L'antispam di Microsoft correrà sulla rete

Lo spera l'azienda, che ha annunciato la possibilità per chiunque di implementare liberamente il suo Sender ID nei sistemi di posta elettronica. Secondo Bill Gates potrebbe dare una mazzata alla piaga dello spam

Redmond (USA) - "Entro il 2006 lo spam verrà annientato", così due anni fa si espresse Bill Gates, chairman di Microsoft, annunciando l'introduzione della piattaforma poi definita Sender ID: la sua adozione è stata però fin qui frenata dalla sua natura proprietaria. Ma ora potrebbe verificarsi una svolta.

Microsoft ha infatti dichiarato che la propria tecnologia da oggi rientra nella Open Specification Promise (OSP) dell'azienda, il che significa che chiunque potrà implementarla nei propri sistemi senza una licenza specifica e senza dover temere alcuna ripercussione legale. "Gli utenti - spiega Microsoft - potranno integrare, commercializzare e modificare la tecnologia di autenticazione email di Microsoft senza dover firmare un accordo di licenza".

Sender ID, che secondo Microsoft ha già ridotto considerevolmente lo spam che tartassa gli utenti del suo servizio di webemail Hotmail, in sintesi si basa su un meccanismo di autenticazione del messaggio email. In buona sostanza è un mezzo che cerca di verificare la corrispondenza tra il dominio di invio dell'email e la lista di IP a cui fa riferimento quel dominio attraverso l'interrogazione del DNS. Qualora questa corrispondenza non sussista allora l'email viene respinta come spam.
Una delle funzionalità più interessanti di Sender ID l'ha ricordata su InternetNews John Scarrow, general manager del "Technology Care and Safety Group" di Microsoft, ovvero la possibilità per un provider di aprire le proprie reti a tutta la posta proveniente da un determinato dominio perché ritenuto del tutto affidabile così come, di converso, quella di bloccare in toto l'email proveniente da soggetti che si ritengono "spammatori" o incapaci di tenere d'occhio i propri mail server dall'abuso da parte di spammer.

Perché Sender ID si riveli uno strumento efficace deve essere evidentemente adottato da un largo numero di servizi email: sebbene Microsoft dichiari che molte delle maggiori imprese americane già lo abbiano integrato nei propri sistemi e che il 36 per cento di tutte le email legittime vengono inviate oggi con questo sistema, la tecnologia rimane un oggetto sconosciuto ai più. Questo si deve, come accennato, al rifiuto di molti di adottare come piattaforma infrastrutturale un sistema proprietario.

Già nel 2004 la Apache Software Foundation (ASF) aveva dichiarato che i termini della licenza "rappresentano una barriera a qualsiasi progetto ASF per l'implementazione di Sender ID. Riteniamo che l'attuale licenza sia incompatibile con l'open source, sia contraria alla pratica di standard Internet aperti e sia incompatibile specificamente con la licenza Apache 2.0. Quindi non implementeremo né svilupperemo Sender ID secondo gli attuali termini di licenza". Una posizione condivisa anche dagli sviluppatori open di Debian.

Microsoft non sembra nascondere il problema. "Alcuni membri della comunità dello sviluppo software - ha ammesso Brian Abrogast, vicepresidente corporate di Windows Live in Microsoft - hanno posto questioni sui termini di licenza di Microsoft e su come questi possano confliggere con la loro possibilità di implementare Sender ID. Ponendo Sender ID sotto OSP, il nostro obiettivo è di rispondere a questi problemi e accelerare uno sforzo di interoperabilità per la sicurezza online in tutto il Mondo".

Va detto che nel tempo sono state sviluppate diverse piattaforme di autenticazione, anche open source, come Certified Server Validation (CSV) o Sender Policy Framework (SPF) ma, come evidenzia Ars Technica, Microsoft ritiene che le proprie tecnologie siano superiori nell'identificazione dello spam e nell'arginamento del phishing.

Altri sistemi, ricorda Betanews, possono invece convivere con Sender ID, come la DomainKeys Identified Mail (DKIM), una specifica sviluppata da Cisco e Yahoo e già adottata da grossi nomi come AOL, Earthlink o IronPort. Si tratta di una piattaforma più complessa che autentica sia il mittente che il destinatario.

