home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / net-abuse-faq / part2

< prev

next >

Wrap

Internet Message Format  |  1996-01-29  |  20KB

---

1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!gatech!newsfeed.internetmci.com!uwm.edu!math.ohio-state.edu!magnus.acs.ohio-state.edu!lerc.nasa.gov!kira.cc.uakron.edu!odin.oar.net!malgudi.oar.net!catseye.bluemarble.net!shooter.bluemarble.net!scotty
2. From: scotty@shooter.bluemarble.net (Scott Southwick)
3. Newsgroups: news.admin.net-abuse.misc,alt.current-events.net-abuse,alt.answers,news.answers
4. Subject: news.admin.net-abuse FAQ (2/2)
5. Followup-To: news.admin.net-abuse.misc
6. Date: 26 Jan 1996 23:32:18 GMT
7. Organization: Blue Marble
8. Lines: 476
9. Approved: news-answers-request@MIT.EDU
10. Expires: 18 Feb 1996
11. Message-ID: <4eboa2$964@catseye.bluemarble.net>
12. NNTP-Posting-Host: shooter.bluemarble.net
13. Xref: senator-bedfellow.mit.edu news.admin.net-abuse.misc:39275 alt.current-events.net-abuse:35050 alt.answers:15265 news.answers:63316
14.  
15. Archive-name: net-abuse-faq/part2
16. Posting-Frequency: biweekly
17.  
18. [Table of Contents for part two only:]
19.  
20. NITTY-GRITTY
21.  
22. 3.1) Yeah, but how many times is 'X'?
23. 3.2) What is the Breidbart Index (BI)?
24. 3.3) What is NoCeM?
25. 3.4) Is there a blacklist of net-abusers?
26. 3.5) How can I tell if a post is forged?
27. 3.6) How do I know when I've got spam on my hands?
28. 3.7) OK, I think I've spotted a spam. Who should I mail-bomb?
29. 3.8) OK, I think I've spotted a spam. What should I do?
30. 3.9) What about e-mail spam?
31. 3.10) I e-mailed a complaint to {so-and-so} about their {e-mail, post}
32. and now they're threatening to complain to my system administrator.
33. What should I do?
34. 3.11) What's a cancel-bot?
35. 3.12) Where can I get me one?
36. 3.13) How do spam-cancellers cancel spam?
37. 3.14) Can I sick The Man on these MAKE.MONEY.FAST losers?
38. 3.15) What is a killfile, and how do I use one?
39.  
40. GROAN
41.  
42. 4.1) Why are you net-abuse people such net-cops?
43. 4.2) Hey, I think my newsgroup is being invaded by alt.syntax.tactical!
44. 4.3) Hey, somebody posted an ad to <newsgroup>!
45. 4.4) Hey, so-and-so's not being nice in <newsgroup>!
46. 4.5) Hey, the Good Times virus--
47. 4.6) Hey, there's this <AT&T, Jerry Garcia, whatever> banner message
48. in the newsgroup descriptions!
49. 4.7) Hey, one of those net.cops posted an ad for <something>! Haw! Haw!
50.  
51. APPENDIX
52.  
53. news.admin.net-abuse.misc charter
54. news.admin.net-abuse.misc charter and guidelines
55.  
56. NITTY-GRITTY
57. ============
58.  
59. 3.1) Yeah, but how many times is 'X'?
60.  
61. How many posts does it take to push the spam envelope? To use up all
62. your spam charity points? For a bare-bones spam? To trigger the
63. raging-spam-cancellers-from-Hell?
64.  
65. Among those who agree that spam should be defined solely by quantity,
66.  
67.              -----------------> 20 <--------------------
68.  
69. appears to be the magic number, or at least a number so
70. middle-of-the-road that it provokes very little passionate dissent in
71. either direction. Notably, Cancelmoose[tm] refuses to set a firm
72. number, in the belief that people would simply post [X-1]
73. messages. It's safe to say that a couple incidents of 19-post spams
74. would cause the magic number to plummet. Thus, 20 should be considered
75. a vague approximation only.
76.  
77. Passionately dissenting note: Rahul Dhesi [dhesi@rahul.net], one of
78. the fathers of the cancel-bot movement, sticks by the following
79. definition:
80.  
81.      More than five physically distinct postings with substantially
82.      identical content posted within a period of ten days.
83.  
84. 3.2) What is the Breidbart Index (BI)?
85.  
