NEWSLETTER " COMBATTERE LO SPAM by " del 18/07/2006
Nella Newsletter precedente abbiamo visto una serie di accorgimenti che l'utente individuale può mettere in pratica nel tentativo di ridurre la quantità di spam che gli viene spedito . Precedentemente avevamo accennato ai filtri, il cui scopo è di bloccare quanto più spam possibile lungo la strada, dopo che è stato spedito ma prima che compaia all'utente. Come si è visto, non mancano soluzioni interessanti, però nessuna può dirsi davvero soddisfacente: in ogni caso si tratta per l'utente di addossarsi l'onere ed i fastidi della propria difesa, mentre per gli spammer tutto ciò comporta in genere solo qualche piccola difficoltà, spesso superabile. Per queste ragioni, la comunità antispam ha aperto un fronte di lotta assai interessante e decisamente più incisivo, sul quale vale la pena soffermarsi. Si tratta delle liste di blocco, grazie alle quali diventa particolarmente agevole fare circolare in tempo reale le informazioni più utili, nonché mettere a frutto il migliore spirito cooperativo sul quale davvero è nata la rete. Le liste di blocco non sono, di norma, uno strumento disponibile all'uso da parte degli utenti singoli. Questo non perché il loro utilizzo sia riservato ma perché, a livello di computer dell'utente finale, quando ormai lo spam è arrivato la loro utilità potrebbe solo essere marginale. L'utilità massima delle liste di blocco si ha a livello di server di posta dove, se usate nella maniera giusta, possono davvero aiutare a non ricevere una buona porzione dello spam. Spetta quindi ai postmaster fare quanto necessario per avvalersene. Per questa ragione, il presente capitolo può essere utile soprattutto per i postmaster, anche se riteniamo che la conoscenza di questo fronte di lotta possa comunque interessare a molti utenti. Anche perché difficilmente i postmaster entreranno nell'ordine di idee di usare le blacklist se non saranno i loro utenti a chiederglielo. Per sintetizzare, le liste di blocco sono elenchi di indirizzi IP (solo in qualche raro caso di domini) selezionati secondo linee guida specifiche di ciascuna lista. Tali liste vengono mantenute attuali nel tempo (gli indirizzi o blocchi di indirizzi che le compongono vengono aggiunti o tolti quando necessario) e messe a disposizione di chiunque desideri consultarle. La ragione per cui è così comune la pratica di catalogare gli indirizzi ip tramite queste liste è che, in generale, ogni indirizzo ip che emette posta tende ad essere sorgente o solo di spam o solo di posta legittima. Esistono anche sorgenti miste (e gli spammer cercano, in effetti, di battere anche questa strada), però esistono certamente tantissimi ip che sono sorgenti di solo spam. Appare quindi sensato che, per prima cosa, si taglino fuori tutti gli ip che, a vario titolo, si conoscano a priori come sorgenti di spam. Scendendo per un attimo nei tecnicismi, le liste sono di solito costituite da zone DNS, e la modalità principale di consultazione, anche se non l'unica, è per l'appunto l'esecuzione di una query DNS (su un nome host ricavato dall'indirizzo che interessa verificare). In pratica, si esegue il test su un indirizzo IP alla volta, ottenendo la risposta che l'IP indicato è o non è presente nella lista. Spetta poi a chi ha consultato la lista decidere che fare del risultato ottenuto. Comunque, la modalità di consultazione tramite query DNS si presta molto bene all'esecuzione in automatico da parte di qualsiasi computer presente in rete (per esempio, da parte di un mail server che deve decidere se accettare oppure no una email in arrivo). Questo tipo di soluzione apre quindi interessanti possibilità: se qualcuno mantenesse una tale lista e riuscisse ad aggiornarla in continuazione in modo che, idealmente, la lista contenesse tutti e soli gli indirizzi ip dai quali proviene spam, ecco che ne potrebbe trarre beneficio anche chi non avesse le risorse, le informazioni o l'esperienza necessarie per crearsi in proprio una tale lista. Inoltre, se la reputazione di una lista fosse talmente buona che tantissime reti decidessero di consultarla per decidere se accettare oppure no ogni email in arrivo, essere incluso in quella lista vorrebbe dire, di fatto, essere tagliato fuori dalla possibilità di spedire email a tantissime destinazioni. Quindi, anche quando la lista agisse solo a posteriori sulle fonti di spam individuate, il suo effetto avrebbe un significativo impatto sulle possibilità per gli spammer di proseguire nella loro attività. Tornando al concreto, ogni lista è gestita da chi ha deciso di crearla e/o di mantenerla su un proprio sistema. Possono esserci liste prive di policy, che potremmo definire da "bastard admin", in cui il curatore caccia dentro gli indirizzi in base alle