Spam: colpiti tre server RBL

Un probabile attacco DDoS è alla base dei problemi di tre noti server antispam. Email a rischio mentre si teme l'allargamento ad altre RBL

Roma - Sempre più a rischio l'attività dei server che gestiscono le black-list (RBL) antispam. Dopo l'incidente accaduto la settimana scorsa a tre dei più noti server, si teme che anche altri servizi possano essere messi offline.

I server Spam Early Prevention Warning System (spews.org), Osirusoft (relays.osirusoft.com) e Spam Open Relay and Blocking System (sorbs.net) hanno infatti smesso improvvisamente di rispondere creando non poche difficoltà ai molti ISP o gestori di mail server che si sono trovati di punto in bianco nella situazione di vedere rifiutata la posta indirizzata ai propri utenti.

Il problema sembra essere stato attivato da un attacco DDoS (distribute denial of service) che ha colpito i server antispam facendo sì che questi non rispondessero e che di conseguenza i mail server considerassero le email ricevute come provenienti da indirizzi di noti spammer: ma invece non era così.
Infatti, quando una email viene inviata ad un utente passa attraverso un mail server che può chiedere automaticamente a varie RBL, prima di consegnare l'email, se l'indirizzo è inserito o meno in una black-list. Quando il mail server riceve risposta negativa allora consegna l'email all'utente, altrimenti la rigetta semplicemente. Così quando ourisoft.com, ha smesso di funzionare moltissimi mail server hanno smesso di consegnare email, perché semplicemente non ricevevano alcuna risposta.

Per risolvere il problema basta escludere i server colpiti dalla lista delle RBL a cui fa riferimento un mail server.

Ancora non si conoscono i mandanti di questa operazione che, visto il successo, potrebbe allargarsi ad altre celebri RBL. Qualcuno ha avanzato l?ipotesi che l?attacco alle tre RBL sia stato lanciato tramite il worm Sobig.F, seppure questa ipotesi non appaia suffragata da prove certe.

Di certo le RBL si sono fatte nel tempo una miriade di nemici, a partire dagli spammer e per finire agli ISP che si sono trovati inseriti nelle liste per colpa di qualche loro utente. Tuttavia la loro utilità non è in discussione e se altri server fossero messi fuori servizio gli utenti si troverebbero inondati dallo spam.
15 Commenti alla Notizia Spam: colpiti tre server RBL
Ordina
  • Sono il mezzo + efficace contro lo spam: tutto il resto è solo un paliativo...

    L'unica cosa è che per funzionare bene c'è bisogno di OO (pa**e). E mi spiego perchè: certi sedicenti mailmaster non sono in grado di gestire lo spam che proviene dalle loro reti. Vuoi perchè lo fanno i loro clienti direttamente, vuoi perchè configurano come deficienti i loro server, che risultano open relay. Vedi interbusiness...

    Voi mi dite: e le pa**e a che servono?
    Bè, se i server di ISP "seri" tipo interbusiness non fossero open relay, molta gente non vedrebbe rifiutata la propria posta legittima, dato che il proprio ISP è blacklistato. Ma purtroppo mamma telecom...
    L'altro paio di balls serve nell'utilizzare le blacklist anche se si corre il rischio di falsi positivi (come interbusiness): se molti avessero questo coraggio interbusiness (o un qualunque ISP con un open relay) sarebbe interessato a risolvere il problema. Altrimenti dovrebbe dire ai propri clienti che non possono mandare email, e gli utenti passerebbero altrove...


    Poi ce ne vuole un paio grandissimo a listare praticamente l'ASIA.
    Ma non tutta insieme: mi arriva spam dall'utente xxx del provider yyy.
    Lo dico al provider yyy e vediamo se prende provvedimenti.
    Nisba.
    Lo dico a zzz che detiene il blocco di IP dell''ISP yyy.
    Nisba.
    Blacklisto gli IP di zzz. Lo sò che in qualche mese blacklistiamo tutta l'asia, ma almeno eliminiamo il 60% dello spam ed insegniamo a questi signori come si vive nella società civile. E entro un anno abbiamo "bonificato" l'asia, dato che gli ISP seri fixeranno i loro server, e gli altri falliranno.

