Consigli per i provider




È opportuno per un provider interessarsi al problema dello spam?

Senza alcun dubbio.
Prima di accennare a qualcosa di ciò che i provider possono fare, vorrei dare loro un po' di buone ragioni concrete. A questo scopo mi appoggerei ad uno studio specifico, condotto da un istituto assai celebre che si occupa di indagini di mercato nel mondo della tecnologia dell'informazione. La ricerca è stata condotta proprio per chiarire il punto più importante: il modo in cui il problema dello spam viene affrontato da parte di un provider influisce sul successo di quel provider nel mantenere la propria clientela?

I riferimenti esatti all'istituto e alla ricerca in questione potete trovarli in questo file.

Data l'autorevolezza della fonte, la lettura delle 14 pagine di tale report si raccomanda senz'altro. Per immediatezza riassumo qui i punti più significativi.

Per trarre delle conclusioni, ai provider mi sentirei di dire: Fate qualcosa. Lo spam sta rendendo peggiore il prodotto che voi vendete, e sta vanificando in buona misura i vostri sforzi per fornire un servizio buono a costi contenuti.


Cosa dovrebbe fare un provider

I provider americani, tranne alcuni, tendono a considerare il problema meritevole di attenzione. Quando qualcuno di loro viene criticato per inefficacia, il problema è in molti casi transitorio: può essere il sottodimensionamento del reparto che gestisce le violazioni alla policy (poche persone oberate di lavoro non possono impedire, in certi periodi, l'accumularsi di reclami inevasi). Quanto all'Italia, il problema era all'inizio trascurato ma, nel tempo, il consenso sulla necessità di impedire gli abusi si è sempre più esteso.

Ora proviamo a vedere un elenco di cose che si devono raccomandare ad ogni provider.

