Cosa scrivere nel reclamo

Caso pratico n. 1



Siamo giunti alla parte più avvincente della nostra guida all'autodifesa contro gli spammer. Se avete letto le pagine precedenti sapete interpretare il significato tecnico degli header delle e-mail e siete, pertanto, in grado di ricostruire il percorso che ogni messaggio ha seguito. Questo però non basta; occorre raccogliere ulteriore informazione e prendere la decisione che conta: a quali soggetti inviare il reclamo e in quali termini scriverlo. Tutto ciò sarà, probabilmente, meno noioso se visto attraverso qualche caso pratico.

Tra gli spam che ho ricevuto ne ho quindi scelto alcuni, in modo da coprire una casistica il più possibile completa. Cominciamo con un caso abbastanza lineare, che si può definire da libro di testo.

Return-Path: <bjohnson000@ameritech.net>
Received: from mail.mioisp.it (mail.mioisp.it [194.243.154.49])
	by mbox.altronome-mioisp.it (8.8.5/8.8.5) with ESMTP id HAA07541
	for <miacasella@box1.mioisp.it>; Thu, 12 Mar 1998 07:44:01 +0100 (MET)
From: bjohnson000@ameritech.net
Received: from andromeda.oakland-info.com (andromeda.netquest.com [209.69.94.6])
          by mail.mioisp.it (8.8.4/8.8.4) with ESMTP
	  id HAA27396 for <miacasella@mioisp.it>; Thu, 12 Mar 1998 07:44:00 +0100 (MET)
Message-Id: <199803120644.HAA27396@mail.mioisp.it>
Received: from [209.69.95.51] by andromeda.oakland-info.com
          (Post.Office MTA v3.1.2 release (PO205-101c)
          ID# 0-37888U2500L250S0) with SMTP id AIY145;
          Thu, 12 Mar 1998 01:45:21 +0000
To: miacasella@mioisp.it
Date: Thu, 12 Mar 98 01:39:22 -0500
Subject: QUIT SMOKING IN 7 DAYS GUARANTEED !  ONLY $49.95 OR MONEY BACK!
X-UIDL: 24a072eb9985896dd35b250cd22e3e81
Status: U

  SMOKE AWAY


March 11, 1998

Dear  Friend,

Are you really ready to quit smoking? 
....[Tagliamo qui, il messaggio sarebbe piuttosto lungo]

Questo è un caso abbastanza semplice, che non pone alcun problema. I primi due 'Received:' sono stati messi dai mailserver del mio isp, pertanto sono attendibili e, in particolare, è attendibile la provenienza indicata sul secondo di essi:
andromeda.netquest.com [209.69.94.6] che si è presentato, nel comando HELO, come andromeda.oakland-info.com.
Non è raro che i sistemi siano configurati per dare un HELO diverso dal loro nome di dominio, e ciò non significa necessariamente che la cosa sia sospetta.

Cominceremo con la verifica (superflua ma precauzionale) che andromeda.netquest.com sia proprio corrispondente all'indirizzo 209.69.94.6. Un DNS lookup ce lo conferma immediatamente. Se guardiamo a chi sono assengati gli indirizzi in questione, il risultato è il seguente:

Trying 209.69.94 at ARIN
Kennedy Industries (NETBLK-KENNEDYIND-94-32) KENNEDYIND-94-32
209.69.94.32 - 209.69.94.63
Logic Objects Inc. (NETBLK-LOGICOBJECTS-94-96) LOGICOBJECTS-94-96
209.69.94.96 - 209.69.94.127
NetQuest Communications (NETBLK-NETQUEST-209-69-94) NETQUEST-209-69-94
209.69.94.0 - 209.69.95.255
RUSTnet Internet Services (NETBLK-RUSTNET-BLK1) RUSTNET-BLK1
209.69.0.0 - 209.69.255.255
The Brads (NETBLK-THEBRADS-94-160) THEBRADS-94-160
209.69.94.160 - 209.69.94.191

To single out one record, look it up with "!xxx", where xxx is the
handle, shown in parenthesis following the name, which comes first.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and nic.ddn.mil for MILNET Information.

