Spam: disagio inarrestabile

[bilone]

Quote:

Originariamente inviato da Ciaba

...chi genera mail con un solo file produce mega e mega di dati che girano per tutto il mondo rimbalzando da una parte all'altra della rete

Secondo me non hai le idee chiare su come funziona lo spamming.
Gli spammer da milioni di messaggi spediti per ogni spamrun controllano decine di migliaia di PC zombie (botnet) in tutto il mondo, specialmente nei paesi dove i provider non dispongono di abuse-desk funzionanti (basterebbe tagliar fuori corea e cina per diminuire almeno del 50% il traffico di spam).
Per poter controllare queste botnet hanno bisogno di connessioni a banda larghissima e blindata (dunque costose). Questi "paradisi" degli spammer sono sempre più spesso in Russia e in Ucraina.
Quindi dire che "un solo file produce mega e mega di dati" è una sciocchezza. Controllare una botnet è tutt'altro che banale, e uno spammer professionale studia, fa ricerca, produce codice efficiente e paga i produttori di virus per produrre worm in grado di fornire nuovi pc zombie.
Il PC zombie riceve una lista di indirizzi e cerca di sparar messaggi nel tempo più breve possibile, riducendo la gestione del protocollo al minimo: dopo poche ore di attività l'host in questione finisce sempre ed inevitabilmente in qualche blacklist, e al momento la possibilità di utilizzare una coda per evitare il greylisting risulta troppo onerosa.
Con blacklist e graylist non "rimbalza" proprio nulla. Il client zombie tenta di contattare il dominio del destinatario e non ci riesce. L'unico traffico che genera è lo scambio iniziale HELO/MESG FROM/MAIL TO tra client e server: un centinaio di byte. Punto.

Quote:

Originariamente inviato da Ciaba

Per questo la banda passante è saturata (qualche tempo fa uscì anche un articolo che diceva in percentuale a quanto ammonta sul traffico mondiale...perché è del traffico sul web che si parla non della propria casella di posta ovviamente)

No, ciaba, si parla proprio del traffico email, che è solo una parte di tutto il traffico a livello di applicazione/trasporto. La banda comprende tutti i protocolli (tcp/udp/icmp/... e per ciascun protocollo tutti i servizi).

Quote:

Originariamente inviato da Ciaba

le blacklist, graylist, yellowlist e tutti i coloridellarcobalenolist non serviranno a niente

Blacklist e greylist arrivano a impedire la spedizione di percentuali di spam superiori al 95%. Rassegnati, è così...

Quote:

Originariamente inviato da Ciaba

Lo spam non dev'èssere fermato...non deve propio partire

Guarda caso è precisamente quello che succede coi metodi menzionati. Informati su come funzionano.

Quote:

Originariamente inviato da Ciaba

La proposta della minima tassazione è lecita se accompagnata da un servizio di certezza del mittente,... o almeno è condivisibile

Questa è una tua opinione. E' un metodo costosissimo, tecnicamente complesso, che impedisce di fatto alle PMI di gestire in proprio un dominio di posta o a mailing list lecite ad ampia diffusione di funzionare gratuitamente e che consegna in modo coatto i tuoi soldi alle compagnie di certificazione delle firme digitali.

Se questa fosse la soluzione, beh, molto ma molto meglio lo spam.

[bilone]

Quote:

Originariamente inviato da aserena

Per abolire la contraffazione degli indirizzi potrebbe bastare l'obbligo dei record ptr e soprattutto spf nei dns

E' un metodo spesso inapplicabile che molti stanno abbandonando. Funziona per i grossi provider. Per i domini delle PMI, degli atenei, ecc. è impossibile specificare a priori da quali MX è lecito aspettarsi posta. Ne uscirebbero sempre delle liste ridicolmente ampie, di difficile gestione e comunque sempre incomplete.

[guerret]

Ah bene, menomale che c'è bilone. Lui non ha bisogno di risolvere il problema dello spam, perché ha appena ripetutamente dimostrato che in realtà il problema non esiste. Quindi di cosa ci proccupiamo?

Guardiamo in faccia la realtà. Finché ci sarà un protocollo SMTP che permette la non autenticazione, finché esisterà la possibilità di fare open relay, lo spam ce lo teniamo e basta, perché ci sarà sempre qualcuno che, per scelta o per incompetenza, configurerà il proprio server a cazzo di cane lasciando campo libero agli spammer. Per questo occorrerebbe un protocollo più robusto, solo che il deployment su scala mondiale impiegherebbe una generazione.