    Per le punto-punto è bruttina, io è da parecchio che apprezzo postfix e che mi faccio la consegna in modo indipendente dal provider. (Per la verità dopo l'ultimo trasloco sono tornato al modo tradizionale, ma appena ho tempo rimonto tutto;)
    In effetti le liste di IP dinamici non servono in un mondo perfetto: tu mi mandi dello spam, io lo rintraccio e tu mi paghi una vagonata di danni e ti fai tre mesetti di galera.
    Fine dello spam. Solo ci vuole una nazione seria. Boh. Sulle punto-punto c'è da pensarci su parecchio...

    Ciao! Radel
  • > L'unica cosa è che per funzionare bene c'è
    > bisogno di OO (pa**e). E mi spiego perchè:
    > certi sedicenti mailmaster non sono in grado
    > di gestire lo spam che proviene dalle loro
    > reti.


    Perfettamente d'accordo, anche se taluni se ne fregano.
    non+autenticato
  • C'è un provider tedesco che mi manda indietro le mail perchè mi ha inserito nella sua blaklist. Il mio IP risulta appartenere ad Interbusiness ed il mio server è da sempre chiuso al relay, ovvio dire che non ho mai mandato spam, virus o altre schifezze in giro.

    C'è qualcuno a cui capita la stessa cosa?
    non+autenticato
  • - Scritto da: Anonimo

    > C'è un provider tedesco che mi manda
    > indietro le mail perchè mi ha inserito nella
    > sua blaklist. Il mio IP risulta appartenere
    > ad Interbusiness ed il mio server è da

    Probabilmente quel provider usa SpamCop il quale ha blacklistato (ma ora non ci soo piu') i server sMTP di TIN:
    http://www.spamcop.net/w3m?action=checkblock&ip=21...
    non+autenticato

  • - Scritto da: Anonimo
    > C'è un provider tedesco che mi manda
    > indietro le mail perchè mi ha inserito nella
    > sua blaklist. Il mio IP risulta appartenere
    > ad Interbusiness ed il mio server è da
    > sempre chiuso al relay, ovvio dire che non
    > ho mai mandato spam, virus o altre schifezze
    > in giro.

    al 99,99999999999999999999999999999999999% sta' blacklistando interbusiness non te.
    Prova a contattarlo, se quell'ip lo usi solo tu puo' anche metterti in white list.
    non+autenticato
  • Spesso bloccano mail di utenti che nulla hanno a che fare con lo spam.
    Gli spammers infatti cambiano continuamente ip address e la prova migliore dell'inutilita' di questi RBL e' che lo spam e' in costante aumento
    Sarebbe meglio inserire dei filtri che cancellano le mail che contengono certe parole
    Per esempio sarebbe bello poter chiedere al proprio provider di cancellare immediatamente tutte le mail che contengono la parola viagra o penis, tanto per fare due esempi
    non+autenticato

  • - Scritto da: Anonimo
    > Per esempio sarebbe bello poter chiedere al
    > proprio provider di cancellare
    > immediatamente tutte le mail che contengono
    > la parola viagra o penis, tanto per fare due
    > esempi

    appena si arriva a questo punto (che richiede che tu sottoscriva una liberatoria per problemi di privacy) gli spammer passeranno ad usare le chiavi pubbliche dei malcapitati cosi' da rendersi immuni al passaggio dei mailer, anzi non capisco come mai ancora non lo usino questo modo di operare ...

    ciao

  • - Scritto da: Anonimo
    > Spesso bloccano mail di utenti che nulla
    > hanno a che fare con lo spam.
    > Gli spammers infatti cambiano continuamente
    > ip address e la prova migliore
    > dell'inutilita' di questi RBL e' che lo spam
    > e' in costante aumento

    Veramente le blacklist pubbliche sono il mezzo più efficace contro lo spam, tanto è vero che tutti i servizi con caselle despammate in questo modo hanno pressoché eliminato lo spam. Lo spam aumenta per quantità perché aumentano le macchine installate nel mondo, ma la stragrandissima maggioranza dello spam proviene da macchine abusate nelle megareti del terzo mondo, come Chinanet cinese e Telemar brasiliana.