Si vedrà, ma di certo sta suscitando un certo interesse il fatto che subito dopo l'annuncio di Microsoft su Sender ID, abbiano deciso di adottarlo realtà consolidate del settore, come il già citato IronPort, e il pioniere open source SendMail.
95 Commenti alla Notizia L'antispam di Microsoft correrà sulla rete
Ordina

  • I problemi legati allo spam, nel mondo e soprattutto in italia, sono dovuti spesso alla totale incompetenza di chi gestisce i server e millanta di essere un esperto. La maggior parte delle volte, le caselle di posta usate dagli spammer, risultano registrate e/o utilizzate da indirizzi ip "bucati", ovvero di macchine appartenenti alle famigerate botnet. Tali macchine, per quella che è la mia personale esperienza in italia, sono spesso appartenenti a:

    - Università
    - Comuni o comunque enti pubblici
    - Server di posta interni configurati da cani
    - Server linux/windows gestiti da incompetenti
    - Società di vario tipo e genere
    - Una società che offriva consulenze sulla sicurezza informatica(!!!...(è successo una volta sola).

    Senza considerare che la maggioranza dei server smtp gestiti in casa, non sono nemmeno configurati secondo le specifiche più basilari. Faccio un esempio: la mia società gestisce numerose caselle di posta, spesso alcuni gestori di newsletter lamentano di non riuscire a spedire tali newsletter ai nostri utenti. Il problema è quasi sempre dovuto all'Fqdn (per chi non sapesse cos'è, basta una banale ricerca su google). Quando contattiamo queste persone, non sanno nemmeno di cosa stiamo parlando. Qualcuno è arrivato addirittura a spedirci il file di configurazione del proprio sistema postfix, pregando di configurarglielo noi. Questo è solo un breve stralcio dell'enorme incompetenze che avvolge il settore IT in italia.

    La mia personalissima opinione, per tornare al problema spam, è che bisognerebbe (ove possibile e fatti i debiti accertamenti) colpire i beneficiari dello spam. Mi spiego: se il sito xxx che vende farmaci è reclamizzato nelle mail di spam, si prende e si tira giù il sito. Punto. Mi rendo conto che non è sempre semplice, se non impossibile, ma forse bisognerebbe tentare di colpire la fonte ogni tanto.

    Saluti.
    Giorgio.

    non+autenticato
  • - Scritto da:

    > I problemi legati allo spam, nel mondo e
    > soprattutto in italia, sono dovuti spesso
    > alla totale incompetenza di chi gestisce i
    > server e millanta di essere un esperto. La
    > maggior parte delle volte, le caselle di
    > posta usate dagli spammer, risultano
    > registrate e/o utilizzate da indirizzi ip
    > "bucati", ovvero di macchine appartenenti
    > alle famigerate botnet. Tali macchine,
    > per quella che è la mia personale esperienza
    > in italia, sono spesso appartenenti a:

    > - Università
    > - Comuni o comunque enti pubblici
    > - Server di posta interni configurati da cani
    > - Server linux/windows gestiti da incompetenti
    > - Società di vario tipo e genere
    > - Una società che offriva consulenze sulla
    >   sicurezza informatica(!!!...(è successo
    >   una volta sola).

    > Senza considerare che la maggioranza dei
    > server smtp gestiti in casa, non sono
    > nemmeno configurati secondo le specifiche
    > più basilari.
    > Faccio un esempio: la mia società gestisce
    > numerose caselle di posta, spesso alcuni
    > gestori di newsletter lamentano di non
    > riuscire a spedire tali newsletter ai nostri
    > utenti. Il problema è quasi sempre dovuto
    > all'Fqdn (per chi non sapesse cos'è,
    > basta una banale ricerca su google).
    > Quando contattiamo queste persone, non sanno
    > nemmeno di cosa stiamo parlando. Qualcuno è
    > arrivato addirittura a spedirci il file di
    > configurazione del proprio sistema postfix,
    > pregando di configurarglielo noi. Questo è
    > solo un breve stralcio dell'enorme
    > incompetenze che avvolge il settore IT in
    > italia.

    > La mia personalissima opinione, per tornare al
    > problema spam, è che bisognerebbe (ove
    > possibile e fatti i debiti accertamenti)
    > colpire i beneficiari dello spam. Mi spiego:
    > se il sito xxx che vende farmaci è
    > reclamizzato nelle mail di spam, si prende e
    > si tira giù il sito. Punto. Mi rendo conto
    > che non è sempre semplice, se non
    > impossibile, ma forse bisognerebbe tentare di
    > colpire la fonte ogni tanto.

