La corretta controffensiva allo spam: RECLAMARE




Chi si fa pecora il lupo se lo mangia.


Non siamo costretti a subire: qualcosa possiamo fare

Nel capitolo precedente abbiamo visto una serie di cose da non fare.
Ora vediamo qual è l'unico provvedimento che può (anche se non nel 100% dei casi) rivelarsi efficace.

Esiste una sola cosa che possa mettere lo spammer in condizione di non poter più nuocere: perdere l'uso delle risorse che gli danno una presenza in rete.
Se il suo provider gli cancella improvvisamente l'abbonamento, lo spammer cercherà di attivarne un altro presso un altro provider. Fino a quel momento non potrà che rimanere fermo con il suo discutibile "lavoro", così la nostra mailbox avrà finalmente un po' di giorni di tranquillità. Eventualmente, dopo aver trovato un altro provider il nostro spammer non potrà non chiedersi se vale la pena di farsi cacciare via anche da lì. Dover cambiare provider ogni qualche giorno è indubbiamente snervante anche per gente di notevole protervia, come viene indirettamente confermato dal fatto che, ogni tanto, si vedono pubblicizzare prodotti per spammer e connessioni spam-friendly con frasi tipo: "Siete stanchi di perdere continuamente il vostro account?".

Ovviamente questo provvedimento può essere preso solo da chi fornisce allo spammer la connettività in rete, vale a dire dal suo provider. È quindi al suo provider che bisogna rivolgersi, cosa che si fa via e-mail.


Come esattamente si deve procedere

Tutti questi passi richiedono ampia trattazione, cui sono dedicati appositi capitoli.


Vale la pena di prendersi questo fastidio?

La risposta è senz'altro SI`. Se nessuno mandasse le segnalazioni, i provider non avrebbero alcun mezzo per far rispettare i propri regolamenti d'uso del servizio, e neppure di rendersi conto tempestivamente dell'esistenza del problema. Gli spammer dilagherebbero e, di conseguenza, il volume di messaggi commerciali indesiderati esploderebbe, travolgendo la maggior parte delle infrastrutture di rete e dei server. La posta elettronica diventerebbe ben presto inservibile come mezzo di comunicazione. Passando poi al punto di vista più individuale-utilitaristico, se appare che uno spammer possiede il vostro indirizzo di email, lasciarlo operare indisturbato è ovviamente solo a vostro svantaggio.

Nel caso qualcuno avesse ancora degli scrupoli, gioverà riflettere sul fatto che inviare spam come normale prassi, semplicemente perché lo si ritiene vantaggioso e ignorando i danni che in questo modo si provocano, è anche e soprattutto un comportamento antisociale. È nell'interesse di tutti (fuori che degli spammer, ovviamente) fare in modo che l'invio di spam non possa essere profittevole.


Ci sono dei rischi?

A questo si può tranquillamente rispondere di no. Reclamare quando si riceve spam è la soluzione più diffusa, praticata da tantissime persone in tutto il mondo. Quando si reclama contro un messaggio di spam, è molto probabile che ci si trovi in compagnia di molti altri utenti che abbiano ricevuto lo stesso spam e, a loro volta, abbiano reclamato. In ogni caso, nessuno vi verrà mai a cercare di persona. Agendo incautamente si può al massimo rischiare di ricevere più spam: comunque, l'unico caso in cui questo rischio esiste è quando lo spammer è il provider di sè stesso e, quindi, è proprio lui a ricevere il reclamo. Vedremo come evitare questo errore (tuttavia, se anche accadesse, a tutto c'è rimedio).


Non potrei semplicemente mettere filtri sulla mia posta in arrivo?