  1. Dotarsi di un proprio regolamento di servizio. Di buoni regolamenti, che prevedano un quadro completo di comportamenti non ammissibili, se ne possono trovare in rete (per esempio, ci se ne può far consigliare su news.admin.net-abuse.email, posto che si provveda poi agli opportuni aggiustamenti in base al diritto italiano). Occorrerebbe richiamare il regolamento nei contratti firmati dagli abbonati, in modo che ne fosse accettata a priori la applicazione. Il tutto dovrebbe essere scritto con la necessaria consulenza legale, in modo che in caso di violazioni non ci fossero appigli che consentissero, al contravventore, di aprire un contenzioso legale. Tra i comportamenti vietati ci deve essere innanzitutto l'invio mediante email di ogni genere di pubblicità o avvisi non richiesti dai destinatari (prescrivendo che documentazione di tali richieste dei destinatari debba essere conservata ed esibita in caso di contestazioni); si dovranno ugualmente vietare gli spam su newsgroup, nonché le chain-letter e simili, comunque diffuse. Tali comportamenti dovranno essere vietati anche se effettuati tramite altri provider, qualora pubblicizzino pagine ospitate dal servizio oggetto del contratto. Deve inoltre essere prescritto, ai clienti che intendessero usare il servizio per diffondere newsletter e/o mailing list, di adottare un meccanismo di conferma per qualunque richiesta di iscrizione a tali newsletter o mailing list. Poi, così come si proibisce di solito l'uso del servizio per distribuire software pirata, si deve proibire la promozione o distribuzione di software mirato all'invio di junk email o di spam su Usenet (i prodotti spesso indicati come spamware), servizi di bulk email e programmi mirati a provocare attacchi di tipo denial of service, mailbomb e simili. Il regolamento d'uso del servizio deve essere infine reso pubblico tramite una apposita pagina web.
  2. Non consentire a nessuno l'accesso al servizio senza avere accertato le generalità del richiedente. Per lungo tempo, una tra le più grandi iatture della rete è stata la diffusione in edicola di riviste cui erano allegati abbonamenti gratuiti (per es. di 15 giorni) che, come era stato accertato, consentivano di accedere alla rete senza dare alcuna prova della propria identità. Problema analogo si pone con l'accesso internet cosidetto gratuito. È ovvio che qualsiasi spammer riuscirebbe sempre ad essere in rete se potesse accendere un nuovo abbonamento gratuito ogni volta che gli fosse revocato l'accesso. E' quindi indispensabile che i clienti vengano sempre identificati. Anche se si intende concedere un abbonamento di prova di due giorni, bisogna farsi inviare via fax la carta di identità del richiedente, o adottare altre procedure che diano il medesimo risultato finale. Bisogna proprio evitare di accettare un cliente che avesse già dato problemi in passato. In Italia risulta che provider di primaria importanza già adottino con successo il bando degli utenti indesiderabili, identificandoli in base all'identificativo chiamante della linea usata per le connessioni dial-up.
  3. Aprire una casella abuse@nomedominio. Se si utilizzano più nomi dominio un'alias abuse va creato per ciascuno di essi. Si evitino nomi di caselle insoliti e si adotti abuse, che tutti provano per primo. Sarebbe poi utile comunicare tale indirizzo alla Abuse Net per l'inserimento nella loro lista pubblica dei contatti per segnalazione abusi (hanno una apposita mailbox update). Sarebbe anche opportuno indicare l'indirizzo abusi nella pagina web contenente il regolamento d'uso dei servizi e, se esiste, anche nella pagina che riepiloga tutti i contatti con i quali è possibile comunicare con l'azienda. Non si raccomanderà mai abbastanza di tenere presente che coloro che segnalano abusi ad un provider gli stanno facendo un favore e che, di conseguenza, è interesse di ogni provider facilitare al massimo tale opera di segnalazione. È inammissibile pretendere che le segnalazioni passino, per esempio, tramite un form web: chi lo fa (si conoscono un paio di casi al mondo) viene giustamente messo alla berlina su RFC-Ignorant e va, prima o poi, incontro a vari inconvenienti. È pure altamente raccomandabile fornire una qualche forma di riscontro a coloro che inviano segnalazioni.
  4. Configurare con molta attenzione il proprio software. Scoprire, il giorno in cui se ne avesse la necessità, che un server non include nel log i record necessari a individuare gli autori degli abusi è cosa assai spiacevole. Almeno altrettanto spiacevole è scoprire di avere un relay aperto il giorno in cui ci si trovasse la CDN congestionata, mentre il server lavora alacremente per conto di uno spammer americano (tralasciamo le centinaia di email furibonde che per giorni continuerebbero ad arrivare da ogni parte del mondo). Fate soprattutto attenzione ad ogni upgrade di software ai mail server: provate prima ogni nuovo release su una macchina di test, verificando dall'esterno che il relay non sia abilitato. Tenete presente che, per giungere ad escludere che un server accetti relay di terze parti, occorrono test multipli piuttosto sofisticati. Abuse.net e mail-abuse.org forniscono tool online adeguati allo scopo.
  5. Individuare alcune persone che si occupino delle segnalazioni ricevute. Questo dovrebbe accompagnarsi all'adozione di soluzioni tecniche che consentissero alle persone in questione di operare speditamente nella trattazione degli incidenti (per esempio, prevedendo la disponibilità immediata dei log e adottando software gestionale di supporto, per esempio per registrare i reclami ricevuti, aggregarli per incidente e per utente ecc..). Le medesime persone sarebbero pure nelle migliori condizioni per occuparsi anche della assistenza ai clienti che fossero oggetto di abusi di rete. Naturalmente, bisognerebbe fare in modo che queste persone disponessero della formazione opportuna (punto su cui, in genere, gli imprenditori italiani sono assai poco sensibili): a costoro verrebbe infatti richiesto di masticare come niente protocolli di rete (soprattutto IP, TCP, SMTP, NNTP), DNS, le varie problematiche relative alla cancellazione dei messaggi Usenet, per finire all'individuazione di attacchi denial of service, ping storming eccetera. C'è da dire che la maggior parte dell'informazione necessaria può essere reperita direttamente in rete. Tali persone dovrebbero essere in numero sufficiente per non essere oberate di lavoro e per fare in modo che abbiano il tempo di seguire quotidianamente i principali forum dedicati agli abusi di rete. Un ulteriore consiglio: queste persone siano istruite in modo che si occupino degli abusi di rete e si tengano fuori dalle beghe tra utenti. Sono infatti stati riportati casi in cui certi abuse desk hanno redarguito o minacciato provvedimenti contro utenti che avevano semplicemente discusso in toni un po' sopra le righe. Sia chiaro che il compito dell'abuse desk non ha nulla a che vedere con quello di un insegnante d'asilo.
  6. Adottare misure di protezione verso le mailbox dei propri utenti. Dato che il problema dello spam è in crescita, gli utenti iniziano ad aspettarsi che i loro provider facciano qualcosa per fermarlo. Quanto meno, l'utente che si vede arrivare uno spam che sarebbe stato facilmente bloccabile (per esempio, giunto direttamente dal netblock di una grossa e famosa spamhaus o da un plurilistato proxy aperto in Corea), è sempre meno disposto a subirlo e piuttosto si chiede se, negli uffici del suo provider, esistano o meno forme di vita intelligente. È quindi importante porsi al più presto il problema, e certamente le misure più efficaci, che possono immediatamente sgravare gli utenti di molto spam bloccabile, sono le blacklist. Tempo fa consigliavamo di configurare il sistema in modo da avvalersi automaticamente di MAPS RBL, DUL e RSS. Ora la scelta è più articolata: ci sono molte altre possibilità ma anche, di conseguenza, una maggiore responsabilizzazione per le scelte che si fanno. Rimandiamo alle pagine in cui trattiamo le blacklist e, soprattutto, alle opportune aree di discussione, che seguono l'attualità molto più in tempo di quanto possa fare questo sito. Dato che l'uso di queste liste è normalmente piuttosto semplice dal punto di vista tecnico, non c'è proprio alcun motivo per rinunciare ad avvalersene. Se il software del vostro server non consente di sfruttare queste liste, considerate seriamente di cambiarlo o, eventualmente, di ricevere la posta in arrivo su una macchina di front-end che effettui il filtraggio (un sistema Linux o *BSD con un MTA sicuro e configurabile come Postfix può essere a questo scopo una soluzione ottima ed economica). Qualunque scelta si faccia in materia di blacklist, si preveda in ogni caso la possibilità di aggiungere una lista nera propria e anche una whitelist, con cui stabilire eccezioni alle blacklist utilizzate. Riguardo alla blacklist locale, la cosa migliore è metterla assieme in base alle proprie esperienze, soprattutto per quanto riguarda gli spammer italiani. Andrebbe sfruttato il gruppo di discussione italiano (it.news.net-abuse), in cui le notizie relative agli spammer italiani possono giungere prima che altrove. Altrettanto dicasi per le utilissime mailing list del NIC.it, che realizzano un archivio degli spam provenienti da domini italiani. Inoltre sarebbe bene fornire ai propri utenti filtri personalizzabili attivi sul server della posta in arrivo. L'utente dovrebbe poter decidere di far respingere direttamente dal server tutte le e-mail che soddisfano o non soddisfano a certe condizioni (per esempio, che in certi header compaiano certe stringhe). Si dovrebbe infine considerare l'opportunità di richiamare, nei contratti di adesione al servizio, il fatto che la connettività relativa alla posta elettronica in arrivo sia limitata per via dell'utilizzo di blacklist, scelte a discrezione dei responsabili del servizio. In altre parole, gli utenti devono avere chiaro che non tutti potranno inviargli email. Ci sono comunque soluzioni software che consentono, agli utenti di un server, di operare scelte individuali sulle blacklist da adottare, ciascuno per la propria casella. Quello che consigliamo di evitare sono quel tipo di regole che agiscono "in silenzio", accettando apparentemente la transazione smtp in arrivo e, poi, scartando il messaggio se questo viene considerato essere spam. Ci pare prevalente in rete l'opinione, peraltro anche da noi pienamente condivisa, secondo cui è fondamentale che, per le email respinte, si abbia una chiara segnalazione di errore già durante la transazione smtp: in questo modo, il mittente di una email legittima che venisse respinta come spam potrebbe, quanto meno, rendersene conto al più presto.

