NEWSLETTER " COMBATTERE LO SPAM by " del 18/07/2006
Nella Newsletter precedente abbiamo visto una serie di accorgimenti che l'utente individuale può mettere in pratica nel tentativo di ridurre la quantità di spam che gli viene spedito . Precedentemente avevamo accennato ai filtri, il cui scopo è di bloccare quanto più spam possibile lungo la strada, dopo che è stato spedito ma prima che compaia all'utente. Come si è visto, non mancano soluzioni interessanti, però nessuna può dirsi davvero soddisfacente: in ogni caso si tratta per l'utente di addossarsi l'onere ed i fastidi della propria difesa, mentre per gli spammer tutto ciò comporta in genere solo qualche piccola difficoltà, spesso superabile. Per queste ragioni, la comunità antispam ha aperto un fronte di lotta assai interessante e decisamente più incisivo, sul quale vale la pena soffermarsi. Si tratta delle liste di blocco, grazie alle quali diventa particolarmente agevole fare circolare in tempo reale le informazioni più utili, nonché mettere a frutto il migliore spirito cooperativo sul quale davvero è nata la rete. Le liste di blocco non sono, di norma, uno strumento disponibile all'uso da parte degli utenti singoli. Questo non perché il loro utilizzo sia riservato ma perché, a livello di computer dell'utente finale, quando ormai lo spam è arrivato la loro utilità potrebbe solo essere marginale. L'utilità massima delle liste di blocco si ha a livello di server di posta dove, se usate nella maniera giusta, possono davvero aiutare a non ricevere una buona porzione dello spam. Spetta quindi ai postmaster fare quanto necessario per avvalersene. Per questa ragione, il presente capitolo può essere utile soprattutto per i postmaster, anche se riteniamo che la conoscenza di questo fronte di lotta possa comunque interessare a molti utenti. Anche perché difficilmente i postmaster entreranno nell'ordine di idee di usare le blacklist se non saranno i loro utenti a chiederglielo. Per sintetizzare, le liste di blocco sono elenchi di indirizzi IP (solo in qualche raro caso di domini) selezionati secondo linee guida specifiche di ciascuna lista. Tali liste vengono mantenute attuali nel tempo (gli indirizzi o blocchi di indirizzi che le compongono vengono aggiunti o tolti quando necessario) e messe a disposizione di chiunque desideri consultarle. La ragione per cui è così comune la pratica di catalogare gli indirizzi ip tramite queste liste è che, in generale, ogni indirizzo ip che emette posta tende ad essere sorgente o solo di spam o solo di posta legittima. Esistono anche sorgenti miste (e gli spammer cercano, in effetti, di battere anche questa strada), però esistono certamente tantissimi ip che sono sorgenti di solo spam. Appare quindi sensato che, per prima cosa, si taglino fuori tutti gli ip che, a vario titolo, si conoscano a priori come sorgenti di spam. Scendendo per un attimo nei tecnicismi, le liste sono di solito costituite da zone DNS, e la modalità principale di consultazione, anche se non l'unica, è per l'appunto l'esecuzione di una query DNS (su un nome host ricavato dall'indirizzo che interessa verificare). In pratica, si esegue il test su un indirizzo IP alla volta, ottenendo la risposta che l'IP indicato è o non è presente nella lista. Spetta poi a chi ha consultato la lista decidere che fare del risultato ottenuto. Comunque, la modalità di consultazione tramite query DNS si presta molto bene all'esecuzione in automatico da parte di qualsiasi computer presente in rete (per esempio, da parte di un mail server che deve decidere se accettare oppure no una email in arrivo). Questo tipo di soluzione apre quindi interessanti possibilità: se qualcuno mantenesse una tale lista e riuscisse ad aggiornarla in continuazione in modo che, idealmente, la lista contenesse tutti e soli gli indirizzi ip dai quali proviene spam, ecco che ne potrebbe trarre beneficio anche chi non avesse le risorse, le informazioni o l'esperienza necessarie per crearsi in proprio una tale lista. Inoltre, se la reputazione di una lista fosse talmente buona che tantissime reti decidessero di consultarla per decidere se accettare oppure no ogni email in arrivo, essere incluso in quella lista vorrebbe dire, di fatto, essere tagliato fuori dalla possibilità di