    Invece, è inutile proprio il filtraggio basato su parole chiave, perché oltre a generare numerosi falsi positivi gli spammer lo aggirano facilmente, esempio con finti tag intercalati tipo fuck with viagra, che in OE leggi "fuck with viagra" ma nel sorgente non resci a trovare le parole chiave per filtrarle.

    Meglio sono i filtri bajesani, ma anch'essi si basano su parole chiave.

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Spesso bloccano mail di utenti che nulla
    > > hanno a che fare con lo spam.
    > > Gli spammers infatti cambiano
    > continuamente
    > > ip address e la prova migliore
    > > dell'inutilita' di questi RBL e' che lo
    > spam
    > > e' in costante aumento
    >
    > Veramente le blacklist pubbliche sono il
    > mezzo più efficace contro lo spam, tanto è
    > vero che tutti i servizi con caselle
    > despammate in questo modo hanno pressoché
    > eliminato lo spam. Lo spam aumenta per
    > quantità perché aumentano le macchine
    > installate nel mondo, ma la stragrandissima
    > maggioranza dello spam proviene da macchine
    > abusate nelle megareti del terzo mondo, come
    > Chinanet cinese e Telemar brasiliana.
    >
    > Invece, è inutile proprio il filtraggio
    > basato su parole chiave, perché oltre a
    > generare numerosi falsi positivi gli spammer
    > lo aggirano facilmente, esempio con finti
    > tag intercalati tipo fuck with viagra, che
    > in OE leggi "fuck with viagra" ma nel
    > sorgente non resci a trovare le parole
    > chiave per filtrarle.

    Vedo che anche Punto Informatico elimina i finti tag intercalari...

    Riscrivo:

    lo aggirano facilmente, esempio con finti
    tag intercalati tipo f[eooe]u[eooe]ck w[eooe]it[eooe]h v[eooe]ia[eooe]gr[eooe]a, che
    in OE leggi "fuck with viagra" ma nel
    sorgente non resci a trovare le parole
    chiave per filtrarle.

    ovviamente al posto delle parentesi quadre ci sono i delimitatori dei tag ""

    non+autenticato
  • - Scritto da: Anonimo

    > lo aggirano facilmente, esempio con finti
    > tag intercalati tipo fuck with viagra

    Tutti trucchi che non valgono per il prossimo Spam Terminator 3.0 il cui "motore", nell'attuale versione in alpha test, e' gia' ora in grado non solo di fltrare via i tag (finti o veri che siano) e fare cosi' una seconda "passata" di controllo sul testo, ma interpreta anche i contenuti MIME QuotedPrintable e base64 (altri metodi usato dagli spammer, ormai ben piu' spesso dei tag fasulli) compresi URL mascherati usando codici esadecimali "%xx" o la codifica QP.

    Ma il PRIMO filtraggio e' e resta il controllo delle blacklist DNSBL, se a questo si aggiunge anche il filtraggio contestuale (ed i metodi che gia' ora Spam Terminator 2.3 utilizza per evitare i "falsi positivi") l'efficienza antispam e' quasi assoluta.
    non+autenticato

  • - Scritto da: Anonimo
    > Spesso bloccano mail di utenti che nulla
    > hanno a che fare con lo spam.
    > Gli spammers infatti cambiano continuamente
    > ip address e la prova migliore
    > dell'inutilita' di questi RBL e' che lo spam
    > e' in costante aumento
    > Sarebbe meglio inserire dei filtri che
    > cancellano le mail che contengono certe
    > parole
    > Per esempio sarebbe bello poter chiedere al
    > proprio provider di cancellare
    > immediatamente tutte le mail che contengono
    > la parola viagra o penis, tanto per fare due
    > esempi
    non+autenticato
  • >Di certo le RBL si sono fatte nel tempo una miriade di nemici, a >partire dagli spammer e per finire agli ISP che si sono trovati >inseriti nelle liste per colpa di qualche loro utente. Tuttavia la
    >loro utilità non è in discussione e se altri server fossero messi >fuori servizio gli utenti si troverebbero inondati dallo spam.