Sui punti qui elencati e su altri ancora esiste un documento utilissimo pubblicato dal RIPE: "Good Practice for combating Unsolicited Bulk Email" (ripe-206). Direi senz'altro che la prima cosa da fare è leggerlo per bene e più volte, poi darsi l'obiettivo di metterlo in pratica nel minor tempo possibile e senza tralasciare nulla.


Esistono esperienze interessanti di attività antispam da parte di provider italiani?

Sì, c'è chi già si è mosso. Un esempio significativo da citare (il primo di cui venni a conoscenza) è la sezione antispam del sito di Spin. La visita del relativo link si raccomanda. Qui vorrei rimarcare alcune di quelle che mi sono sembrate le idee migliori messe in atto da Spin.

È senz'altro incoraggiante che la sensibilità al problema stia crescendo presso i provider italiani e che la strada sia ormai stata aperta (e partendo su livelli di qualità che nulla hanno da invidiare ai provider americani).

È vero che questo tipo di impegno ha un costo nell'immediato, tuttavia ci si deve anche chiedere qual è il costo in cui si incorrerebbe, nel medio-lungo termine, scegliendo di non fare nulla. Gli utenti diventeranno sempre più sensibili a certi aspetti della professionalità del servizio che acquistano, e queste cose iniziano già ad essere molto determinanti per formarsi una valutazione in tal senso.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 24 dicembre 2002

Leonardo Collinelli

e-mail