Dal mondo dello spam

Testo delle notizie

dall'1/8/2000 al 31/12/00



001229 - Fine anno: cause contro MAPS; passo avanti della Commissione Europea

La fine del 2000 per MAPS si caratterizza con una crescita del numero di cause legali intentate da reti i cui indirizzi erano stati listati in RBL. Dopo i casi di YesMail, Harris Interactive e Exactis, l'ultimo caso si è avuto a metà dicembre quando Media3 (servizio di web hosting del quale circa 1500 ip erano stati listati in RBL) ha tentato, senza successo, di ottenere dal giudice un TRO per imporre a MAPS la rimozione dei loro ip da RBL. Media3 era stata listata per via del gran numero di siti, ospitati sui suoi server, che offrivano software per spammer e servizi di bulk-email. Il giudice ha negato il TRO ma, meno comprensibilmente, ha proibito a MAPS di listare ulteriori ip di Media3 in RBL.

Venendo in Europa, EuroCauce ha reso noto che la Commissione Europea ha proposto nuove disposizioni che richiederebbero il preventivo consenso del destinatario per inviare pubblicità in email, equiparando così la posta elettronica ai sistemi automatizzati di chiamata. Verrebbe in questo modo a valere per tutta l'Europa il principio già presente nella legislazione italiana (che ha recepito la attuale direttiva comunitaria sul commercio elettronico aggiungendo appunto la posta elettronica ai mezzi per il cui uso è richiesto il preventivo consenso del consumatore). Si segnala già una intensa attività di lobbying sul Parlamento Europeo da parte delle organizzazioni del marketing, le quali si oppongono alla proposta della Commissione, ritenendo di avere il diritto a dire loro l'ultima parola su ciò che deve arrivare nelle mailbox altrui.

In definitiva, sembra che certo mondo aziendal-affaristico interessato a realizzare profitto con ogni mezzo, compresa una pratica squalificante come la junk-email, stia passando alla controffensiva, sia nelle aule dei tribunali che negli sgabuzzini dei legislatori. La classica immagine dello spammer come squallido personaggio sta da tempo venendo affiancata dall'immagine del nuovo spammer, spesso azienda in grado di pagare buoni avvocati e con "associazioni di categoria" in grado di fare lobby ad alti livelli. L'eredità che il 2000 si appresta a lasciare all'anno che seguirà è quindi preoccupante, e fa intravvedere un futuro prossimo in cui, ancora una volta, bisognerà lottare per affermare i più ovvi diritti di cittadini e utenti.

001209 - Prorogato l'ordine del giudice federale per sospendere il listing di Exactis in RBL

24/7 Exactis, una compagnia a carico della quale risultano pratiche di invio email non conformi alle policy del MAPS, era stata listata in RBL qualche tempo fa, dopo che ben 12 nomination erano state sottomesse al MAPS. Rivoltisi al giudice, i legali di 24/7 avevano ottenuto un TRO (Temporary Restraining Order) che imponeva a MAPS di rimuovere i relativi indirizzi da RBL. Ora il TRO è stato prorogato, venendo fissata la data per il dibattimento nel 21 maggio 2001. Il giudice John Kane (di una corte distrettuale federale del Colorado) ha indicato che al MAPS è fatto divieto di aiutare o incoraggiare o indurre alcuno ad interferire con l'inoltro dei messaggi di email spediti da 24/7. È anche fatto divieto ad entrambe le parti di parlare del caso. Si sa tuttavia che al MAPS non sono particolarmente contrariati, in quanto la presenza di un TRO pare consenta di giungere al dibattimento in tempi molto più celeri.

Resta da capire come possa conciliarsi con un normale diritto alla libertà di espressione un divieto, per quanto temporaneo, ad esprimere (sotto forma di record su un server DNS) il proprio parere sulle pratiche di rete di un qualsiasi soggetto. Nel frattempo, negli ambienti antispam circolano elenchi completi dei blocchi ip in uso a 24/7, e sono sempre più numerosi i gestori di rete che li aggiungono alle proprie blacklist, in modo che le mail originate da 24/7 vengano bloccate indipendentemente dal fatto che il listing in RBL ci sia o no. Si può pensare che, quand'anche la vicenda si chiudesse e 24/7, adeguate le proprie pratiche, uscisse definitivamente da RBL, non sarebbe semplice per essa riavere completa connettività in tempi brevi.

001108 - AT&T e PSI: conclusi (e velocemente rescissi) imbarazzanti contratti con spammer

A breve distanza di tempo, sono stati scoperti contratti con cui due tra i maggiori ISP americani (AT&T e PSI Net, noti anche per essere proprietari, rispettivamente, dei blocchi di indirizzi ip 12.*.*.* e 38.*.*.*) si impegnavano a fornire, in deroga alle proprie stesse policy antispam, connessioni spam-friendly a determinati clienti. Il merito di entrambe le scoperte è dello Spamhaus project, curato da Steve Linford.