Abbiamo quindi RUSTnet come assegnatario di tutti gli indirizzi che iniziano per 209.69; tra questi, tutti quelli che hanno come terzo numero 94 o 95 sono stati tutti sottoassegnati a NetQuest Communications, per finire con le altre tre compagnie indicate, che usano dei sottointervalli all'interno del blocco di NetQuest (della quale probabilmente sono clienti). Da qui si capisce che NetQuest deve essere un provider di discreta dimensione. Per farsene un'idea più precisa si cerca il relativo sito web. Non sempre è facile trovare il sito web essendo noto un nome di dominio ma, nella maggior parte dei casi, basta digitare semplicemente nel browser il nome di dominio o magari premettergli "www.". In qualche caso, con il nome di dominio che si conosce non si trova alcun sito, e ancora più difficile è quando si avesse solo un netblock. Quando questo succede si deve ricorrere ai motori di ricerca. Nel nostro caso, comunque, non è necessario e, ad una veloce visita, il sito della NetQuest appare come ci si può aspettare che sia il normale sito di un provider.

Per essere certi di avere informazioni complete, conviene fare una ricerca sull'archivio usenet di Google. Gli archivi delle segnalazioni di spam e delle relative discussioni (originate su newsgroup o su mailing list) sono uno strumento preziosissimo. ╚ possibile infatti cercare se, nei newsgroup della gerarchia news.admin.net-abuse, risulta qualcosa a carico di entità coinvolte nel nostro caso. Potremmo anche trovare uno spam identico al nostro, giÓ accompagnato da osservazioni valide a farci risparmiare tempo. Si farà quindi qualche ricerca, per esempio inserendo le parole più significative presenti nel subject dello spam, o la url di un eventuale sito web pubblicizzato nel messaggio, il numero di telefono che lo spammer fornisce per contattarlo e così via. Se si è già pervenuti al nome di un provider (in questo caso NetQuest), si proverà a cercare che cosa eventualmente se ne dica: ci sono molte reti spam-friendly che riescono a dare nel loro sito l'apparenza da organizzazione seria, e non sarebbe utile mandare reclami a chi sia colluso con gli spammer o sia noto che li protegge. Per sapere se si è in un caso simile, non c'è che cercare le esperienze altrui. Comunque, nel nostro caso constatiamo che su NetQuest non si dice nulla.

Non notando quindi nulla che ci debba portare a diffidare, diamo anche un'occhiata all'header inserito dal server di NetQuest. Qui si nota che non è indicato il nome della risorsa di provenienza, ma c'è l'indirizzo IP, che risulta essere interno al blocco della stessa NetQuest. Non occorrerebbe ma, già che ci siamo, possiamo tentare un reverse DNS su tale indirizzo. Non è detto che il reverse DNS sia possibile ma, se anche non lo fosse, poco male. Comunque funziona e dà questo risultato:

nslookup 209.69.95.51
Canonical name: dyn-95-51-pontiac.netquest.com
Addresses:
209.69.95.51

.com is a domain of USA & International Commercial
Searches for .com can be run at http://rs.internic.net/cgi-bin/whois

Il nome che abbiamo ricavato (e che risulta verificato dal dns diretto) ha in tutto e per tutto la faccia di una connessione dial-up.

A questo punto il quadro è chiaro: lo spammer ha usato un account presso la NetQuest per collegarsi in rete e, per l'invio dello spam, ha utilizzato il server SMTP che NetQuest mette a disposizione dei propri utenti.

Assodato pertanto che dobbiamo reclamare a NetQuest, l'ultima parte dell'indagine deve portarci a determinare l'esatto indirizzo di e-mail a cui scrivere. Secondo la RFC2142 l'indirizzo dovrebbe seguire lo standard abuse@nomedominio, ma sarebbe troppo semplice se tutti seguissero questo standard. In pratica, molti provider hanno fatto a gara per inventare indirizzi fantasiosi. La cosa migliore da fare è guardare il sito web del provider in questione. Si dovranno cercare le pagine che danno informazioni sull'azienda (possono avere titoli del tipo "About us" oppure "How to contact us" o simili); in particolare, qualora esista va sempre consultata la pagina di Acceptable User Policy (che può avere titoli assai vari come "Terms and Conditions", "Acceptable User Guidelines" o altro). In molti casi, su tali pagine si può reperire un indirizzo creato apposta per ricevere questo genere di segnalazioni. Se sul sito in questione non trovate nulla, potete consultare la lista degli indirizzi di segnalazione abusi per i principali provider, mantenuta dalla Abuse.net. Se comunque non trovate nessuna indicazione, l'indirizzo canonico a cui scrivere è postmaster@nomedominio; non è sbagliato inviare l'email con entrambi i destinatari abuse e postmaster (se eventualmente abuse non funzionasse, pazienza). Una soluzione più begosa ma migliore è di tentare l'invio direttamente ad abuse: se l'indirizzo risulta non definito si ripiega su postmaster. Sarebbe sbagliato utilizzare gli indirizzi normalmente indicati dai record del whois (per esempio il "techical contact" o, peggio ancora, il "billing contact"), come sarebbe sbagliato scrivere al webmaster. Nel nostro caso, poiché riguardo a NetQuest non risulta esistere un apposito indirizzo, la e-mail dovrà essere scritta al postmaster. Vale la pena di tenere presente che, in base alle regole, qualunque rete connessa ad Internet deve avere la mailbox postmaster valida e deve esserci qualcuno a leggerne la posta in arrivo: se l'indirizzo postmaster risultasse non contattabile per un sito italiano, varrebbe la pena di segnalare la cosa al nic.it: gli darebbero una bella lavata di testa.