[spammone]

Ci deve essere un pò di incomprensioni qui, bilone ha esposto correttamente il funzionamento del greylisting ma non mi sembra che abbia detto che lo spam non esiste.
Lo spam c'è, è un problema e per adesso il greylisting è una soluzione funzionate (testato personalmente sul mio server con riduzioni di banda dovuta allo spam prossime al 95%), ripeto e sottolineo "per adesso".
Il vero problema non rimane il protocollo smtp (è da vent'anni che sta dimostrando la sua validità) ma di come viene implementato, giusto per tua curiosità personale prova a cercare come viene gestito lo spam da msn, loro non stanno certo a scaricarsi qualche tonnellata di uce sui loro server per poi passare il tempo allegramente a filtrarle.

[bilone]

Quote:

Originariamente inviato da guerret

Ah bene, menomale che c'è bilone. Lui non ha bisogno di risolvere il problema dello spam, perché ha appena ripetutamente dimostrato che in realtà il problema non esiste. Quindi di cosa ci proccupiamo?

Perchè devi mistificare? Dove avrei scritto che il problema non esiste? Dove l'hai letto? Ho semplicemente scritto che ci sono i mezzi per combatterlo. Se il tuo provider non lo fa non so che farci. Io gestisco diversi server e domini di posta e con sistemi completamente open source posso dimostrarti numeri alla mano quanto i metodi attuali siano efficienti. Prendo l'ultimo report che mi è arrivato. Nella giornata di ieri 5558 connessioni bloccate (leggi: SPAM rifiutato all'origine e mai transitato sul server) e 2943 messaggi consegnati (in maggioranza mailing list interne dei docenti - si tratta di un dominio universitario).

Quote:

Originariamente inviato da guerret

Guardiamo in faccia la realtà. Finché ci sarà un protocollo SMTP che permette la non autenticazione

Forse dovresti capire meglio come funziona SMTP. Ad un server SMTP può collegarsi un client di posta che tenta di spedire, e in questo caso puoi tranquillamente chiedere l'autenticazione, o un altro server che deve consegnare, e in questo caso puoi al massimo richiedere una firma digitale all'host che si connette. Prima di dire che questa è una buona idea però informati sui costi.

Dunque il protocollo SMTP contro cui ti scagli senza cognizione di causa prevede sia l'autenticazione dell'utente (per esempio puoi utilizzare GMail per spedire i tuoi messaggi tramite outlook express o thunderbird da qualunque parte del mondo, e lo fai autenticandoti) che la validazione degli host.

Quote:

Originariamente inviato da guerret

finché esisterà la possibilità di fare open relay

Anche qui parli senza cognizione di causa. Sono almeno quattro anni che server pubblici in open relay sono rarissimi e da almeno un anno che la blacklist che li contiene è ormai diventata tanto disabitata da essere quasi inutile (ci sono 225,000 open relay in tutto fissi dalla fine del 2004 - un numero ridicolo).
Non è da server mal configurati che ti arriva lo spam, ma da utenti inconsapevoli sui cui PC qualche criminale ha installato un proxy o uno spam-bot.

[bilone]

Quote:

Originariamente inviato da spammone

Il vero problema non rimane il protocollo smtp (è da vent'anni che sta dimostrando la sua validità) ma di come viene implementato

Esatto. Inoltre la dov'era deficitario è stato esteso - per esempio con SASL...

La domanda corretta sarebbe: perché i grossi provider non implementano seriamente blacklisting/greylisting/ecc. e quando lo fanno non è gratis?
Per quale motivo questa gente pur facendosi pagare a caro prezzo la connettività non tutela i propri utenti con degli abuse-desk almeno dignitosi?
Perché i sedicenti esperti di sicurezza delle grosse software house farneticano di filtri OCR da aggiungere ai loro programmi anti-spam invece che proporre soluzioni veramente funzionanti?
Il forte sospetto è che lo spam sia concepito come un affare non solo da chi lo fa...