    veramente esistono filtri antispam che funzionano meglio di RBL.
    Inoltre il sistema di RBL e' abbastanza discutibile, specie per il fatto che a priori lista gli ip dinamici dei principali ISP (non permettendo invio di mail punto punto ) ...
    RBL funziona solo se tutti lo usano, e comunque gli stessi spammer li utilizzano per avere ip di macchine "open" per inviare spam verso domini che non ne fanno uso.
    non+autenticato

  • - Scritto da: Anonimo
    > >Di certo le RBL si sono fatte nel tempo una
    > miriade di nemici, a >partire dagli spammer
    > e per finire agli ISP che si sono trovati
    > >inseriti nelle liste per colpa di qualche
    > loro utente. Tuttavia la
    > >loro utilità non è in discussione e se
    > altri server fossero messi >fuori servizio
    > gli utenti si troverebbero inondati dallo
    > spam.
    >
    > veramente esistono filtri antispam che
    > funzionano meglio di RBL.
    > Inoltre il sistema di RBL e' abbastanza
    > discutibile, specie per il fatto che a
    > priori lista gli ip dinamici dei principali
    > ISP (non permettendo invio di mail punto
    > punto ) ...

    E' giustissimo listare gli ip dinamici, non sono mica server di posta accreditati e non hanno diritto di utilizzare direttamente i mail server di altri provider. Devono utilizzare soltanto il proprio, altrimenti se vogliono solo una connessione punto-punto, basta che si collegano direttamente al computer del destinatario senza passare per i mail server dei provider.
    non+autenticato
  • > veramente esistono filtri antispam che
    > funzionano meglio di RBL.
    I filtri antispam migliori sono quelli che adottano varie tecniche. E devo ammettere che RBL e' uno dei migliori sistemi in circolazione.

    > Inoltre il sistema di RBL e' abbastanza
    > discutibile, specie per il fatto che a
    > priori lista gli ip dinamici dei principali
    > ISP (non permettendo invio di mail punto
    > punto ) ...
    Generalmente negli elenchi degli RBL ci sono gli "open relay", cioe' server di posta che accettano messaggi incondizionatamente, senza verificare che il mittente e/o il destinatario siano sotto la sua "giurisdizione".

    Mail punto-punto? Vade retro ! Ogni pc dovrebbe avere un server integrato, senza tener conto che solo i virus utilizzano un proprio MTA.

    > RBL funziona solo se tutti lo usano,
    Perche'? Spegati per favore.

    > comunque gli stessi spammer li utilizzano
    > per avere ip di macchine "open" per inviare
    > spam verso domini che non ne fanno uso.
    Ogni sistema che complica la vita degli spammers e' bene accetto.

    Ciao !
    non+autenticato

  • - Scritto da: Anonimo
    > >Di certo le RBL si sono fatte nel tempo una
    > miriade di nemici, a >partire dagli spammer
    > e per finire agli ISP che si sono trovati
    > >inseriti nelle liste per colpa di qualche
    > loro utente. Tuttavia la
    > >loro utilità non è in discussione e se
    > altri server fossero messi >fuori servizio
    > gli utenti si troverebbero inondati dallo
    > spam.
    >
    > veramente esistono filtri antispam che
    > funzionano meglio di RBL.

    Insomma... se vuoi un filtro che non sai mai quallo che sta facendo accomodati... io preferisco le liste rbl con una ferrea policy.
    I filtri bayesiani ed altre robette da brivido non mi danno troppa fiducia... Occhiolino

    > Inoltre il sistema di RBL e' abbastanza
    > discutibile, specie per il fatto che a
    > priori lista gli ip dinamici dei principali
    > ISP (non permettendo invio di mail punto
    > punto ) ...

    Ottimo! Altro che discutibile! Magari gli ISP pubblicassero la lista delle loro subnet ad ip dinamico perché vengamo black-listate!
    Sarebbe un atto di responsabilità che, tra l'altro, metterebbe molti bastoni tra le ruote anche ai virus via email.

    > RBL funziona solo se tutti lo usano, e
    > comunque gli stessi spammer li utilizzano
    > per avere ip di macchine "open" per inviare
    > spam verso domini che non ne fanno uso.

    Questa non l'ho capita per nulla

    non+autenticato