Cosa si può fare per prevenire l'arrivo di spam



C'è una sola cosa che si può considerare abbastanza efficace: tenere poco esposto il proprio indirizzo di e-mail. Non dico che sia da custodire come il numero della carta di credito, ma va reso pubblico con molta cautela. Una volta che il vostro indirizzo di e-mail fosse finito nelle mani degli spammer, non c'è più niente da fare: verrà venduto ad altri, poi ad altri ancora. Da esperienze personali posso dire che, se un indirizzo di email viene reso pubblico con tutte le cautele e gli accorgimenti che trovate su questa pagina, ha una buona probabilità di rimanere pulito per tre o quattro anni. Poi, anche se non ci sarà modo di capire perché, inizierà a ricevere spam: dapprima uno ogni tanto, poi più frequentemente e poi la "valanga". A quel punto, se il server di posta su cui la casella si trova non adotta efficaci misure per respingere lo spam in arrivo, ben poco si può fare se non cambiare indirizzo di email.
Può reggere più a lungo un indirizzo non pubblicato, che venisse usato solo per contatti personali con un selezionato numero di persone fidate. Anche in questo caso, tuttavia, lo spam può comparire lo stesso, improvvisamente, in un giorno qualunque.

Pertanto, le indicazioni che vedremo qui vanno considerate come dei consigli per ridurre l'entità del danno e per allontanare il più possibile il momento. In molti casi, questi consigli potranno anche rivelarsi molto efficaci, però deve essere chiaro che sarebbe sbagliato sentirsi al sicuro.

Se postate sui newsgroup con il vostro vero e-mail, riceverete spam

Usenet è, a tutt'oggi, una delle fonti principali da cui gli spammer riforniscono i loro elenchi. Scaricati messaggi da tutti i newsgroup, gli spammer li elaborano con appositi programmi che cercano gli indirizzi. Si tenga presente che ogni articolo presente su Usenet ha la classica struttura che prevede gli header, una riga vuota e il corpo del messaggio vero e proprio. Tra gli header ci sono 'From:' e 'Reply to:' che dovrebbero, secondo lo standard, contenere l'indirizzo di e-mail dell'autore e quello (se diverso) a cui l'autore preferisce essere contattato. Esistono ottimi motivi per avere l'e-mail dell'autore in ogni articolo: soprattutto ciò consente di attivare privatamente via e-mail discussioni che, pur se relative all'articolo in questione, risulterebbero improprie (e quindi assai sgradite) su un'area pubblica come il newsgroup. La presenza dell'indirizzo nelle prime righe dei messaggi, entro header con una sintassi standard, rende assai pratico per qualunque lettore del newsgroup scrivere all'autore ma, purtroppo, rende anche molto facile l'effettuazione di estrazioni automatiche.

Tradizionalmente, il campo a rischio è il 'From:', ma è poco probabile che un indirizzo nel 'Reply to:' possa rimanere indenne. Sembra che invece siano più limitati i rischi corsi dagli indirizzi inseriti all'interno del corpo degli articoli, probabilmente perché esaminare l'intero testo di tutti gli articoli di tutti i newsgroup sarebbe molto oneroso e darebbe risultati piuttosto scarsi (dal punto di vista degli spammer). Riterrei comunque prudente considerare a rischio anche il testo del messaggio: se anche oggi può non esserlo, potrebbe diventarlo da un giorno all'altro (anche perché software di estrazione in grado di cercare pure lì pare che già esistano).

Il motivo per cui il campo maggiormente a rischio risulta essere il From è che, per estrarre gli indirizzi dai newsgroup, normalmente gli spammer non usano normali newsreader ma appositi software che, dopo essersi collegati ad un news server, danno il comando XOVER in modo da ottenere dal server una risposta molto sintetica, in cui sono dati solo il Subject, il From, il MessageId e pochi altri campi per ciascun articolo.

