<BODY dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">
<DIV>This is better than stand-up comic!</DIV>
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A 
<DIV><B>Sent:</B> Wednesday, August 10, 2016 5:08 AM</DIV>
<DIV><B>To:</B> <A title=anti-abuse-wg@ripe.net 
href="mailto:anti-abuse-wg@ripe.net">anti-abuse-wg@ripe.net</A> </DIV>
<DIV><B>Subject:</B> anti-abuse-wg Digest, Vol 58, Issue 10</DIV></DIV></DIV>
<DIV> </DIV></DIV>
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>Send 
anti-abuse-wg mailing list submissions to<BR>anti-abuse-wg@ripe.net<BR><BR>To 
subscribe or unsubscribe via the World Wide Web, 
visit<BR>https://lists.ripe.net/mailman/listinfo/anti-abuse-wg<BR>or, via email, 
send a message with subject or body 'help' 
to<BR>anti-abuse-wg-request@ripe.net<BR><BR>You can reach the person managing 
the list at<BR>anti-abuse-wg-owner@ripe.net<BR><BR>When replying, please edit 
your Subject line so it is more specific<BR>than "Re: Contents of anti-abuse-wg 
digest..."<BR><BR><BR>Today's Topics:<BR><BR>   1. Re: VERIFIED[.]IS 
was - Russian carding... no, Islandic<BR>      
carding... no Belizian carding! (andre@ox.co.za)<BR>   2. Abuse: dnsbl 
- trust and other factors (andre@ox.co.za)<BR>   3. Re: VERIFIED[.]IS 
(Ronald F. Guilmette)<BR>   4. Re: Abuse: dnsbl - trust and other 
factors (Antonio Prado)<BR>   5. Re: Abuse: dnsbl - trust and other 
1<BR>Date: Wed, 10 Aug 2016 07:33:02 +0200<BR>From: 
<andre@ox.co.za><BR>To: Suresh Ramasubramanian 
<ops.lists@gmail.com>,<BR><anti-abuse-wg@ripe.net><BR>Subject: Re: 
[anti-abuse-wg] VERIFIED[.]IS was - Russian carding...<BR>no, Islandic 
carding... no Belizian carding!<BR>Message-ID: 
text/plain; charset=UTF-8<BR><BR>On Wed, 10 Aug 2016 10:41:00 +0530<BR>Suresh 
Ramasubramanian <ops.lists@gmail.com> wrote:<BR><BR>> ?We??  
Unless you actually work for ripe ncc that?s a rather large<BR>> amount of 
overstatement.<BR>> <BR><BR>deflecting from the actual issues much? 
<BR><BR>"We" as in us reading this...<BR><BR>I honestly also appreciate 
contributions by Ronald F. Guilmette, but if<BR>we are going to start reporting 
crime to this abuse list, we are headed<BR>down a slippery 
slope...<BR><BR>Better: We stick to abuse, abuse policy discussions and report 
crimes<BR>to proper authorities. Or are we saying that the various 
law<BR>enforcement agencies Russian, Icelandic, Belizian are 
incompetent?<BR><BR>Actually, what are we talking about?<BR><BR>I can stumble 
onto hate speech, slavery, child porn, identity thieves,<BR>"carders" in the 
RIPE ip space in the hundreds...<BR><BR>Should we invite and dedicate resources 
to report all Internet crimes<BR>to this abuse list?<BR><BR>And 
then?<BR><BR>Will these criminals be prosecuted?<BR><BR>Or are we thinking about 
forming a sub committee to be in charge of<BR>public hangings? <BR><BR>Do we 
have some sort of hearing first or can we just hack some ISP's<BR>range, upload 
any old site and then hang the company or 'nul-route'<BR>their 
traffic?<BR><BR>How about us rather being constructive and actually doing 
something?<BR><BR>Should their be an abuse policy relating to potential 
criminal<BR>activity, that places a protocol in place for dealing with 
intel?<BR><BR>or not?<BR><BR>That may actually be a productive abuse 
discussion...<BR><BR>Instead of filing individual crime reports on this list... 