    Il problema dello spam sono gli idioti compulsivi armati di carta di credico che quella roba la comprano pure !!!!
    Se non ci fossero loro lo spam non esisterebbe !
    non+autenticato

  • - Scritto da:

    > La mia personalissima opinione, per tornare al
    > problema spam, è che bisognerebbe (ove possibile
    > e fatti i debiti accertamenti) colpire i
    > beneficiari dello spam. Mi spiego: se il sito xxx
    > che vende farmaci è reclamizzato nelle mail di
    > spam, si prende e si tira giù il sito. Punto. Mi
    > rendo conto che non è sempre semplice, se non
    > impossibile, ma forse bisognerebbe tentare di
    > colpire la fonte ogni tanto.

    E' quello che parecchia gente cerca di fare, da parecchio tempo, spamhaus in primis.

    Lo spam conviene perchè il rapporto costi/benefici è elevatissimo.
    Se si aumentano i costi e nel contempo si diminuiscono i benefici, la convenienza dello spam cala quadraticamente....

  • > I problemi legati allo spam, nel mondo e
    > soprattutto in italia, sono dovuti spesso alla
    > totale incompetenza di chi gestisce i server e
    > millanta di essere un esperto.

    Chi si becca un virus che trasforma il suo pc in una sorgente di spam raramente e' qualcuno che si definisce un esperto.


    >La maggior parte
    > delle volte, le caselle di posta usate dagli
    > spammer, risultano registrate e/o utilizzate da
    > indirizzi ip "bucati", ovvero di macchine
    > appartenenti alle famigerate botnet. Tali
    > macchine, per quella che è la mia personale
    > esperienza in italia, sono spesso appartenenti
    > a:
    >
    > - Università
    > - Comuni o comunque enti pubblici
    > - Server di posta interni configurati da cani
    > - Server linux/windows gestiti da incompetenti
    > - Società di vario tipo e genere
    > - Una società che offriva consulenze sulla
    > sicurezza informatica(!!!...(è successo una volta
    > sola).
    Vabbhe! praticamente chiunque sia collegato alla Rete.

    Ti mancano le statistiche riguardante lo spam inviato da pc connessi alle adsl dei grandi gestori di telefonia.

    > Senza considerare che la maggioranza dei server
    > smtp gestiti in casa, non sono nemmeno
    > configurati secondo le specifiche più >basilari.

    Certamente, i virus attendono di infettare un server di posta per poter inviare lo spam.

    > Faccio un esempio: la mia società gestisce
    > numerose caselle di posta, spesso alcuni gestori
    > di newsletter lamentano di non riuscire a spedire
    > tali newsletter ai nostri utenti.

    Finche' non sono i vostri utenti a lamentarsi non vedo perche' la cosa possa interessavi.


    > La mia personalissima opinione, per tornare al
    > problema spam, è che bisognerebbe (ove possibile
    > e fatti i debiti accertamenti) colpire i
    > beneficiari dello spam.

    Purtroppo se lo aspettano, ed i loro server sono blindati e pieni di protezioni.
    La cosa piu' semplice e' riempire i loro form di dati fasulli per invalidare la campagna di spam ma non e' così semplice, si proteggono molto bene anche a quel livello.
    non+autenticato
  • ... né SPF nè nessun altro meccanismo di autenticazione del mittente.

    Servono solo a garantire che il mittente sia vero^H^H^H^Hverosimilmente non falsificato.

    Ma per gli spammer non cambia nulla o quasi:
    al costo attuale lo spammer deve aggiungere solamente la registrazione di qualche centinaio di domini usa-e-getta, certificarli con i meccanismi di SenderID e usarli per spedire spam come fa adesso (un dominio ogni quattro/cinque ore dovrebbe bastare).

    Ricavo da spam: 1.000.000$/anno
    Costo senza SenderID: 100.000$/anno
    (connettivita', server, sviluppo di software ad-hoc, DNS, ...)
    Costo con SenderID: 105.650$/anno
    (+ 5.500 dollari per 1000 domini usa-e-getta, + 150 dollari di costi extra di gestione DNS)
    non+autenticato

  • - Scritto da:
    > Ricavo da spam: 1.000.000$/anno
    > Costo senza SenderID: 100.000$/anno
    > (connettivita', server, sviluppo di software
    > ad-hoc, DNS,
    > ...)
    > Costo con SenderID: 105.650$/anno
    > (+ 5.500 dollari per 1000 domini usa-e-getta, +
    > 150 dollari di costi extra di gestione
    > DNS)

    Allora in realtà dovresti mettere così:

    Costo senza SenderID: 100.000$/anno (5.500 dollari per 1000 domini usa-e-getta)

    Chi spamma con dominio mittente proprio i domini se li deve comprare già ora, quindi non cambia nulla...