[tommytom]

Ma qualcuno in tutto il mondo ha mai comprato il \/ijAggRa o altre pillole dopo aver letto l'email- spam? Ci sono statistiche in merito? Vorrei sapere quanti soldi mai avranno fatto quegli spammers... Mi domando se sotto non ci sia qualcosa di più subdolo, con altri scopi che non quelli di vendita di medicinali (non so cosa immaginare, il discorso è talmente complicato da allargarsi notevolmente ).
Non mi addentro in protocolli SMTP perché non ne so nulla...
Mi limito a dire che ho provato per curiosità ad attivare il filtro antispam sulla casella mail di Yahoo e l'ho tolto subito perché mi cestinava proprio le email che NON erano spam! Ora scarico tutte le mie email dai miei vari account con Mozilla Thunderbird (grazie anche a Freepops... ) e uso la funzione 'posta indesiderata'. Su circa 30 email che ricevo ogni giorno, 26 sono spam. Thunderbird ne riconosce 24-25 ogni volta e 1-2 le segnala come indesiderate anche se non lo sono. Con una rapida occhiata tolgo la spunta di 'indesidarata' alle buone e la aggiungo ai 2 messaggi spam rimasti, poi faccio Strumenti -> Elimina posta indesiderata nella Cartella corrente e tutto lo spam va nel cestino. Altro che 5 minuti: per eliminare lo spam ci metto non più di 20 - 30 secondi.
Aspetto sfiduciato che qualche mente eccelsa risolva il problema alla fonte, senza costi o noie (la smart card? ma scherziamo? La uso per certificare i documenti per la Camera di Commercio ed è una tiritera da 30-40 secondi... quanto ci vorrebbe per spedire già solo 5 email al giorno? di sicuro più che cancellare lo spam con Thunderbird...).

[bilone]

Quote:

Originariamente inviato da tommytom

Ma qualcuno in tutto il mondo ha mai comprato il \/ijAggRa o altre pillole dopo aver letto l'email- spam? Ci sono statistiche in merito?

Da uno a 10 ogni milione di messaggi (l'ho letto sui newsgroup it.news.net-abuse e non ti so cirtare la fonte). Visto che in uno spam-run vengono spediti diversi milioni di messaggi il numero complessivo non è altissimo ma sufficiente a giustificare il business. I messaggi più efficaci paiono essere quelli sui titoli di borsa, comunque.

Quote:

Originariamente inviato da tommytom

Thunderbird ne riconosce 24-25 ogni volta e 1-2 le segnala come indesiderate anche se non lo sono

E' il limite dei filtri, purtroppo. So che ci sono servizi di posta anche gratuiti che implementano il blacklisting (per esempio people.it, anche se la loro maibox è piccola e non ricordo se implementano il greylisting). Se ai loro blocchi associ i filtri di thunderbird vedrai lo spam calare molto.

[SpyroTSK]

chiudere gli smtp a solo gli scritti nel provider no eh?

[HexDEF6]

Quote:

Originariamente inviato da SpyroTSK

chiudere gli smtp a solo gli scritti nel provider no eh?

e come ricevi la posta?

[bilone]

Quote:

Originariamente inviato da SpyroTSK

chiudere gli smtp a solo gli scritti nel provider no eh?

Funziona esattamente così. Solo i clienti di un certo provider possono utilizzare il SMTP di quel provider per spedire i messaggi di quegli utenti. Un SMTP configurato per spedire la posta di tutti si chiama "Open Relay". E' configurato male. Tempo fa lo spam viaggiava solo attraverso macchine configurate così. Oggi tutti i software SMTP forniscono una configurazione di base che evita il relaying.

D'altra parte in generale chiunque può eseguire localmente un SMTP. Quando le blacklist cominciarono a bloccare i relay aperti, gli spammer si misero in combutta con i produttori di virus. Lo scopo primario dei virus moderni non è distruggere i dati ma replicarsi e far sì che qualcuno da remoto possa prendere il controllo del PC infetto. In questo modo qualunque PC può essere trasformato in SMTP.

Oggi lo spam viaggia tutto attraverso PC "posseduti" da remoto. Gli open relay praticamente non esistono più. Da questi ci si difende utilizzando le blacklist che li tracciano. Inoltre sono quasi tutti PC con IP dinamico. Mai accettare trasferimenti di posta da parte di SMTP su IP dinamico! Ci sono blacklist anche per questo.

[aserena]

Quote:

Originariamente inviato da bilone

D'altra parte in generale chiunque può eseguire localmente un SMTP. Quando le blacklist cominciarono a bloccare i relay aperti, gli spammer si misero in combutta con i produttori di virus. Lo scopo primario dei virus moderni non è distruggere i dati ma replicarsi e far sì che qualcuno da remoto possa prendere il controllo del PC infetto. In questo modo qualunque PC può essere trasformato in SMTP.

La tua analisi è giusta, è per questo che ribadisco il concetto che ogni server smtp dovrebbe essere obbligatoriamente registrato nei dns per ricevere l'abilitazione a inviare/ricevere. In questo modo si ridurrebbe drasticamente non solo lo spam, ma anche e soprattutto i virus che circolano nelle email.

