Helpdesk Wned.nl Kennisbank Email Email veiligheid
Wat is een honeypot-blacklister en waarom wordt een IP soms razendsnel geblokkeerd?
Webhosting al vanaf 58 cent per maand!
Tickets Kennisbank

Wat is een honeypot-blacklister en waarom wordt een IP soms razendsnel geblokkeerd?

Soms wordt e-mail van een server plots geblokkeerd omdat het verzendende IP op een blacklist staat. Bij honeypot-blacklists kan dat binnen seconden gebeuren, zelfs zonder zichtbare spamcampagne en zonder dat de verzendende hoster “iets fout” heeft gedaan.

Wat is een honeypot-blacklist?

Een honeypot is een speciaal e-mailadres dat niet bedoeld is voor normaal gebruik. Het adres wordt expres “verstopt” of alleen op manieren aangeboden die vooral door bots worden gevonden. Komt er toch e-mail op binnen, dan gaat de blacklist er vaak van uit dat:

  • het adres is geoogst door bots of scrapers,
  • er een lek of verkeerd ingestelde forward/alias is,
  • of er met (oude) adressenbestanden wordt gemaild waarin het honeypot-adres voorkomt.

Waarom blokkeren honeypot-blacklists zo snel?

Veel honeypot-blacklists werken (deels) automatisch. Dat betekent:

  • geen handmatige beoordeling,
  • geen context over de situatie,
  • geen “waarschuwing vooraf”,
  • één hit kan voldoende zijn voor een blokkade.

Voorbeeld: bij sommige lijsten kan een IP-adres direct worden geblokkeerd na één enkel bericht richting een honeypot-adres of spamtrap. Dit gebeurt bijvoorbeeld bij spamrl.com, maar ook bij andere honeypot-gebaseerde systemen zoals Project Honey Pot (http:BL), Spamhaus XBL, CBL, Blocklist.de, BruteForceBlocker en DShield.

Bij deze lijsten is geen sprake van handmatige beoordeling: één foutieve connectie, scan, SMTP-probe of verkeerd ingestelde mailservice kan al voldoende zijn om automatisch op de blacklist te belanden. Dit komt met name voor bij automatische scans, misconfigureerde scripts, testmails, of servers die tijdelijk verkeerd geconfigureerd zijn, en betekent nadrukkelijk niet dat er sprake hoeft te zijn van spamversturing of een hack.

Waarom kan de verzendende hoster hier vaak niets aan doen?

Een honeypot en de bijbehorende blacklist worden beheerd door een derde partij. De verzendende hoster heeft geen controle over:

  • welke honeypots worden gebruikt,
  • welke regels en drempels gelden,
  • hoe snel of automatisch een blokkade wordt gezet,
  • of hoe (en of) je kunt laten delisten.

In de praktijk ontstaat daardoor vaak reputatieschade: “de hoster is de schuldige”, terwijl dit bij honeypot-blokkades meestal niet klopt.

Waarom is de schade zo groot?

Honeypot-blokkades kunnen leiden tot:

  • zakelijke e-mail die niet aankomt (offertes, facturen, afspraken),
  • tijdverlies door onduidelijke oorzaak,
  • vertraging in communicatie met klanten of leveranciers,
  • onnodig “vingerwijzen” naar de verzendende partij/hoster.

Extra vervelend: sommige van deze lijsten zijn gratis, community-gedreven of minder professioneel ingericht, waardoor transparantie en support beperkt kunnen zijn.

Wat kan de ontvanger wél doen?

In veel situaties kan de ontvanger (via zijn eigen hoster of IT-beheerder) het snelst een oplossing realiseren, bijvoorbeeld door:

  • de betreffende honeypot-blacklist uit de spamfiltering te laten verwijderen,
  • die blacklist te laten negeren (uitsluiten),
  • of het verzendende IP/domein tijdelijk te whitelisten.

Advies voor ontvangers

Neem contact op met je eigen hoster en vraag of zij de honeypot-blacklist kunnen uitsluiten of negeren. Dit is vaak snel geregeld en in veel gevallen kosteloos.

Structurele oplossing

Niet elke blacklist is “slecht”, maar blind vertrouwen op elke (gratis) lijst kan veel false-positives geven. Overweeg daarom een mailomgeving/hoster met zorgvuldig blacklist-beleid en professionele monitoring. In sommige gevallen kan het verhuizen naar een hoster met veilige en goed onderhouden spam- en blacklistfilters (zoals WNED.nl) langdurige problemen voorkomen.

Lijst: honeypot-blacklists die vaak problemen geven

Let op: deze lijsten kunnen in filters voorkomen als onderdeel van een groter spamfilterpakket. De mate van impact verschilt per ontvanger en per mailomgeving.

  • spamrl.com
  • spamrats.com (SpamRATS / diverse zones)
  • uceprotect.net (met name Level 2/3 kan veel false-positives geven)
  • sorbs.net (bepaalde dynamische/heuristische lijsten kunnen streng zijn)
  • backscatterer.org
  • invaluement.com (iBlocklist / gerelateerde reputatielijsten)

Tip: als een ontvanger een van deze lijsten gebruikt en daardoor legitieme mail blokkeert, laat de ontvanger via zijn eigen hoster de betreffende lijst uitsluiten of jouw IP/domein whitelisten.

Was dit artikel bruikbaar? Ja | Nee

Artikel details

Artikel ID:
350
Categorie:
Email veiligheid
Beoordeling :
Maak een nieuw ticket

Gerelateerde artikelen

Klanten beoordelen ons

Trustpilot

Volg ons ook op

Wned.nl

Op weg naar jouw eigen online succes. Zoek of verhuis je domeinnaam, bouw je eigen website en maak er een succes van. Met onze snelle servers en klantenservice maken wij dit mogelijk.