86. The Breidbart Index (BI) is a measure of the breadth of any
87. multi-posting, cross-posting, or combination of the two. BI is defined
88. as the sum of the square roots of how many newsgroups each article was
89. posted to.  If that number approaches 20, then the posts will probably
90. be cancelled by somebody.
91.  
92. For instance, four identical posts to nine newsgroups each (4 times 3)
93. has a BI of 12. However, nine identical posts to four newsgroups each
94. (9 times 2) has a BI of 18.
95.  
96. 3.3) What is NoCeM?
97.  
98. NoCeM is an end to all this spam, and an end to all this
99. cancelling. With NoCeM (pronounced "No See 'Em"), your newsreader goes
100. out and gets certain posts (from trusted parties) that contain lists
101. of junk articles (ECP, spam, etc.) Your newsreader then hides those
102. articles from you.
103.  
104. Note that right now there's only a NoCeM newsreader for Unix.
105.  
106. The move to NoCeM is headed by the Cancelmoose[tm] (moose@cm.org), and
107. the moose's web site has all the info you might want about NoCeM:
108.  
109.     http://www.cm.org
110.  
111. Also check out the newsgroup alt.nocem.misc, which will degenerate
112. into a Big 7 newsgroup one of these days.
113.  
114. 3.4) Is there a blacklist of net-abusers?
115.  
116. Yes, Axel Boldt maintains the world-renowned "Blacklist of Internet
117. Advertisers" at
118.  
119.     http://math-www.uni-paderborn.de/~axel/BL/blacklist.html
120.  
121. 3.4) How can I tell if a post is forged?
122.  
123. Gandalf (gandalf@ddi.digital.net) is putting together a guide to
124. tracking down forgeries, and posting the FAQ to
125. news.admin.net-abuse.misc. I've saved a copy of the second draft at
126.  
127.     http://www.bluemarble.net/~scotty/forgery.html
128.  
129. For a rough article on forgery, originally constructed for this FAQ
130. out of information contributed by Robert Bonomi, Arthur Byrne, Emma
131. Pease, and Alan Bostick, see
132.  
133.     http://sckb.ucssc.indiana.edu/kb/data/all.afco.html
134.  
135. For more information on headers, see RFC-1036, "Standard for
136. Interchange of Usenet Messages," at
137.  
138.     http://www.cis.ohio-state.edu/htbin/rfc/rfc1036.html
139.  
140. 3.5) How can I tell how many newsgroups an article was posted to?
141.  
142. For people who can't use the classic "grepping the newsspool" method,
143. nn or nngrab may be able to help. (The following is adapted from a
144. posting by Lee Rudolph--thanks.)
145.  
146. You can force the Unix newsreader nn to ignore your .newsrc and create
147. a "merged newsgroup" consisting only of articles containing a certain
148. word in their subject line. For instance, to gather all articles at
149. your site containing the word "spam" in their subject line, use this
150. command:
151.  
152.   % nngrab spam
153.  
154. That's basically a faster version of
155.  
156.   % nn -i -s"spam" -mXx
157.  
158. Caution: this latter method can be a long, tedious process. See the nn
159. man page for more details.
160.  
161. 3.6) OK, I'm certain it's spam. Who should I mail-bomb?
162.  
163. Don't mail-bomb anybody. Harrassment is illegal everywhere. If
164. somebody's done something truly evil, they'll get enough single
165. responses from individuals to acheive the same effect.
166.  
167. 3.7) OK, I'm certain it's spam. What should I do?
168.  
169. * Check n.a.n-a.announce. If somebody's already made a definitive
170. spotting, there's no sense in an "I've seen it, too" post.
171.  
172. * Include a *complete* header from one copy of the spam in your post
173. to n.a.n-a.announce. Set followups to n.a.n-a.misc.
174.  
175. * Say how many newsgroups at your site it was posted to; list 20 or
176. more of them. (See "How do I know how many newsgroups an article was
177. posted to?")
178.  
179. * Complain politely to the spammer and the Usenet administrator at the
180. spammer's site (whose address should be "usenet@site.name"; if that
181. fails, try "postmaster@site.name".) Request that the Usenet
182. administrator post a response to n.a.n-a.announce, detailing what
183. actions have been taken.
184.  
185. 3.8) What about e-mail spam?
186.  