spedire email a tantissime destinazioni. Quindi, anche quando la lista agisse solo a posteriori sulle fonti di spam individuate, il suo effetto avrebbe un significativo impatto sulle possibilità per gli spammer di proseguire nella loro attività. Tornando al concreto, ogni lista è gestita da chi ha deciso di crearla e/o di mantenerla su un proprio sistema. Possono esserci liste prive di policy, che potremmo definire da "bastard admin", in cui il curatore caccia dentro gli indirizzi in base alle proprie antipatie e senza bisogno di particolari ragioni. Tutto questo è perfettamente legittimo ma, per quanto ci riguarda, possiamo dire che son fatti suoi, di solito liste di questo tipo non interessano. Normalmente, chi cerca una lista di cui potersi davvero fidare al fine di filtrare le email in arrivo, farebbe bene a considerare importante che siano soddisfatti questi due requisiti: In effetti, le blacklist più diffuse e attendibili soddisfano a tali caratteristiche. Le liste di blocco hanno certamente moltissimi detrattori, che rifiutano di usarle (spesso anche solo per principio). Sta però di fatto che questo strumento aiuta moltissimo ad ottenere risultati di ottimo livello. Laddove i risultati dell'applicazione delle liste di blocco si rivelino scadenti o, addirittura, controproducenti ai fini del servizio fornito agli utenti, si può praticamente sempre riscontrare un loro utilizzo non corretto, da parte di un postmaster che o non ha capito bene quel che stava facendo (succede, eccome) o non si tiene aggiornato. Nel tempo sono state individuate varie differenti strategie con cui bloccare lo spam, che si sono tradotte in alcune fondamentali tipologie di liste di blocco: Liste di indirizzi o blocchi lasciati a disposizione di spammer Liste di relay aperti Liste di risorse varie abusabili per via di buchi di sicurezza Va da sè che in questo sito non c'è, né mai ci sarà, alcun formmail. Ciononostante si nota ogni tanto che qualcuno, da vari ip di solito nel Nord America, prova a vedere se c'è. Se su un sito normalmente raggiungibile tramite link e motori di ricerca c'è un formmail insicuro, probabilmente gli spammer lo troveranno prima di quando si possa immaginare. Liste di blocchi adibiti a dial-up Riassumendo potremmo dire che queste liste sono, in fondo, elenchi di indirizzi ip gestiti o usati in modo da violare certi standard il cui rispetto è oggi ampiamente considerato necessario in rete. Possono essere standard di comportamento e di applicazione di policy antispam, come può trattarsi di standard di sicurezza (il caso di relay e proxy aperti e di formmail insicuri) o può trattarsi di altri standard codificati nelle RFC. Il caso invece delle liste di dial-up suggerisce uno standard non codificato ma quanto mai opportuno da adottare, ossia quello secondo cui il traffico smtp vada accettato solo da sistemi individuati da un indirizzo fisso e immutabile nel tempo. Usare le blacklist comporta, per il postmaster, una necessità di gestione alla quale occorre saper far fronte e comporta, soprattutto, l'abbandono di un atteggiamento (che era valido fino ai primi anni '90 ma che oggi non è più realistico) secondo cui la posta elettronica andrebbe accettata indiscriminatamente quale che sia la sua provenienza. Ciò a cui assistiamo è, infatti, proprio il passaggio di sempre più vaste porzioni della rete alla scelta inevitabile: accettare traffico SMTP solo da quelle reti a carico delle quali non risulti, per esperienza propria o di altri, la violazione di doverosi standard di comportamento o di sicurezza. Se il vostro postmaster rifiuta di utilizzare liste di blocco e vi dice, nella sostanza, che lo spam in arrivo nella vostra casella è un problema vostro (per esempio vi suggerisce di cancellarlo o di definire, nel vostro client di posta, delle regole per filtrarlo o, peggio ancora, vi suggerisce di chiedere allo spammer di togliervi dalla sua lista), quel postmaster si dimostra professionalmente obsoleto . Se vi è possibile scegliere chi debba essere il vostro provider di posta, tenetene conto. Nella prossima pagina si darà uno sguardo al panorama delle principali liste di blocco utilizzabili. Ricevi questa newsletter perche' ti sei volontariamente iscritto ai servizi gratuiti di EPPYNET.COM. |