Quote:

Originariamente inviato da bilone

E' un metodo spesso inapplicabile che molti stanno abbandonando. Funziona per i grossi provider. Per i domini delle PMI, degli atenei, ecc. è impossibile specificare a priori da quali MX è lecito aspettarsi posta. Ne uscirebbero sempre delle liste ridicolmente ampie, di difficile gestione e comunque sempre incomplete.

Se l'eliminazione dello spam implicasse un lavoro di manutenzione dei dns a carico dei sistemisti, ben venga. Non mi pare un lavoro assurdo andare a modificare il dns, qualora fosse necessario per cambi ip o altro. Vedila così: meglio perdere 5 min al mese per agg un dns, piuttosto che perdere 20 min al giorno a cancellare mail di spam...
Concordo sul fatto che oggi sia difficile adottare queste misure, per compatibilità verso quei mail server 'buoni' che non adottano le stesse misure, ma è per questo che tali regole dovrebbero essere imposte dai provider e in primis da chi gestisce i tlc.
E chi non si aggiorna è bene sia escluso

[bilone]

Quote:

Originariamente inviato da aserena

La tua analisi è giusta, è per questo che ribadisco il concetto che ogni server smtp dovrebbe essere obbligatoriamente registrato nei dns per ricevere l'abilitazione a inviare/ricevere

Stai parlando di semplice reverse lookup dell'IP, di registrazione del MX per quel dominio o di SPF?

Nei primi due casi con software SMTP tipo Postfix c'è la possibilità di non accettare posta da un mittente con dominio non registrato (io per esempio lo faccio) e - se non erro - anche da IP senza reverse lookup. Inoltre per certi domini è possibile controllare se l'indirizzo esiste prima di procedere con l'accettazione del messaggio.

Nel caso di SPF non ti dico che non sarebbe bello: semplicemente ci sono molti casi in cui è questo è praticamente irrealizzabile. Uno dei domini che gestisco è quello di una facoltà universitaria. Gli studenti e i docenti che legittimamente vogliono usare il proprio indirizzo come mittente vengono da tutta Italia e dall'estero, e vivono in tutta Italia e all'estero. Non è che perderei 5 minuti al mese ad aggiornare il DNS: ci passerei la vita! Non solo, ma dovrei mettere in lista talmente tanti domini da rendere praticamente inutile SPF. Per tagliar la testa al toro ho aggiunto "?all" ai miei record SPF. Il record c'è, funziona ma è di fatto inutile.

Nella stessa situazione verrebbero a trovarsi gli utenti dei domini di tante PMI.

Non è un caso che questa tecnica sia poco diffusa e che anche molti di quelli che l'avevano adottata stiano tornando sui propri passi. Se non sbaglio addirittura AOL ha deciso di aggiungere "?all" al proprio record SPF...

[aserena]

Quote:

Originariamente inviato da bilone

Stai parlando di semplice reverse lookup dell'IP, di registrazione del MX per quel dominio o di SPF?

Sopratutto di reverse mx (PTR) e SPF

Quote:

Originariamente inviato da bilone

Inoltre per certi domini è possibile controllare se l'indirizzo esiste prima di procedere con l'accettazione del messaggio.

Già, la maggiorparte dei mail server supporta questa funzionalità. Il controllo del reverse mx, o record PTR, darebbe una forte mano nell'evitare le contraffazioni delle email, peccato che ci siano parecchi mail server 'attendibili' che non hanno questi record registrati, e di fatto costringono gli amministratori a disabilitare questo controllo.. :/

Quote:

Originariamente inviato da bilone

Non è un caso che questa tecnica sia poco diffusa e che anche molti di quelli che l'avevano adottata stiano tornando sui propri passi. Se non sbaglio addirittura AOL ha deciso di aggiungere "?all" al proprio record SPF...

Si, vero. Quello che voglio dire però, è che lo spam va combattuto in questo modo, creando una rete di server affidabili e abilitando la ricezione delle email solo da questi. Il problema va sradicato a fondo, tramite una regolamentazione comune a tutti i gestori tlc mondiali, e non con strumenti locali, tipo filtri anti-spam o altro. Tutto lì

[bilone]

Quote:

Originariamente inviato da aserena

Il problema va sradicato a fondo, tramite una regolamentazione comune a tutti i gestori tlc mondiali, e non con strumenti locali, tipo filtri anti-spam o altro. Tutto lì

In questo modo si torna di riffa o di raffa alle certificazioni che sono costose e che in definitiva limitano la libertà degli utenti, visto che le PMI non possono certo permettersele.

