Le liste di blocco

Alcune delle liste di blocco disponibili



Va subito detto che la situazione delle liste di blocco non è mai ferma, dato che ne nascono e se ne chiudono in continuazione. Piuttosto quindi che dare un elenco (che sarebbe forzatamente incompleto e dovrebbe essere aggiornato una o due volte al mese) è utile descrivere quel che è accaduto in modo da avere gli elementi per orientarsi nella situazione attuale.

Cominciamo quindi col dire che, inizialmente, gli amministratori di rete allestivano liste per farne essenzialmente un uso interno alla propria organizzazione. Tra le prime liste che furono rese pubbliche e assursero ad una vasta notorietà e diffusione ci fu RBL (Realtime Blackhole List), gestita dal MAPS (Mail Abuse Protection System).

MAPS

MAPS nacque come gruppo attivo entro una azienda californiana, Vixie Enterprises. Tale azienda, guidata da Paul Vixie, tra l'altro collabora con organizzazioni quali l'ISC e l'IETF, la cui importanza nello sviluppo tecnologico della rete e nella definizione degli standard non necessita di presentazioni. RBL è una lista di indirizzi e blocchi che, in base a certi criteri, risultano essere a disposizione di spammer. Tale lista è distribuita sia come zona dns che sotto forma di BGP. L'utilizzo tramite BGP agisce sui router delle reti che hanno scelto di servirsene e quindi, pur essendo meno diffuso di quello tramite DNS, provoca limitazioni alla connettività anche per il traffico non email (per esempio, il traffico web dei siti promossi mediante spam o che diffondano software per spammer, o i relativi nameserver). Il sito del MAPS è rivolto essenzialmente agli amministratori di rete, ma di molte pagine si può raccomandare la lettura a chiunque. In particolare la pagina di spiegazioni (Rationale) tratta, tra l'altro, il concetto di "furto di servizio" e confuta le mistificazioni in base alle quali inviare spam sarebbe esercizio della libertà di parola o di commercio. Caratteristica importante di MAPS-RBL è l'intento di educare, cercando il più possibile il contatto diretto (anche telefonico) con le reti inadempienti, cercando di persuaderle ad un comportamento corretto e giungendo al listing solo in caso di insuccesso.

Altra pagina importante nel sito di MAPS è quella che tratta il problema dei relay aperti (TSI, Transport Security Initiative). Oltre alla spiegazione del problema, vengono descritte le soluzioni tecniche per rendere sicura la configurazione: una apposita pagina prende in esame tutti i più diffusi software oggi in uso sui mailserver, per praticamente tutti i sistemi operativi. Viene anche fornito uno strumento on-line che consente, a ciascun amministratore di mail server, di verificare se il proprio server presenta questo pericoloso inconveniente. Ai postmaster in difficoltà perché improvvisamente si rendono conto di avere un mail server aperto e non hanno idea di come chiuderlo, si può senz'altro consigliare di leggere la pagina http://www.mail-abuse.org/tsi/ar-fix.html (e, naturalmente, di cercare nei cassetti quel maledetto manuale del loro server).
Nel tempo, MAPS ha anche iniziato a fornire una lista di relay aperti (RSS), gestita col concetto di includere gli indirizzi solo per quei server da cui fosse provata la provenienza di spam, accettando segnalazioni adeguatamente documentate e senza mai effettuare test su server per i quali non fosse data una regolare segnalazione. RSS era nato da una idea di Al Iverson e, grazie all'efficacia nel bloccare un enorme quantitativo di spam e grazie ad una percentuale non troppo alta di falsi positivi, guadagnò presto una discreta popolarità, venendo quasi ovunque preferito a ORBS, un'altra lista di relay aperti a quel tempo ben nota e che agiva, a differenza di RSS, andando in giro per la rete in maniera automatizzata a cercarsi i relay aperti, mediante test di qualsiasi mail server riuscisse a individuare. L'approccio di ORBS, forse anche perché accompagnato da certe spigolosità nella gestione, fu a lungo controverso. Quando nel maggio 2001, per problemi della persona che lo gestiva, ORBS chiuse, nacquero molti altri sistemi analoghi che si affiancarono a RSS.

Un'altra lista fornita da MAPS è DUL, una lista di dial-up nata da una idea di Gordon Fecyk. A quel tempo il direct-to-MX impazzava, e DUL rovinò le giornate di parecchi spammer.