Veniamo dunque alla soluzione che molti adottano: non mettere l'indirizzo negli appositi campi, oppure metterlo con alterazioni. Si può obiettare che, in base agli standard di rete codificati nelle RFC, l'indirizzo sarebbe da mettere e senza alterazioni. Per questa ragione molti non adottano questa soluzione e, prevedibilmente, considerano con scarsa simpatia coloro che la praticano. Pur essendo vero che gli standard sono nati un po' di anni fa, quando in rete non erano ancora calati gli Unni del marketing di massa, né i ragazzotti che pensano di fare fortuna come Rasmus Lind, né i provider o le grosse aziende che considerano legittimo farsi pubblicità con e-mail non sollecitate, è comunque vero che la presenza di indirizzi alterati e non validi nei messaggi usenet costituisce comunque un inconveniente, una scomodità. Personalmente ritengo difficile criticare questa forma di autodifesa, anche perché non riesco a considerare obbligatorio il fatto che, quando qualcuno partecipa ad una discussione su usenet, debba per forza fornire il modo per essere contattato privatamente in email. Vorrei quindi lasciare il più chiaro possibile questo messaggio: non mettere un indirizzo valido nel campo 'From:' o 'Reply to:' rende più scomodo l'uso di Usenet. Si può anche accettare che questo avvenga, però si tratta di una delle tante scomodità di cui dobbiamo "ringraziare" gli spammer (i quali, di fatto, ci hanno resi meno liberi di usare a nostro piacimento risorse nostre come l'email). Vale la pena di cercare soluzioni alternative, tra le quali viene frequentemente suggerita l'adozione di indirizzi "a perdere", che vengono adoperati solamente per postare sui newsgroup e vengono chiusi in breve tempo, non appena inizino a ricevere spam. Se intendete comunque mettere nei vostri post su usenet un indirizzo alterato o non valido, è importante che almeno seguiate alcune avvertenze:

Per esempio, mariorossi@abcd.it può diventare mariorossi@abcdNOSPAM.it oppure mariorossi@TOGLIMIabcd.it o mariorossiTOGLIQUESTO@abcdTOGLIANCHEQUESTO.it.
Altre parole civetta che spesso si vedono sono REMOVE, REMOVE.THIS.TO.REPLY eccetera. Se vogliamo però che la alterazione abbia l'effetto desiderato, occorre evitare tutte queste parole civetta ormai classiche e prevedibili. E' stato infatti riportato che alcuni programmi di estrazione indirizzi dai newsgroup vantano, tra le proprie funzionalità, la ricerca ed eliminazione delle più comuni di queste stringhe (come NOSPAM o REMOVETHIS). Occorre quindi essere creativi e cambiare strategia di tanto in tanto. Mi è capitato di leggere qualche signature in cui era scritto: "Togliere UGO per rispondere" oppure "Sostituire LANA con SETA" oppure "Per rispondermi togliere il TAPPO dall'indirizzo". Grandiosa la trovata di quello che ha messo: "Per emailarmi levare LEDITADALNASO".
Per quanto mi riguarda, nel campo 'FROM:' metto un semplice rimando al testo del messaggio (avendo cura che abbia la struttura di un indirizzo di email terminante con .invalid) e, nella signature, riporto il mio indirizzo in forma tale da non essere riconoscibile a programmi che esaminassero il testo. Per il momento i programmi degli spammer non riescono a venirne a capo e, sperabilmente, per chi desiderasse scrivermi non dovrebbe essere un fastidio eccessivo. Comunque uno spammer ostinato può sempre ricavare a mano l'indirizzo: per la cronaca, a me è successo. Se dovesse capitare anche a voi, è solo una ragione in più per non avere pietà. Si tratta tuttavia di casi rari, in quanto una attività di spam massivo ha bisogno di essere effettuata con strumenti automatici.

Su questo argomento esiste in rete una apposita faq (Munging FAQ). Un'altra interessante FAQ in lingua tedesca viene periodicamente postata su de.admin.net-abuse.mail e può essere ritracciata mediante le funzioni di ricerca sull'archivio newsgroup di Google.

Non tenete in evidenza il vostro vero e-mail neanche nelle chat

Pare che gli spammer esplorino pure le chat alla ricerca di indirizzi di e-mail, e che vari client IRC forniscano l'indirizzo tranquillamente a chiunque lo chieda.