proprie antipatie e senza bisogno di particolari ragioni. Tutto questo è perfettamente legittimo ma, per quanto ci riguarda, possiamo dire che son fatti suoi, di solito liste di questo tipo non interessano. Normalmente, chi cerca una lista di cui potersi davvero fidare al fine di filtrare le email in arrivo, farebbe bene a considerare importante che siano soddisfatti questi due requisiti: In effetti, le blacklist più diffuse e attendibili soddisfano a tali caratteristiche. Le liste di blocco hanno certamente moltissimi detrattori, che rifiutano di usarle (spesso anche solo per principio). Sta però di fatto che questo strumento aiuta moltissimo ad ottenere risultati di ottimo livello. Laddove i risultati dell'applicazione delle liste di blocco si rivelino scadenti o, addirittura, controproducenti ai fini del servizio fornito agli utenti, si può praticamente sempre riscontrare un loro utilizzo non corretto, da parte di un postmaster che o non ha capito bene quel che stava facendo (succede, eccome) o non si tiene aggiornato. Nel tempo sono state individuate varie differenti strategie con cui bloccare lo spam, che si sono tradotte in alcune fondamentali tipologie di liste di blocco: Liste di indirizzi o blocchi lasciati a disposizione di spammer Liste di relay aperti Liste di risorse varie abusabili per via di buchi di sicurezza Va da sè che in questo sito non c'è, né mai ci sarà, alcun formmail. Ciononostante si nota ogni tanto che qualcuno, da vari ip di solito nel Nord America, prova a vedere se c'è. Se su un sito normalmente raggiungibile tramite link e motori di ricerca c'è un formmail insicuro, probabilmente gli spammer lo troveranno prima di quando si possa immaginare. Liste di blocchi adibiti a dial-up Riassumendo potremmo dire che queste liste sono, in fondo, elenchi di indirizzi ip gestiti o usati in modo da violare certi standard il cui rispetto è oggi ampiamente considerato necessario in rete. Possono essere standard di comportamento e di applicazione di policy antispam, come può trattarsi di standard di sicurezza (il caso di relay e proxy aperti e di formmail insicuri) o può trattarsi di altri standard codificati nelle RFC. Il caso invece delle liste di dial-up suggerisce uno standard non codificato ma quanto mai opportuno da adottare, ossia quello secondo cui il traffico smtp vada accettato solo da sistemi individuati da un indirizzo fisso e immutabile nel tempo. Usare le blacklist comporta, per il postmaster, una necessità di gestione alla quale occorre saper far fronte e comporta, soprattutto, l'abbandono di un atteggiamento (che era valido fino ai primi anni '90 ma che oggi non è più realistico) secondo cui la posta elettronica andrebbe accettata indiscriminatamente quale che sia la sua provenienza. Ciò a cui assistiamo è, infatti, proprio il passaggio di sempre più vaste porzioni della rete alla scelta inevitabile: accettare traffico SMTP solo da quelle reti a carico delle quali non risulti, per esperienza propria o di altri, la violazione di doverosi standard di comportamento o di sicurezza. Se il vostro postmaster rifiuta di utilizzare liste di blocco e vi dice, nella sostanza, che lo spam in arrivo nella vostra casella è un problema vostro (per esempio vi suggerisce di cancellarlo o di definire, nel vostro client di posta, delle regole per filtrarlo o, peggio ancora, vi suggerisce di chiedere allo spammer di togliervi dalla sua lista), quel postmaster si dimostra professionalmente obsoleto . Se vi è possibile scegliere chi debba essere il vostro provider di posta, tenetene conto. Nella prossima pagina si darà uno sguardo al panorama delle principali liste di blocco utilizzabili. Ricevi questa newsletter perche' ti sei volontariamente iscritto ai servizi gratuiti di EPPYNET.COM.
Le liste di blocco
Un importante strumento per i postmaster interessati a fare qualcosa per i propri utenti
Tipi di liste di blocco
Gli indirizzi elencati in tali liste possono essere mail server o web server appartenenti a provider o fornitori di hosting che, a quanto risulta ai mantenitori delle blacklist, rifiutano di intervenire quando gli viene documentato che i loro clienti o inviano spam attraverso tali server, o inviano spam pubblicizzante siti ospitati su quei server. Queste liste inoltre contengono blocchi di indirizzi assegnati ad organizzazioni specificamente dedite o allo spam o alla vendita di software, servizi o risorse varie per spammer. Si tratta di organizzazioni che, sugli indirizzi che finiscono in lista, tengono mail server, web server o altre risorse usate per rendere presente in rete il business promosso tramite spam o volto al supporto di spammer. È fequente che, in simili liste, si trovino pure name server che svolgono servizio DNS per siti di spammer.
