作为 ISP，我该如何处理滥用报告？

Question 1

一般来说，您是作为中立的运营商，可能不应该检查内容。处理滥用报告的一般流程是设置一个票务系统，甚至只是一个接收 abuse@yourdomain 的邮箱，然后将报告转发给最终用户。

我说一般是因为虽然我在这方面有很多具体经验，但我们这里的做法和其他人的做法并不完全一样。你需要根据你提供的服务量身定制方法。话虽如此，我可以给你一些建议，这些建议不是太具体，而是大多数地方处理虐待行为的基础。但我不是律师，这不应被理解为任何人的意见，而是我自己的意见，以防有人疯狂到追查我的雇主是谁。

但愿这些能够有所帮助。

基本流程：

您的电子邮件地址被滥用。
邮件进入滥用队列
告诉举报人你会转发此事。
查找哪个客户正在使用该 IP，将报告转发给他们并询问他们是否知道发生了什么。
只要最终用户没有做出愚蠢的回应，那么“请不要再发生这种事”这样的指示就是最好的。有些合法项目会引发滥用报告，但大多数情况都是因为安全研究人员，如果这不是你的专长，那么你就不必担心。
转到步骤 1 并重复。

大多数情况下，一次循环就足够了。我很少看到滥用欺骗，我的意思是这种情况确实会发生，但它确实很明显，因为他们试图让这个人陷入麻烦，而合法的滥用报告往往是“我们不关心为什么会发生，只要让它停止”那种。

你应该做的事情

您可能会看到一些盗版警告、一堆垃圾邮件报告，偶尔还会有更晦涩难懂的警告……服务器托管趋向于更加多样化，宽带盗版现象更加严重，每个人都会收到垃圾邮件报告。请转发所有报告。大多数情况下，客户会辩称自己无罪，然后清理他们的电脑或改过自新。如果他们决心继续这样做，他们可能会更好地掩盖自己的踪迹。

通常，滥用报告是针对受感染机器的行为而生成的……问题儿童喜欢在别人的前院制造混乱，这样就不会进入他们的房子并让他们的父母不高兴。假设客户不是故意发送垃圾邮件。在客户第一次收到针对他们的报告时，尽量给予他们信任。

如果您遇到了一个非常多产的垃圾邮件发送者，警告可能需要一段时间才能停止，但如果在客户收到警告后您继续看到带有事件的报告，或者他们收到大量投诉，您可能需要考虑以 AUP 违规为由终止他们的服务。如果有人伪造报告达到这一点，您可能会很快意识到。

绘制流量图表。大多数滥用报告类型（垃圾邮件、版权、ddos）都会显示流量图表……平均流量为 40kbit，但突然跳升至 10mbit 并停留数小时？除非有人投诉或开始影响客户，否则不要采取任何行动，但不规则的流量肯定会给你提供弹药。

不要做的事...

除非有人向您提供法院命令，并且您能证明该命令合法，否则不要泄露客户信息。一些滥用报告者会要求提供信息，希望获得合作提供商，但如果您将其交给法院以外的任何人，那么您可能会给自己带来法律问题。警察通常不会通过电子邮件向您索要客户的账单联系方式，即使他们这样做了，您仍应告诉他们，您只能亲自提供该信息并出示适当的法院命令。

不要因为有人联系您的滥用队列并要求您这样做就拒绝客户。如果他们报告滥用行为，您需要让他们提供某种证据以便您采取行动……我说的是滥用报告伪造并不常见，我并没有说它没有发生。您看到多少完全取决于您的客户群有多大的目标。老太太可能不会引起巨魔的注意，而 twitch 主播则可能会。

同样，不要让滥用报告者欺负你……如果你不立即服从他们的命令，有些人可能会在报告时变得非常具有威胁性和攻击性。作为渠道，你的责任是转发通知，并在客户不合作时及时采取行动。只有当你知道客户在做坏事并让他们继续时，你才需要承担责任。制定一个明智的（阅读：不偏袒盗版者）政策并坚持下去，如果出现任何问题，这将有所帮助。如果你只提供带宽而不提供托管，你可能没有责任删除内容，除非你的客户在你要求时没有这样做。

不要太过紧张。ISP 的 99.9% 滥用报告实际上都是无聊的程序性内容，相当于“我看到这个坏东西来自你的网络，它可能是一台被感染的机器，请检查一下。”

在大多数情况下，将报告的事件时间与流量图进行比较会告诉您报告的合法性。恶意进程不会一两次发送电子邮件或端口扫描。

最后一件事。

如果您确实遇到过涉及警方的滥用案件，请务必明确询问他们希望您为他们做什么，但不要指望他们能给出非常专业的答案。有时警方并不完全熟悉所涉及的技术（我听说有一次他们想来我们这里亲自扣押一台 VPS，这很有趣），但他们确实知道自己想要完成什么。他们究竟要追查什么事情完全取决于您提供的服务类型。

Answer