I metodi antispam tradizionali, basandosi sull’analisi di determinate caratteristiche presenti nel testo e negli altri elementi dei messaggi di posta in ingresso, sono sostanzialmente empirici. Essere empirico vuol dire che con questi sistemi non si può mai a stabilire al 100 % la natura di spam o meno di un messaggio, ma si stabilisce invece una probabilità che tale messaggio sia spam. Cioè, il sistema dice: per me questo messaggio è spam con una probabilità dell’80 %, del 60 %, ecc.

In generale, l’utente ha la possibilità di tarare il sistema secondo tre approcci distinti:

• Approccio molto aggressivo. Questo approccio può considerare spam, ad es., tutti i messaggi valutati spam dal 60 % in su. In questo modo, pochissimi messaggi di spam non saranno riconosciuti come tali, ma come contropartita si avranno anche diversi falsi positivi, cioè messaggi erroneamente ritenuti spam.
• Approccio blando. Questo approccio può considerare spam, ad es., tutti i messaggi valutati spam dal 90 % in su. In questo modo, si avranno pochissimi falsi positivi, ma come contropartita ci saranno diversi messaggi spam che non verranno rilevati come tali, e saranno recapitati normalmente nella casella postale dell’utente, anziché finire nella posta indesiderata.
• Approccio intermedio. Questo approccio si pone a metà tra i precedenti, limitando in parte i problemi dell’uno e dell’altro.

Riepilogando, un sistema antispam tradizionale non potrà mai eliminare autonomamente un messaggio senza depositarlo in una qualche casella postale, perché non avrà mai la certezza che quel messaggio non sia un falso positivo (anche se in realtà qualche utente lo fa, è una pratica da sconsigliare caldamente). Se adottiamo un approccio blando, che porta quasi a zero i falsi positivi, in pratica è quasi come non avere l’antispam, in quanto saremo inondati di messaggi spam non rilevati.
Aggiungiamo inoltre un secondo problema, dato dal fatto che gli spammer individuano in continuazione sistemi nuovi e più avanzati per evitare che un antispam rilevi come spam un loro messaggio. Si pensi solo all’evoluzione per cui l’informazione spam è contenuta all’interno di immagini, ed è molto difficile da rilevare. Il rilascio di contromisure efficaci a contrastare i nuovi sistemi da parte dei produttori di antispam è un procedimento lungo e complicato.

Alla luce di quanto detto sopra, appare chiaro come, se da una parte il sistema antispam tradizionale è oramai ineliminabile e dà comunque una grossa mano all’utente, evitandogli di ritrovarsi nella propria casella montagne di spam, dall’altra, tuttavia, tale sistema tradizionale è lontano dal rappresentare una soluzione pienamente efficace, in quanto lascia all’utente delle incombenze manuali sicuramente fastidiose, come quelle di scorrere comunque la casella della posta indesiderata, alla ricerca di eventuali falsi positivi, o di eliminare manualmente dalla propria casella i messaggi spam non riconosciuti (in genere, poiché quasi sempre si sceglie l’approccio intermedio, si fanno entrambe le cose).

Il grido di dolore levatosi dagli utenti è stato raccolto dai tecnologi, che hanno rapidamente individuato la soluzione del problema, mediante un approccio radicalmente diverso.
Riuscire ad essere sicuri al 100 % che un messaggio sia spam o non lo sia basandosi esclusivamente sul suo contenuto, è impossibile, abbiamo visto. Ecco allora l’approccio diverso e rivoluzionario. Manteniamo comunque il controllo del contenuto del messaggio, che è importante mantenere, ma aggiungiamoci anche il controllo su qualcosa per la quale è invece possibile stabilire al 100 % il legame con lo spam: la reputazione dell’indirizzo Internet dal quale il messaggio proviene. I servizi che consentono questo nuovo approccio sono chiamati Reputation Services (Servizi di reputazione). L’articolo ‘Che cosa sono i Reputation Services’ nella Rubrica degli Approfondimenti fornisce una disamina più ampia dell’argomento.

Senza dilungarci troppo in questa sede, pertanto, diciamo che è possibile, mediante l’adozione di un’appliance (uno scatolotto) da installare sulla propria rete subito dietro il firewall, impedire addirittura l’accesso alla rete da parte della grande maggioranza dei messaggi di spam, eliminandoli alla frontiera e senza dunque recapitarli nella posta indesiderata degli utenti.
Ciò può avvenire perché l’appliance, mediante il dialogo con un potentissimo reputation service centralizzato presente su Internet, riesce a stabilire al di là di ogni ragionevole dubbio che l’indirizzo dal quale un messaggio di spam proviene è quello di uno spammer, e dunque il messaggio è al 100 % spam (con un errore, volendo essere precisi, di 1 su 1.000.000 …).
Alla base di tutto il discorso sta il fatto che un computer che produce spam segue dei comportamenti ben precisi, che sono relativamente semplici da individuare per un servizio di vigilanza su Internet potente e capillare, ed in genere nel giro di pochissimo tempo una macchina che comincia a fare spam viene individuata e posta dal reputation service nella propria black list. Da quel momento in avanti ogni messaggio proveniente da quell’indirizzo verrà eliminato alla frontiera della rete da chi possiede lo scatolotto magico, in quanto prima di accettare e far passare ogni messaggio lo scatolotto controlla via Internet se l’indirizzo di provenienza del messaggio è presente nella black list del reputation service.
In questo modo, una quota intorno al 70 - 80 % dello spam, che in molte situazioni è anche superiore, viene eliminata alla frontiera. Anche per la parte restante dello spam, che non viene eliminata, lo scatolotto dà comunque una buona mano, in quanto si può predisporre la quarantena di questi messaggi nello scatolotto stesso, e dunque nessun messaggio di spam, di fatto, arriva nella casella postale degli utenti interni.
Ovviamente, dovrà essere predisposto un controllo periodico su questi messaggi da parte degli utenti, ma tale controllo sarà molto più agevole rispetto a quello tradizionale, in particolare perché riguarda un quarto o un quinto del volume di messaggi da controllare cui eravamo abituati, ma anche perché abbiamo degli strumenti di controllo più efficaci forniti dallo scatolotto.

Secure Computing, azienda specializzata nella sicurezza informatica, offre quella che è probabilmente la migliore soluzione sul mercato, data dall’accoppiata Secure Mail, lo scatolotto da installare nella propria rete dietro al firewall, e dal reputation service TrustedSource (www.trustedsource.com).