Caratteristica comune alle risorse incluse in questo tipo di liste è un comportamento irresponsabile da parte di chi avrebbe l'autorità di disciplinarne l'uso, che sceglie o di supportare apertamente gli spammer o di ignorarne la presenza sulla propria rete (continuando a incassare da essi i canoni mentre il resto del mondo si becca lo spam).
I relay aperti sono stati per molti anni il principale mezzo per la diffusione dello spam. All'incirca nel corso del 2002 la loro importanza ha cominciato a diminuire (soprattutto per via della molto aumentata disponibilità di proxy insicuri), tuttavia una certa quota di spam continua a provenire da relay aperti e può essere fermata mediante liste apposite. Esistono quindi liste che censiscono i relay aperti, raccogliendoli mediante ricerca e test oppure limitandosi a quelli di cui si sia effettivamente provato l'utilizzo da parte di spammer. In ogni caso, in queste liste le risorse entrano essenzialmente per ragioni tecniche, talvolta per sviste e talvolta per negligenza vera e propria.
Si tratta soprattutto dei proxy aperti e dei formmail.pl insicuri. Formmail è un celebre script usato per inviare email da form posti su pagine web. Nella maggior parte dei casi, tale script presenta grossolane vulnerabilità di sicurezza che consentono di inviare email, anche bulk, a destinatari arbitrari tenendo l'ip dello spammer assai difficile da determinare. Di conseguenza, gli spammer cercano questi script e li sfruttano (vi sarà probabilmente capitato di ricevere qualche spam in cui il testo inizia con la frase "Below is the result of your feedback form"). Per toccare con mano quanto siano utili agli spammer i formmail insicuri, ecco una riga tratta dall'error_log di questo sito:
Si tratta degli indirizzi attribuiti agli utenti dinamicamente (per esempio a fronte di connessioni via modem o adsl residenziali). Alcuni spammer preferiscono adoperare software direct-to-MX (come si è già visto in uno dei casi pratici). Per rendere inservibili tali software basta considerare che, per i normali utenti dial-up che inviano email legittime, non esiste alcuna ragione valida per avvalersi di direct-to-MX invece che passare tramite un server SMTP (del proprio provider o altro che siano autorizzati ad adoperare). Anzi, in generale sono solo gli spammer ad avvalersi di direct-to-MX. Inoltre, è frequente che sugli indirizzi allocati dinamicamente si trovino macchine insicure o spammer che approfittano del costo relativamente basso di questo tipo di accesso. D'altra parte, di norma non succede praticamente mai che, su indirizzi allocati dinamicamente, siano attivi dei mail server che svolgano un regolare servizio. Abbiamo quindi liste che censiscono i blocchi dial-up di molti provider, al fine di consentire agevolmente il rifiuto automatico di qualsiasi connessione SMTP da essi proveniente. Un vantaggio dato da queste liste è la pressoché totale assenza di falsi positivi. Ovviamente avere propri nodi inclusi in queste liste non significa affatto essere una rete pro-spam né avere commesso negligenze tecniche. Anzi, molte reti forniscono di propria iniziativa indicazioni per elencare i propri blocchi di dial-up.
Esistono altre modalità di selezione di IP o domini da includere in liste di blocco. Per esempio, in base al fatto che per un certo dominio non risulti funzionante l'indirizzo "postmaster" oppure l'indirizzo "abuse", oppure in base al fatto che la registrazione nel whois del blocco IP rechi dati visibilmente falsi, oppure in base a dettagli della configurazione dei mail server non conformi alle RFC. In effetti, le reti che presentano queste particolarità sono spesso causa di inconvenienti, in particolar modo (ma non solo) a chi volesse reclamargli per questioni di spam. Costruire delle liste di questo genere è anche un'idea interessante che tuttavia, ad oggi, non sembra dare risultati vantaggiosi.
www.fighters4web.com Associazione libera per gli abusi in rete. Su Fighter 4 web di Giulio Pipitone tutto sullo spam, hacking, abusi di rete, software freeware anti spamming e molto ancora.
I tuoi dati sono strettamente confidenziali e non verranno ceduti a terzi.
Per consultare il testo completo sulla privacy puoi visitare la sezione dedicata disponibile in home page.
Per modificare, cancellare i tuoi dati o iscriverti ad altre newsletter usa il pannello di controllo che trovi in Home Page.
Per accedere usa la tua email: subemail e la tua password: subpasscode
Se invece desideri cancellarti da questa lista clicca unsubscribelink