Non mettete il vostro indirizzo nelle pagine di siti web

Gli spammer hanno programmi di scansione anche per le pagine web. Sono del tutto analoghi ai robot dei motori di ricerca e percorrono tutti i link che trovano, raccogliendo tutto ciò che figura in link di tipo 'mailto:' o che abbia una @ nel mezzo. Una soluzione (non so fino a qual punto efficace) potrebbe essere di rinunciare a mettere il link di tipo 'mailto:' e inserire dei tag HTML nell'indirizzo. Esempio: <B>mariorossi</B>@<I>abcd.it</I>. Un esempio che, alla fine, mi è riuscito di rendere non troppo complicato, si può trovare in queste stesse pagine seguendo questo link.

Sempre in merito al fatto che gli spammer percorrono il web alla ricerca di indirizzi, una soluzione che è assurta a discreta notorietà tra vari webmaster è l'uso di programmi CGI come WebPoison, un programma gratuito che genera pagine contenenti testo random, cosparso di indirizzi e-mail fittizi e di link che puntano ad altre pagine del tutto analoghe, sempre generate dal programma. In questo modo i robot degli spammer girano senza fine tra pagine inesistenti raccogliendo indirizzi falsi. L'idea è stuzzicante e, a quanto ho sentito, qualche spammer ne sarebbe stato infastidito. Ci sono tuttavia vari possibili inconvenienti, ragion per cui, pur considerando questa soluzione come possibile, non mi sentirei di raccomandarla con particolare slancio. Se può far piacere l'idea che gli spammer si ritrovino liste di indirizzi corrotte e che i loro robot vengano intrappolati, è anche vero che la presenza di molti indirizzi non validi può creargli qualche inconveniente più che altro nel caso in cui gli spammer agiscano direct-to-MX. Se, come avviene più spesso, lo spammer agisce tramite relay, avere un maggior numero di indirizzi non validi non lo tocca moltissimo: sarà il server utilizzato a generare una maggiore quantità di bounce, i quali allo spammer quasi certamente non arriveranno, mentre potrebbero arrivare a qualche innocente il cui indirizzo fosse stato illecitamente usato come return path. Senza parlare del caso in cui il programma generasse indirizzi su domini non inesistenti. Insomma, non è tanto certo il rapporto tra i vantaggi di questa soluzione e gli inconvenienti che può procurare.

Evitate di fornire l'indirizzo di e-mail compilando dei form su siti web

In molti casi, specialmente per ottenere l'accesso alla pagina di download di vari software, occorre immettere i propri dati. Di solito, l'indirizzo di e-mail è richiesto come campo obbligatorio. Purtroppo, sono stati riportati casi di produttori di software anche di chiara fama che hanno abusato degli indirizzi di e-mail a loro forniti. La soluzione di fornire un indirizzo non valido non può, generalmente, essere presa in considerazione, poiché è all'indirizzo indicato che il produttore può spedire il codice di registrazione o altra informazione necessaria. La soluzione che a me sembra più consigliabile è quella di dotarsi di una mailbox presso qualcuno dei tanti servizi che le forniscono gratuitamente: il giorno in cui ci si rendesse conto che la mailbox è finita nelle liste degli spammer, sarà sufficiente dismetterla ed aprirla con un altro nome. Esistono poi alcuni servizi di forwarding gratuito che consentono, all'utilizzatore, di generare in qualsiasi momento nuovi alias, associandoli eventualmente ad una descrizione (per esempio: "questo indirizzo l'ho usato per iscrivermi al sito X", "quest'altro per iscrivermi alla newsletter Y", "quest'altro per il download del prodotto Z" e così via). Un interessante vantaggio che si trova nell'uso di tali servizi è il fatto di poter generare un differente indirizzo per ogni differente occasione in cui occorre usarlo. Se si fa in modo che ciascun alias venga usato per tenere i contatti esclusivamente con un unico altro soggetto, senza portarlo a conoscenza di alcun altro, ci si trova in condizione di poter non solo chiudere il singolo indirizzo che avesse iniziato a ricevere spam, ma anche di individuare con certezza chi è stato che si è comportato scorrettamente vendendo l'indirizzo agli spammer.