187. You can always complain about unsolicited e-mail to both the bozo that
188. sent it to you and the bozo's postmaster. To write to a postmaster,
189. just substitute the perp's username in their address (e.g.,
190. bozo@otherwise.lovely.com) with "postmaster" (i.e.,
191. postmaster@otherwise.lovely.com.) Please be brief and polite with the
192. postmasters, include a copy of the e-mail you received, and leave the
193. subject-line intact (in case the postmaster wants to set up an
194. auto-responder.)
195.  
196. 3.9) I e-mailed a complaint to so-and-so about their {post, mail}, and
197. now they're threatening to complain to my system administrator. What
198. should I do?
199.  
200. Let your sys-admin know right away what's happening. Tell them the
201. story, briefly. [Include the post(s) in question?] Then keep them
202. updated on any further threats.
203.  
204. If you're brief, polite, and on the right side, you can usually find
205. an ally in your sys-admin.
206.  
207. 3.10) What is a cancel-bot?
208.  
209. First off, "cancel-bot" is an unfortunate misnomer, and one that the
210. conventional media have understandably misunderstood. "bot" implies
211. that something is out there, running unattended, cancelling whatever
212. meets its nefarious qualifications... But this author knows of *no*
213. automated cancel programs in use against any type of Usenet postings,
214. and has never heard of such a program. All spam-cancels are sent out
215. manually and deliberately by actual human beings. (They happen to use
216. a program that is commonly referred to as a "cancel-bot".)
217.  
218. A cancel-bot is a program that sends out cancel messages; you feed it
219. the message-IDs of posts, and it sends out a cancel message for each
220. one (see RFC 1036.) Cancel messages are normally sent out by a
221. newsreader in response to a user's request to cancel a message, using
222. a newsreader command, *if* the user was also the original poster of
223. the message. Sites will ignore cancel messages that don't appear to
224. come from the original poster.  Cancel-bots work around this
225. restriction by using header lines that make it look like the original
226. poster sent out the cancel; they'll usually add something like a
227. "Cancelled-By" header line as well, to keep things nominally
228. above-board.
229.  
230. Use of a cancel-bot against anything besides 'consensus spam' outrages
231. people, as it should. See alt.religion.scientology for sample
232. discussions.
233.  
234. 3.11) Where can I get me a cancel-bot?
235.  
236. If you have to ask, you should probably wait a while. ;}
237.  
238. 3.12) How do the spam-cancellers cancel spam?
239.  
240.    * They make bloody sure they know how to use their cancel-bot;
241.    * They confirm the spam themselves;
242.    * They announce their action to n.a.n-a.announce. This prevents
243.      everyone from waiting around and wondering whether anyone's done
244.      anything.
245.  
246. Here's a standard section from a cancel-notification post by the
247. beloved Cancelmoose(TM):
248.  
249.   The $alz cancel. and Path: cyberspam conventions were followed.  [The
250.   $alz convention is to create your cancel message-ID by prepending
251.   'cancel.' to the original one.  The cyberspam convention is to use-
252.   'Path: cyberspam!usenet' so that sites that do not want your cancels
253.   can easily opt out.  Please use these when cancelling spam.]
254.  
255. 3.13) Can I sick The Man on these MAKE.MONEY.FAST losers?
256.  
257. You can complain about e-mail or Usenet pyramid schemes (at least
258. those involving Americans somehow) to the FTC:
259.  
260.   STAFF CONTACT:      Bureau of Consumer Protection
261.                       David Medine, 202-326-3224
262.                       dmedine@ftc.gov
263.  
264. Before doing so, consider seriously whether you actually want to
265. encourage government intervention. The number of 'net cases the FTC
266. has been involved in is very low at this point; in an ideal world, it
267. would probably remain that way.
268.  
269. 3.15) What is a killfile, and how do I use one?
270.  
271. A killfile enables you to permnanently avoid reading posts by certain
272. people, or from a certain site, or whose Subject: lines contain
273. particular words... Check out the RN killfile FAQ at
274.  
275.    http://www.cis.ohio-state.edu/hypertext/faq/usenet/killfile-faq/faq.html
276.  
277. Here's some newsreaders that support killfiles (search
278. http://vsl.cnet.com/cgi-bin/vsl-master/QuickForm? to acquire the
279. software):
280.  
281.     * trn (Unix)
282.     * nn (Unix)
283.     * NewsHopper (Mac)
284.  
285. [please send me the names of those you know about. Thanks--]
286.  
287. If your newsreader doesn't allow killfiling, write the author of the
288. newsreading software and ask them to add support for killfiles.