- which,<BR>imho, should be first reported to law enforcement (actually - 
should<BR>only be reported to law enforcement - we have no power, right or 
no<BR>fair way of evaluating content - only abuse - as in the website 
attacks<BR>your infrastructure  and/or the website sends you something - 
and/or<BR>does something abusive. - If someone publishes hate speech, or porn 
or<BR>whatever - it is NOT abuse... it is potentially - crime - 
<BR><BR>Andre<BR><BR>Andre<BR><BR>> <BR>> On 10/08/16, 10:29 AM, 
"anti-abuse-wg-bounces@ripe.net on behalf of<BR>> andre@ox.co.za" 
<anti-abuse-wg-bounces@ripe.net on behalf of<BR>> andre@ox.co.za> 
wrote:<BR>> <BR>>     <BR>>     
So, you stumbled across some potential criminal activity, then 
you<BR>>     notified law enforcement and/or 
Interpol?<BR>>     <BR>>     Or 
you think that it is a better solution for RIPE to 
investigate<BR>>     criminal activity and simply to 
'nul-route' child pornographers,<BR>>     identity 
thieves and criminal syndicates?<BR>>     
<BR>>     You are saying that you would rather discuss 
criminal syndicates<BR>> on an anti abuse discussion 
list?<BR>>     <BR>>     So, we 
should investigate crimes now and then disable their<BR>> routing or email or 
what?<BR>>     <BR>>     On Tue, 
09 Aug 2016 12:53:34 -0700<BR>>     "Ronald F. Guilmette" 
<rfg@tristatelogic.com> wrote:<BR>>     
<BR>>     > <BR>>     > I 
see that there is an interesting and active discussion 
on<BR>>     > this now. Everyone may be sure that I 
will be posting further<BR>>     > comments shortly 
which clarify my personal position on all the<BR>>     
> matters discussed so far.<BR>>     > 
<BR>>     > In the meantime however, I just realized 
that I neglected to<BR>>     > clarify how I came to 
find that VERIFIED[.]IS web site in the<BR>>     > 
first place.<BR>>     > 
<BR>>     > It may not be at all important, but just 
so everyone knows, I<BR>>     > found that 
VERIFIED[.]IS indirectly.  First, I stumbled 
onto<BR>>     > the following web site, which is 
clearly selling credit cards<BR>>     > *and* also 
(U.S.) social security numbers (SSNs) and<BR>>     > 
dates-of-birth (DOBs).  (You can even pick out which U.S. 
state<BR>>     > you prefer!)  These bits of 
information are often helpful to<BR>>     > people 
intent on committing identity theft:<BR>>     > 
<BR>>     >    
http://www.wellsfargo.lequeshop[.]ru/<BR>>     > 
<BR>>     > As you can see, there is an email address 
on the above page.<BR>>     > It is 
<mixx@exploit.im>.  I simply googled that email 
address<BR>>     > and then started to visit the web 
sites found.<BR>>     > 
<BR>>     > One of them was 
verified[.]is<BR>>     > 
<BR>>     > But this criminal carder ... who seems to 
be Russian... is also<BR>>     > active on many other 
web sites, presumably selling what he has<BR>>     > 
to offer in many different forums.<BR>>     > 
<BR>>     > <BR>>     > 
Regards,<BR>>     > 
rfg<BR>>     > <BR>>     
<BR>>     <BR>>     <BR>> 
<BR>> <BR>> 
<BR><BR><BR><BR><BR>------------------------------<BR><BR>Message: 2<BR>Date: 
Wed, 10 Aug 2016 08:28:53 +0200<BR>From: andre@ox.co.za<BR>To: 
anti-abuse-wg@ripe.net<BR>Subject: [anti-abuse-wg] Abuse: dnsbl - trust and 
other factors<BR>Message-ID: 
text/plain; charset=UTF-8<BR><BR>Recently, in another thread, Suresh 
Ramasubramanian said that:<BR>"I trust spamhaus, especially related to their 
DROP list, which is<BR>extremely specific in its listing critieria"<BR><BR>Then, 
I thought about how many abuse lists and dns blocklists there are<BR>and why 
this is the case, as even I trust (use & report to Spamhaus)<BR>but I also 
run a public / free dnsbl myself<BR><BR>So why is this? - It is all about trust. 