I meriti di MAPS e i problemi che ha incontrato

In complesso, l'opera svolta da MAPS è stata sicuramente meritoria: ha fatto dell'idea delle blacklist uno strumento concreto, efficace e a disposizione di tutti. Ha codificato gli argomenti in base ai quali condannare lo spam, ha educato chi era educabile e ha ridotto la connettività di chi non lo era. La dose di sacrificio personale di Paul Vixie e del suo gruppo fu notevole. Al di là dello sforzo economico (continuato per lungo tempo), si deve considerare ogni forma di disagio a cui Vixie e le altre persone di MAPS sono andate incontro per via delle reazioni ostili degli spammer che, per citare solo i dispetti più innocui (ma ce ne sono stati ben di peggio), li hanno molestati per telefono, insultati e paragonati a Hitler sulla stampa e sui mezzi radiotelevisivi.

La comunità antispam appoggiò MAPS e contribuì ad arricchirne i database con significativi sforzi di molti, che scrissero nomination per segnalare sia relay aperti a RSS che reti spam-friendly a RBL. Nel tempo, comunque, emersero disagi generalizzati, dovuti ad aspetti come la difficoltà di scrivere nomination che avessero successo e la mancanza di qualsivoglia riscontro. Molti si impegnavano facendo del proprio meglio nel segnalare vari soggetti che fornivano risorse di rete a spammer, non ricevevano alcuna risposta e constatavano che spamhaus anche delle peggiori non venivano listate o venivano listate dopo molto tempo.

In realtà, MAPS stava avendo problemi non solo di sottodimensionamento e di finanziamento, ma l'approccio stesso del "tentativo di educare" si stava rivelando sempre più inefficace e inadeguato ai tempi. Purtroppo, nella rete di oggi si sta rivelando sempre più importante il denaro, non importa come ottenuto, e sempre meno importante il fatto di essere dei buoni "vicini di casa". Ciò che poi ha fatto precipitare la situazione per MAPS è stata, paradossalmente, la "giustizia". Infatti, operare contro lo spam a quei livelli significa mettersi talvolta contro organizzazioni di una certa potenza, organizzazioni in grado di pagare buoni avvocati e di portare in tribunale il gestore di una blacklist con l'accusa di ostacolo al commercio. Qualunque persona di buon senso vede l'assurdità di una azione legale in quei termini:

Per fare un paragone, pensate ad una guida turistica contenente le recensioni di vari ristoranti. Presumibilmente a proposito di qualche ristorante sarà scritto, per esempio, che vi si spende molto e si mangia male. Può in un caso del genere il ristoratore fare causa all'editore della guida, per esempio con l'accusa di ostacolare il libero commercio o danneggiare gli interessi della sua attività commerciale? Ci mancherebbe altro: chiunque legga la guida può decidere se fidarsi o no di quel che vi trova scritto, ed è sempre libero anche di entrare in un ristorante sconsigliato.

Possono sembrare cose ovvie, tuttavia molte organizzazioni listate in RBL iniziarono a rivolgersi ai tribunali e ad ottenere quasi sempre delle ingiunzioni provvisorie, nelle quali la corte ordinava a MAPS di sospendere il listing degli indirizzi IP del ricorrente. Non mi consta che si sia arrivati a decisioni definitive, tuttavia una situazione di questo genere risultava già assai pesante per una organizzazione come MAPS, costretta a spese ingenti per liti giudiziarie sempre più frequenti. MAPS aprì un fondo di difesa legale, ed iniziò a fornire a pagamento un servizio di mail forward filtrato, nel tentativo di raccogliere fondi. Al tempo stesso, si trovò costretta ad aprire trattative con le controparti e a cercare accomodamenti extragiudiziali. Talvolta questi accomodamenti restavano segreti, il che generava perplessità e confusione tra gli antispammer.

Nonostante tutti gli sforzi, MAPS comunque non riuscì a proseguire secondo l'impostazione originaria e, a partire dall'1 agosto 2001, trasformò ogni accesso alle proprie liste da libero per chiunque a riservato ai sottoscrittori (circa in quel periodo, si ebbe l'uscita da MAPS dell'originario fondatore Paul Vixie). Da allora, quindi, per usare RBL, RSS o DUL occorre firmare un contratto con MAPS e pagare un canone, anche se per piccoli server gestiti a livello amatoriale esiste la possibilità di richiedere l'utilizzo gratuito (è però necessario avere un indirizzo IP dedicato e fisso nel tempo).

La fine del libero accesso alle liste di MAPS ha cambiato molte cose. Di certo la quasi totalità degli utilizzatori non era sottoscrittore, e non sembra che molti di loro abbiano deciso di diventarlo per continuarne l'uso. Altrettanto chiaro è che molti antispammer smisero di generare nomination. Quello che si è constatato in pratica è stato che gli utilizzatori di RBL/RSS/DUL sono molto diminuiti e che l'efficacia del servizio ai fini della protezione antispam è progressivamente diventata trascurabile, almeno se vista in termini di valore aggiunto rispetto alle altre liste pubblicamente disponibili.