Il caso di AT&T risale all'1 novembre. Il contratto di cui Steve Linford è venuto a conoscenza (e che ha prontamente reso pubblico sul sito dello Spamhaus project) prevedeva la fornitura di connettività a NevadaHosting. Nel contratto si indicava l'esplicita intenzione, da parte di NevadaHosting, di fornire hosting di siti web pubblicizzati mediante spam, con la precisazione che lo spam sarebbe stato diffuso tramite altre connessioni, diverse da quella fornita da AT&T, e con l'impegno che AT&T non avrebbe cancellato, malgrado tale spam, il servizio fornito a NevadaHosting.

Il 7 novembre veniva reso noto da CNET il caso riguardante PSI Net. Qui il cliente era Cajunnet, e nel testo si dichiarava che Cajunnet avrebbe praticato, tramite la connessione fornita da PSI, l'invio di quantità massive di email a liste sia di opt-in che di opt-out, che avrebbe tenuto su tale connessione dei siti pubblicizzati mediante la suddetta bulk email, e che tutti i relativi reclami ricevuti dall'abuse desk di PSI sarebbero stati semplicemente passati (unchanged) a Cajunnet. Il cliente versava inoltre la cifra di 27'000 dollari a fondo perduto, per coprire i maggiori rischi per PSI dovuti all'esecuzione del contratto stesso.

La reazione dei due provider non si è fatta attendere. Entrambi hanno reso noti dei comunicati ufficiali, postandoli su news.admin.net-abuse.email. La nota diffusa da AT&T così recita:

AT&T has reviewed the document posted at http://spamhaus.org/rokso/nevadahosting.jpg.
That document represents a revision to AT&T's standard contract that was entered into by a sales representative without proper authorization and is in conflict with AT&T's anti-spamming policies. The agreement has been terminated and the customer has been disconnected. It is not AT&T's policy or practice to enter into such agreements or to allow spam related activities. In fact, AT&T's policy, as set forth in its Acceptable Use Policy (http://www.ipservices.att.com/policy.cfm), is quite the opposite.

Quanto alla risposta data da PSI:

... omissis ...
First, PSINet no longer provides service to the customer mentioned in the article.
Second, the "so-called pink contract" obtained by CNET was handled by a junior lawyer in PSINet's commercial contracts group who was handed a proposed addendum by a commercial marketer setting forth what purported to be stricter rules for compliance with our Net Abuse Policy.
PSINet's Net Abuse Policy is not negotiable, and we will not knowingly enter into service agreements that provide a license to commit Policy violations.
....

Il testo di PSI Net, molto più lungo, proseguiva indicando gli sforzi in corso da parte della compagnia per ridurre la quantità di spam diffusa dalla loro rete (es. il port 25 filtering), e prendeva alcuni impegni, tra cui il rafforzamento della net-abuse policy, la diffusione di un forte messaggio al proprio interno perché sia chiaro che la compagnia non intende fornire alcun genere di servizio agli spammer, una formazione specifica alle forze di vendita al fine di prevenire il ripetersi di simili episodi ed una formazione ulteriore alle persone dell'abuse desk, in modo che siano maggiormente preparate alle astuzie messe in atto dai marketer per tentare di aggirare la policy antispam.

Anche se l'addossare ogni responsabilità a qualche ultima ruota del carro è sempre stata poco convinvente come prassi aziendale (che si tratti di un commerciale andato oltre quanto era autorizzato o di un giovane ed inesperto avvocato dell'ufficio contratti), bisogna considerare positivo il fatto che i due ISP abbiano prontamente reagito dissociandosi da quanto accaduto. Ciò non toglie che certe precisazioni in realtà lascino parecchi punti non chiari (per esempio, il "proposed addendum" di PSI era poi stato firmato o no? quando esattamente è cessato il servizio a quel cliente? chi poteva pensare che quel proposed addendum consistesse di regole più severe per l'applicazione delle policy, specialmente dal momento che per tale trattamento il cliente pagava una significativa somma di denaro? ...). In particolare viene da chiedersi cosa sarebbe accaduto se nessuno avesse indagato e scoperto questi contratti o, naturalmente, se esiste il rischio che queste cose non siano fatti isolati e che se ne possano avere altri casi in futuro, da parte degli stessi soggetti o di altri.

Per trarre conclusioni è, probabilmente, ancora presto. Di certo questi fatti rafforzano una nostra convinzione: il diritto di usare la rete (e la posta elettronica in particolare) nelle dovute condizioni di tranquillità va lentamente conquistato giorno dopo giorno, mentre può essere compromesso nel giro di poche ore. Di una diffusa sensibilità al problema degli abusi di rete, come della volontà e capacità di combatterli, ci sarà quindi sempre bisogno. È vero che, nel mondo aziendale e affaristico, potranno sempre manifestarsi tendenze a considerare ogni scrupolo di correttezza semplicemente un costo: ciò può avvenire per semplice avidità o per incapacità di vedere al di là del proprio naso. È comunque anche vero che, in genere, queste tendenze possono essere fermate.

