Come si combatte lo spam?

Espandendo il nostro articolo sul funzionamento della webmail, questa volta ci concentreremo sullo spam, perché esiste, come combatterlo e cosa fare per evitare che raggiunga le nostre caselle di posta, e cosa facciamo noi per evitare che raggiunga le caselle di posta dei nostri clienti.

Cos’è lo SPAM?

Lo spam è un’email non richiesta con contenuto commerciale inviata per acquisire nuovi clienti o per pubblicizzare un nuovo servizio. I messaggi pubblicitari inviati da fonti in cui avete fornito i vostri dati, come le newsletter, non sono spam. Questi tipi di messaggi non sono e non devono essere bloccati perché sono ricevuti solo dai clienti che si sono iscritti alla mailing list di un’organizzazione o di un negozio. Questo tipo di messaggio di solito dovrebbe contenere nel piè di pagina un link al modulo che ci permetterà di cancellarci da questa lista, nel caso dell’inglese sarà per esempio „Unsubscribe”, tuttavia, fate attenzione quando cliccate su questo link perché può succedere che sia un messaggio di spam che Ci porterà ad un sito che contiene virus o che cerca di estrarre i nostri dati di accesso, per esempio.
Un esempio potrebbe essere un messaggio di allegro contenente informazioni sulle nuove aste. Una persona che vede questo penserà che questo è il modo in cui dovrebbe essere e vorrà cancellarsi dalla lista, cliccherà sul link in fondo e sarà portato ad una pagina che assomiglia molto a quella originale ma sarà non criptata o con un errore di battitura nell’url, ad esempio: a11egro.pl (uno invece di „l”). Fate attenzione a questi incidenti passando il mouse sui link prima di cliccarci sopra.

Lotta contro lo spam

Elenchi RBL

Cioè, bloccando gli indirizzi IP dal tentativo di inviare un messaggio se è sulla lista RBL. Funziona sul principio che quando un computer si connette al nostro server, esso controlla automaticamente e rapidamente attraverso il sistema DNS se questo IP è nella lista nera, se il computer remoto vuole accedere al nostro computer (autorizzazione) sarà accettato e potrà inviare la posta. D’altra parte, se è nella lista nera e vuole inoltrare un messaggio a un account di posta sul nostro server, sarà rifiutato.
Le liste RBL includono molto spesso provider Internet per privati, il che protegge i server dal ricevere spam da computer che, tramite virus, cercano di inviare spam ad altri utenti Internet, spesso all’insaputa del proprietario del computer. Bloccando tali indirizzi IP in modo permanente, quasi tutti gli utenti in Polonia sarebbero tagliati fuori dall’invio di posta, motivo per cui il server dà ancora la possibilità all’utente di accedere e inviare messaggi dal server come utente.

SPF

SPF è una voce DNS nel record TXT che trasmette informazioni su quali computer sono autorizzati a inviare posta per un dato dominio, per esempio il nostro dominio roan24.pl contiene la voce v=spf1 +a +mx +ip4:178.33.3.224 -all (facile da controllare con il comando dig roan24.pl txt in Linux). Cosa significa? che per un dato dominio solo un server con l’ipv4 178.33.3.224 e i server con voci a e mx possono inviare posta. Il nostro server accetta la posta su indirizzo ipv6 ma invia solo su ipv4, perché succede che ipv6 non è raggiungibile nonostante sia in zona dns.
Si può creare una tale voce per qualsiasi dominio ed è un buon modo per combattere l’impersonificazione di altri server sul web e fingere di essere qualcun altro, il che può far aumentare (o diminuire) la fiducia.

DKIM

Una soluzione leggermente più avanzata di spf, questa prevede che il server di invio firmi l’email, poi chiunque può scaricare la chiave pubblica e controllare che la firma sia corretta. Il download della chiave DKIM è fatto… via DNS :-), la chiave per roan24.pl può essere scaricata tramite il comando Linux: dig default._domainkey.roan24.pl txt. Notate che la nostra chiave ha un selettore didefault altri servizi possono avere selettori diversi, tale selettore è dato insieme alla firma, questo fa sì che se abbiamo alcuni server possiamo dare a ciascuno un selettore diverso e quindi non influenzare la qualità del servizio e sapere immediatamente da quale server proviene il messaggio. Più ampiamente su DKIM e i problemi associati ad esso.