    E per chi spamma attraverso botnet, deve "solo" fare in modo che il mittente appartenga allo stesso dominio del server di posta usato dall'utente, e deve fare in modo che il bot invii attraverso tale server anzichè in direct-to-MX.

    In tal modo le informazioni fornite via DNS combaciano.

    Come dicevo in altro thread, sono in grado di farlo già ora... nulla di nuovo...

  • - Scritto da: The Skull
    >
    > - Scritto da:
    > > Ricavo da spam: 1.000.000$/anno
    > > Costo senza SenderID: 100.000$/anno
    > > (connettivita', server, sviluppo di software
    > > ad-hoc, DNS,
    > > ...)
    > > Costo con SenderID: 105.650$/anno
    > > (+ 5.500 dollari per 1000 domini usa-e-getta, +
    > > 150 dollari di costi extra di gestione
    > > DNS)
    >
    > Allora in realtà dovresti mettere così:
    >
    > Costo senza SenderID: 100.000$/anno (5.500
    > dollari per 1000 domini
    > usa-e-getta)
    >
    > Chi spamma con dominio mittente proprio i domini
    > se li deve comprare già ora, quindi non cambia
    > nulla...
    >
    > E per chi spamma attraverso botnet, deve "solo"
    > fare in modo che il mittente appartenga allo
    > stesso dominio del server di posta usato
    > dall'utente, e deve fare in modo che il bot invii
    > attraverso tale server anzichè in
    > direct-to-MX.
    >
    > In tal modo le informazioni fornite via DNS
    > combaciano.
    >
    > Come dicevo in altro thread, sono in grado di
    > farlo già ora... nulla di
    > nuovo...

    certo ma diventa un po' più facile identificarli e comunque molti spammers amatoriali andrebbero a casa
    non+autenticato

  • - Scritto da:

    > > Come dicevo in altro thread, sono in grado di
    > > farlo già ora... nulla di
    > > nuovo...
    >
    > certo ma diventa un po' più facile identificarli

    Non vedo perchè.
    Sarebbe più facile identificare gli abusati (e questo si fa facilmente già ora) ma non certo chi ci sta dietro...

    > e comunque molti spammers amatoriali andrebbero a
    > casa

    Anche qui, non vedo perchè: gli spammer "amatoriali" spammano con account di loro "proprietà". Quelli li può chiudere direttamente l'ISP (quando ha la voglia di farlo).
    Gli spammer "veri" spammano usano software specifico (come send-safe, DMS, etc.) che contiene tutta la tecnica che gli serve. Devono solo acquistare un "blocco" di macchine trojanizzate da (ab)usare allo scopo, e c'è chi glieli vende dopo averle già abusate.

    Non hanno alcuna necessità di sapere come poi tecnicamente avviene la cosa: per loro si tratta di flaggare o non flaggare una voce.
  • Queste tecnologie, possono creare problemi ad eventuali server SMTP locali?
    non+autenticato
  • teoricamente no, ti installerai il modulo e fine.
    non+autenticato

  • - Scritto da:
    > Queste tecnologie, possono creare problemi ad
    > eventuali server SMTP
    > locali?

    Si, o no.

    Dipende solo dalla competenza di chi le amministra.
    E questa non è una novità: è un trend che va avanti oramai da anni...

    La gestione di sistemi SMTP che siano affidabili (nel senso della capacità di consegnare correttamente ciò che inviano) è diventata via-via più complessa, e richiede sempre più conoscenze, sia dal punto di vista della configurazione dell'SMTP sia per quanto riguarda la cura posta nell'amministrazione di altre risorse (DNS, rDNS, firewall perimetrale, ecc).

    Inevitabilmente, macchine malconfigurate avranno problemi. Migliore la configurazione e la gestione, minori i problemi...

    E più si va avanti (e più la situazione con lo spam peggiora) più si aprirà la forbice tra i sistemi gestiti bene e quelli gestiti male...
  • Microsoft sfrutta sempre le ultime tecnologie disponibili.
    non+autenticato
  • - Scritto da:

    > Microsoft sfrutta sempre le ultime tecnologie
    > disponibili.

    Ma quando mai ???
    non+autenticato

  • - Scritto da:
    > Microsoft sfrutta sempre le ultime tecnologie
    > disponibili.

    Si, le ultime della listaA bocca aperta !
    11237
  • No, Microsoft inventa nuove tecnologie, nell'ottanta per cento dei casi soltanto per tenere a distanza le aziende il cui business è parzialmente sovrapposto al suo:
    per esempio Borland non ha potuto migliorare la tecnologia del suo prodotto di punta (Delphi) perchè ha dovuto impiegare risorse a renderlo compatibile con il framework .NET.

