Sulle funzionalità degli antivirus

Un altro lettore interviene sulla questione delle risposte automatiche dei sistemi di protezione contro i virus. Per risolvere basta una buona configurazione

Roma - Salve, innanzitutto complimenti per la e-zine sempre ricca ed aggiornata. Come faceva notare il sig. Andrea Rimicci nella lettera pubblicata da PI è vero che purtroppo nei protocolli di posta in genere non si possa verificare l'autenticità del campo From: che viene emesso, però anche se i sistemi di antivirus per server di posta elettronica mandano un email al mittente, al postmaster e al destinatario avvertendo la cosa è per parecchi motivi di cui:

- innanzitutto per avvertire sia mittente che destinatario che un eventuale allegato non è stato recapitato (ma disinfettato o eliminato), quindi per non creare malintesi nella corrispondenza, questo dipende dalle policy dell'antivirus che possono anche vietare solamente certe estensioni di file!

- il postmaster e ormai anche chi riceve posta sanno benissimo che i virus che girano negli ultimi tempi sfruttano indirizzi email da rubriche, posta in uscita ed in entrata come From:, quindi posso ormai escludere il fenomeno per cui il mittente venga "condannato" per un eventuale distribuzione di virus, al contrario di come la pensa il sig. Rimicci.
- la questione basilare è: tener conto del principio di cautela e quindi inviare comunque il messaggio (io la penserei così), o a scanso di malintesi per chi non se ne intende lasciare tutto "a tacere", anche se questo, in caso di attachment regolari, potrebbe provocare malintesi, ecc.

- per quanto riguarda la questione che l'antivirus addirittura rispedisse indietro in allegato materiale infetto mi sembra assolutamente assurdo! Tutto quello che passa per i server mail con un buon antivirus (cioé quasi tutti quelli che lo hanno), viene pulito, che sia in entrata o in un uscita o solo in transito.

Cordiali Saluti,
Nicolas Walker
TAG: sicurezza
6 Commenti alla Notizia Sulle funzionalità degli antivirus
Ordina
  • ...io non ho capito niente di cio' che l'autore del messaggio vuole dire. Forse non so bene l'italiano io...
    non+autenticato
  • Si, direi che non sai l'italiano
    non+autenticato
  • Prendo alcuni spunti della lettera, per chiarire alcune cose che magari erano poco chiare:

    >- il postmaster e ormai anche chi riceve posta
    > sanno benissimo

    Il postmaster, ok, e' il suo lavoro e -dovrebbe- sapere come funzionano le cose.
    Su chi -riceve posta- invece, non azzarderei troppo a dire che sappia le stesse cose.
    Dire che -tutti- quelli che usano l'email sappiano come funziona e' esagerato. Sicuramente lo impareranno col tempo, ma il tempo di -apprendimento- ci vuole!Occhiolino

    >... posso ormai escludere il fenomeno per cui il
    > mittente venga "condannato" per un eventuale
    > distribuzione di virus, al contrario di come la
    > pensa il sig. Rimicci.

    Il mio appunto era piu' un fastidio per le condanne -automatiche- fatte da una macchina. Un po' come i sotware di policy aziendale che ti bloccano l'accesso ai siti porno, che ti vietano di entrare in http://www.womenlobby.org/ , sito patrocinato anche dalla comunita' europea (giusto solo un esempio).

    > per quanto riguarda la questione che
    > l'antivirus addirittura rispedisse indietro
    > in allegato materiale infetto mi sembra
    > assolutamente assurdo!

    Ti sembrera' assurdo, ma capita. Esempio banale:
    virus spedito ad un indirizzo con problemi di ricezione. Il server di posta non fa altro che rispedire indietro il tutto, dicendoti che il destinatario non riesce a riceverlo. Ovviamente usa il campo 'from'! Quindi l'appunto e' sul reinvio degli allegati, chi lo fa, l'antivurus o altri software, e' irrilevante.

    Ciao!

    non+autenticato
  • - Scritto da: Andrea Rimicci
    > virus spedito ad un indirizzo con problemi
    > di ricezione. Il server di posta non fa
    > altro che rispedire indietro il tutto,
    > dicendoti che il destinatario non riesce a
    > riceverlo. Ovviamente usa il campo 'from'!
    > Quindi l'appunto e' sul reinvio degli
    > allegati, chi lo fa, l'antivurus o altri
    > software, e' irrilevante.

    Non esattamente, viene usato il Return-path, ovvero l'indirizzo usato dai server di trasporto per inviare segnalazioni di errore al mittente del messaggio. Spesso return-path e from coincidono, ma in alcuni casi (tipo le mailing list) sono diversi: un errore di consegna ad un iscritto alla mailing list va al sistema di gestione della lista e non a chi ha scritto il messaggio.

    ciao

    Michele
    non+autenticato


  • - Scritto da: Michele
    > - Scritto da: Andrea Rimicci
    > > <snip>usa il campo 'from'!
    > > <snip>>
    > Non esattamente, viene usato il Return-path<snip>

    Hai ragione, 'From' viene usato solo se mancano gli header 'Return-path' oppure 'Reply-To'.
    non+autenticato
  • Nel nostro server con antivirus era possibile avvertire anche il mittente, non abbiamo attivato questa opzione e preferiamo avvertire il solo destinatario, indicando il mittente (dichiarato), il tipo di virus riscontrato e dando comunque l'opportunità di visionare il messaggio incriminato sotto forma di puro testo. In questo modo il messaggio non viene effettivamente cancellato, il destinatario può comunque recuperarlo se lo desidera e questo rende l'avviso al mittente (vero o falso che sia) non necessario. In ogni caso, l'utente che richiede il servizio antivirus accetta preventivamente che la sua posta possa essere 'eliminata' d'ufficio, e qnche questo fa sì che l'avviso al mittente non sia necessario, perché è come se l'antivirus dell'utente avesse eliminato il messaggio dopo la ricezione.
    Proprio perché i tecnici sanno che gli indirizzi email mittente sono inaffidabili si dovrebbero evitare queste cose: se infatti i tecnici lo sanno... gli utenti no, e questo genera comunque malintesi e involontari attacchi al presunto untore di turno.
    Dulcis in fundo, proprio oggi ho ricevuto un avviso che considero la quintessenza della stupidità: in esso erano indicati solamente il nome del mittente (notare bene, il nome, non l'indirizzo email), l'oggetto, i nomi degli attachment e i virus trovati: niente header, niente date e orari, niente di niente.
    Il tutto inviato da un presunto "Network Associates Anti-Virus - Mailbox Agent" e proveniente da un IP utilizzato da un'ente italiano molto conosciuto. Visto che da qui non possono partire virus per 'incompatibilità software', e vista la poca chiarezza del messaggio e la mancanza di particolari importanti per rintracciare il messaggio originale, preferirei semplicemente non riceverne, meglio niente che un avviso stupido. Se l'invio si dovesse ripetere, prenderò in considerazione l'idea di bloccare quel mittente a livello di server di posta.
    non+autenticato