Adesso resta solo da decidere cosa scrivere nella nostra e-mail. Ho visto, in un sito antispam americano, un esempio di testo da adottare che conteneva un lungo predicozzo sul perché lo spam è male eccetera eccetera. Non sono d'accordo: chi legge queste segnalazioni non ha alcun bisogno del predicozzo, anzi, ha solo bisogno di non stare a perdere tempo e di riuscire a capire velocemente qual è la natura del problema. Vediamo quindi di sintetizzare i consigli più importanti:

Ciò detto, vediamo il testo della segnalazione consigliabile per il caso in esame:

Dear postmaster,
please deal with following unsolicited e-mail I've recently received: it's a
commercial advertisement not requested by me and I don't want any more of it.
The 'Received:' headers show it comes from andromeda.netquest.com, maybe from
resource 209.69.95.51 (dyn-95-51-pontiac.netquest.com).

Thank you
Best regards
[firma]

---------------------------- Begin spam message with full headers:
Return-Path: <bjohnson000@ameritech.net>
[eccetera, segue il testo completo di header e messaggio]

Traduzione: Egregio postmaster, si occupi per favore della seguente e-mail non sollecitata che ho recentemente ricevuto: è un annuncio commerciale non richiesto da me, e non ne voglio ricevere altri. Gli header 'Received:' mostrano che viene da xxxxx. Grazie. Distinti saluti

Probabilmente, chi conosce l'inglese meglio di me avrà un po' obiezioni, ma anche così si è dimostrato efficace. Prima però di vedere il finale, poniamoci un'ultima domanda.

Cosa succede quando la nostra segnalazione viene ricevuta ?

A volte lo veniamo a sapere a volte no. A seconda dell'organizzazione a cui si invia la segnalazione, può darsi che si riceva subito una risposta automatica. E' il caso, per dare qualche nome, di CompuServe, Netcom, UUnet. La risposta automatica ci conferma che la nostra segnalazione è giunta a destinazione, ma non ha particolare contenuto informativo. In qualche caso (UUnet) la risposta (automatica o no) comunica un numero di riferimento assegnato al problema, da utilizzare per ulteriori comunicazioni al riguardo: per esempio, se lo stesso spam vi viene inviato più volte, nelle segnalazioni successive includerete il riferimento in modo da consentirgli di decidere se gestire la cosa nell'ambito dello stesso incidente.

Dopo la risposta automatica (sempre che ci sia stata), è probabile che non riceviate più nulla. Chi gestirà la faccenda farà uso del log che ogni provider deve tenere per registrare tutte le attività effettuate dagli utenti. Questi log non vengono tenuti per un tempo infinito, ed è questa la ragione per cui le segnalazioni devono essere tempestive. Nel caso in esame, il postmaster avrà verisimilmente cercato sul log quale userid risultava collegato, il giorno 12 marzo 98 alle ore 01:45:21 sul nodo dyn-95-51-pontiac.netquest.com. Può darsi che, per ulteriore conferma, abbia anche verificato l'effettuazione della transazione SMTP contraddistinta dall'id AIY145. A quel punto, l'accertamento sarà stato completo.

Alcuni provider inviano una comunicazione finale all'autore della segnalazione, per confermare che si è provveduto; altri (la maggior parte) non si fanno più vivi in alcun modo, ma ciò non significa necessariamente che la faccenda sia stata trascurata. Certo, l'invio della comunicazione finale è una prassi che denota serietà e buona organizzazione e che mi sentirei di raccomandare ad ogni provider. Nel caso di NetQuest ho ricevuto, dopo due giorni, la seguente e-mail:

The customer has been warned that another incident like this one, and we
would cancel his account with our service. Please inform me if this
happens again. Thanks..

_________________________________________________________________________
Lee A Keiser, President NetQuest Communications http://www.netquest.com

Poiché è stata data evidenza che al cliente non viene consentito di continuare questo tipo di attività, l'esito di questo caso è stato senz'altro positivo.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 09 settembre 2001

Leonardo Collinelli

e-mail