289. Although it doesn't discuss killfiling, see 'The "Good Net-Keeping
290. Seal of Approval" for Usenet Software' at
291.  
292.    http://kalypso.cybercom.net/~rnewman/Good_Netkeeping_Seal
293.  
294. for more information on what makes a good newsreader.
295.  
296. GROAN
297. =====
298.  
299. 4.1) I hate net-cops like you people.
300.  
301. Who will watch the watchmen? net-cop.cops like this,
302. apparently. ;} Anyways, anyone who wanted to police the net would be a
303. pig-headed, unrealistic fool. Thankfully, we just want to shoot spam
304. out of the sky, because
305.  
306.   * We hate it,
307.   * It feels good, and
308.   * We can.
309.  
310. Anyways, if you don't like spam being cancelled at your site, you can
311. have your upstream feeds alias your site to "cyberspam".
312.  
313. 4.2) Hey, I think my group's being invaded by alt.syntax.tactical!
314.  
315. We're sorry. Please don't bring that subject up again here. Good
316. luck... Keith "Justified and Ancient" Cochran, who has been wrongfully
317. accused of a.s.t involvement himself, adds: "I would suggest the first
318. thing you do is take a chill pill." (Note that there is no second
319. thing to do. However, you may want to pass the time reading the
320. alt.bigfoot FAQ:
321.  
322.   http://www.cis.ohio-state.edu/hypertext/faq/usenet/bigfoot/top.html
323.  
324. --particularly the part about cats.)
325.  
326. See also "What is a killfile, and how do I use one?"
327.  
328. 4.3) Hey, somebody posted an ad in {newsgroup}!
329.  
330. So?
331.  
332. Alright, alright: first, check to see if the post was obviously forged
333. (see "How can I spot a forgery?")
334.  
335. Then check to see if it's spam (see "What is Spam" and "How do I know
336. when I've got spam on my hands?") It's probably not. We only want to
337. hear about it if it's spam.
338.  
339. If the ad is off-topic, and you really can't let it go, check out the
340. advice in "Hey, so-and-so's not being nice in {newsgroup}!"
341.  
342. 4.4) Hey, so-and-so's not being nice in {newsgroup}!
343.  
344. Happens all the time. We don't want to hear about it. However, here
345. are some things you can do (written by Keith "Justified and Ancient"
346. Cochran):
347.  
348. "The first thing to do is take it up with user@some.site.  If you
349. can't achieve a mutual understanding, then you _MIGHT_ (note, not
350. WILL, _MIGHT_) want to mail postmaster@some.site with your complaint.
351. If you are going to write to postmaster@some.site, be sure to include
352. the full, unedited post you have a problem with, a short but
353. descriptive summary of why you have a problem with it, and a short,
354. but descriptive explanation of what you would like to have happen.
355.  
356. "Note that this does not apply to MAKE.MONEY.FAST.  If you see a copy
357. of M.M.F, just e-mail postmaster@some.site, including the article ID,
358. and the first paragraph of the post."
359.  
360. See also "What is a killfile, and how do I use one?"
361.  
362. 4.5) Hey, the "Good Times" virus--
363.  
364. is a total, 100%, long-proven hoax. For the complete story, see
365.  
366.     http://www.nsm.smcm.edu/News/GTHoax.html
367.  
368. 4.6) Hey, there's this <AT&T, Jerry Garcia, whatever> banner message
369. in the newsgroup descriptions!
370.  
371. We know, we know... It's a fairly common prank to add bunches of
372. newsgroups whose descriptions spell something out. Ask your local news
373. admninstrator to rmgroup the whole lot.
374.  
375. 4.7) Hey, one of those net.cops posted an ad for <something>! Haw! Haw!
376.  
377.     "Ad" does not equal "spam".
378.     "Ad" does not equal "net-abuse".
379.  
380. APPENDIX
381. ========
382.  
383. news.admin.misc charter:
384.  