001021 - Imponente episodio di spam politico in Italia

Negli USA lo spam a contenuto politico, per quanto non frequente, non è una novità. Anche in Italia, in occasione di precedenti tornate elettorali, si era registrato qualche episodio, per lo più ascrivibile ad improvvide iniziative da parte degli entourage di qualche candidato. Quello che si è invece avuto, per diversi giorni, nella prima metà di ottobre, è stato il primo episodio di dimensioni ed organizzazione effettivamente preoccupanti. Riguardo alla cronaca, qui ci limitiamo a riassumere alcuni punti: si ebbe una prima ondata di spam tra il 4 e il 5 ottobre, conclusasi quando il provider che forniva la connessione intervenne a bloccarla. La cosa evidentemente non fu sufficiente per indurre i mittenti a porsi i dovuti interrogativi: trovata un'altra connessione a Padova, diffusero una nuova ondata tra il 10 e l'11 ottobre. Il messaggio aveva un titolo che iniziava con "Toc toc" (come se stesse bussando invece che essere già entrato) e conteneva, in un postscriptum, la frase "Questa email e' stata inviata nel rispetto della legge sulla privacy.". Tralasciamo il fatto che la legge 675 è molto complicata e che, pertanto, è il caso di essere molto cauti nel definire una qualsiasi azione come rispettosa di tale norma; ammettiamo pure che lo sia: bene, personalmente troviamo un simile disclaimer particolarmente irritante. Gli spammer americani professionisti usano tutti i momenti disclaimer in cui farfugliano di essere in conformità a qualche legge, di solito inesistente. Al nostro orecchio tutti questi disclaimer suonano come se dicessero: "La legge ci consente di effettuare questo mailing. Quindi tu, che ti piaccia o no, questo messaggio te lo devi beccare. Capito?". Le prevedibili proteste da parte di numerosi destinatari delle email sembrarono aver colto di sorpresa gli organizzatori, i quali almeno in un primo tempo parvero assai poco inclini a riconoscere l'errore commesso (cosa che ha certo aggravato le conseguenze di questo incidente in termini di immagine). In particolare, nel corso di una trasmissione radiofonica nella tarda serata del 18 ottobre la posizione da loro espressa fu tesa a minimizzare le reazioni negative avutesi da parte degli utenti raggiunti dallo spam, riferendo che "solo" 600 persone avevano inviato una email di protesta. Certamente molti altri avranno protestato solo ai provider tramite i quali lo spam è stato diffuso, senza farsi vivi con i mittenti al fine di non confermare implicitamente la validità del proprio indirizzo di email; supporremmo infine che una grande maggioranza dei destinatari, o per la difficoltà nel leggere gli header o per mancanza di tempo, abbia preferito cancellare il messaggio, magari profferendo nel frattempo qualche parola poco gentile. Comunque, se anche le persone infastidite fossero state solo 600 (o anche molte meno, naturalmente), a noi non pare affatto poco. Altri punti emersi nel corso della trasmissione radiofonica sono stati i seguenti:

Ci auguriamo che questo episodio si chiuda senza ricadute e, soprattutto, che non abbia a verificarsi ciò che ora tutti temono; cioè che altri partiti o movimenti di vario genere pensino bene di provare la stessa strada, provocando incidenti analoghi. Anni fa il popolo italiano, votando a stragrande maggioranza un referendum, abolì il finanziamento pubblico dei partiti politici. Ci piace l'idea che nessun cittadino si trovi, neppure indirettamente in quanto contribuente, a finanziare tutti i partiti compresi quelli che non gli aggradano. Non ci piace per nulla che i partiti inizino a farsi finanziare le loro campagne pubblicitarie direttamente dai singoli cittadini il cui indirizzo di email finisse nelle loro liste. Un messaggio non richiesto in email non è "pubblicità a basso costo", come qualcuno ha detto nel corso di questa vicenda. È solo pubblicità a spese altrui.

001015 - Cambia nome la zona DNS di MAPS DUL

Per interrogare MAPS DUL, la lista di nodi dialup utilissima per fermare gli spam di tipo direct-to-MX, fino a qualche tempo fa si eseguivano le query sulla zona dul.maps.vix.com. Ora la zona si chiama:

dialups.mail-abuse.org

Non si rilevano cambiamenti riguardo ai nomi delle zone per MAPS RBL ed RSS.


Indice    Indice Notizie

Ultimo aggiornamento: 29 dicembre 2000

Leonardo Collinelli

e-mail