Evitate di mettere la vostra e-mail nei client FTP

Un altro standard di rete non più adeguato ai tempi è quello relativo alla password per siti FTP. Per accedere normalmente a siti FTP è previsto che come nome utente si indichi anonymous e che, come password, si metta un qualsiasi indirizzo di e-mail. Parecchi siti FTP accettano come password anche la parola guest. Certi siti danno un messaggio che avvisa che la risposta guest non è valida, tuttavia consentono l'accesso, magari emettendo un ulteriore messaggio che dice: "next time use your e-mail address". In certi casi fornendo guest non è possibile accedere e, dai messaggi forniti dal server, si vede che è sufficiente il carattere @ in fondo (ossia indicare guest@). Poiché si deve supporre che il server FTP scriva su log le password usate da coloro che lo utilizzano, poiché è difficile ipotizzare che uso venga fatto di tale log e poiché sono riportati dei casi in cui si è abusato di indirizzi così forniti, è prudente non indicare il proprio vero indirizzo.

Evitate di mettere la vostra e-mail nel setup del browser web

Pochi sanno quante informazioni sull'utente e sul pc vengono passate dal proprio web browser a qualsiasi sito web che venga visitato. La maggior parte delle informazioni passate sono a fin di bene (es. la risoluzione dello schermo, la profondità di colore e il tipo di browser utilizzato potrebbero, in teoria, essere utili per inviare al browser risposte più adeguate alle capacità di visualizzazione), altre non si giustificano facilmente. Per avere un'idea delle informazioni passate dai browser ai siti visitati si può direttamente effettuare una prova visitando questa pagina. Ovviamente se in tale prova si vedesse comparire il proprio indirizzo di e-mail sarebbe il caso di allarmarsi. Comunque, il vostro browser non può sapere il vostro indirizzo se non glie lo avete detto voi o qualcuno che l'abbia configurato. Rispetto alla mia esperienza in ambiente Windows, ho constatato che l'installazione di MS Internet Explorer versioni 3, 4 e 5 non richiede l'indirizzo di e-mail e che, di conseguenza, non è neppure in grado di passarlo alla rete (occhio però alla sua integrazione con OE, se usate quest'ultimo come mail client). Quando si usa MS IE per accessi FTP viene usata come password una stringa impostata nel registry di Windows (a seconda delle installazioni può essere "IE30User@" o simile). Durante l'installazione di Netscape 4.0x mi sono invece visto chiedere l'e-mail: ovviamente ne ho indicato uno fasullo.

Sembra che la raccolta di dati dagli inconsapevoli visitatori dei siti web non sia prerogativa di singoli individui o piccole organizzazioni. E' stato segnalato che uno tra i principali produttori mondiali di antivirus, uno dei primissimi nomi che vengono in mente quando si pronuncia la parola "antivirus", ammette di ricavare dai visitatori del proprio sito tutto quello che si può e, in particolare, l'indirizzo di e-mail (qualora il browser lo fornisca). Dopodiché al malcapitato visitatore arriveranno, da parte dell'azienda in questione, e-mail indesiderate per tutta la vita. Non solo, ma nella pagina di "Privacy policy" si può perfino leggere che si riservano di condividere il vostro indirizzo con reputabili organizzazioni di marketing ecc... Potete anche capire che, da parte dell'upstream provider, non sia semplice la decisione di intervenire contro un cliente di quella importanza; quindi l'unica soluzione è prevenire.

Sempre in tema di grosse aziende che spammano per scelta ben precisa del proprio marketing (tali aziende sono definite Mainsleaze spammers), guardatevi anche da certi famosissimi venditori di libri on-line. Su news.admin.net-abuse.email, dove la parola d'ordine è "Non fare affari con chi ritiene che infastidire i propri potenziali clienti sia una accettabile condotta commerciale", si vede talvolta consigliare, a chi vuole acquistare libri in rete, di servirsi da Powells (che sull'uso degli indirizzi di email dei clienti viene considerato assolutamente corretto).

Tenete presente che, se il browser passa l'indirizzo di e-mail al web server, il semplice uso del proxy del proprio provider non dà alcuna garanzia che l'header che lo contiene venga tolto.

