PI: Su mail-abuse.org il primo dicembre un server mail di Virgilio-TIN è finito nella black list antispam. Non è la prima volta che succede ad un provider italiano di essere considerato un tramite per lo spam. Cosa dovrebbe fare un provider italiano per evitare di finire in una RBL?FE: Quando un ISP - italiano o non - ha dei mailserver di produzione che sono stati inseriti in una blocking list importante, quasi certamente ci sono stati dei tentativi di contatto da parte della blocking list che non hanno avuto successo. Questi tentativi sono di norma effettuati mediante messaggi inviati all'indirizzo abuse del dominio e agli indirizzi di contatto che appaiono nei database WHOIS.
Il ragionamento della blocking list è, all'incirca: "Se questo ISP non sta rispondendo più nemmeno a me, vuol dire che è arrivato ad un punto in cui non ha più risorse per il monitoraggio delle mailbox, e quindi il suo problema di spam incontenibile presenta delle patologie gravi che possiamo ora curare solo attraverso una "terapia d'urto", ossia listandolo finchè non si fa vivo e ci presenta un programma ragionevole che gli consenta di uscire dalla crisi in cui si trova nell'arco di qualche mese".
Situazioni del genere sono generalmente il risultato di organici troppo limitati, oppure outsourcing del servizio di abuse verso entità esterne non equipaggiate per intervenire in modo efficiente, come se si trattasse di un help-desk anzichè di una componente centrale dell'infrastruttura.
PI: Ne hai fatto un accenno poco fa... Dire che esiste un rapporto tra sviluppo della banda larga e aumento dello spam è una eresia?FE: Oggigiorno, grazie alla diffusione di sistemi operativi insicuri e agli spammer, qualunque macchina dietro a un collegamento broadband puo' diventare in qualsiasi momento un fortissimo emettitore di spam.
L'esperienza dei provider broadband più attivi nel controllo degli abusi provenienti da utenze consumer ci dice che le misure tecniche più efficaci sono:
- intercettazione di tutto il traffico uscente diretto verso la porta SMTP (25) di qualunque IP su Internet, che viene rediretto verso propri mailserver centrali (adeguatamente dimensionati!);
- indicazione dell'utenza coinvolta mediante una nuova linea che i mailserver centrali inseriscono nelle intestazioni (in cui il nome dell'utenza potrebbe essere encrittato), per un facile trattamento automatico di eventuali successive segnalazioni;
- istituzione di limiti sul numero di messaggi all'ora per ogni utenza che possono essere distribuiti verso l'esterno dai mailserver centrali (da notare che il tasso di accettazione puo' essere assai più elevato di quello di distribuzione, dal momento che messaggi accettati possono andare subito in coda e uscire un po' alla volta);
- disconnessione immediata dei sistemi diventati emettitori di spam (questi potrebbero essere confinati ad una "intranet" da dove possono accedere solamente a tool per la disinfezione e eventualmente al sito Microsoft per gli upgrade);
- eliminazione delle mail uscenti presenti ancora in coda (anche grazie ai limitatori descritti) immesse da utenze che risultano oggetto di un flusso di segnalazioni.
PI: Sono misure alla portata di tutti i provider...FE: Questo programma puo' comportare delle problematiche di implementazione, ma dovrebbe essere in principio fattibile per tutti gli ISP consumer, in cui le utenze sono altamente standardizzate, e la sua attuazione fa quasi scomparire il problema senza grossi svantaggi pratici per l'utente domestico medio. Il più grosso provider del mondo,
America Online, è un esempio vivente di come con misure del genere si possa virtualmente eliminare lo spam pur avendo una base di numerose decine di milioni di utenti.
PI: Ci sono liste di blocco antispam, come quella di Spews.org, che sono criticate da più parti perchè molto severe. Più volte anche su PI sono apparse lamentele di utenti non spammatori, e persino gestori di siti aziendali, che portano lavoro, contro i metodi drastici di operatori come Spews. Succede in particolare se Spews lista un provider di servizi che ha un cliente spammatore. Ha senso colpire gli spammer colpendo, contestualmente, anche molti o moltissimi che nulla hanno a che vedere con lo spam?FE: Ci sono molti - troppi - fornitori che traggono diretto profitto dall'industria dello spam fornendo connettività o altri servizi a spammer, e continuando a farlo nonostante migliaia di segnalazioni da utenti della rete. In alcuni casi si assiste addirittura a finte "terminazioni", in cui lo spammer viene solo spostato di indirizzi IP all'interno della stessa rete: operazioni in cui il provider è certamente in malafede e vuole continuare a mantenere sia i clienti spammatori che quelli non. Ci sono persino casi in cui i clienti non-spammatori esistono solamente, in quantità limitata, per costituire uno "scudo umano" con cui proteggersi nei confronti dei blacklisting.
La maggior parte delle "escalation orizzontali" di Spews costituiscono una sorta di boicottaggio nei confronti di queste entità. A differenza di altre blocking list come SBL che cercano di minimizzare gli inconvenienti, l'intento di Spews è quello di forzare gli ISP con spammer a operare una scelta - o sei bianco o sei nero - perchè nel momento in cui scelgono (in qualsiasi dei due modi) cessano di essere un problema per il resto della rete. Ovviamente se uno sceglie di essere "nero" molti altri semplicemente cesseranno totalmente lo scambio di traffico con le sue reti senza che nessuno protesti.
PI: Sì ma qui c'è anche chi parla di Spews come una sorta di guastatore...FE: Naturalmente i clienti coinvolti non hanno di solito idea di che cosa sta accadendo e di quanto è accaduto nei mesi precedenti al listing, di documentarsi esaminando il file di evidenza o gli archivi di Usenet non se ne parla neanche, e quindi scatta il noto lamento verso Spews e i providers che la usano.
Sta alla sensibilità di ciascun utilizzatore di Spews la scelta tra appoggiare un certo boicottaggio effettuato da parte di Spews, oppure neutralizzarlo con un whitelisting. Entrambe le soluzioni hanno dei pro e dei contro, soprattutto se il problema viene esaminato proiettandolo anche nel futuro anzichè considerando solo l'immediato.
La mia tendenza è sempre stata quella di fornire informazione obiettiva sul caso alle due parti affette dal blocco di corrispondenza, provvedendo a rimuovere il blocco ma in modo mirato, ossia solo per l'indirizzo email di chi ci ha scritto.