It is also about policies -<BR>but what else is it?<BR><BR>The listing and 
delisting criteria has to be clear, fair, transparent,<BR>etc maybe in terms of 
http://spamid.net/rfc5782.txt and<BR>http://spamid.net/rfc6471.txt <BR><BR>But 
what else? Why did I feel the need to devops my own anti spam<BR>system after 25 
years of dealing with abuse?<BR><BR>For one: I trust myself <BR>And as I have 
not yet found anything that stops spam, phish, abuse dead<BR>in its tracks, and 
there is, on ALL of the dnsbl's - much politics...<BR><BR>How many ESP's & 
ISP's operate their mass or bulk spam is to send the<BR>spam from an IP where 
50% of the email is legit and valuable emails and<BR>50% is spam...<BR><BR>Also, 
they do not respond to abuse complaints from small organisations <BR>or small 
isp's or "little ants" - They are similar to cockroaches, only<BR>on the move 
when there is a bright light shined on them...<BR><BR>Here is an example, of an 
IP number/operator - who is blocked nowhere<BR>and whom has received spam/abuse 
reports - and have done absolutely<BR>nothing about that... - and who hides 
legit emails - between the spam<BR>they relay...<BR><BR>Not saying Mimecast is 
an evil cockroach, just that the example headers<BR>came in a few minutes ago - 
and matches the description of an<BR>supposedly "ethical" operator that hides 
spam in among relaying emails<BR>from .gov etc. - this operator is blocked 
nowhere - as their abuse<BR>behavior is to limit the percentage spam transmitted 
to a ratio (for<BR>example maybe 10% spam and 90% legit - or whatever)  - 
to a ratio that<BR>would not get them blocked on spamhaus or any of the other 
dnsbl...<BR><BR>Even my own blocklists cannot block Mimecast - even though 
they<BR>transmit spam/phish/crime/virus/spam <BR><BR>Otherwise I lose clients... 
- AND Suresh Ramasubramanian and other<BR>similar people think that my block 
lists cannot be trusted...<BR><BR>And this, the fact that : **** senders of 
abuse are not punished **** <BR><BR>is why we have spam abuse in 
2016.<BR><BR>Society does not want to stop spam - if they did - there will be 
no<BR>spam in 2016. - comments? 
example:<BR><BR>Return-Path: <bounces@thompsons.co.za><BR>Delivered-To: 
spamtrap<BR>Received: from web.hostacc.com<BR>by web.hostacc.com (Dovecot) with 
LMTP id WfMLDSLBqlfIaQAAzD9rAQ<BR>for <spamtrap>; Wed, 10 Aug 2016 
07:52:34 +0200<BR>Received: from 
za-smtp-delivery-158.mimecast.co.za<BR>([]:20262) by 
web.hostacc.com with esmtps<BR>(TLSv1.2:ECDHE-RSA-AES256-SHA:256) (Exim 
4.87)<BR>(envelope-from <bounces@thompsons.co.za>)<BR>id 
1bXMRN-00072M-Ly<BR>for spamtrap; Wed, 10 Aug 2016 07:52:34 +0200<BR>Received: 
from ENGAGE01.cullinanholdings.co.za (<BR>[]) by 
za-smtp-1.mimecast.co.za with ESMTP id<BR>za-mta-3-amlQSfYROryRH3Zamhv7uw-1; 
Wed, 10 Aug 2016 07:51:50 +0200<BR>Received: from engage.cullinanholdings.co.za 
([]) by<BR>ENGAGE01.cullinanholdings.co.za with Microsoft 
SMTPSVC(7.5.7601.17514);<BR>Wed, 10 Aug 2016 07:51:50 +0200 
Date:<BR>Wed, 10 Aug 2016 07:51:50 +0200 Subject: Launching Spain 
at<BR>Irresistible prices From: Thompsons For Travel 
<travel@thompsons.co.za><BR>Reply-To: Thompsons For Travel 
<travel@thompsons.co.za><BR>To: SpamTrap<BR>MIME-Version: 
1.0<BR>X-Campaign: 11507<BR>X-Subscriber: 204641<BR>X-OriginalArrivalTime: 10 
Aug 2016 05:51:50.0330 (UTC)<BR>FILETIME=[49F179A0:01D1F2CB] X-MC-Unique: 
amlQSfYROryRH3Zamhv7uw-1<BR>Content-Type: text/html; 
charset=UTF-8<BR>Content-Transfer-Encoding: quoted-printable<BR>Launching Spain 
at Irresistible prices<BR>View this mailer online | Add Thompsons to your safe 
senders list<BR><BR> <BR>You are receiving this mail as you have subscribed 
to Thompsons Travel<BR>newsletters. We NEVER send out any unsolicited e-mail. 
