C'è una sola cosa veramente efficace: tenere sufficientemente riservato il proprio indirizzo di e-mail. Non dico che sia da custodire come il numero della carta di credito, ma quasi. Una volta che il vostro indirizzo di e-mail fosse finito nelle mani degli spammer, non c'è più niente da fare: verrà venduto ad altri, poi ad altri ancora. Tuttavia prendendo, sia pure tardivamente, i provvedimenti che vedremo qui, si può almeno ridurre il quantitativo di messaggi che si ricevono. Normalmente, infatti, gli spammer tendono a scartare gli indirizzi di email raccolti da un certo tempo al fine di rimpiazzarli con indirizzi rastrellati più di recente.
Usenet è, a tutt'oggi, la fonte principale da cui gli spammer riforniscono i loro elenchi. Scaricati messaggi da tutti i newsgroup, gli spammer li elaborano con appositi programmi che cercano gli indirizzi. Si tenga presente che ogni articolo presente su Usenet ha la classica struttura che prevede gli header, una riga vuota e il corpo del messaggio vero e proprio. Tra gli header ci sono 'From:' e 'Reply to:' che dovrebbero, secondo lo standard, contenere l'indirizzo di e-mail dell'autore e quello (se diverso) a cui l'autore preferisce essere contattato. Esistono ottimi motivi per avere l'e-mail dell'autore in ogni articolo: soprattutto ciò consente di attivare privatamente via e-mail discussioni che, pur se relative all'articolo in questione, risulterebbero improprie (e quindi assai sgradite) su un'area pubblica come il newsgroup. La presenza dell'indirizzo nelle prime righe dei messaggi, entro header con una sintassi standard, rende assai pratico scrivere all'autore ma, purtroppo, rende anche molto facile l'effettuazione di estrazioni automatiche.
Tradizionalmente, il campo a rischio è il 'From:', ma è poco probabile che un indirizzo nel 'Reply to:' possa rimanere indenne. Sembra che invece non corrano particolari rischi gli indirizzi inseriti all'interno del corpo degli articoli, probabilmente perché esaminare l'intero testo di tutti gli articoli di tutti i newsgroup sarebbe molto oneroso e darebbe risultati piuttosto scarsi (dal punto di vista degli spammer). Riterrei comunque prudente considerare a rischio anche il testo del messaggio: se anche oggi può non esserlo, potrebbe diventarlo da un giorno all'altro.
Il motivo per cui il campo maggiormente a rischio risulta essere il From è che, per estrarre gli indirizzi dai newsgroup, normalmente gli spammer non usano normali newsreader ma appositi software che, dopo essersi collegati ad un news server, danno il comando XOVER in modo da ottenere dal server una risposta molto sintetica, in cui sono dati solo il Subject, il From, il MessageId e pochi altri campi per ciascun articolo.
Veniamo dunque alla soluzione che molti adottano: non mettere l'indirizzo negli appositi campi, oppure metterlo con alterazioni. Si può obiettare che, in base agli standard di rete codificati nelle RFC, l'indirizzo sarebbe da mettere e senza alterazioni. Per questa ragione molti non adottano questa soluzione e, prevedibilmente, considerano con scarsa simpatia coloro che la praticano. E' comunque vero che gli standard sono nati un po' di anni fa, quando in rete non erano ancora calati gli Unni del marketing di massa, né i ragazzotti che pensano di fare fortuna come Rasmus Lind, né i provider o le grosse aziende che considerano legittimo farsi pubblicità con e-mail non sollecitate. Mi sembra quindi difficile criticare questa forma di autodifesa; è vero, non mettere un indirizzo valido nel campo 'From:' o 'Reply to:' rende certamente più scomodo l'uso di Usenet, però non ne danneggia il buon funzionamento: si tratta di una delle tante scomodità di cui dobbiamo ringraziare gli spammer. L'importante è seguire alcune avvertenze:
Per esempio, mariorossi@abcd.it può diventare
mariorossi@abcdNOSPAM.it oppure mariorossi@TOGLIMIabcd.it o
mariorossiTOGLIQUESTO@abcdTOGLIANCHEQUESTO.it.
Altre parole civetta che spesso si vedono sono REMOVE, REMOVE.THIS.TO.REPLY eccetera.