In questo paragrafo parliamo di filtri intendendo delle "regole", da verificarsi sul testo delle email in arrivo una volta che siano state ricevute. A seconda che ciascuna regola risulti verificata o no, si otterrà un differente trattamento del messaggio. Tanto per capirci, un esempio tipico potrebbe essere di questo genere:
SE il titolo della mail contiene la parola "enlargement" ALLORA cancella il messaggio

Se state pensando di poter essere voi stessi, in qualità di utente, a impostare dei filtri sulla vostra posta in arrivo, si tratta di una soluzione che in effetti molti adottano ma che ha dei limiti.
Occorre innanzitutto distinguere tra i vari tipi di filtro gestibili da parte di un utente.

Tentando di riepilogare, in pratica possiamo incontrare:

Traendo le conclusioni, la soluzione dei filtri settati dall'utente ha dei limiti piuttosto pesanti:

In conclusione, potremmo fare un paragone dalla vita di tutti i giorni: cercare di risolvere il problema dello spam con dei filtri assomiglia a voler risolvere il problema dell'inquinamento portando una mascherina filtrante davanti alla faccia, invece che prendendo provvedimenti contro chi inquina.

Nel caso in cui qualcuno dubitasse sul fatto che gli spammer, come detto poco sopra, siano sempre in cerca di tecniche per aggirare i filtri, al fine di far arrivare i loro messaggi anche sui sistemi di coloro che assolutamente e al di là di ogni dubbio non li vogliano, sarà illuminante la lettura di questo breve passo, con cui si concludeva un messaggio di spam via email. Va detto che lo stratagemma impiegato in questo caso, ossia l'inserimento di testo random entro il corpo del messaggio, non è gran che e, verisimilmente, non giova per superare alcun filtro. È tuttavia indicativo che l'intenzione ci sia e che venga così serenamente ammessa:

NOTE:
Please ignore anything below the End of Message line. What looks like extraenuous
text is automatically inserted into our messages by our software mailing program
and constitutes what is call a "unique text insertion" or UTI.
It allows this message to bypass filters on some of the larger domains. That's all.
Thank you for understanding.

End of message.
*******************************************************
Thus, within given parameters, initiation of critical
subsystem development does not affect the structure of
problems of phonemic and morphological analysis.
*******************************************************

Tutte queste considerazioni si riconducono ad una: la ragione principale (indipendente da ogni considerazione sulla tecnologia disponibile) per cui la soluzione dei filtri non è accettabile è che, in tal modo, si scarica sull'utente l'onere di tenere le email indesiderate fuori dalla propria mailbox. Appare come unica soluzione equa che l'onere di non inviare email a chi non le ha richieste sia lasciato su chi intende trarre profitto da quel mailing.


Se qualcun altro ha già reclamato io posso farne a meno?

È meglio farlo ugualmente. Se il provider destinatario riceve molti reclami si renderà meglio conto della dimensione del problema ed è più probabile che si adoperi per risolverlo.


Come si comportano i provider che ricevono il reclamo?

La risposta, ovviamente, varia caso per caso. In generale, non è vero che i provider rifiutino di intervenire al fine di non perdere un abbonato. La maggior parte dei provider seri si è dotata di norme esplicite di corretto comportamento, spesso richiamate nei contratti di abbonamento. Tali norme sono in genere disponibili al pubblico sul sito web del provider e indicate con denominazioni varie; le più comuni sono "Terms and Conditions", "Terms of Service" (TOS) oppure "Acceptable User Policy" (AUP). Nella maggior parte dei casi queste regole prevedono che, in caso di violazione, l'utente perda il diritto ad usare il servizio, eventualmente nel caso in cui la violazione si ripetesse dopo un primo avviso. Per un fornitore di accesso, avere una buona AUP e farla rispettare è segno di serietà, che mette in buona luce davanti alla comunità della rete e costituisce, pertanto, un patrimonio in termini di immagine assai più importante della perdita di qualche abbonato ogni tanto. Le organizzazioni più sensibili a questo argomento tengono in attività dei gruppi di persone incaricate appunto di leggere i reclami che pervengono e svolgere gli accertamenti del caso. Per queste organizzazioni, i reclami a loro inviati sono un aiuto a far rispettare le proprie regole.
Ci sono, purtroppo, anche provider meno sensibili (di solito definiti spam-friendly), di cui si hanno esempi anche rilevanti in tutto il mondo. Talvolta la reputazione di certe reti è soggetta ad alti e bassi negli anni, per svariate e non sempre chiare ragioni organizzative interne che influenzano la loro capacità di gestire il fenomeno.


