Mega Provider laks met aanpak spamadressen

Mega Provider toonde zich vorige week onaangenaam verrast door berichten dat er herhaaldelijk spam werd verstuurd vanaf zijn netwerk. “Wij hebben niet de intentie om enige rotzooi te versturen. Wij doen alles om dit uit de wereld te helpen”, aldus Henk van Ooyen van Mega Provider tegenover WebWereld.

Het is niet voor het eerst dat Mega Provider zegt iets tegen het verzenden van spam vanaf zijn netwerk te ondernemen. Op de site van Spamhaus staat een e-mailbericht van Martijn Bevelander van 1 augustus 2002. Daarin belooft hij in het vervolg sneller op te treden tegen misbruik van zijn servers.

Er waren destijds klachten binnengekomen over verscheidene ip-adressen van Mega Provider waarvandaan spam werd verstuurd. Het ging daarbij om ip-adressen die beginnen met ‘80.71.71’.

Lang onderzoek

Ondanks Bevelanders belofte om snel op te treden tegen spamadressen, komt de range 80.71.71 een jaar later weer verscheidene malen voor in een wereldwijde top40 van plaatsen waarvandaan open proxies worden gehackt. (Spammers versturen hun berichten graag via open proxies, onder meer omdat ze op die manier hun identiteit makkelijker kunnen verhullen.)

De samensteller van de top40, Ronald F. Guilmette, wijst er in één van zijn berichten op dat 38 van de 40 genoemde plaatsen Noord-Amerika zitten. Daarnaast zit er nog één blok in Hongkong en één in Nederland: Mega Provider.

Opmerkelijk is het moment waarop Mega Provider wordt vermeld in de top40 van Ronald F. Guilmette: de zomer van 2003. Net op het moment dat Martijn Bevelander, één van de drijvende krachten achter Mega Provider, in opspraak is vanwege zijn betrokkenheid bij spamactiviteiten.

De Nederlandse spambestrijder Rejo Zenger wees Martijn Bevelander er destijds op dat de ip-range van Mega Provider in de top40 van Ronald F. Guilmette stond. “Zijn reactie was steeds dat ze het in onderzoek hadden. Na een maand of twee – lang onderzoek dus – meldde hij me dat het dsl-klanten waren.”

Proxypot

Dat de adressen van dsl-klanten zijn, is ook nu het verweer van Mega Provider. De zes ip-adressen waarvandaan vorige week tot twee keer toe spam werd verstuurd, beginnen opnieuw met ‘80.71.71’. Volgens Mega Provider zijn deze adressen van twee klanten. “Die hebben we daar inmiddels op aangesproken.”

De spam van vorige week werd ontdekt door ‘Giblet’. Giblet beheert een zogeheten proxypot, een valstrik voor hackers. Voor spammers lijkt de proxypot een gewone open proxy. De proxypot stuurt de spamberichten echter niet door, maar verzamelt informatie over de adressen waarvandaan de spam wordt verstuurd.

De eerste melding over spam vanaf de ip-adressen van Mega Provider publiceerde Giblet maandag 8 maart in de nieuwsgroep news.admin.net-abuse.email. Op 9 maart publiceerde WebWereld een artikel over de problemen met deze adressen.

Op vrijdag 12 maart om tien voor half vier – vier dagen na de eerste melding – werd voor het laatst gepoogd om spam te versturen vanaf dezelfde adressen, zo laat Giblet desgevraagd weten.

Erg laks

“Gezien de aanhoudende klachten over deze reeks kan gesteld worden dat Mega Provider erg laks omgaat met klachten en signalen over misbruik vanuit zijn netwerk”, oordeelt Patrick Oonk van het it-beveiligingsbedrijf Pine. “Een provider die zijn bedrijf enigszins serieus neemt, had al lang een onderzoek naar de bron van de spamklachten ingesteld en de betreffende klant afgesloten.”

Netwerkbeheerder Sabri Berisha is het daarmee eens. “Zodra ik een klacht krijg, zet ik de dsl dicht en bel de klant. De responstijd is dus eigenlijk afhankelijk van wanneer ik mijn mail lees. Dat kan variëren van tien minuten tot uiterlijk negen uur ’s ochtends de volgende werkdag. Dat moet voor Bevelander ook haalbaar zijn.”

Het verweer van Mega Provider – dat het mogelijk gaat om gehackte machines van dsl-klanten – is geen excuus, stelt Berisha. Integendeel. “Hij houdt dan willens en wetens gehackte machines aan het internet, die vervolgens een risico vormen voor andere netwerken.”

Verdacht

Of er daadwerkelijk sprake is geweest van een hack, wordt overigens betwijfeld. “Als iemand een machine heeft gehackt, waarom zou die ‘hacker’ dan niet gewoon vanaf die machine spammen, in plaats van een open proxy in de Verenigde Staten te hacken”, vraagt Giblet, de eigenaar van de Amerikaanse proxypot, zich af.

Het is ’theoretisch gezien mogelijk’ dat er een hack is geweest, stelt Berisha. Tegelijkertijd noemt Berisha het ‘verdacht’ hoe Mega Provider omgaat met de betreffende ip-adressen. “Hij doet in elk geval hard zijn best om de gebruiksdoeleinden van deze range te maskeren.”

“Zo kloppen bijvoorbeeld de reversed (en forward) entries in de DNS niet, en heeft hij totaal geen beschrijving of opmerkingen toegevoegd in zijn inetnum object.” Andere providers doen dit wel en vermelden bijvoorbeeld dat een bepaald block ip-adressen wordt gebruikt voor dsl-gebruikers. “Het is niet verplicht om dat te doen, maar het ontbreken van dit soort entries maakt het wel verdacht”, aldus Berisha.

Mega Provider wilde niet reageren op de kritiek. “Ik heb totaal geen reactie”, aldus Piet Bevelander van de hostingprovider. “Zoek het uit.”