Should you wish<BR>to leave our mailing list unsubscribe 
here<BR><BR><BR><BR>Disclaimer<BR><BR>The information contained in this 
communication from the sender is<BR>confidential. It is intended solely for use 
by the recipient and others<BR>authorized to receive it. If you are not the 
recipient, you are hereby<BR>notified that any disclosure, copying, distribution 
or taking action in<BR>relation of the contents of this information is strictly 
prohibited and<BR>may be unlawful.<BR><BR>This email has been scanned for 
viruses and malware, and automatically<BR>archived by Mimecast SA (Pty) Ltd, an 
innovator in Software as a<BR>Service (SaaS) for business. Mimecast Unified 
Email Management ? (UEM)<BR>offers email continuity, security, archiving and 
compliance with all<BR>current legislation. To find out more, contact 
3<BR>Date: Tue, 09 Aug 2016 23:34:20 -0700<BR>From: "Ronald F. Guilmette" 
<rfg@tristatelogic.com><BR>To: anti-abuse-wg@ripe.net<BR>Subject: Re: 
[anti-abuse-wg] VERIFIED[.]IS<BR>Message-ID: 
<32737.1470810860@server1.tristatelogic.com><BR><BR><BR><BR>I have a lot 
of very visible character flaws, but I like to think<BR>that at least I'm not 
reticent when it comes to admitting my own<BR>abundant ignorance, or about 
asking for help to correct that, when<BR>appropriate.<BR><BR>I've been asked if, 
rather than just howling at the moon (which I<BR>admit is my usual modus 
operandi :-)  I might not, on this occasion,<BR>also or instead like to 
draft some sort of concrete policy proposal.<BR><BR>That is an eminently 
reasonable suggestion/request under the circumstances.<BR><BR>I would like to 
try to do that, but obviously, I am wading into<BR>deep waters here... deep in 
the sense of there being quite a lot of<BR>personal feelings and personal 
principals... sometimes in agreement...<BR>sometimes in conflict... that might 
relate rather directly to the<BR>issues at hand.  Agreement on any proposal 
in this area would likely be<BR>elusive, even if the drafter had a deep 
understanding of RIPE, as an<BR>organization, which I admit that I don't.  
Not yet anyway.<BR><BR>What's I'm trying to get at is just this:<BR><BR>I think 
that it would be a waste of everybody's time... not just mine<BR>but 
everybody's... if I was to draft a policy suggestion that is<BR>somehow at odds 
with one or more of the fundamental and/or long-held<BR>principals of RIPE, the 
organization.  (As an illustration, here in<BR>America it would be kind-of 
entirely silly for any legislator to<BR>propose a bill to lock up anybody who 
says the word "Nee!" because<BR>that would quite obviously be in direct conflict 
with our founding<BR>document, The U.S. Constitution, and more specifically, in 
conflict<BR>with the First Amendment thereto.)<BR><BR>So here is where I must 
publically admit my abundant ignorance.<BR>Today I tried for awhile to seek out 
the overall "Charter of RIPE"...<BR>its "constitution" if you will.  I felt 
that before I draft anything,<BR>it would be wise of me to go back to first 
principals, basic common<BR>beliefs, and already-agreed-to fundamentals.  I 
should read, study,<BR>and think about these before I draft anything.  What 
are the high level<BR>goals and highest aspirations of the organization?  I 
should familiarize<BR>myself with these things -- *before* attempting to draft 
anything.<BR><BR>But for the life of me, google as I might, I was unable to find 
any<BR>document online that purported to be the overall Charter of RIPE.<BR>If 
someone could point me to that, I would much appreciate it.  (I 
have<BR>found many documents that describe in great detail various 
individual<BR>policies and procedures, but nothing that, at the highest level, 
enumerates<BR>the intent and purpose of the organization.  I cannot bring 
myself to<BR>believe that no such fundamental document exists, so I just have to 
hope<BR>now that some kind soul will point me at it.  That would be most 
4<BR>Date: Wed, 10 Aug 2016 09:19:21 +0200<BR>From: Antonio Prado 
<thinkofit@gmail.com><BR>To: anti-abuse-wg@ripe.net<BR>Subject: Re: 