Che succede se spedisco il reclamo alla rete sbagliata?

Nessuno vi verrà a fare rimproveri. Teoricamente, il destinatario potrebbe rispondere per dire "io non c'entro", ma è più comune che il reclamo venga scartato senza ulteriori perdite di tempo.


Cosa succede ai provider che non combattono lo spam o, addirittura, lo proteggono?

Queste organizzazioni si rendono presto ben conosciute: potete sentirle nominare spesso nei newsgroup in cui si parla di spam. Nei casi più gravi, i loro indirizzi di rete finiscono sulle "liste nere" che molti amministratori di sistema utilizzano per bloccare il traffico di e-mail in arrivo sui loro server. L'utilizzo di blacklist dinamiche, mantenute aggiornate grazie al continuo lavoro di apposite organizzazioni, si sta rivelando uno dei mezzi principali per forzare la cessazione di casi anche eclatanti di abusi dell'email. Di queste blacklist si parlerà pertanto più diffusamente in altre pagine di questo sito, per ora ci basti osservare che le reti che rifiutano di bloccare il loro spam e vengono conseguentemente iscritte nelle blacklist più importanti rimangono, in pratica, letteralmente tagliate fuori da vaste porzioni della rete. È per questo motivo che, anche infischiandosene del continuo flusso di proteste e della pubblicità assai negativa che presto le circonda, in molti casi queste organizzazioni rivedono alla svelta le loro posizioni e si decidono ad adottare norme di correttezza da imporre ai loro utenti.

Quindi, come sempre nella vita di ogni comunità, la salvezza sta nella consapevolezza collettiva e nell'impegno di ciascuno.
Quando uno qualunque di noi reclama contro uno spammer, il suo reclamo torna a beneficio di tutti.

Può essere interessante riprendere l'esempio di Cyberpromo. Si trattava di una azienda dedicata esclusivamente all'attività di invio di spam. In rete si trova molto materiale utile per saperne di più su Cyberpromo, sulla sua storia e sul suo presidente e fondatore, Sanford Wallace (soprannominato, non a caso, "Spamford", cosa di cui si è spesso dichiarato fiero). Si possono anche trovare fotografie di Wallace e brevi interviste in formato audio. Quest'uomo è stato, sicuramente, tra i più odiati frequentatori della rete, sostenitore della posizione (fortunatamete sempre rifiutata dai tribunali) secondo cui qualunque provider o fornitore di connettività tra reti sarebbe tenuto a veicolare pure i suoi fastidiosi annunci, e che il rifiuto equivarrebbe a censura contro la libertà di parola. In conformità a questa sua posizione, Cyberpromo ha profuso un pluriennale sforzo per costringere il resto della rete a servire, di fatto, i suoi scopi: da qui infiniti trucchi, cambiamenti di numerosi nomi di dominio e quant'altro potesse servire per aggirare i filtri che tutti adottavano per evitare di ricevere la sua posta. Le proteste della rete si rivolsero quindi all'upstream provider, ossia a chi forniva a Cyberpromo la connessione alla rete. Nella fattispecie si trattava di AGIS, a cui si iniziò a chiedere insistentemente di "staccare la spina" a Wallace. Per molto tempo AGIS fu assolutamente insensibile a queste richieste, mirando a proporre una propria soluzione al problema dello spam. La visione di AGIS prevedeva una regolamentazione (peraltro basata su principi inaccettabili) delle modalità entro le quali lo spam dovesse essere praticato per divenire "legittimo". Sulla base di questi principi AGIS si mise a vendere molti accessi spam-friendly. Tale politica ha palesemente dimostrato il più completo fallimento: gli stessi spammer, che ne avrebbero dovuto beneficiare, non volevano saperne di osservare le prescrizioni. Alla fine, sempre più sommersa di proteste e riprovazione, AGIS si rese conto di essersi messa in una situazione non sostenibile e si decise a liberarsi della sua scomoda compagnia. Il 16 ottobre 1997, AGIS staccò la spina a Cyberpromo. Nell'aprile 1998, dopo ulteriori sconfitte legali, dichiarandosi stanco e ammettendo la sconfitta del proprio disegno, Sanford Wallace annunciò la definitiva cessazione della sua attività di spammer. Nell'estate del 98 Sanford Wallace aprì un suo sito web che, a parte una pagina (a dire il vero un po' misera) di link antispam, era dedicato alla musica creata al computer. Stando a quanto dicevano coloro che avevano avuto modo di ascoltare le sue creazioni, sembra che non fosse neanche malaccio. Un uomo nuovo, quindi, il cui passato ormai si affaccia solo nello pseudonimo che si era dato: DJSPAMMY.
La morale che si può cogliere nella storia è questa: se non ci fosse stata una così forte, tenace e diffusa sollevazione degli utenti di rete, a tutt'oggi avremmo uno spammer in più ed un musicista in meno.

