foutmelding door gebruik VPN?

Ik gebruik zo nu en dan een VPN verbinding en ontvingdeze keer bij het plaatsen van een reactie net deze melding:

Je IP 196.196.193.196 is geblokkeerd omdat het op een zwarte lijst staat. Voor meer informatie bekijk http://www.spamhaus.org/query/bl?ip=196.196.193.196.

Nu kan ik natuurlijk ook weer voor een andere verbinding kiezen maar in het buitenland is het gebruik van een VPN op een onbekend WiFi netwerk wel een stukje extra zekerheid wat je graag hebt. Dus is er een mogelijkheid om toch van alle functionaliteit gebruik te maken als je dmv een VPN verbinding met het forum hebt en ook wilt posten.
Based on research, analysis of network records, our own intelligence sources and our experience, Spamhaus believes that this IP address range is being used or is about to be used for the purpose of high volume spam emission.

As a precaution we are listing this range in an SBL Advisory until we are able to determine with certainty exactly who is operating these domains/hosts/servers and also verify the opt-in permission status and origin of whatever lists are used for those mailings.
Het is jouw stukje extra zekerheid tegen dat van de vereniging. En dan gaat in dit geval de vereniging voor.
Anders gezegd: het is jouw verantwoordelijkheid een VPN-verbinding te kiezen die niet misbruikt wordt voor "high volume spam emission".
Verwacht wordt dat het aantal files de volgende jaren zal toenemen, om dit tegen te gaan gaan we nu maar vast de brandstofprijs verhogen, of zorgen we ervoor dat alle snelwegen minimaal 4 maal 4 baans worden, dat is eigenlijk de strekking van wat Spamhaus hier schrijft. Dan zou Spamhaus ook de complete IP-range van Ziggo of welke grote provider dan ook in de lijst op moeten nemen. Het simpelweg blokkeren van een complete range is dan eigenlijk het zelfde als het uitsluiten van een groep mensen om wat voor reden dan ook, en zolang het maar met je eigen veiligheid te maken heeft is dat OK? Achteraf pas controleren of de systemen (door mensen gemaakt) het juist hebben, is wel erg makkelijk. Shoot first ask questions later?

Inmiddels verbonden met een andere server op Ijsland, eens zien wat er nu gebeurd.

Via Ijsland nog geen problemen zo te zien, ik had dit bij een betaalde VPN-dienst (Via Ierland gaat het via de dezelfde dienst wel fout) overigens ook niet verwacht trouwens.

Blijf erbij dat de door de verening of hoster gekozen manier wel een erg makkelijke en niet direct gebruikersvriendelijke is. Iets ergens op het forum/website hierover plaatsen zou er in ieder geval voor kunnen zorgen dat men weet wat er aan de hand is en dat wat een mogelijke oplossing is.
Is een server probleem of gebruik van een vpn dienst niet in de eerste plaats een keuze die je zelf doet? En bij problemen dit neerlegt bij de betreffende vpn aanbieder?
Die vpn aanbieder laat kennelijk spammers toe in zijn netwerk. Misschien is dat ook wel het probleem van een vpn dienst. Dat mensen zich verschuilen achter een tijdelijk ip-adres en menen dat ze vrij spel hebben. Het heeft dus ook zijn beperkingen.
Nog even afgezien van het feit dat ik voor extra beveiliging kies, is het natuurlijk wel fijn dat mensen die niet thuis zijn in IT een duidelijke boodschap krijgen.
Nu is het alsof de marechaussee bij de grens zegt omdat je uit land x komt mag je hier niet naar binnen, omdat er uit jouw land mogelijk ongewilde gedragingen plaatsvinden. Zonder duidelijke uitleg waarom, je moet eerst zelf op zoek naar het antwoord, en dat is ook verre van duidelijk.
Ik kan dan nog de link leggen tussen het wel of niet aan hebben staan van een VPN verbinding, dat is mogelijk niet iedereen gegeven.