[anti-abuse-wg] Abuse: dnsbl - trust and other factors<BR>Message-ID: 
text/plain; charset=utf-8<BR><BR>On 8/10/16 8:28 AM, andre@ox.co.za 
wrote:<BR>> So why is this? - It is all about trust.<BR><BR>well, trust has 
to be earned.<BR><BR>just two recent examples:<BR><BR>Aug 10 08:52:16 zimbra-1 
postfix/smtpd[27024]: NOQUEUE: reject: RCPT<BR>from 
66-220-144-147.outmail.facebook.com[]: 554 5.7.1<BR>Service 
unavailable; Client host [] blocked 
using<BR>superblock.ascams.com; Listed For Abuse. To delist 
please<BR>email del@ascams.com; 
proto=ESMTP helo=<mx-out.facebook.com><BR><BR>Aug  9 17:57:23 
smtpfe01 postfix/smtpd[15131]: NOQUEUE: reject: RCPT<BR>from 
o4.email.wetransfer.com[]: 554 5.7.1 Service<BR>unavailable; 
Client host [] blocked using<BR>superblock.ascams.com; Listed For Abuse. To delist please<BR>email del@ascams.com; 
proto=ESMTP<BR>helo=<o4.email.wetransfer.com><BR><BR>therefore I'm forced 
to delete 
5<BR>Date: Wed, 10 Aug 2016 10:08:24 +0200<BR>From: andre@ox.co.za<BR>To: 
Antonio Prado <thinkofit@gmail.com><BR>Cc: 
anti-abuse-wg@ripe.net<BR>Subject: Re: [anti-abuse-wg] Abuse: dnsbl - trust and 
other factors<BR>Message-ID: 
text/plain; charset=US-ASCII<BR><BR>On Wed, 10 Aug 2016 09:19:21 
+0200<BR>Antonio Prado <thinkofit@gmail.com> wrote:<BR><BR>> On 8/10/16 
8:28 AM, andre@ox.co.za wrote:<BR>> > So why is this? - It is all about 
trust.<BR>> <BR>> well, trust has to be earned.<BR>> <BR>agreed, trust 
is reputation. In the case of a blacklist, it is quite<BR>simple though - if it 
is transparent, like mine superblock.ascams.com <BR>each and every listing has 
been abusive and either is not responding to<BR>abuse complaints or is simply 
ongoing in the abuse...<BR><BR>> just two recent examples:<BR>> <BR>thank 
you so much! lets deal with that - please see below each<BR>of your 
examples<BR> <BR>> Aug 10 08:52:16 zimbra-1 postfix/smtpd[27024]: 
NOQUEUE: reject: RCPT<BR>> from 
66-220-144-147.outmail.facebook.com[]: 554 5.7.1<BR>> Service 
unavailable; Client host [] blocked using<BR>> 
superblock.ascams.com; Listed For Abuse. To delist<BR>> please 
email del@ascams.com;<BR>> 
to=<mylegitaddress@mylegitdomain.tld> proto=ESMTP<BR>> 
helo=<mx-out.facebook.com><BR>> <BR>Yes! because is 
BLOCKED for abuse <BR> sends email spam, on an ongoing basis, to 
FAKE people<BR>and, even after receiving three or more abuse reports, is still 
sending<BR>the same SPAM to the same fake people.<BR><BR>So, what I am saying: 
facebook.com sends spam to example@example.com<BR>Facebook then receives 3+ spam 
reports/complaints<BR>And then<BR>After that<BR>Facebook.com STILL sends spam to 
the same example@example.com<BR><BR>So, Facebook.com ( is 
blacklisted for spam abuse.<BR><BR>Thank you, Antonio - for pointing this 
example out - This is why we<BR>cannot stop spam! - the SENDERS or transmitters 
of spam - are never<BR>punished - but we have to field complaints from our USERS 
when the<BR>senders MIX legit email with spam email.<BR><BR>next example below 
the example<BR><BR>> Aug  9 17:57:23 smtpfe01 postfix/smtpd[15131]: 
NOQUEUE: reject: RCPT<BR>> from o4.email.wetransfer.com[]: 554 
5.7.1 Service<BR>> unavailable; Client host [] blocked 
using<BR>> superblock.ascams.com; Listed For Abuse. To 
delist<BR>> please email del@ascams.com; 
to=<mylegitaddress@mylegitdomain.tld> proto=ESMTP<BR>> 
helo=<o4.email.wetransfer.com><BR>> <BR> - EXACLTY the 
same as Facebook.com - transmits spam to<BR>fake people/spam traps - and does 
not do anything about spam abuse<BR>complaints!<BR><BR>> therefore I'm forced 
to delete superblock.ascams.com<BR><BR>indeed... - this is why the spam problem 
persists... yet, if you were<BR>to continue using superblock.ascams.com - you 
may actually force the<BR>senders of spam to CHANGE their abusive and crappy 
behavior<BR><BR>But we, society, we do not have the BALLS to do that.<BR><BR>Can 
we at least have the decency to be honest with ourselves?<BR><BR>Why lie to 
ourselves?<BR><BR>We do not want to solve the spam abuse 
problem.<BR><BR>Andre<BR><BR><BR><BR><BR><BR>> --<BR>> antonio<BR>> 
<BR><BR><BR><BR><BR>End of anti-abuse-wg Digest, Vol 58, Issue