    Magari la tecnologia .NET è davvero il meglio sul mercato, ma certamente non nasce da una competizione evolutiva: è imposta da un marketing che PRECEDE di anni il primo rilascio della tecnologia.

    My 2 cent.

    GianLuca
    non+autenticato
  • Ma scusate.... invece di far adottare una tecnologia costosa (e non esenti da rischi: le vostre mail possono essere classificate come spam), perchè non utilizzare quello che c'è già?

    Per esempio, il primo che mi viene in mente, se tutti utilizzassero una firma digitale?
    Non so, magari usando GPG?
    Questa operazione potrebbe essere presa come una configurazione standard, equivalente alla configurazione dei POP/SMTP...
    non+autenticato

  • - Scritto da:

    > Per esempio, il primo che mi viene in mente, se
    > tutti utilizzassero una firma
    > digitale?
    > Non so, magari usando GPG?
    > Questa operazione potrebbe essere presa come una
    > configurazione standard, equivalente alla
    > configurazione dei
    > POP/SMTP...

    Vero, e sarebbe bello.

    C'è un problema. Anzi, più di uno.

    1) il trust. Chi certifica chi è chi? Perchè se si automatizzano le certificazioni si tolgono necessariamente tutti (o quasi) i controlli sulla reale identità del certificato, il che rende il sistema completamente inutile.

    2) la gestione della sicurezza. Intendo la propria. Il 97% degli utenti di Internet non è capace di *accorgersi* quando il proprio PC è trojanizzato (e *di qui* lo spam), figuriamoci a tenerlo pulito. Ce li vedi a conservare l'integrità e la riservatezza della propria *chiave privata*? Perchè una volta che quella arriva nelle mani di qualcuno, quello può inviare mail a tuo nome... E una volta che ti ha trojanizzato la macchina, prelevare e farsi recapitare la tua chiave privata è banale: lo si fa già ora con un sacco di altri dati: la rubrica, i codici di attivazione del software installato, i cookies salvati per l'accesso a paypal...

    E all'atto pratico hai messo in piedi un sistema di dimensioni colossali solamente per ottenere una situazione *tecnicamente* diversa dall'attuale, ma *socialmente* perfettamente sovrapponibile...
  • E' vero... non ci avevo pensato!

    L'obiettivo dell'idea è quello di identificare univocamente il mittente dell'email.
    Se il mittente viene utilizzato per spam, viene tagliata fuori l'email...

    Ora... certo... ogni sistema informatico ha le sue pecche... ma è mia opinione che è meglio responsabilizzare gli utenti con una chiave privata (molto importante: senza di essa non è possibile spedire le email!).

    Sicuro che se il pc ha un trojan, il sistema sta al fresco! Ma... forse perchè sul mio pc non ci sono intrusioni (ho solo ssh esposto, e lo utilizzo soltanto con la mia chiave privata)!

    Quindi una vulnerabilità potrebbere essere il browser, ma senza javascript la cosa inizia a farsi dura... ma qui si potrebbe discutere all'infinito.

    non+autenticato

  • - Scritto da:
    > L'obiettivo dell'idea è quello di identificare
    > univocamente il mittente
    > dell'email.
    > Se il mittente viene utilizzato per spam, viene
    > tagliata fuori
    > l'email...

    Di fatto è lo stesso scopo dei vari meccanismi antiforgery.

    Solo che in quel caso la parte di amministrazione viene spostata fuori dal client, sui server (e i DNS).

    Se fai in modo che

    - l'utente possa inviare mail solamente attraverso il mailserver lecito per il suo dominio
    - possa farlo solamente utilizzando credenziali di autenticazione per effettuare il relay


    si ha che se le tue credenziali di autenticazione vengono abusate (perchè te lo sei perse o te le hanno rubate dal PC tramite trojan o qualsiasi altra cosa), l'ISP (o il gestore del server, genericamente) deve "solo" sospendere l'utenza usata per l'autenticazione.


    Di fatto il risultato, dal punto di vista del controllo degli abusi, è lo stesso che disegni, ma senza la necessità di dover far fare all'utente configurazioni complesse, e senza dover ipotizzare meccanismi di trust world-wide.

    Il che non significa che queste non esistano: anzichè usare username/password per l'autenticazione, si potrebbero usare certificati lato client, autenticando tramite TLS.
    Il fatto che si usi user/pass è per mera semplicità tecnica...
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)