IP-Blacklisting: Spamhaus-Projekt in der Kritik

Der schwedische Provider Resilans streitet mit dem Spamhaus-Projekt über IP-Adressen, die womöglich zu Unrecht auf einer Blacklist gelandet sind. Der Ruf nach einer Schiedsstelle für solche Fälle wird laut.

In Pocket speichern vorlesen Druckansicht 160 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert

IP-Adressen von Städten schaffen es auf die wuchernden IP-Blacklists, auch ein deutsches Ministerium findet sich als Zombie-Gastgeber auf der Spamhaus Blocking List verzeichnet. Eine rechtliche Handhabe gegen Overblocking, den möglichen Missbrauch des Missbrauchs oder schlicht Fehler, die passieren, gibt es nicht. Der schwedische Provider Resilans warnt, dass der Kampf gegen Spam und anderen potentiellen Missbrauch sich zu regelrechten DoS-Attacke gegen kleine Unternehmen auswächst. Bedarf es einer Schiedsstelle, um das Problem in den Griff zu bekommen?

Immer wieder berichten Provider von Auseinandersetzungen mit den Betreibern von Blacklists. An die 150 Blacklists kenne er allein, sagt Bengt Gördén von Resilans. Das Unternehmen streitet sich seit der ersten Jahreshälfte vor allem mit Spamhaus über die Blockade von rund 50 Adressblöcken, darunter einen Adressbereich der Verwaltung der schwedischen Stadt Göteborg.

Aus Gördéns Sicht wurde hier Schindluder getrieben. Die Adressen, die zum Zeitpunkt des Listings nicht einmal geroutet waren, sind nach Auffassung von Resilans keineswegs gehijackt worden. Der Blick in Ankündigungen der Routing-Tabellen habe das gezeigt, versichert Gördén. Kontaktaufnahmen mit Spamhaus seien schier unmöglich gewesen, Resilans aber müsse derweil befürchten, dass zu unrecht geblockte (oder mit geblockte) Kunden dem Unternehmen davonlaufen.

Ungeroutete Adressen zu listen sei nicht zwangsläufig ein Fehler, verteidigt Chris Thompson die Strategie von Spamhaus, denn Routing-Ankündigungen könnten sich rasch ändern. Die Göteborg-Adressen (194.71.226.0/24) seien nach knapp 24 Stunden wieder von der SBL gestrichen worden, nachdem Resilans sie Spammern entzogen habe. Im Übrigen gebe es keine Beeinträchtigungen des Internetverkehrs, wenn die Adressen nicht geroutet seien.

Nach dieser Logik hat Spamhaus seit Februar auch einen IP-Adressblock gelistet, für den laut RIPE Datenbank das Bundesministerium für Umwelt verantwortlich ist. Als Zombie-IP-Block wird der Block 134.92.0.0/16 auf der Spamhaus Blocking List geführt. Es handelt sich um einen der so genannten Legacy-Adressblöcke, der vor dem Entstehen der Adressverwaltungen vergeben wurde. Ob das Umweltministerium sich der digitalen Umweltverschmutzung unter eigenem Namen bewusst ist? Eine Anfrage über den Postmaster blieb erst einmal unbeantwortet. Merkwürdig schließlich auch, dass der Block laut BGP4 bei Kabel BW und Level3 liegt.

Bei Resilans ist man ratlos, wie man Spamhaus dazu bewegen könnte, mutmaßlich zu Unrecht geblockte Adressblöcke zu streichen. Da die SBL in Tools wie Spam Assassin zum Default gehöre, sei der Schaden erheblich. Eine rechtliche Handhabe, den Streit klären zu lassen, gibt es nicht, bestätigen viele Provider, nicht zuletzt, weil ein Urteil im eigenen Land im Zweifel nicht von den Filterlistenbetreibern anerkannt wird. Gördén trat daher mit dem Vorschlag einer außergerichtlichen Schiedsstelle ans RIPE heran.

RIPE-NCC-Geschäftsführer Axel Pawlik gibt sich zurückhaltend. Letztlich müssten die Mitglieder entscheiden, ob das gewünscht sei. Eine solche Schiedstätigkeit liegt aber seiner Meinung nach doch außerhalb des traditionellen Aufgabenbereichs der Adressverwaltung. Thompson von Spamhaus hält eine Schiedsstelle für unnötig, die Kunden entschieden, ob sie die Filterlisten für notwendig hielten.

Bessere Möglichkeiten, die Adressinhaber direkt über missbräuchliche Aktionen aus ihren Netzen zu informieren, hatte die Anti-Abuse-Arbeitsgruppe des RIPE mit verpflichtenden Abuse-Kontaktadressen schaffen wollen. Auch diese bergen für die Provider die Gefahr DoS-artiger Überfälle. Besonders schlimm sind laut Gördén die automatisierten Beschwerden von Urheberrechtsinhabern, die erst dann auf Fingerzeige auf die eigentlich zuständigen abuse-c-Kontakte reagieren, wenn man in der Chefetage vorstellig werde. (axk)