Chiunque utilizzi la posta elettronica sa che lo spam è l’autentico flagello informatico dei nostri giorni. Se in ambito privato lo spam può avere un impatto relativo, causando al più un po’ di fastidio per l’utente che lo riceve, è in ambito aziendale che lo spam si rivela essere un grosso problema.
Anche in aziende medio-piccole l’e-mail è oramai diventata strumento di lavoro irrinunciabile, ed ogni intoppo che porti a rallentamenti o ad un suo utilizzo non ottimale è visto in modo fortemente negativo da utenti ed amministratori di rete.

Il problema è che un messaggio, anche se riconosciuto come spam dall’apposito servizio antispam, non si può cancellare brutalmente (almeno come regola di buon senso, anche se alcuni utenti lo fanno), perché potrebbe rappresentare un cosiddetto ‘falso positivo’, cioè un messaggio riconosciuto erroneamente come spam dal sistema antispam. I falsi positivi hanno una frequenza da 1 su 100 (messaggi riconosciuti come spam) a 1 su 3-400, a seconda del servizio antispam ma soprattutto in funzione della taratura del sistema. Dall’altro capo rispetto ai falsi positivi, difatti, ci sono i messaggi di spam non riconosciuti come tali. In mezzo ci sono i messaggi spam riconosciuti come tali che sono, fortunatamente, la stragrande maggioranza.
Il balletto tra falsi positivi e messaggi spam non riconosciuti è dato appunto dalla taratura antispam del sistema: una taratura molto aggressiva farà tendere a zero i messaggi spam non riconosciuti, ma avrà come effetto collaterale la presenza di più falsi positivi, mentre una taratura più blanda farà tendere a zero i falsi positivi, ma avrà come effetto collaterale la presenza di più messaggi spam non riconosciuti come tali. La decisione sulla taratura viene presa dagli amministratori in base alle considerazioni più varie, e può anche succedere che essa venga variata in determinati frangenti.

Sia come sia, l’eliminazione brutale di un messaggio di spam non è l’opzione corretta, e la prassi vuole che tale messaggio sia depositato nella Posta indesiderata di ciascun utente, il quale ha dunque due incombenze: eliminare manualmente dalla propria casella postale i messaggi spam che non sono stati riconosciuti come tali, e scandire la lista dei messaggi nella Posta indesiderata alla ricerca di eventuali falsi positivi. Ciò è sempre meglio di ritrovarsi la casella postale zeppa di messaggi spam, come era prima della comparsa degli antispam, ma l’incombenza a carico dell’utente rimane, ed in genere non è mai bene accetta.

Negli ultimi tempi, per giunta, la situazione è ulteriormente peggiorata dalla presenza sempre più massiccia e virulenta di un altra categoria di messaggi.
Questi messaggi, caratterizzati da segnalazioni del tipo ‘Impossibile recapitare’, ‘Undeliverable message’, ecc., hanno uno status un po’ particolare in quanto, pur derivando da attività condotte dagli spammer, non sono definibili come spam vero e proprio, e per questo motivo non vengono riconosciuti dai tradizionali sistemi antispam. Molti utenti si arrabbiano perché il loro sistema antispam non rileva questo tipo di messaggi dai quali sono sommersi, ma lui, poverino, non ne può nulla: tecnicamente, questi messaggi non sono spam!
Cosa sono dunque questi messaggi? Essi derivano dall’attività svolta dagli spammer per procurarsi indirizzi e-mail, attività nota come Directory Harvest Attack (DHA). Essi bombardano un server di posta con centinaia o migliaia di e-mail vuote, con dei nomi di mailbox che si presume possano esistere all’interno del server (ad esempio, è facile che in un’azienda esista un Rossi, un Bianchi, ecc., perciò si prova con m.rossi@acme.it, r.bianchi@acme.it, ecc.); se la maibox esiste, l’utente si vede recapitare un messaggio vuoto del quale non capisce la provenienza, ma se la mailbox non esiste il sistema emette il cosiddetto Non Delivery Report (NDR), il messaggio che avvisa il mittente che la mailbox richiesta non esiste.
Gli spammer, ricevendo indietro i NDR, determinano per sottrazione le mailbox che esistono (se mi ritornano indietro 999 NDR su 1000 messaggi inviati, la mailbox per la quale non mi è arrivato l’NDR esiste). Già di base, questi messaggi in uscita sovraccaricano i server di posta ed occupano inutilmente larghezza di banda. In più, succede spesso un fenomeno perverso, che dà origine ai NDR di ritorno, che sono quelli che ci vediamo arrivare e che ci sommergono. Perché arrivano?
Approssimando un po’, diciamo che i siti dai quali arrivano i bombardamenti iniziali sono dei siti fantasma, o ‘zombie’, cioè delle macchine che sono state attaccate e sono cadute in mano degli spammer. Queste macchine dapprima bombardano, e poi aspettano i risultati. Capita spesso, tuttavia, che le macchine ‘zombie’ vengano scoperte dai ‘buoni’ tra i due eventi e messe fuori uso. Pertanto, quando il nostro sistema invia i NDR, dall’altra parte la macchina che deve riceverli non c’è più, e dunque il nostro sistema ci dice che non è stato in grado di consegnare i nostri messaggi.
Ecco dunque che questi messaggi non sono spam, in quanto nascono da normali operazioni di contatto tra server di posta e codificate dai protocolli di posta elettronica.
Anche in questo caso, la soluzione drastica di eliminare i NDR in uscita dal nostro sistema non è una buona soluzione, perché taglia necessariamente anche i NDR validi (se ad esempio un nostro corrispondente sbaglia a mandarci un’e-mail, non ne verrà a conoscenza).
Anche tagliare i NDR in ingresso non va bene, per lo stesso motivo: se siamo noi a sbagliare, non ne veniamo a conoscenza.

