
<br>
       In fact, for me, any time a provider says to me "Oh, you need to<br>
       use our web form to report that" I take any such statement as a<br>
       nearly 100% reliable indicator that the provider/network in<br>
       question is going to be routing whatever I submit directly to<br>
       /dev/null.  Any provider that is making *any* attempt to <br>
       "automate" abuse handling is, by definition, trying to *avoid*<br>
       having any human ever look at abuse reports.  And it logically<br>
       follows that any provider that is trying its best to AVOID looking<br>
       at abuse reports will NEVER have a human look at any such, which<br>
       in turn clearly implies that no abuse report will ever be actioned<br>
       by that provider in any way.  (Example:  Digital Ocean.  But I can<br>
       easily cite many many more.)<br>
<br>
   2)  More importantly, it speaks volumes about the provider in question<br>
       when and if he/she/it claims that they are receiving "too many<br>
       reports" on a regular basis to allow them to be handled via email,<br>
       rather than via a web form.<br>
<br>
       To any and all such providers, I have a stock reply:  Oh really?<br>
<br>
       A provider that is routinely receiving so many abuse reports that<br>
       it can barely keep up with them all has bigger problems that just<br>
       the manner in which abuse reports are received.<br>
<br>
<br>
</blockquote></div>
</blockquote></div>