Dat is bijna niet te doen... ip adressen zijn niet helemaal lekker
verdeeld.

IP naar landen: http://countries.nerd.dk/

sorbs heeft een dynamic list:
http://www.nl.sorbs.net/faq/dul.shtml

Ik ben het volkomen met je eens dat netblocks niet lekker
aaneensluitend zijn verdeeld waarbij sommige blocks tevens
meerdere RIR's beslaan. Maar in de plaats van alle RIR's te
raadplegen vraag ik mij af of er wellicht al zo'n lijst zou
bestaan. Met een redelijk eenvoudige toepassing zouden alle
netblocks opgevraagd kunnen worden met de gewenste gegevens
maar weet ik niet hoeveel queries de RIR's aan kunnen.

Of ik moet een ander mechanisme bedenken, meer in de
richting van:

---> uneligable request/attempt
<--- instruct firewall & blocklist to block netblock or IP

of in realtime de RIR's raadplegen, maar dan zit je met
vertragingen, niet in de laatste plaats de belasting op de
RIR's.

Zijn bijvoorbeeld die netblock/ip-lijsten van SORBS niet
ergens te krijgen?

Maar waarom zou je bepaalde netblocken blocken? Wat probeer je
precies tegen te houden?

Alles dat ongewenst is.
Waar komt spam vandaan? (nieuwe Chinese rage onder
onverlaten, de nadrukkelijk aanwezige minderheid dus: fijn
vanuit de trein portabel onderweg de wereld ongewenst
mailen, bijvoorbeeld, dus blokkeer je die netblocks voor
inkomende mail).
Waar komen pogingen vandaan aan ander ongein?
Dat zijn netblocks die waarschijnlijk al bekend zijn en
meteen op de firewall kunnen geblocked. Naar dat soort
IP's/netblocks hoeft er mijn inziens inprincipe helemaal
geen bit terug te worden gecommuniceert, dus ook geen
(fout)melding, want daar blijken dat soort onverlaten toch
chronisch doof voor.

Dan hebben je deamons en filters het ook een stuk rustiger
wanneer je op voorhand IP's kunt uitsluiten.

Toegegeven, dat dit een strengere vorm van reguleren is.

Ik denk dat je meer hebt aan een spamfilter.

En verder is het "normaal" dat je constant "aanvallen" voorbij ziet
komen. Deze "aanvallen" worden vaak veroorzaakt door
geinfecteerde computers. Zolang je firewall alleen doorlaat wat
nodig is en wat daar achter zit goed beveiligd is hoef je je nergens
zorgen om te maken.

Als je toch een stap verder wil kun je beter eens kijken naar
content scanners. Deze kunnen het web en email verkeer filteren
op ongewenste dingen. Netblocks stoppen op je firewall is echt
onbegonnen werk. Je firewall ruleset wordt op een gegeven
moment zo groot dat dit nadelige gevolgen heeft voor de
performance van die firewall.

Foutmeldingen terug sturen? Hoe bedoel je dat?
Virusmeldingen ofzo? Die kun je maar beter helemaal uitzetten.
Bijna alle virussen vervalsen tegenwoordig de afzender dus dan
stuur je die waarschuwing zowieso naar de verkeerde.

Aan
filters hier geen gebrek, dat is niet de issue.Daar maak ik mij
geen zorgen om, simpelweg omdat de systemen niet
ontvankelijk zijn voor de probeersels.
Dat moet je niet handmatig willen doen.
Juist, dat zou een punt kunnen
zijn. Afhankelijk van de hoeveelheid intern geheugen en de
verwerkingscapaciteit zou dat een item kunnen worden wanneer
erg veel netten worden vermeld. Waarschijnlijk is het dan
ook niet haalbaar een voorgedefinieerde lijst met bekende
onverlaten als firewall-rules te importeren, zoveel als dat
er wereldwijd mogelijk zullen zijn.
"smtp postbox does not exist", "smtp relaying not allowed"
tot "http Bad Request" en vice versa, dus absoluut geen
bounces. Hoe het ook zij, (de software van) onverlaten zijn
er stokdoof voor.
Nu laat het mij doorgaans koud maar heb ik omdat ik er
benieuwd naar was een 'onderzoekje' gedaan naar het effect
wanneer je specifiek die netblocks dropt. En wat blijkt, dan
dringt het schijnbaar wel door, haakt men af en probeert men
het niet meer. Waarschijnlijk omdat dan bijvoorbeeld hun
spamproces wordt opgehouden tot een timeout optreedt in een
poging een verbinding te maken, wachtend op een response die
nooit zal komen.
Ik vond dat redelijk opmerkelijk.

In tegenstelling tot mensen die bijvoorbeeld een
spam-quarrantine hanteren (nu we het toch specifiek over
spam hebben), die pakken alle post aan om deze daarna te
vlaggen. Dat zorgt voor veel meer spam, het is dan immers
aangenomen zonder enige andere vorm van tegenresponse dan
250 OK.
Dat ben ik geheel met je eens. Gebeurt dus
ook niet: als een virus mail al wordt aangenomen, ontfermt
Dave Null zich er alsnog over. :)

Ik heb voldoende materiaal om de gedachten over te laten
gaan, wie weet levert dat een nieuwe tool op dat dynamisch
chronicie dropt, als dat ten minste een winst op zou leveren
dat de resources/workload daartoe rechtvaardigd.