IMHO l'unica soluzione definitiva al problema dello spam è legislativa. Lo spamming va configurato in modo chiaro come reato e vanno dati alle magistrature dei metodi semplici per verificare il fenomeno e colpirlo con multe sostanziose, il sequestro degli apparati dei provider compiacenti, la carcerazione la dove lo spamming si associa alla diffusione di malware. Inoltre i provider vanno obbligati per leggere ad avere un servizio di gestione degli abusi capace di agire in un tempo umano. In questo modo il problema dello spamming sparisce in un attimo.

Le spamgang usano ora prevalentemente server russi e ucraini per il controllo delle loro botnet: per quale motivo a questi provider è concesso di operare? Questi criminali vanno tagliati prima di tutto fuori da internet (si blocca letteralmente il routing verso questi domini sulle dorsali) e perseguiti per legge poi. Punto.

[amd-novello]

io dal 98 al 2002 ho avuto un indirizzo ciaoweb.it. ogni giorno arrivavano anche 100 spammail. meno male che lo stesso anno ho fatto l'adsl se no perdevo 15 minuti a scaricare. immaginate quando andavo in vacanza cosa trovavo al ritorno. poi scoprii spamfighter ed è stata una liberazione. + del 96% delle mail era segato. ogni tanto bisognava aggiornare la blacklist se no addio.


le greylist cosa sono? grazie

[Cimmo]

Quote:

Originariamente inviato da bist

Nell'ultimo mese su Gmail mi sono arrivate 380 email di spam, nessun falso positivo e solo 1 o 2 email scappate ai filtri.

il problema e' che per dimostrare che una cosa funzioni per tutti devi dimostrarlo per tutti appunto, per dimostrare che NON sempre funziona basta 1 utente

[bist]

Quote:

Originariamente inviato da Cimmo

il problema e' che per dimostrare che una cosa funzioni per tutti

Funziona per molti

[bilone]

Quote:

Originariamente inviato da amd-novello

ipoi scoprii spamfighter ed è stata una liberazione

E' una soluzione lato client. Funziona sicuramente bene, ma non impedisce allo spam di arrivare nella tua casella.

Quote:

Originariamente inviato da amd-novello

le greylist cosa sono?

Un meccanismo lato server (è il tuo provider di posta che lo implementa, tu non devi installare alcun software) che impedisce allo spam di essere ricevuto e dunque di arrivare fisicamente sulla tua casella.

In quattro parole funziona così.

Un server remoto 1.2.3.4 contatta il tuo server per consegnare il messaggio. Dice che c'è un messaggio per x@y.z (il tuo indirizzo) da parte di a@b.c.

Il tuo server risponde che momentaneamente non può farlo e di riprovare tra un po'. Contemporaneamente prende nota che quel server remoto ha fatto un tentativo di spedizione di un messaggio alla tua casella da un certo mittente.

Se dall'altra parte c'è un vero server allora questo rimetterà il messaggio in coda, aspetterà qualche minuto (in genere 15/20 minuti, a volte di più) e riproverà a spedire. Il tuo server vedrà che è la seconda volta che 1.2.3.4 tenta di spedire un messaggio di a@b.c per x@y.z e da quel momento si fiderà e accetterà senza imporre ulteriori ritardi tutti i messaggi diretti a x@y.z da parte di a@b.c provenienti da 1.2.3.4.

Se dall'altra parte c'è uno spammer, esso difficilmente avrà a disposizione un vero server con coda di spedizione, ma avrà quasi certamente uno spam-bot su un pc abusato che cerca di mandare i messaggi più velocemente possibile a quanta più gente possibile, nella maggior parte dei casi senza nemmeno controllare se la spedizione è riuscita o meno. In questo caso la spedizione non sarà ritentata e il messaggio di spam non arriverà mai.

Attualmente le greylist sono in grado di abbattere in modo drammatico la quantità di spam che arriva nelle caselle.

[Sig.Baldi]

Io ho deciso di dividere tutto su tre livelli: mail importantissime e sicure>GMail; mail più o meno sicure>mail del mio ISP; tutto il resto> www.temporaryinbox.com. Ho fatto fuori il 60% dello spam, ma il restante penso di combatterlo con le loro stesse armi. Sto pensando seriamente di pubblicare volta per volta tutti gli indirizzi delle mail spam in un'unica pagina sperando che nasca una specie di SpamWar. Ora mi informo se è legalmente possibile, ma se sul web uno spammer ha trovato il mio immagino che qualcuno lo abbia messo e perciò siamo nelle stesse condizioni. Accetto suggerimenti!