In definitiva, allo stato attuale (Maggio 2008), la situazione, con l’utilizzo di sistemi antispam tradizionali, è questa: l’utente si vede depositato lo spam nella Posta indesiderata, ma deve compiere piuttosto frequentemente un paio di operazioni manuali per gestire adeguatamente la propria mailbox; in più, è sempre più sommerso da messaggi di tipo NDR, che non sono spam e come tali non vengono rilevati, e costituiscono forse, in questa fase, il problema più sentito.
La situazione, con i sistemi tradizionali, è piuttosto problematica.

L’avanzamento tecnologico ha, per fortuna, individuato il metodo giusto per combattere ad armi pari spam ed affini.
Come abbiamo visto, i problemi principali sono che non possiamo eliminare brutalmente i messaggi individuati come spam, per via dei falsi positivi, e che non possiamo agire sui NDR. Nel primo caso, non ci fidiamo al 100% della nostra analisi del contenuto del messaggio (l’argomento è trattato un po’ più diffusamente nell’articolo ‘Come eliminare in via definitiva spam e affini dal mio sistema di posta?’, nelle Soluzioni), mentre nel secondo non compiamo neanche l’analisi. Non ci fidiamo delle analisi perché gli spammer individuano mezzi sempre più sofisticati per nascondere lo spam nei messaggi, e noi dobbiamo essere sempre più aggressivi nella taratura e abbiamo sempre più falsi positivi: un incubo.
Ecco allora un approccio rivoluzionario: perché non analizzare, oltre al contenuto del messaggio, anche il ‘comportamento’ di chi ce lo ha spedito? Perché non gestire una sorta di ‘fedina penale’, o ‘pagella’, del mittente?
Se si riesce a stabilire, al di là di ogni ragionevole dubbio, che l’indirizzo mittente sta effettuando spam, ecco che si può tranquillamente eliminare il messaggio senza neanche analizzarne il contenuto.
Ecco allora nascere i cosiddetti Reputation Services (Servizi di reputazione), con lo scopo di tracciare lo sterminato e volubile mondo degli indirizzi IP su Internet per stabilirne per ciascuno una pagella di attendibilità o la patente di spammer.
E’ un’impresa tutt’altro che semplice quella di gestire un reputation service. In primo luogo, le macchine ‘zombie’ nascono e muoiono come funghi (450.000 nuovi ‘zombie’ ogni giorno, statistica ricavata nel Marzo 2007), e per essere efficace un reputation service deve individuare un nuovo zombie nel giro di pochissimo tempo. Inoltre, occorre gestire un meccanismo di distribuzione delle informazioni velocissimo ed efficiente.
Un grosso problema dei primi servizi di reputazione, all’incirca negli anni 2001-2002, era la dinamicità molto ridotta nel tracciare i nuovi ‘zombie’, per cui il sistema offriva poco di più di un servizio di black e white list relativamente statiche, con risultati generali piuttosto deludenti.
Arrivati alla terza generazione di reputation services, molti problemi sono stati risolti brillantemente, a prezzo di un’organizzazione del servizio imponente, su scala planetaria, e di una capillarità elevatissima nella distribuzione dei punti di rilevamento dell’e-mail.