Oggi quindi l'importanza di MAPS è solamente storica.

Il "DOPO-MAPS"

Era prevedibile che, venendo meno la possibilità di usare liberamente quella che era ormai divenuta la lista di riferimento, molte altre liste nuove venissero create per soddisfare una esigenza più sentita che mai. Fondamentalmente, le possibilità di scelta per gli amministratori di rete sono diventate più numerose e articolate. Cambia l'atteggiamento che si richiede agli amministratori di rete: prima, era possibile attivare RBL, RSS, DUL in congiunzione con una blacklist ed una whitelist locali, senza più porsi particolari problemi. Ora l'amministratore deve verificare in continuazione se le liste che ha scelto di usare sono le più indicate al suo caso o se, ad un certo momento, gli convenga modificare le proprie scelte. Ogni rete è quindi più responsabilizzata nell'adottare soluzioni a difesa dei propri utenti dallo spam. Inoltre, qualcosa è cambiato in peggio per gli spam-supporter: se prima ogni rete che veniva listata in RBL poteva ristabilire in pieno la propria connettività ottenendo (dopo la soluzione dei problemi) la cancellazione dalla lista, ora il discorso è meno semplice, in quanto i suoi IP potrebbero essere inclusi in varie differenti liste e, pertanto, occorre ottenere la cancellazione da tutte.

Vediamo dunque quali sono le liste più conosciute. Per comodità le suddividiamo in categorie anche se, in vari casi, si hanno liste classificabili in più di una categoria. In generale, a chiunque intenda diventare utilizzatore di liste di blocco (quelle qui indicate o altre) raccomanderemmo soprattutto una cosa: tenersi costantemente informato sulla situazione. Può infatti accadere che una lista oggi consigliabile diventi inefficace o addirittura sconsigliabile tra qualche mese, o che cessi di esistere improvvisamente. Analogamente può comparire da un giorno all'altro una nuova lista che, per qualche motivo, riesca ad essere particolarmente efficace e valga quindi la pena di adottare.

Liste di relay e/o proxy aperti

Già nel corso del 2002, l'importanza dei relay aperti come mezzo per la diffusione dello spam ha iniziato a diminuire, fino a diventare marginale, preferendo gli spammer avvalersi dei proxy. Prima di effettuare le proprie scelte è importante leggere bene le policy pubblicate sui siti delle varie liste e, magari, sperimentarle per un certo periodo vedendone gli effetti sui log dei server. Al momento di scegliere una lista di open relay, una delle prime cose da controllare è certamente la politica nei confronti dei relay multihop. Infatti bloccare anche gli smarthost significa generalmente rischiare improvvisi picchi di falsi positivi.

Liste di blocchi adibiti a dial-up

Le liste di dial-up o, per essere più precisi, le liste di indirizzi ip che vengono allocati dinamicamente agli utilizzatori, basano la loro ragion d'essere su varie considerazioni. Innanzitutto non è normale che un vero e proprio mailserver, che esegua un servizio legittimo, si trovi su un ip variabile nel tempo. Inoltre, si è constatato che sugli ip dinamici si trovano, nella quasi totalità dei casi, macchine non gestite da amministratori qualificati. Queste macchine, il più delle volte, vengono sbrigativamente installate, collegate in rete (es. su adsl residenziali) e poi del tutto dimenticate. Non stupisce quindi che queste macchine siano tipicamente affette da seri problemi di security (a cominciare dai proxy aperti) ed è verificabile ogni giorno come gli abuse desk che dovrebbero sorvegliare questi spazi ip risultino, alla prova dei fatti, largamente inefficaci nel risolvere i problemi creati da utenti su ip dinamico. Per questi motivi, oggi, tra gli amministratori di posta elettronica decisi a fermare lo spam in arrivo, l'opinione prevalente concorda sull'opportunità di bloccare senz'altro questi spazi ip: il risultato concreto è il rigetto di moltissimo spam, praticamente senza falsi positivi. Infatti gli utenti su ip dinamico hanno normalmente il diritto di usare, per la propria posta in uscita, quanto meno il server smtp del loro provider di connessione e, comunque, possono sempre procurarsi il diritto di usarne anche altri.

Al momento la lista di ip dinamici più usata e più attivamente mantenuta è DUHL, curata da Sorbs.net.

Liste di indirizzi o blocchi lasciati a disposizione di spammer

Liste di indirizzi su base geografica

Per trarre qualche conclusione, potremmo osservare che il DOPO-MAPS ci ha portato, quasi ogni giorno, nuove e sempre più interessanti forme di lotta. Ai postmaster si richiede di tenersi informati su questo fronte, al fine di utilizzare al meglio le risorse che si renderanno via via disponibili.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 30 maggio 2004

Leonardo Collinelli

e-mail