Waar ik nu dus naar op zoek ben is dat het voor iedereen die hier tegen aan loopt duidelijk is wat de oorzaak is zonder eerst zelf op zoek te moeten gaan naar wat de cryptische omschrijving betekend. Spamhaus zelf is daar ook niet erg duidelijk in trouwens.
Ref: SBL175056
196.196.0.0/16 is listed on the Spamhaus Block List - SBL
196.196.0.0/16 is listed on the Don't Route or Peer List - DROP
2017-10-19 17:09:21 GMT | webexxpurts.com
snowshoe range - Fiber Grid Inc (AS57858)

Based on research, analysis of network records, our own intelligence sources and our experience, Spamhaus believes that this IP address range is being used or is about to be used for the purpose of high volume spam emission.

As a precaution we are listing this range in an SBL Advisory until we are able to determine with certainty exactly who is operating these domains/hosts/servers and also verify the opt-in permission status and origin of whatever lists are used for those mailings.
In het onderste deel staat dat ze als voorzorg de boel dichtgooien en een onderzoek aan het doen zijn of eea wel juist is, dat onderzoek loopt dus al sinds 19 oktober 2017, oftewel ze doen niets en laten het aan de eigenaar van de range over om te gaan klagen.
Wat ik niet begrijp in dit verhaal is:
_Peter_ schreef: Ik gebruik zo nu en dan een VPN verbinding en ontving deze keer >bij het plaatsen van een reactie< net deze melding:
Het lijkt er dus op dat _Peter_ via de VPN wel de site kan lezen maar geen reactie kan plaatsen. Dat betekend dat niet het verkeer vanaf de genoemde adressen is geblokkeerd maar dat allen bij het posten het adres wordt vergeleken met de genoemde adressen.

Waarom?
  1. _Peter_ is ingelogd dus er is een vertrouwensband.
  2. Er kan een nieuwe "spam-account" worden gemaakt via de VPN verbinding waarna spam berichten kunnen worden gepost.
  3. Er kan ook een "spam-account" worden gemaakt via een andere verbinding waarna via de VPN verbinding spam berichten worden verzonden.
  4. Het eerste bericht van een nieuwe gebruiker moet eerst worden goedgekeurd voordat het toegelaten wordt.
Het blokkeren van verdachte adressen bij het posten van een bericht door een geregistreerde gebruiker lijkt me Security theater of mis ik iets?
Mij lijkt ook dat pas als "Peter" ineens hier begint te Spammen het zinvol is zijn IP-adres te blokkeren.

BSM
Peter kan er ook voor kiezen om in het buitenland een verbinding via 2/3/4G te gebruiken.
groverr schreef:
wo 02 jan, 2019 19:17
Peter kan er ook voor kiezen om in het buitenland een verbinding via 2/3/4G te gebruiken.
Probeer dat maar eens op een tablet waar geen SIM-kaartje in past. Overigens staat de VPN op mijn telefoon ook standaard aan (Wel of geen WiFi), 1 keer tijdens je vakantie je creditcard moeten laten blokkeren is voor mij meer dan genoeg reden om extra veilig online te zijn. En hoe mijn gegevens door iemand buit zijn gemaakt is me nog steeds een raadsel.
_Peter_ schreef:
wo 02 jan, 2019 17:41
In het onderste deel staat dat ze als voorzorg de boel dichtgooien en een onderzoek aan het doen zijn of eea wel juist is, dat onderzoek loopt dus al sinds 19 oktober 2017, oftewel ze doen niets en laten het aan de eigenaar van de range over om te gaan klagen.
Ik weet niet zeker of je die datum zo kunt interpreteren, maar het is de verantwoordelijkheid van jouw VPN-provider ervoor te zorgen dat ie weer van de blacklist af komt. Als ie daar al meer dan een jaar mee bezig is kun je vraagtekens zetten bij de dienstverlening.
Vorig jaar stond mijn mailprovider even op een Spamhaus blacklist. Doffe ellende, maar na een dag was het weer hersteld.
_Peter_ schreef:
wo 02 jan, 2019 21:31
groverr schreef:
wo 02 jan, 2019 19:17
Peter kan er ook voor kiezen om in het buitenland een verbinding via 2/3/4G te gebruiken.
Probeer dat maar eens op een tablet waar geen SIM-kaartje in past. Overigens staat de VPN op mijn telefoon ook standaard aan (Wel of geen WiFi), 1 keer tijdens je vakantie je creditcard moeten laten blokkeren is voor mij meer dan genoeg reden om extra veilig online te zijn. En hoe mijn gegevens door iemand buit zijn gemaakt is me nog steeds een raadsel.
Je hebt de mogelijkheid te kiezen voor een externe mobiele wifi met losse mobiele sim kaart, bijvoorbeeld van HUAWEI. Ik gebruik die als reserve en je kan er een stuk of 5-10 apparaten mee verbinden.
Diverse aanbieders van mobiele sim kaartje zijn er voor keuzevrijheid.
daulagari schreef:
wo 02 jan, 2019 18:08
mis ik iets?
_Peter_'s device kan intussen geïnfecteerd zijn.
Ja, Gaele waarom ben ik daar niet op gekomen? :cry:

Nog steeds geen antwoord op de vraag, ik heb dan ook bewust de C maar even bij IT weggelaten want communiceren, is niet iets waar IT'ers in uitblinken. :wink:

De schuld bij de ander leggen is de makkelijke weg, je kunt ook gaan bekijken of er aan jouw kant (ook mijn vereniging trouwens) iets niet goed is ingesteld. De vraag is of Spamhaus überhaupt iets doet anders dan het op lijstjes zetten van IP-ranges. Veel is er sinds 2017 niet gebeurd, of dat aan Spamhaus , de VPN aanbieder of de eigenaar van de range ligt laat ik even in het midden. vraag staat inmiddels uit bij de aanbieder.

PS Daulagari heeft een paar goede punten waar ook geen antwoord is gegeven.
Zoals ik het lees wordt er slechts 1 ip adres geblokkeerd door Spamhaus; 196.196.193.196
Achter die ene ip adres kunnen meerdere apparaten zitten die niet direct verbonden zijn met internet. In de regel is het verstandig om dan die apparaten een aantal private adressen toe te kennen, die niet voorkomen op internet, dat immers ook een netwerk is.
Je kan die private adres range naar hartenlust gebruiken zonder er iemand mee lastig te vallen. Die adressen kom je normaliter niet tegen op internet. Die private adres range is dus bedoeld om achter een ip adres die verbonden is met internet, toch met elkaar te kunnen laten communiceren vanuit die private adres range.
Die private adres range is in dit geval 196.196.0.0 /16
M.a.w. de private adres range is 196.196.0.0 t/m 196.196.0.16.

Vanuit een van die private adres range apparaten wordt dus spam verstuurd.
Het zou zomaar kunnen dat de persoon die het ip adres daadwerkelijk beheerd er geen weet van heeft.
Hij is gehackt. En vanuit zijn ip adres wordt er spam verstuurd. Of andere ongewenste illegale activiteit gedaan.
Vanuit een apparaat dat schuil gaat in die private adres range. Een klein bedrijfje? Een thuis netwerk?
Honderd duizenden ip adressen worden gehackt en misbruikt voor spam en/of spoofing en zoveel andere illegale bezigheden dat je als forum terecht een extern expertise 'inhuurt' die je hiervoor behoed. Zodat wij als gebruikers ons bezig kunnen houden met waarin wij goed in zijn; fietsen.

Het kan ook nog zijn dat JOUW apparaat gehackt is en spam verstuurd of van waaruit andere ongewenste activiteiten op internet hebben plaats gevonden. Die zijn aangemeld bij Spamhaus. Je schrijft namelijk dat al een keer je kredietkaart gegevens zijn misbruikt. Ik zou dus eerst hand in eigen boezem steken en zien te achterhalen wat er met jouw apparaat mis is? Misschien voor lief nemen dat je al je gegevens kwijt raakt door je apparaat terug te zetten naar fabrieksinstelling.

Hoe veilig kan je nog jouw apparaat blijven gebruiken?
Lezen is blijkbaar niet de sterkste kant van fietsers (en IT'ers), of ik ben niet duidelijk in wat ik hier opschrijf.

Hoe dan ook mijn apparaten zijn nu veilig en dat al sinds mijn creditcard is misbruikt (2 jaar geleden inmiddels).

Een private range kan overigens nooit een range hebben die al op internet bekend is daar zijn de 10, 172 en bij de meesten waarschijnlijk wel bekende 192 range voor bedoeld.

