<div dir="ltr">I don't agree with the "All these responses from people who don't actually run a network ::slams keyboard::" remarks.<br><br>It seems to me that if your abuse@ email is being overloaded and you are unable to keep your network spam free, then you shouldn't be taking on any more customers until you figure things out.<div><br>Why do you think that because you tell yourself you are "too big" that you don't need to monitor your network?<br><br>If your abuse @ email is being slammed to death, it would seem you need to optimize this solution.<br><br>The first thing that comes to mind is having your abuse@ email checked via a script to eliminate any actual spam to your server and parse out legitimate emails and requests.<br><br>If you need help with something so basic or are asking these types of questions, you shouldn't be running a network in the first place. My ::slams keyboard::<br><br>Yes, if you can't figure newbie stuff out then what the heck are you doing trying to host people on the internet?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 26, 2021 at 1:19 PM Jacob Slater <<a href="mailto:jacob@rezero.org">jacob@rezero.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">If you predicate sending reports via web form, then report forwarding <br>
from the ISP to its customer should also be done via web form. <br></blockquote><div><br></div><div>The relationship between an arbitrary internet user and an ISP is different from the relationship between an ISP and a customer who is on a contract.</div><div>I can (and do) require end users of my infrastructure respond to abuse e-mails sent to them in specific ways. If they don't like the terms I've set, they are welcome to take their business elsewhere.</div><div>The same relationship does not currently exist with abuse reports. <br></div><div></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>At times I also try and <br>
send fake complaints about my IP, to see if they would forward them to <br>
me.  All of those messages fall into a black black hole where time is <br>
frozen expectations fade.  Lazy.</div></blockquote><div><br></div><div>It is also possible your ISP believes the report is fake and does not forward it on. Alternatively, perhaps their policy is to not forward reports on. They might investigate, deem it incorrect, and delete it.<br></div><div><br></div><div><br></div><div>I personally am opposed to banning or discouraging web forms unless we standardize some system. If there is an expectation for human review on the ISP side, there should be an expectation that the sender is human. If we set an expectation for automated sending of abuse reports, limited machine review prior to acceptance should be expected.</div><div><br></div><div>Solving this is a difficult problem. From my (admittedly limited) experience, I'm in agreement with Alex de Joode - a solution cannot impact certain operational realities of ISPs. Limited machine review - along with automation of abuse reports on the receiving side - is an operational reality. False, inaccurate, incomplete, or just plain malicious abuse reports are just as real as actual abuse reports. <br></div><div><br></div><div>I would note a further operational reality: any standard we come up with outside of the current method of communication (email) is likely to never reach large-scale deployment. Even if we make a standard within e-mail (ex. ARF), some ISPs will want (or need) details beyond what would be outlined in the standard. This will inevitably require more non-standard human interaction.<br></div><div><br></div><div>Those who do not care to receive abuse reports will fail to respond to them, regardless of what we decide here.<br></div><div><br></div><div>- Slater<br></div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 26, 2021 at 3:57 PM Alessandro Vesely <<a href="mailto:vesely@tana.it" target="_blank">vesely@tana.it</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu 25/Feb/2021 14:41:00 +0100 Cynthia Revström wrote:<br>
<br>
> I think you have misunderstood my point.<br>
> <br>
>> Would they send such report using their customer's own web form?<br>
> <br>
> No? I don't know what implied that?<br>
<br>
<br>
If you predicate sending reports via web form, then report forwarding <br>
from the ISP to its customer should also be done via web form.  That <br>
is, the ISP should jump all the required hoops until it finds out <br>
where and how to fill the appropriate form.  However, doing so defeats <br>
the advantage of having the customer automatically identified.<br>
<br>
<br>
>> Yes, doing so requires some work too, but heck aren't we paying for that<br>
> already?<br>
> <br>
> The person sending the abuse report is rarely a paying customer.<br>
> <br>
>> The right thing to do would be to arrange for the abuse mailbox address<br>
> to point (in)directly to the actual user of the IP address.<br>
> <br>
> I am assuming you are referring to having a separate abuse contact for each<br>
> customer, so like abuse.cust123@domain and registering it in the RIPE<br>
> Registry/DB?<br>
<br>
<br>
Yes, exactly.  That's the extra work required from the ISP.  It is <br>
paid by cust123.  Presumably, abuse.cust123@domain forwards to the <br>
abuse address chosen by the customer on signing the contract.  Keeping <br>
a copy allows the ISP to monitor how many complaints its customers <br>
receive.<br>
<br>
<br>
> In some cases with large customers maybe but if you are a hosting provider<br>
> where each customer might only have one or two IPv4 addresses, that can get<br>
> to an insane amount of handles and make the database really messy.<br>
<br>
<br>
You can keep a record for each IPv4 address with only a few Terabytes.<br>
<br>
I don't think the reason why ISPs tend to neither assign rfc2317 <br>
reverse delegations nor customer specific abuse-mailbox is because <br>
they or the RIPE cannot afford enough disk space to store that data.<br>
<br>
Every now and then I ask my ISP to assign me an abuse-mailbox (which <br>
my previous ISP did, but then they were acquired by a bigger shark <br>
while the RIPE changed format to abuse-c.)  At times I also try and <br>
send fake complaints about my IP, to see if they would forward them to <br>
me.  All of those messages fall into a black black hole where time is <br>
frozen expectations fade.  Lazy.<br>
<br>
<br>
> Also the customer in question is not the only info that is relevant, like<br>
> is it DoS, spam, or port scanning, etc?<br>
> <br>
> But in general I think there are pros and cons to web forms and email<br>
> templates just as there are pros and cons to arbitrarily structured emails.<br>
<br>
<br>
For a third alternative, I recently added <a href="http://abuseipdb.com" rel="noreferrer" target="_blank">abuseipdb.com</a> to my <br>
end-of-day abuse reporting script.  They provide an http API that <br>
allows to specify the most basic info, IP, time, and kind of abuse. <br>
That method has some of the advantages of forms, as it allows <br>
semantically bound fields, and some advantages of email messages, as <br>
it can be automated.<br>
<br>
<br>
Best<br>
Ale<br>
-- <br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
</blockquote></div>
</blockquote></div>