Purtroppo a volte si possono trovare interlocutori che (cerchiamo di essere ottimisti) non hanno ancora avuto il tempo per informarsi adeguatamente. Questo esempio (che ho trovato leggendo il newsgroup it.news.net-abuse) è la riposta che qualcuno ha riferito di avere ricevuto in risposta ad un reclamo per spam:

Grazie per averci scritto.
Per evitare che questi maleducati ti importunino può scegliere di bloccare alcuni indirizzi o di costruire dei filtri.Grazie per averci inviato questa e-mail, per qualsiasi ulteriore problema conta pure sul nostro aiuto.

Una simile risposta non è accettabile e denota incompetenza. Quando diventa di dominio pubblico, una risposta come questa intacca piuttosto seriamente la reputazione di chi l'ha firmata. Probabilmente molti di coloro che ne venissero a conoscenza deciderebbero di mettere in pratica l'idea dei filtri: per bloccare tutto ciò che provenga dal sistema di questo "postmaster", al quale pare normale che per un problema suo (suo è l'utente che ha spammato) sia lasciato ai danneggiati l'onere di trovare rimedio allestendo filtri o altre diavolerie.

A volte anche gli americani riferiscono risposte del tipo sopra riportato: le sintetizzano nella frase "Shut up and eat your spam", ossia: mangia il tuo spam e sta zitto.


Ho segnalato ripetutamente uno spammer a chi di dovere e vedo che non viene fermato. Cosa posso fare?

È una situazione che può verificarsi: dopo più segnalazioni si constata che i provider in questione non interrompono la fornitura di servizi allo spammer. Per esempio, continuano a fornire hosting al sito dello spammer o ai dns o ad altre risorse che lo spammer utilizza. In questi casi, siccome noi siamo semplicemente utenti, il potere di cui possiamo disporre è molto limitato. C'è però una cosa, alla portata di tutti noi, che può dare una forza speciale anche alle nostre piccole segnalazioni: inserirle sulle aree appositamente costituite, in modo che restino pubblicamente archiviate. Per ora non entriamo nei dettagli, dato che ancora non abbiamo neppure visto come si fanno le segnalazioni né come si può capire a chi vadano inviate. Pertanto, nelle prossime pagine dovremo innanzitutto occuparci di tali nozioni di base. Per quando avrete imparato a fare le segnalazioni e vi sentirete abbastanza sicuri, il passo successivo sarà capire come si usano le risorse che, appunto, consentono la pubblica archiviazione delle segnalazioni. Ad oggi queste risorse sono il newsgroup news.admin.net-abuse.sightings per gli spammer internazionali e la lista Abuse del NIC per gli spammer italiani. Se ne riparlerà nella pagina di link.


Ci sono provider che, quando ricevono una segnalazione, la passano allo spammer?

