<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style>
</head>
<body lang="EN-IN" link="blue" vlink="purple" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">May I suggest that you add as many more blocklists as you can (RBL is a specific blocklist founded by MAPS and now acquired by Trend Micro so that term isn�t used in the industry), as long as they
 are well maintained and conform to best practices.  <o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Thanks<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">--srs <o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:
</span></b><span style="font-size:12.0pt;color:black">anti-abuse-wg <anti-abuse-wg-bounces@ripe.net> on behalf of Christian Teuschel <cteusche@ripe.net><br>
<b>Date: </b>Tuesday, 9 March 2021 at 3:07 PM<br>
<b>To: </b>anti-abuse-wg@ripe.net <anti-abuse-wg@ripe.net><br>
<b>Subject: </b>Re: [anti-abuse-wg] UCEPROTECT DNSBL possibly abusive practice and RIPEStat Blacklist entries widget<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Dear colleagues,<br>
<br>
Thinking about a course of action - it looks there is an agreement to<br>
have more RBLs on RIPEstat. It would be good to have a list of<br>
candidates that the community feels would be useful. Once we have this<br>
list, we can perform a feasibility analysis and present this to the<br>
community.  We can then take it from there.<br>
<br>
Let me know if this approach works for you.<br>
<br>
Best regards,<br>
Christian<br>
<br>
On 04/03/2021 17:16, Christian Teuschel wrote:<br>
> Hi Elvis and Suresh, dear colleagues,<br>
> <br>
> Putting exact numbers on how many operators are using UCEProtect is<br>
> difficult, but through feedback from users, network operators and<br>
> members we understand that it is in use and that the provisioning of<br>
> this RBL on RIPEstat has value.<br>
> <br>
> If I am reading the feedback in this discussion correctly, the sentiment<br>
> is leaning towards adding more RBLs instead of less and if that is the<br>
> case we are going to look into how and when we can achieve this. Please<br>
> let me know if that is aligned with your requirements/expectations.<br>
> <br>
> Best regards,<br>
> Christian<br>
> <br>
> On 04/03/2021 09:54, Elvis Daniel Velea wrote:<br>
>> Hi Christian,<br>
>><br>
>> while it may be useful to have their data source, it only shows the RIPE<br>
>> NCC favors one or two operators and I think that is damaging to the<br>
>> whole idea of being impartial.<br>
>><br>
>> You either include a good list of blacklist operators and their data or<br>
>> none. Including only a couple will lead to the impression that only<br>
>> those are important enough to be considered by the RIPE NCC.<br>
>><br>
>> my 2 cents,<br>
>> Elvis<br>
>><br>
>> On 3/3/21 8:27 AM, Christian Teuschel wrote:<br>
>>> Dear colleagues,<br>
>>><br>
>>> RIPEstat is a neutral source of information and we aim to provide users<br>
>>> with access to as many data sources as possible to provide insights.<br>
>>><br>
>>> UCEProtect was added as a data source prior to 2010 and is still used by<br>
>>> several network operators to filter traffic into their networks.<br>
>>> Including it as a data source in RIPEstat allows users to see whether<br>
>>> resources are included in their lists.<br>
>>><br>
>>> RIPE NCC does not pay for, support or endorse their practices, although<br>
>>> we understand that continuing to include UCEProtect as a data source<br>
>>> could be misunderstood as such. We also do not use their lists to filter<br>
>>> traffic on our services.<br>
>>><br>
>>> Our goal remains to provide the best visibility and tools for network<br>
>>> operators to diagnose their networks. We have also heard your feedback<br>
>>> regarding including more RBLs. It is something that we have considered<br>
>>> in the past, and we are open to revisiting this.<br>
>>><br>
>>> RIPEstat is driven by the community. We would like to hear from you<br>
>>> about whether including UCEProtect as a data source is useful.<br>
>>><br>
>>> Regards,<br>
>>> Christian<br>
>>><br>
>>> On 02/03/2021 00:08, Kristijonas Lukas Bukauskas via anti-abuse-wg wrote:<br>
>>>> Hello,<br>
>>>><br>
>>>> I noticed that RIPE NCC uses uceprotect-level1, uceprotect-level2 and<br>
>>>> uceprotect-level3 in RIPEStat Anti Abuse Blacklist Entries widget.<br>
>>>><br>
>>>> There have been controversial positions about this blacklist recently:<br>
>>>><br>
>>>> 1)<br>
>>>> <a href="https://success.trendmicro.com/solution/000236583-Emails-being-rejected-by-RBL-UCEPROTECL-in-Hosted-Email-Security-and-Email-Security">
https://success.trendmicro.com/solution/000236583-Emails-being-rejected-by-RBL-UCEPROTECL-in-Hosted-Email-Security-and-Email-Security</a><br>
>>>><br>
>>>> <<a href="https://success.trendmicro.com/solution/000236583-Emails-being-rejected-by-RBL-UCEPROTECL-in-Hosted-Email-Security-and-Email-Security">https://success.trendmicro.com/solution/000236583-Emails-being-rejected-by-RBL-UCEPROTECL-in-Hosted-Email-Security-and-Email-Security</a>><br>
>>>><br>
>>>> 2) <a href="https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html">
https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html</a><br>
>>>> <<a href="https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html">https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html</a>><br>
>>>>  <br>
>>>> UCEPROTECT blacklists the whole range of IP addresses, including the<br>
>>>> full IP range of some autonomous systems:<br>
>>>>   UCEPROTECT states, '/Who is responsible for this listing? YOU ARE NOT!<br>
>>>> Your IP was NOT directly involved in abuse but has a bad neighborhood.<br>
>>>> Other customers within this range did not care about their security and<br>
>>>> got hacked, started spamming, or were even attacking others, while your<br>
>>>> provider has possibly not even noticed that there is a serious problem.<br>
>>>> We are sorry for you, but you have chosen a provider not acting fast<br>
>>>> enough on abusers'/) [http://www.uceprotect.net/en/rblcheck.php<br>
>>>> <<a href="http://www.uceprotect.net/en/rblcheck.php">http://www.uceprotect.net/en/rblcheck.php</a>>].<br>
>>>>   It asks for a fee if some individual IP address wants to be<br>
>>>> whitelisted<br>
>>>> (http://www.whitelisted.org/ <<a href="http://www.whitelisted.org/">http://www.whitelisted.org/</a>>),<br>
>>>>   It abuses people who decide to challenge their blacklist by publishing<br>
>>>> conversations in their so-called /Cart00ney/<br>
>>>> (http://www.uceprotect.net/en/index.php?m=8&s=0<br>
>>>> <<a href="http://www.uceprotect.net/en/index.php?m=8&s=0">http://www.uceprotect.net/en/index.php?m=8&s=0</a>>;<br>
>>>> <a href="http://www.uceprotect.org/cart00neys/index.html">http://www.uceprotect.org/cart00neys/index.html</a><br>
>>>> <<a href="http://www.uceprotect.org/cart00neys/index.html">http://www.uceprotect.org/cart00neys/index.html</a>>).<br>
>>>>   And the other type of threatening: <a href="http://www.uceprotect.org/">http://www.uceprotect.org/</a><br>
>>>> <<a href="http://www.uceprotect.org/">http://www.uceprotect.org/</a>><br>
>>>>   Does RIPE NCC have any position on this specific blacklist?<br>
>>>><br>
>>>> Thank you!<br>
>>><br>
>><br>
>><br>
> <br>
<br>
-- <br>
Christian Teuschel<br>
RIPE NCC | @christian_toysh<o:p></o:p></p>
</div>
</div>
</body>
</html>