Il redirect VeriSign facilita lo Spam

Ne parla un lettore: una delle conseguenze dell'operazione VeriSign è togliere ai sistemi antispam un mezzo che, anche se non decisivo, contribuiva a ridurre la quantità di posta-immondizia

Roma - Salve, ho visto l'articolo sulla questione Verisign e redirect. Volevo solo segnalare un aspetto che non è stato toccato e che mi pare molto importante: lo Spam.

Infatti, come ben noto, alcuni provider (ancora troppo pochi probabilmente), utilizzano software antispam direttamente sui server per limitare da un lato le perdite di tempo dei clienti e dall'altro per almeno dimezzare il traffico spam (arrivano le email ma non vengono scaricate in quanto intercettate e poste da parte).

Il problema è semplice. Alcuni test funzionano proprio effettuando un check del dominio risultante dal mailfrom della mail. Quindi se ricevo una mail proveniente da spam@abcdefijk.com effettuando il lookup del abcdefijk.com ricevo una risposta di dominio inesistente e blocco la mail. Da adesso, invece, la risposta sarà sempre che il dominio esiste in quanto interviene la redirezione di Verisign. Quindi addio a questo genere di controllo.
E' vero che questo test non è certo un argine incredibile allo spam, dal momento che normalmente gli spammer utilizzano sempre domini esistenti, ma - come si leggeva su Slashdot - ogni piccolo aiuto è benvenuto nella lotta allo spam.

Certo, esiste un rovescio della medaglia, ovvero la redirezione rimanda ad un indirizzo IP specifico di verisign: 64.94.110.11. Quindi si possono modificare i filtri affinchè se incontrano questo IP considerino il dominio inesistente... Ma come si sa, gli indirizzi IP possono cambiare, oppure il sistema potrebbe reindirizzare verso un gruppo di IP dinamici, ecc. ecc.

Giampiero
24 Commenti alla Notizia Il redirect VeriSign facilita lo Spam
Ordina
  • Si potrebbe implementare nei prossimi browser o nelle prossime release del bind, è a prova di eventuali cambi di ip e secondo me anche abbastanza semplice, basterebbe fare al momento della richiesta per un dominio (es. www.1qualunque.com) anche una stessa richiesta per un dominio generato da un random seed (es. www.a21ijijxbnaebea92hxm.com) o con sitefinder-idn.verisign.com e se i due ip corrispondono allora visualizzare un messaggio d'errore.

    Lo so l'altra faccia della medaglia è che il traffico sui server dns sarebbe doppio, ma è comunque l'unica soluzione realmente definitiva al problema.

    ps: altrimenti si potrebbe implementare nelle prossime versioni dei browser o come addon, una funzione che controlli il contenuto della pagina e se trova una serie di parole chiave presenti nel sito di Verisign(es. popoular verisign copyright search category filtering) restituisca un messaggio d'errore. L'unico vantaggio di questa soluzione sarebbe non incrementare il traffico sui dns, ma qualsiasi serie di parole chiave specifiche si scelga non è certo che non possa comparire su un'altro sito e comunque probabilmente, anche volendo confrontare il codice html, questo potrebbe essere facilmente modificato, rendendo inefficace la soluzione.


    MaX
    non+autenticato
  • ps: ho letto delle nuove patch del Bind ma si riferiscono solo all'ip specifico comunque

    MaX
    non+autenticato

  • La tua soluzione e' web centrica. Come al solito internet = www.
    Per evitare di vedere la pagina di verisign mi basta una riga nel filtro ip. Il problema e' che voglio che mi risponda "dominio esistente" alla richesta di un qualunque programma.