De 16 achter 196.196.0.0/16 geeft aan dat het een 16 bits block is wat betekend dat net als in de 192 range er maximaal 65536 adressen uitgegeven kunnen worden in die range. dus 196.196.0.0 tm 196.196.255.255 en daar valt die 196.196.193.196 dus ook in.

Dus speculeren op wat er allemaal fout zou kunnen gaan is leuk daar schiet alleen niemand wat mee op.

Vraag blijft staan, wat kunnen we doen om het de gebruiker duidelijker te maken wat er aan de hand is en wat hij/zij kan doen om dat op te lossen.
1) Spamhaus is bedoeld voor spamfiltering op mailservers, niet op consumentenfora.
2) Een VPN is overkill voor deze site wegens een werkend CA-certificaat waardoor je verbinding al is beveiligd.
3) Het jatten van creditcardgegevens vindt doorgaans plaats bij de partij die het geld heeft ontvangen.
Gebruik van VPN diensten en TOR e.d. heeft als nadeel dat er misbruik over plaatsvind en regelmatig diensten je blokkeren. Dit ook wel eens gehad bij gebruik van Gmail en Google over een VPN verbinding.
Hotel wifi's en open access points zijn inderdaad wel onveilig, maar alle belangrijke verkeer gaat (en zoals genoemd dit forum ook) sowieso al over SSL. Je kan trouwens ook vraagtekens stellen bij de veiligheid van onbekende VPN providers. Ik gebruik liever een VPN naar huis (bij bv XS4All is dit in de Fritzbox in te stellen) of naar een eigen VPS, dan heb ik zelf controle over het verkeer en heb ik ook geen last van geblokkeerde IP adressen.
Ik heb hier nog eens verder naar gekeken. Het filter dat gebruik maakt van Spamhaus is ingebakken in de forumsoftware, phpBB. Het is een erg grof filter: je kunt het aan- of uitzetten, meer niet. Als het aanstaat werkt het op het plaatsen van berichten, en op het aanmaken van nieuwe accounts. Vooral dat laatste neemt de moderatoren werk uit handen.

Er zijn ook extensies, die we zouden kunnen installeren, die vergelijkbare functionaliteit leveren maar wat geavanceerder zijn en meer instelmogelijkheden hebben. Die maken zo te zien gebruik van commerciële spamfilterdiensten waarvoor je je moet registreren. De extensies willen nog wel eens problemen opleveren bij forumsoftware-updates. Kortom, dat levert meer beheerwerk op.

Aangezien _Peter_ de enige is die tot nu toe problemen meldt, laten we het voorlopig zoals het is.
eindgebruiker schreef: Aangezien _Peter_ de enige is die tot nu toe problemen meldt, laten we het voorlopig zoals het is.
Dat lijkt me de verkeerde reden om het zo te laten, de juiste lijkt me:

eindgebruiker schreef: ... maar het is de verantwoordelijkheid van jouw VPN-provider ervoor te zorgen dat ie weer van de blacklist af komt. Als ie daar al meer dan een jaar mee bezig is kun je vraagtekens zetten bij de dienstverlening.
Na wat nalezen ben ik het wel eens met de beslissing "Check IP against DNS Blackhole List" aan te laten staan met als reden dat in de Internet wereld de beheerder van het source IP verantwoordelijk is voor het verkeer van het adres.

Zo wordt bij spam vanaf een IP adres van Ziggo, Ziggo aangesproken en die moet zorgen voor de verdere afhandeling. In dit geval lijkt de beheerder Fiber Grid INC uit de Seychellen te zijn en die lijkt niet al te actief te zijn met het oplossen.

Inmiddels is het adres ook onderdeel van de DROP list die bedoeld is voor de belangrijkste routers op het Internet en adviseert verkeer van de betreffende "range" te laten, zie https://www.spamhaus.org/sbl/query/SBL175056. Het zou dus goed kunnen dat deze site vanaf die range ook niet meer bereikbaar is.

eindgebruiker schreef: _Peter_'s device kan intussen geïnfecteerd zijn.
Erg onwaarschijnlijk, de meest waarschijnlijke reden is dat of een andere VPN gebruiker of nog waarschijnlijker iemand anders in de 196.196.0.0 - 196.196.255.255 range de veroorzaker is.