Il problema dello SPAM e/o phishing oramai
è noto e sicuramente chiunque di voi Notesiani o meno hanno dovuto affrontarlo.
Le statistiche che si possono leggere un pò ovunque su siti specializzati
o riviste danno allo spam una fetta di traffico in internet decisamente
alta e preoccupante. Per esperienza personale posso dire che almeno il
50% della posta in entrata su server SMTP e mediamente spam.
Esistono ovviamente molti software specializzati e o metodi per arginare
il problema. In questo articolo cercherò di darvi le ricette più utili:
Software Dedicati Antispam________________________________________________________
A grandi linee ho potuto usare e valutare un pò tutti i prodotti Antispam
disponibili per la piattaforma Domino. Parlando di quelli a pagamento (con
licenza) devo dire che nessuno brilla in particolare.
Se invece parliamo di prodotti specializzati come Appliance o software
dedicati con proprio motore SMTP, allora la qualità sale decisamente. Non
voglio fare pubblicità a nessuno ma esistono prodotti che mi hanno dato
statisticamente parlando ottimi risultati.
Per quanto concerne soluzioni OpenSource, è già stato trattato sia nel
Forum di Dominopoint che in alcuni articoli su questo blog la soluzione
Kspam dove il nostro Zazza sembra esserne il pù ardito installatore/sostenitore.
Dai suoi commenti sembra essere soddisfatto di come lavora. Ma ovviamente
stiamo parlando di OpenSource, quindi non tutti possono permettersi o possono
avere interesse a lavorare con questa tipologia di software
per vari motivi.
link agli articoli su Antispam opensource:
Tutorial
sull’installazione di KSPAM
Kspam:
quick guide
Kspam
e dcshield
Funzioni di Domino Antispam__________________________________________________________
Premessa1: In questa analisi sono esclusi i filtri di Black-list e white-list
e altri filtri di controllo su domini, internet-address, etc.. perchè in
primo luogo a mio avviso sono poco incisivi e comunque se siete interessati
vi invito a leggere questo redbook:
Lotus
Domino 6 Spam Survival guide
Premessa2: Le considerazioni di sequito
sono valide nella condizione in cui vengano implementate su SMTP Domino
esposto, ossia che riceve posta direttamente dai server SMTP degli altri
domini pubblici, se ci fosse un relay statico in entrata prima di domino
le seguenti valutazioni dovranno essere riconsiderate.
Se il vostro antispam non vi soddisfa appieno, esistono almeno tre funzioni
in domino che possono aiutarvi a migliorare la situazione.
In realtà non si tratta di vere funzioni antispam ma di controlli soprattutto
a livello DNS pubblico per validare utenti e server di spedizione.
Ecco in dettagli le tre funzioni che trovate nel documento di configurazione
del server nella sezione Router/SMTP - Restrictions and controls - SMTP
inbound Controls:
Verify that local domain recipients exist in the Domino Directory:
Pro: questa funzione è utile a tenere pulite le mail.box del server
perché rifiuta a priori qualsiasi messaggio destinato ad indirizzi locali
inesistenti
Contro: eseguendo un Directory harvest attack è possibile rilevare
in base alle risposte del server domino quali indirizzi sono validi e quali
no. Questo avviene semplicemente perché l'SMTP di domino risponderà al
Attaccante rifiutando gli indirizzi inesistenti, quindi per differenza
si possono ottenere le liste degli indirizzi che sono andati a buon fine.
Verify sender's domain in DNS:
Pro: Quando L'SMTP di Domino riceve una comunicazione per lo scambio
posta da un'altro SMTP dopo il messaggio di greeting, il server mittente
inizia la comunicazione con:
Mail from: pippo@acme.com
Attivando questo controllo domino verificherà nel DNS se il domino "FROM"
(ossia acme.it) è una zona registrata ed esistente (quindi valida). Se
ciò è vero la mail viene permessa altrimenti viene rifiutata per Policy
reasons.
Contro:
Attenzione se utilizzate servizi SMTP da stampanti o affini che usano l'SMTP
di domino per l'instradamento della posta. Se questi servizi non usano
un indirizzo valido (del vostro dominio) come mittente verranno negati
da Domino.
Verify connecting hostname in DNS:
Pro: Questa è decisamente una delle funzioni più valide contro gli
spammer. Di fatto attivandolo, l'SMTP di domino prima di accettare una
transizione SMTP verifica nel DNS pubblico l'esistenza di un record PTR
(conosciuto come Reverse DNS entries for MX records) dove sia presente
il nome host del smtp server e il relativo indirizzo pubblico (scritto
all'inverso).
Vi riporto come esempio il suddetto record PTR compilato correttamente
da IBM.com
Per verificare questi dati potete andare sul sito www.dnsreport.com
ed inserire il dominio di posta che vorrete verificare.
Se tale record è compilato e i dati di indirizzo IP e hostname corrispondono
ai dati presentati nel inizio sessione SMTP allora domino accetta la transizione,
altrimenti la rifiuta.
Tenete presente che mediamente i server usati dagli spammer sono difficilmente
server registrati correttamente nei DNS (altrimenti sarebbe facile bloccarli
e individuarli mediante blackl-ist)
Contro: La compilazione di questo campo è facoltativa anche se molti
IT si sono sensibilizzati sulla questione. Se attivato domino non accetterà
transizioni di posta da nessun server che non avrà correttamente compilato
il Reverse DNS record. Mi raccomando prima di attivarlo valutate con attenzione
la questione, perché è un controllo di basso livello, ossia non è possibile
personalizzarlo mediante white-list.
Guerra agli Spammer....
- 07/06/2006
- 3 commenti
3 Commenti:
io sto usando da un po' di tempo NotesAntiSpam, recensito qualche tempo fa da DP, funziona benissimo e filtra circa l'80-90% di spam. Vi consiglio di provarlo.
ciao
P.
ciao Dario, bhe sicuramente con la R7 in front-end potendo gestire le white-list sono più gestibili le RBL, dato che entrarci è facile, uscirne a volte è quasi impossibile... sul reverse lookup... non è di certo la soluzione del problema ma di sicuro ne è un aiuto. Da un pò di tempo si parla del'Spf (Sender Policy Framework)... Attualmente domino non lo supporta perchè non è stato ancora definito come standard...(pare che la 7.0.2 lo supporterà), questo sistema basato sempre su record appositamente compilati nei DNS + una sorta di white-list dovrebbe fortemente ridurre il problema, ma come tutte le cose.... fatta la legge, trovato l'inganno
In base alla mia esperienza ritengo che l'utilizzo di RBL è invece abbastanza affidabile, se non addirittura il più affidabile di quelli disponibili, certamente non permette di rilevare tutte le mail di spam, però già da solo garantiscono di indentificare come spam almeno 6 mail su 10 che effettivamente lo sono. Il problema è trovare il giusto equilibrio, ci sono black-list che sono troppo restrittive e che causano molti falsi positivi.
La reverse lookup invece stà perdendo d'efficacia, la maggior parte dello spam parte da pc infettati da maleware vari, tipicamente postazioni casalinghe non adeguatamente protette ma connesse con adsl o altro. Però gli isp inseriscono anche per gli ip dinamici i ptr record nei dns, inficiando quindi l'utilità di tale verifica.
Non avendolo fatto prima, farò un giro nel forum per leggere quanto è stato già scritto sulle soluzioni software, l'argomento è sicuramente interessante.