Jetzt ist mein Kragen definitiv zu eng und er ist geplatzt. Ich hatte mich ja bereits etwas
unterschwellig über das CERT-Bund ausgelassen.
Nach einigen Diskussionen mit dem CERT-Bund, dass wir es als Anbieter für unangebracht halten, uns blockweise Meldungen für mehrere unserer Kunden zu schicken, die wir aufdröseln und einzeln weiterleiten müssen, hat man uns als offizielles Format für die Erkennung des Bereichs, den wir auswerten und zensieren müssen,
Die Daten zu den betroffenen Systemen stehen immer zwischen "^Format: " und "^Mit freundlichen".
genannt. Na gut, wenn das eben offiziell ist, sei es so.
Wir haben bei der Unterscheidung, ob Abuse-Meldungen von "irgendwem" oder eben von CERT-Bund (und weiteren, bekannten Absendern) sind, einen Header-Check auf den Betreff eingefügt. Bis vor kurzem war der Betreff in der Form
[CERT-Bund#...]
Seit kurzem ist es
[CB-Report#...]
Soweit ich das sehe, ohne, dass man irgendwen informiert hat.
Reguläre Abuse-Meldungen werden an den oder die betroffenen Kunden weitergeleitet, wir zensieren dabei sicherheitshalber alle IP-Adressen außer denen des jeweiligen Kunden - das hilft zumindest grob, wenn eine Meldung mehrere Kunden betrifft, um den Datenschutz zu gewährleisten.
Das CERT-Bund fügt aber Domains ein. Durch die Betreff-Änderung wurde abermals ein Mailing als "reguläre" Abuse-Meldung weitergeleitet, die Domains wurden dabei nicht zensiert. Und abermals sehe ich keine Schuld bei uns.
Und das sind unsere Steuergelder auf 2 Beinen.
Um es vorweg zu nehmen: Wir müssen die eingehenden Abuse-Meldungen vorfiltern. Rein auf die E-Mail-Adresse abzustellen, war uns zu heiß, immerhin ist die gut fälschbar. Wir hatten daher einfach als weitere Prüfung den Betreff (dessen Format) mit drin. Die Signatur zur prüfen, wäre eine Möglichkeit, ist aber technisch aufgrund der internen Prozesse schwierig.
Eine Möglichkeit wäre, auch Domain-Namen - analog zu den IP-Adressen - herauszufiltern und zu zensieren. Aber da sehe ich zu großes Potential, dass die Meldung damit irgendwann unbrauchbar wird.
Dass das CERT-Bund uns einzelne Reports je IP-Adresse oder Domain schickt, wurde von dort übrigens abgelehnt. Die Erzeugung der GnuPG-basierten Signatur dauere dann zu lange, außerdem wären die großen Anbieter angeblich mit dem Maß an Abuse-Meldungen überfordert. Dazu kann ich nur sagen: Von mir aus sollen sie die Signatur weglassen. Oder mehr E-Mail-Signatur-erzeugende Systeme aufstellen. Wir hosten diese gerne
Ein letzter Punkt, den uns das CERT-Bund beim letzten Vorfall vorgehalten hat: Angeblich würden viele Anbieter die Abuse-Meldungen von Hand bearbeiten, indem sie "die Daten auch zunächst in ihr Support-System importieren, um diese anschließend über einen eigenen Workflow an die Kunden zu versenden". Das widerspricht unserer Philosophie, dass das zeitnah passieren soll. Egal, wie schnell ein Support-Team ist, aber es verzögert den Vorgang. Im Jahr 2017 sowas händisch zu bearbeiten, halte ich für rückschrittlich. Und ehrlich gesagt auch zu teuer. Immerhin betrifft das nicht mehr (nur) Server- sondern auch Webhosting-Kunden.
Eine weitere und letzte Lösungs-Möglichkeit wäre, die Reports des CERT-Bund einfach in die virtuelle Rundablage zu befördern.