Per spiegare il funzionamento di un reputation service, ci affidiamo a quello che è probabilmente il migliore sul mercato, gestito da Secure Computing, azienda specializzata nella sicurezza informatica.

Alla base del funzionamento di un reputation service c’è l’interazione tra due elementi distinti. Il primo elemento è il reputation service propriamente detto, che nel ns. caso prende il nome di TrustedSource (www.trustedsource.com). Si tratta di un servizio pubblicato su Internet che tiene traccia del comportamento di milioni di indirizzi IP sulla rete in relazione all’emissione di spam.
Ad alimentare TrustedSource ci sono le componenti del secondo elemento, vale a dire le appliance installate presso i clienti che gli inviano tutte le informazioni possibili e immaginabili sulle e-mail in transito, in modo che il servizio le possa elaborare.
Queste appliance vengono installate come gateway all’ingresso della rete, per poter processare tutta la posta elettronica in ingresso (ma anche in uscita) nella rete stessa.
Nel nostro caso le appliance prendono il nome di Secure Mail.

Come abbiamo visto, un reputation service non effettua le classiche verifiche su testo, dizionario, ecc., lasciate alle funzionalità classiche dell’antispam, che comunque Secure Mail implementa, ma opera analizzando la reputazione del mittente, basandosi sulla storia passata, recente ed istantanea dell’indirizzo IP dal quale il messaggio proviene, del dominio di posta, ecc. Ad es., un indirizzo che invia posta ma non ne riceve è sicuramente uno spammer; un indirizzo che invia normalmente 100 messaggi al giorno e improvvisamente ne invia 10.000 in una volta sola è quasi sicuramente uno ‘zombie’.
TrustedSource raccoglie informazioni da migliaia di apparati Secure Mail sparsi nel mondo, attraverso i quali passa più del 30% dell’e-mail mondiale, che è una cifra spropositata. Grazie a questa rete capillare è in grado di rilevare un nuovo zombie in poche ore, e da quel momento in avanti le reti protette da un’appliance Secure Mail, che avrà ricevuto l’informazione da TrustedSource, non riceveranno più spam da quello zombie.
Si noti che le appliance Secure Mail svolgono un doppio ruolo: quello di ‘sensori’ sul territorio che inoltrano a TrustedSource tutte le informazioni, e quello di ‘client’ che usufruiscono dei suoi servizi. Quando riceve un messaggio, difatti, oltre a inviarne la relativa informazione a TrustedSource, verifica se per caso l’indirizzo IP da cui proviene il messaggio è registrato come spammer, nel qual caso lo elimina direttamente.
Grazie a questa organizzazione, in media l’80 % dello spam viene eliminato (impostazione di default) direttamente dopo l’analisi da parte di TrustedSource, e dunque non solo non entra nella rete, ma non viene neanche messo in quarantena sull’appliance. E’ possibile operare questa scelta di default con tranquillità, in quanto TrustedSource è un reputation service di terza generazione, molto affidabile e con una percentuale di falsi positivi di 1 su 1.000.000.
Il restante 20 % di spam viene processato dai normali servizi antispam residenti su Secure Mail, con però una particolarità molto importante: è possibile, ed in genere è questa la scelta preferita, non inoltrare comunque nelle mailbox all’interno della rete i messaggi spam, ma è possibile mantenerli in quarantena sull’appliance. In questo modo, di fatto nessun messaggio spam, tranne qualche rara eccezione, arriva più nelle mailbox degli utenti.
Per quanto riguarda la gestione dei messaggi in quarantena, è possibile affidarla all’amministratore di rete, ma in reti medio-grandi questa soluzione può essere complicata dal grande numero di messaggi da gestire. Una valida soluzione prevista è quella di recapitare a ciascun utente, sulla base temporale desiderata, ad es. ogni settimana, un unico messaggio contenente la lista dei messaggi in quarantena. Teniamo presente che, se un utente riceveva in media 100 messaggi spam al giorno, conti alla mano la lista settimanale non dovrebbe contenere più di 100-150 entries, e dunque il suo scorrimento può richiedere al massimo pochi minuti. Dedicare 3-4 minuti ogni 7 giorni per mantenere pulita la propria mailbox, ricevendo un unico messaggio legato allo spam, anziché centinaia, in un mondo dove ogni giorno circolano 80 miliardi di messaggi spam, è un piccolo sacrificio più che accettabile.