GrayList

Cioè, il greylisting – utilizzato da molti provider di posta funziona bloccando la posta da un destinatario sconosciuto con un messaggio di errore numero 4xx: „451 4.7.1 Greylisting in azione, torna più tardi”. Naturalmente il blocco con il numero di errore 4xx è solo temporaneo, significa che il nostro messaggio non può essere consegnato ora e di riprovare tra qualche tempo. Quindi, un server ben impostato si connetterà di nuovo, ad esempio, tra 10 minuti, quindi il server del destinatario accetterà anche il messaggio perché ricorda che qualcuno ha già pianificato di inviare tale messaggio. Il che non vuol dire che un ulteriore controllo dello spam non lo rifiuterà.
Perché questo? Questo è dovuto al fatto che spesso gli spammer, una volta che hanno un computer da cui inviare spam, vanno per quantità, cioè spesso cercano di inviare un messaggio a un destinatario solo una volta, se fallisce, difficilmente va oltre prima che il computer sia bloccato da RBL. Quindi il tempo, ad esempio 10 minuti prima che un indirizzo esca dalla lista grigia può essere sufficiente per alcune liste RBL per essere aggiornate con l’indirizzo ip dello spammer e bloccate senza sovraccaricare il server.
Losvantaggio di questa soluzione è che per far sì che il messaggio raggiunga il destinatario deve passare almeno il tempo della lista grigia, che di solito è di 5~10 minuti, ma bisogna ricordare che il server del mittente può essere impostato per fare il primo retry ad esempio in 30 minuti, il che aumenta notevolmente il tempo di consegna del messaggio. Noi personalmente non usiamo questa soluzione, i grandi servizi la usano spesso in combinazione con una lista locale di contatti utente.

Contenuto – Allegati

Spesso i server bloccano gli allegati che sono troppo grandi o inadatti – per esempio contengono un virus. Un ulteriore fattore determinante è l’occultamento delle estensioni, dove nei sistemi Windows l’estensione non viene visualizzata di default, il che fa sì che il file zdjęcie.jpg.exe venga visualizzato come photo.jpg, dove quando si clicca su di esso, la foto non verrà attivata, ma il virus si avvierà. Pertanto il server blocca le doppie estensioni, specialmente pdf, xml, exe, bat e com. Si noti che non tutte le doppie estensioni sono cattive, come tar.gz dove abbiamo a che fare con un archivio di file (.tar), confezionato in aggiunta con gunzip (.gz).
Inoltre, il sistema può bloccare tutti i file di certi tipi, per esempio i file eseguibili exe, com, bat, ecc. Pertanto, prima di inviare un tale file, dovrebbe essere zippato. Un tale file sarà ancora spacchettato dal server e scansionato per i virus, ma si presume che se un utente deve fare più di 2 clic per installare un virus, dovrebbe essere sicuro. Anche le migliori misure di sicurezza non funzionano se l’utente non reagisce in tempo.

Contenuto – contenuto

Cioè, se il contenuto contiene molti link, che spesso contengono un url nascosto (un indirizzo è visibile, un altro è nascosto). Contiene un sacco di caratteri speciali, o un codice java script sospetto, che si suppone lanci malware dopo che il messaggio è stato attivato, allora tali messaggi saranno respinti senza nemmeno andare nella cartella spam, ma il mittente, anche se è uno spammer, sarà informato di questo fatto, nel caso sia un messaggio normale e il mittente non è consapevole del virus, e sullo sfondo del messaggio il codice del virus sarà allegato al messaggio.

Riassunto

Il nostro server riceve una media di un messaggio al secondo, l’80% dei quali è spam, che viene immediatamente scartato senza raggiungere gli account di posta elettronica dei nostri clienti. Il restante 20% va nella cartella spam perché non sono pericolosi ma possono contenere messaggi desiderati dal cliente. I messaggi pericolosi sono rifiutati senza informare il destinatario, l’unica informazione sul rifiuto è inviata al mittente.