Un'altra cosa potenzialmente insidiosa nella navigazione web è il JavaScript: una pagina maliziosa potrebbe contenere un form con azione di tipo 'mailto:' ed una routine JavaScript che lo aziona quando, per esempio, passate con il mouse su un'immagine o un link o altro, o addirittura nel momento in cui la pagina viene caricata. Siate sospettosi, soprattutto se vi capita di visitare siti degli hacker (e non solo).

Sono sicuro di avere sempre tenuto l'indirizzo accuratamente riservato, eppure ora ricevo spam. Come può essere?

Come detto all'inizio, purtroppo le cautele appena elencate sono solo necessarie ma non sufficienti. A volte capita di sentire le reazioni risentite di spammer che dicono: "se non volete ricevere email non rendete pubblico il vostro indirizzo". Non sto a ripetere perché abbiamo invece tutto il diritto di rendere pubblico il nostro indirizzo e, comunque, di non ricevere spam. Qui vorrei solo rendere chiaro che, anche se l'indirizzo non viene mai reso pubblico, ha ugualmente una buona probabilità di comparire prima o poi negli elenchi degli spammer. I modi in cui ciò avviene possono essere molteplici: tanto per cominciare si tenga presente che, come già ricordato, spesso gli spammer si avvalgono di veri e propri cavalli di Troia che, impiantati sul computer di un utente a sua insaputa, oltre ad agire da mailserver in genere raccolgono pure (e inviano allo spammer) la rubrica di posta che trovono sul computer che hanno infestato. Ecco quindi che, se qualcuno che tenesse in rubrica il vostro indirizzo fosse infettato da uno di questi trojan, il vostro indirizzo finirebbe nelle liste degli spammer anche se l'utente in questione fosse sempre stato correttissimo nel custodirlo e nel tenerlo riservato: basta che sia stato incauto e che sia finito vittima del trojan.
Esiste poi una tecnica, ormai discretamente diffusa, con cui gli spammer si procurano indirizzi di email: quella di indovinarli, impiegando metodi sempre più sofisticati.

Per esempio, esistono i cosidetti dictionary attack. Questo tipo di attacchi cerca di scoprire nuovi indirizzi componendoli, per la parte alla destra della @, con nomi dominio validi e usando, per la parte alla sinistra della @, delle stringhe indovinate in base ad una qualche logica. Si può pensare che abbiano iniziato provando con stringhe come "john", "mary", "jsmith", "sales", "info" e simili, per sofisticare e automatizzare nel tempo la generazione. Sono stati resi noti casi di spam in cui, nel campo 'To:', comparivano un gran numero di indirizzi, tutti presso il medesimo dominio, in cui i nomi delle mailbox erano del tipo: "aaaa", "aaab", "aaac" eccetera. Personalmente ho il sospetto che certi spammer italiani abbiano estratto dei nomi e cognomi dai cd-rom degli elenchi telefonici, per poi tentare degli indirizzi del tipo nome.cognome@xxxx.it, in cui xxxx.it sia il dominio di un grosso provider per utenza consumer.

Come ci si difende da questi attacchi? Scegliendo indirizzi non troppo brevi (anche se indirizzi brevi, ahimè, sarebbero molto più pratici) e non banali (è sconsigliabile, per esempio, mettere alla sinistra della @ una stringa tipo nome.cognome). Se il vostro provider vi costringe a seguire uno standard rigido (es., indirizzo numerico come quelli storici di Compuserve, oppure costituito da un prefisso universalmente noto seguito da un numero), il rischio che correte è molto superiore. Un provider che ho usato alcuni anni fa, addirittura, prevedeva che obbligatoriamente gli indirizzi di email assegnati fossero del tipo "nome.cognome@dominio". In questi casi, varrebbe la pena far presente al provider che simili rigidità non hanno a loro sostegno alcuna motivazione tecnica: potranno per qualche ragione semplificare a loro la gestione, ma a scapito della qualità dell'uso della rete da parte dei loro clienti.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 28 luglio 2003

Leonardo Collinelli

e-mail