Esistono ovviamente molti software specializzati e o metodi per arginare il problema. In questo articolo cercherò di darvi le ricette più utili:
Software Dedicati Antispam________________________________________________________
A grandi linee ho potuto usare e valutare un pò tutti i prodotti Antispam disponibili per la piattaforma Domino. Parlando di quelli a pagamento (con licenza) devo dire che nessuno brilla in particolare.
Se invece parliamo di prodotti specializzati come Appliance o software dedicati con proprio motore SMTP, allora la qualità sale decisamente. Non voglio fare pubblicità a nessuno ma esistono prodotti che mi hanno dato statisticamente parlando ottimi risultati.
Per quanto concerne soluzioni OpenSource, è già stato trattato sia nel Forum di Dominopoint che in alcuni articoli su questo blog la soluzione Kspam dove il nostro Zazza sembra esserne il pù ardito installatore/sostenitore. Dai suoi commenti sembra essere soddisfatto di come lavora. Ma ovviamente stiamo parlando di OpenSource, quindi non tutti possono permettersi o possono avere interesse a lavorare con questa tipologia di software per vari motivi.
link agli articoli su Antispam opensource:
Tutorial sull’installazione di KSPAM
Kspam: quick guide
Kspam e dcshield
Funzioni di Domino Antispam__________________________________________________________
Premessa1: In questa analisi sono esclusi i filtri di Black-list e white-list e altri filtri di controllo su domini, internet-address, etc.. perchè in primo luogo a mio avviso sono poco incisivi e comunque se siete interessati vi invito a leggere questo redbook:
Lotus Domino 6 Spam Survival guide
Premessa2: Le considerazioni di sequito sono valide nella condizione in cui vengano implementate su SMTP Domino esposto, ossia che riceve posta direttamente dai server SMTP degli altri domini pubblici, se ci fosse un relay statico in entrata prima di domino le seguenti valutazioni dovranno essere riconsiderate.
Se il vostro antispam non vi soddisfa appieno, esistono almeno tre funzioni in domino che possono aiutarvi a migliorare la situazione.
In realtà non si tratta di vere funzioni antispam ma di controlli soprattutto a livello DNS pubblico per validare utenti e server di spedizione.
Ecco in dettagli le tre funzioni che trovate nel documento di configurazione del server nella sezione Router/SMTP - Restrictions and controls - SMTP inbound Controls:
Verify that local domain recipients exist in the Domino Directory:
Pro: questa funzione è utile a tenere pulite le mail.box del server perché rifiuta a priori qualsiasi messaggio destinato ad indirizzi locali inesistenti
Contro: eseguendo un Directory harvest attack è possibile rilevare in base alle risposte del server domino quali indirizzi sono validi e quali no. Questo avviene semplicemente perché l'SMTP di domino risponderà al Attaccante rifiutando gli indirizzi inesistenti, quindi per differenza si possono ottenere le liste degli indirizzi che sono andati a buon fine.
Verify sender's domain in DNS:
Pro: Quando L'SMTP di Domino riceve una comunicazione per lo scambio posta da un'altro SMTP dopo il messaggio di greeting, il server mittente inizia la comunicazione con:
Mail from: pippo@acme.com
Attivando questo controllo domino verificherà nel DNS se il domino "FROM" (ossia acme.it) è una zona registrata ed esistente (quindi valida). Se ciò è vero la mail viene permessa altrimenti viene rifiutata per Policy reasons.
Contro:
Attenzione se utilizzate servizi SMTP da stampanti o affini che usano l'SMTP di domino per l'instradamento della posta. Se questi servizi non usano un indirizzo valido (del vostro dominio) come mittente verranno negati da Domino.
Verify connecting hostname in DNS:
Pro: Questa è decisamente una delle funzioni più valide contro gli spammer. Di fatto attivandolo, l'SMTP di domino prima di accettare una transizione SMTP verifica nel DNS pubblico l'esistenza di un record PTR (conosciuto come Reverse DNS entries for MX records) dove sia presente il nome host del smtp server e il relativo indirizzo pubblico (scritto all'inverso).
Vi riporto come esempio il suddetto record PTR compilato correttamente da IBM.com
Per verificare questi dati potete andare sul sito www.dnsreport.com ed inserire il dominio di posta che vorrete verificare.
Se tale record è compilato e i dati di indirizzo IP e hostname corrispondono ai dati presentati nel inizio sessione SMTP allora domino accetta la transizione, altrimenti la rifiuta.
Tenete presente che mediamente i server usati dagli spammer sono difficilmente server registrati correttamente nei DNS (altrimenti sarebbe facile bloccarli e individuarli mediante blackl-ist)
Contro: La compilazione di questo campo è facoltativa anche se molti IT si sono sensibilizzati sulla questione. Se attivato domino non accetterà transizioni di posta da nessun server che non avrà correttamente compilato il Reverse DNS record. Mi raccomando prima di attivarlo valutate con attenzione la questione, perché è un controllo di basso livello, ossia non è possibile personalizzarlo mediante white-list.
3 Commenti:
io sto usando da un po' di tempo NotesAntiSpam, recensito qualche tempo fa da DP, funziona benissimo e filtra circa l'80-90% di spam. Vi consiglio di provarlo.
ciao
P.
ciao Dario, bhe sicuramente con la R7 in front-end potendo gestire le white-list sono più gestibili le RBL, dato che entrarci è facile, uscirne a volte è quasi impossibile... sul reverse lookup... non è di certo la soluzione del problema ma di sicuro ne è un aiuto. Da un pò di tempo si parla del'Spf (Sender Policy Framework)... Attualmente domino non lo supporta perchè non è stato ancora definito come standard...(pare che la 7.0.2 lo supporterà), questo sistema basato sempre su record appositamente compilati nei DNS + una sorta di white-list dovrebbe fortemente ridurre il problema, ma come tutte le cose.... fatta la legge, trovato l'inganno
In base alla mia esperienza ritengo che l'utilizzo di RBL è invece abbastanza affidabile, se non addirittura il più affidabile di quelli disponibili, certamente non permette di rilevare tutte le mail di spam, però già da solo garantiscono di indentificare come spam almeno 6 mail su 10 che effettivamente lo sono. Il problema è trovare il giusto equilibrio, ci sono black-list che sono troppo restrittive e che causano molti falsi positivi.
La reverse lookup invece stà perdendo d'efficacia, la maggior parte dello spam parte da pc infettati da maleware vari, tipicamente postazioni casalinghe non adeguatamente protette ma connesse con adsl o altro. Però gli isp inseriscono anche per gli ip dinamici i ptr record nei dns, inficiando quindi l'utilità di tale verifica.
Non avendolo fatto prima, farò un giro nel forum per leggere quanto è stato già scritto sulle soluzioni software, l'argomento è sicuramente interessante.