385.    news.admin.net-abuse.misc is for the discussion of possible abuses
386.    of netnews and e-mail. It is for the discussion of standards of net
387.    abuse, to suggest appropriate courses of action (if any) to net
388.    abuse and to post reports of alleged occurrences of net
389.    abuse. Relevant topics include events associated with net abuse
390.    such as: spamming (posting many individual copies of any article),
391.    excessive crossposting of non-germane articles, injection of
392.    malformed articles into the news system (broken gateways, for
393.    example), or other forms of "roboposting" involving large numbers
394.    of postings to one or more groups, forging identity of postings,
395.    forged approval to moderated groups, forged cancellation of
396.    articles including cancellation of net abuse articles, use of
397.    rmgroup/newgroup in an abusive manner, large-scale mailings to
398.    mailing lists or other mail-bombing, deciding what isn't net abuse,
399.    general issues of netiquette, methods for resolving conflicts,
400.    proposed blacklists and boycotts, "renegade" sites, etc.  Postings
401.    include news reports, reviews, and conferences, and net-abuse FAQs.
402.    Although commercial posts are not inherently net-abuse, proper
403.    methods of posting commercial material are within the scope of this
404.    group.
405.  
406. news.admin.net-abuse.announce charter and guidelines:
407.  
408.  
409.    news.admin.net-abuse.announce Charter and Guidelines
410.  
411.    1. What topics are relevant to this group? Events associated with net
412.       abuse, such as:
413.       - posting many individual copies of any article.
414.       Or, excessive crossposting of non-germane articles.
415.       - injection of malformed articles into the news system (broken
416.       gateways, for example), or other forms of "roboposting" involving
417.       large numbers of postings to one or more groups.
418.       - Forging identity of postings
419.       - Forged approval to moderated groups
420.       - Forged cancellation of articles not included above.  Note that
421.         cancellation of net abuse articles is also relevant to the
422.         topic of net abuse.
423.       - Use of rmgroup/newgroup in an abusive manner
424.       - large-scale mailings to mailing lists or other mail-bombing
425.  
426.       Postings to this group may also include announcements relevant
427.       to the topic of net abuse, such as news reports, reviews, and
428.       conferences, and possible net-abuse FAQs.
429.  
430.       The purpose of this group is not to decide the guilt or
431.       innocence of any parties, but rather to simply report on the
432.       activity (much like the crime section found in many local
433.       newspapers).  It must be kept clear that the net is a new legal
434.       area, but it is also one with a lot of unwritten rules.  The
435.       moderators are in no way are attempting to act as judges,
436.       lawyers, or mediators.
437.  
438.    2. Posting of reports of this kind of activity in no way implies
439.       that net-wide cancellation of such articles are to be
440.       encouraged.  How local news admins deal with such incidents is
441.       strictly up to them.  The moderators of this group should not be
442.       held responsible for actions taken by others in response to
443.       articles posted to news.admin.net-abuse.announce.
444.  
445.    3. No moderator will engage in the following activities:
446.  
447.       - cancellation of any posts other than ones posted by them,
448.         excepting articles with forged approval to newsgroups they
449.         moderate or, if they are a news admin, posts originating from
450.         their site (following the local site's procedures).
451.       - Sending of "mailbombs", threats, abusive e-mail, or other
452.         attacks in response to alleged net abuse.
453.  
454.    4. We are committed to providing accurate information regarding
455.       events related to net abuse (with emphasis on Usenet) in a
456.       timely manner.  However, as we the moderators must often rely on
457.       the reports of others, whenever we have not confirmed a report
458.       ourselves we will state so in the posting.
459.  
460.    5. Right of Reply. If posts have been made in this group concerning
461.       an individual's alleged net abuse and the individual and/or site
462.       from which it originated have suffered negative consequences in
463.       the form of articles cancelled, accounts cancelled, or
464.       substantial negative email; then the individual and site each
465.       have the right to one (but no more than one) reply for the
466.       purpose of justification, rebuttal, or reports of actions taken
467.       to correct or cancel the alleged abuse.
468.  
469.    6. Examples of inappropriate postings:
470.       - redundant reports of events
471.       - Trivial events, for example "Hey, this guy posted an ad to
472.         comp.sys.xyz!"
473.  
474.    7. Administravia
475.       - Approval of postings will be made by a team of moderators.
476.       - Change of moderators will be made by majority.  Forcible removal
477.         of a moderator will be by consensus of remaining moderators.
478.       - Any rule changes will be made by majority of the moderators.
479.  
480.    Initial moderators:
481.    David Barr <barr@math.psu.edu>
482.    Joel Furr <jfurr@acpub.duke.edu>
483.    Paul Phillips <paulp@CERF.NET>
484.    Abby Franquemont-Guillory <abbyfg@tezcat.com>
485.  
486. ----
487. [New:]
488.  
489.            Liszt: http://www.liszt.com/
490.     A searchable directory of over 22,000 mailing lists.
491.