Ebbene sì, ce ne sono, la cosa è stata documentata più volte, anche perché certi provider lo hanno candidamente ammesso. In alcuni casi sono stati portati alla luce dei veri e propri contratti, tramite i quali un provider si impegnava a consentire che un certo cliente spammasse, senza prendere alcun provvedimento a fronte dei reclami ricevuti se non trasmetterglieli. Casi del genere, rari ma che di tanto in tanto succedono, sono detti pink contract (il folklore diffuso nella comunità antispam associa da sempre il colore rosa allo spam). Le reti che sottoscrivono questi tipi di contratti hanno in genere una reputazione molto compromessa e, manco a dirlo, finiscono dritti in varie blacklist, sia pubbliche che private.

In passato si sono avuti casi eclatanti di contratti "pink" da parte di grosse compagnie. Di fronte all'infamia che ne è derivata, le aziende in questione hanno reagito facendo macchina indietro e dando la colpa a sfortunate circostanze, come il verificarsi di disguidi e disorganizzazione, per cui qualche controllo era stato omesso. Di conseguenza, sempre secondo le spiegazioni ufficiali, qualche "venditore rampante" aveva potuto formalizzare questi sciagurati contratti, così contrari alle policy aziendali. A distanza di tempo da questi episodi che fecero scalpore, si riferisce che i contratti pink, in realtà, continuino ad avvenire. Con la differenza che ora è molto più difficile che si riescano a rendere noti, dato che le aziende in questione hanno iniziato a tutelarsi mediante clausole di "non disclosure".

Resta da chiedersi che succede quando lo spammer viene a sapere che un certo utente lo ha segnalato. Ciò che normalmente succede è che, per lo spammer, un tale utente è soprattutto un rompiscatole, che viene considerato molto fastidioso e anche pericoloso, in quanto dimostra di essere uno che sa a chi reclamare per lo spam ricevuto. Lo spammer, come abbiamo detto in precedenza, non se ne fa nulla di rispettare la tranquillità altrui, ma neppure è interessato a cercarsi dei fastidi inutilmente. Il suo è un "mestiere" già molto ricco di grattacapi e fastidi, quindi evitare quel tipo di rompiscatole può solo aumentare la probabilità, per lui, di riuscire a continuare indisturbato. Pertanto, è frequente che gli spammer tolgano dalle proprie liste gli email degli autori di segnalazioni che gli siano state passate dal proprio provider.

Quando un provider passa le segnalazioni allo spammer, si suol dire che fa listwashing per conto dello spammer, ossia lo aiuta a lavare le proprie liste escludendo i seccatori.

In passato ci fu chi, con tecniche di hackeraggio, riuscì a guadagnare l'accesso niente meno che al computer di uno spammer intanto che questo era online, copiandosi tutti i file che vi trovò. Nella fattispecie si trattava del computer di una spammer americana, e l'anonimo incursore pubblicò poi, su un sito web, tutti i file che vi aveva rinvenuto. Tra questi c'era anche una voluminosa lista di indirizzi di email appartenenti, per l'appunto, a "rompiscatole". Molti antispammer riconobbero in tale elenco un gran numero dei propri indirizzi; anche il sottoscritto, nel proprio piccolo, ce ne trovò quattro o cinque dei propri.


Ci sono standard ufficiali di rete, cui possa essere utile fare riferimento?

