<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, Aug 28, 2025 at 10:42 AM Shawn Bakhtiar <<a href="mailto:shashaness@gmail.com">shashaness@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">[...]<br>
<br>
I am truly curious as to the communities opinion on this (and I'm going to do my homework as you suggested) given the conditions we are facing in 2025. There are times my instances are spending more CPU cycles dealing with this overt abuse, than dealing with actual real business. <br>
<br></blockquote><div><br></div><div>Since you asked...</div><div><br></div><div>For sites I administer, when I start seeing wordpress probes in my logs, I just put an inbound deny ACL for the subnet.</div><div>I start with the /32.  If I see a second probe from the same /24, I update the deny line to be the whole /24.</div><div>If I see another probe from within the same /16, I update the deny line to be the whole /16.</div><div>Takes a few minutes each week to update the ACLs, and reduces the impact on the servers quite nicely.</div><div>So far, I've not yet received a "hey, I can't reach your site anymore" complaint.</div><div><br></div><div>I think trying to make explicit rules about how quickly abuse contacts have to respond to email complaints </div><div>is going to backfire horribly; it's far too easy to game the system.</div><div><br></div><div>It's rather like the US banking system, where the account holder gets hit with a service charge for bounced checks, </div><div>but there's no input validation on check deposits.  So, I can dump 100 bogus checks into a night deposit drop at a bank </div><div>with your account number on the deposit slip, and you'll get dinged with 100 bounced check charges against your account, </div><div>even though you never deposited any bad checks yourself.  The "protection" feature can end up being used to cause real </div><div>harm to the legitimate person, without incurring any risk or penalty to the bad actor.</div><div><br></div><div>Similarly, if we start putting rules in that say all messages sent to the abuse@ email account for a resource holder </div><div>must be responded to within 24 hours or the resources can be reclaimed, then all I need to do is to start overwhelming </div><div>your abuse handling system to the point where it can't keep up with the demand, and incoming complaints don't get </div><div>a response within 24 hours, and then go to ARIN and say "look, you have to take these resources away because they </div><div>aren't responding to abuse notifications."  There's no way to shield the resource holder from abuse like that, and if we </div><div>then trigger resource reclamation based on slow response, it's going to quickly become a barren battlefield where only </div><div>the largest entities can survive, simply by being able to absorb bogus complaints and generate ticket numbers in </div><div>response faster than any botnet can generate complaints.</div><div><br></div><div>Right now, we have a similar problem with CAN-SPAM and mailing list signup abuse.  Sure, you can fire off </div><div>unsubscribe requests as fast as the spam comes in; but these days they all say "may take up to 10 days to</div><div>remove your name from our lists" -- and in the meantime, now they know they have a real person monitoring </div><div>a real mailbox, and for the next 10 days, they're going to pummel you with as much spam as they can, all the </div><div>while pointing to the "but we're obeying the law and removing your name from our mailing list as fast as our</div><div>system will let us".  And then they file your email address on a "do not spam for 30 days" list, and on the 31st day, </div><div>whammo, you're back on the list getting flooded with spam; you click unsubscribe again, they tell you again </div><div>it's going to take 10 days to remove you, you get 10 more days of getting hammered with spam, and then </div><div>30 days of no spam...from that list.  If you're a spammer, and maintain a collection of 31 mailing lists, you can keep a </div><div>given email address front and center of your spam cannon continuously, by simply shifting the start of each 30+10 day </div><div>cycle by one day for each mailing list.</div><div><br></div><div>That is to say, in a long-winded way, it's nigh on impossible to write policy rules that accomplish what you </div><div>want without having even more potential to be abused within the rules to cause more pain than they </div><div>alleviate.  :(</div><div><br></div><div>Best of luck!</div><div><br></div><div>Matt</div><div> </div></div></div>