    - Scritto da: Anonimo
    > Si potrebbe implementare nei prossimi
    > browser o nelle prossime release del bind, è
    > a prova di eventuali cambi di ip e secondo
    > me anche abbastanza semplice, basterebbe
    > fare al momento della richiesta per un
    > dominio (es. www.1qualunque.com) anche una
    > stessa richiesta per un dominio generato da
    > un random seed (es.
    > www.a21ijijxbnaebea92hxm.com) o con
    > sitefinder-idn.verisign.com e se i due ip
    > corrispondono allora visualizzare un
    > messaggio d'errore.
    >
    > Lo so l'altra faccia della medaglia è che il
    > traffico sui server dns sarebbe doppio, ma è
    > comunque l'unica soluzione realmente
    > definitiva al problema.
    >
    > ps: altrimenti si potrebbe implementare
    > nelle prossime versioni dei browser o come
    > addon, una funzione che controlli il
    > contenuto della pagina e se trova una serie
    > di parole chiave presenti nel sito di
    > Verisign(es. popoular verisign copyright
    > search category filtering) restituisca un
    > messaggio d'errore. L'unico vantaggio di
    > questa soluzione sarebbe non incrementare il
    > traffico sui dns, ma qualsiasi serie di
    > parole chiave specifiche si scelga non è
    > certo che non possa comparire su un'altro
    > sito e comunque probabilmente, anche volendo
    > confrontare il codice html, questo potrebbe
    > essere facilmente modificato, rendendo
    > inefficace la soluzione.
    >
    >
    > MaX
    non+autenticato
  • forse non sai cos'è il Bind, informati.

    MaX
    non+autenticato
  • ...sono gia' uscite le patch per BIND 8 e 9, sendmail e postfix (credo anche per altri MTA, non mi sono interessato) per impedire questo scempio: (mode tech=on) il tipo di risposta che un dns da in questo caso (wildcard sul dominio di secondo livello) e' diverso in quanto non e' SOA del dominio stesso ma semplice delegato...

    Aggiornate DNS e MTA dei firewall che gestite, blindate l'IP sui firewall di confine e aspettate che qualcuno si lamenti che non puo' raggiungere siti tipo: www.nonsocomepassarelegiornateenavigoacaso.net =Ficoso


    --
    Riccardo.
    non+autenticato
  • Visto che tutti i domini .com inesistenti vengono risolti sull'IP di Verisign basta girare a sales@verisign.com tutta la posta spam. Tanto tutti i domini sono loro quindi tutta la posta diretta a domini sconosciuti è tutta loro Troll
    non+autenticato
  • Se esiste un check, viene fatto sul record MX, che non c'entra un beato nulla con la redirezione di Verisign, la quale avviene sul record A.
    non+autenticato
  • - Scritto da: Anonimo
    > Se esiste un check, viene fatto sul record
    > MX, che non c'entra un beato nulla con la
    > redirezione di Verisign, la quale avviene
    > sul record A.

    Eppure mi sembrava che nel caso manchi un record MX, i server di posta provino a risolvere il record A e a spedire all'ip indicato. In caso contrario non si capisce perché Verisign abbia messo sull'IP del redirect anche un server SMTP che rifiuta qualsiasi messaggio.
    DPY
    380

  • - Scritto da: DPY
    > - Scritto da: Anonimo
    > > Se esiste un check, viene fatto sul record
    > > MX, che non c'entra un beato nulla con la
    > > redirezione di Verisign, la quale avviene
    > > sul record A.
    >
    > Eppure mi sembrava che nel caso manchi un
    > record MX, i server di posta provino a
    > risolvere il record A e a spedire all'ip
    > indicato. In caso contrario non si capisce
    > perché Verisign abbia messo sull'IP del
    > redirect anche un server SMTP che rifiuta
    > qualsiasi messaggio.

    Esatto. Il record MX non e' obbligatorio. Se c'e' viene usato, altrimenti si legge l'A.
    non+autenticato
  • Scusate se vi scrivo qui, ma la via ordinaria sembra inutile...
    Da qualche giorno il mio forum box sembra pieno, perché tutti i nuovi messaggi che inserisco a commento degli articoli facendo il check nell'apposita casella non mi vengono visualizzati.
    Potreste dirmi da cosa dipende il problema? Grazie.
    Bruco
    2098
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)