Qualcosa c'è: innanzitutto va citata la celebre RFC1855 dell'ottobre 95, nota come netiquette, in cui si viene avvertiti del problema e del fatto che l'unsolicited commercial email è considerata inaccettabile in rete, trattandosi di comunicazione "cost-shifted". Successivamente è stata varata la RFC2635, del giugno 99, che è specifica sul problema dello spam (che nel frattempo era divenuto molto più rilevante di quanto fosse nel 95). Essendo nella categoria informational, a rigore le suddette RFC non sono uno standard di rete, tuttavia inquadrano il problema in maniera ampia ed apprezzabile (soprattutto la 2635), costituendo quindi un riferimento che difficilmente qualcuno potrebbe ignorare (anche perché dietro tali RFC esiste in rete un consenso generale indiscutibile). Un'altra RFC interessante è la RFC2505, del febbraio 99, che contiene raccomandazioni antispam assai importanti sul modo di gestire e configurare gli MTA. La RFC2505 è importante sia per gli amministratori di server che per gli sviluppatori del relativo software. Vi è poi la RFC3098 dell'aprile 2001, specificamente rivolta a chi intende esercitare attività di marketing in rete in maniera corretta. Si tratta di un documento assai utile e che va sicuramente letto. Vorrei solo mettere in guardia sul fatto che, nel trattare le mailing list, la RFC3098 illustra una modalità di gestione che non può essere considerata accettabile, in quanto mancante del doveroso passo di conferma della iscrizione da parte dell'utilizzatore della mailbox destinataria (operazione indispensabile per prevenire le iscrizioni fraudolente).

Appendice

Mailing list e conferme di iscrizione

Avendone appena parlato, occorre dare almeno qualche cenno al problema delle mailing list. Le mailing list sono uno strumento molto utile che in rete si usa da tempo immemorabile. Normalmente si accede ad una mailing list richiedendo l'iscrizione di un proprio indirizzo e, da quel momento, si inizia a ricevere i messaggi che vengono postati a tale lista. Il problema si verifica quando qualcuno, con intento sovente malizioso, iscrive ad una mailing list l'indirizzo di qualcun altro. Nei primi anni in cui la rete esisteva, queste cose non accadevano. Da quando invece la rete è diventata accessibile ad un pubblico di massa, le mailing list hanno iniziato a diventare uno dei più comuni strumenti con cui molestare il prossimo, proprio mediante iscrizioni fraudolente. Per questa ragione, da tempo non è più ammissibile che una mailing list accetti iscrizioni senza verificarle. Il meccanismo più comune consiste nell'invio di una richiesta di conferma ad ogni indirizzo per cui giunga una richiesta di iscrizione. La richiesta di conferma deve contenere, al proprio interno, un numero random o comunque un identificativo unico e non predicibile, che deve essere rispedito al gestore della mailing list in modo da provare, in maniera certa, che il legittimo utilizzatore dell'indirizzo di email in questione veramente acconsente ad essere iscritto. Il gestore deve quindi conservare queste conferme di iscrizione, in modo da poterle esibire in caso di contestazioni. Va detto che tutta questa procedura non richiede interventi manuali da parte del gestore della lista, in quanto la maggior parte dei software di gestione di mailing list è in grado di effettuare la cosa in automatico.
Pertanto, chi gestisce una mailing list priva di conferma di iscrizione non ha scuse e, quasi certamente, andrà in contro a problemi e incidenti assai antipatici da gestire (per non parlare delle possibili contestazioni per illecito trattamento di dati personali ai sensi della legislazione italiana). Non solo la lista verrà certamente usata, prima o poi, per commettere abusi, ma è risaputo che spesso i gestori "ci marciano", iscrivendo indirizzi prelevati in qualche modo dalla rete e poi tentando di giustificarsi con scuse ridicole come "Ti avrà iscritto un tuo amico".
Riassumendo, una mailing list correttamente provvista di richiesta di conferma di iscrizione è conforme alla pratica dell'opt-in. Una mailing list che non preveda la conferma di iscrizione non può essere definita opt-in: è solamente opt-out, e fortemente a rischio di blacklist.

In conclusione vorrei avvertire che, talvolta, si sente parlare di double opt-in. È una denominazione che raccomando di non usare mai, in quanto non significa nulla: si tratta del linguaggio degli spammer, i quali fanno spesso uso di liste opt-out e cercano di rappresentare come esagerato il requisito della conferma di iscrizione. Basti sapere che, se esiste anche solo la possibilità di trovarsi iscritto a propria insaputa, la mailing list non è opt-in.



Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 28 luglio 2003

Leonardo Collinelli

e-mail