Se vogliamo però che la alterazione abbia l'effetto desiderato, occorre evitare tutte queste
parole civetta ormai classiche e prevedibili. E' stato infatti riportato che alcuni programmi di
estrazione indirizzi dai newsgroup vantano, tra le proprie funzionalità, la ricerca ed
eliminazione delle più comuni di queste stringhe (come NOSPAM o REMOVETHIS). Occorre quindi
essere creativi e cambiare strategia di tanto in tanto. Mi è capitato di leggere qualche
signature in cui era scritto: "Togliere UGO per rispondere" oppure "Sostituire LANA con
SETA" oppure "Per rispondermi togliere il TAPPO dall'indirizzo". Grandiosa la trovata
di quello che ha messo: "Per emailarmi levare LEDITADALNASO".
Per quanto mi riguarda, nel campo 'FROM:' metto un semplice rimando al testo del messaggio e, nella
signature, riporto il mio indirizzo in forma tale da non essere riconoscibile a programmi che
esaminassero il testo. Per il momento i programmi degli spammer non riescono a venirne
a capo e, sperabilmente, per chi desiderasse scrivermi non dovrebbe essere un fastidio eccessivo.
Comunque uno spammer ostinato può sempre ricavare a mano l'indirizzo: per la cronaca, a me
è successo. Se dovesse capitare anche a voi, è solo una ragione in più per non
avere pietà. Si tratta tuttavia di casi rari, in quanto una attività di spam massivo
ha bisogno di essere effettuata con strumenti automatici.
Su questo argomento esiste in rete una apposita faq (Munging FAQ). Un'altra interessante FAQ in linuga tedesca viene periodicamente postata su de.admin.net-abuse.mail e può essere ritracciata mediante Dejanews.
Pare che gli spammer esplorino pure le chat alla ricerca di indirizzi di e-mail, e che vari client IRC forniscano l'indirizzo tranquillamente a chiunque lo chieda.
Gli spammer hanno programmi di scansione anche per le pagine web. Sono del tutto analoghi ai robot dei motori di ricerca e percorrono tutti i link che trovano, raccogliendo tutto ciò che figura in link di tipo 'mailto:' o che abbia una @ nel mezzo. Una soluzione (non so fino a qual punto efficace) potrebbe essere di rinunciare a mettere il link di tipo 'mailto:' e inserire dei tag HTML nell'indirizzo. Esempio: <B>mariorossi</B>@<I>abcd.it</I>. Un esempio che, alla fine, mi è riuscito di rendere non troppo complicato, si può trovare in queste stesse pagine seguendo questo link. Una soluzione interessante per i webmaster desiderosi di combattere lo spam è il WebPoison, un programma CGI gratuito che genera dei link a pagine create al volo dal programma stesso. Ognuna di queste pagine contiene del testo random, cosparso di indirizzi di e-mail fittizi e di link che puntano tutti ad altre pagine del tutto analoghe: in questo modo i robot degli spammer girano senza fine tra pagine inesistenti raccogliendo indirizzi falsi. L'idea è stuzzicante e, a quanto ho sentito, gli spammer ne sarebbero davvero assai infastiditi. Ciò che trovo poco pratico è il fatto che il prodotto sia fornito in C: viene reso disponibile il sorgente, cosa che va benissimo per un amministratore di sistema che sia anche webmaster (specialmente se il suo sistema gira su Unix o Linux, dove il compilatore C esiste sicuramente) ma che non è utilizzabile dall'utente qualunque che, realizzando la propria pagina personale, volesse predisporre la trappola. Dopo un po' di ricerche sono infine riuscito a trovare una soluzione analoga scritta in Perl: questo rende sicuramente più agevole per molti la applicabilità dell'idea. Lo script, come sorgente Perl completo di documentazione e consigli per l'utilizzo, è qui (50Kb) oppure, zippato, è qui e potete scaricarlo ed usarlo liberamente. Tenete presente che non sono io l'autore dello script e che le mie cognizioni di Perl sono meno che elementari: pertanto la probabilità che io riesca a rispondere a domande su tale script è praticamente nulla. Qualora invece preferiste implementare sul vostro sito una soluzione simile creata da voi, ricordate di includere, sulle pagine trappola, il tag META con NOFOLLOW, NOINDEX in modo da non prendere nella rete anche i robot "buoni" come quelli dei motori di ricerca. Naturalmente, se vi interessa vedere all'opera lo script di cui sopra, ecco qui un esempio di pagine piene di indirizzi di e-mail generate casualmente. Si noti che ho rinominato lo script (deve sembrare una innocente pagina come le altre) e che ho inserito la parola e-mail nel testo del link: è stato segnalato che questo indurrebbe i robot degli spammer a visitare con maggiore probabilità la pagina in questione.
Molti gestori di server DNS in giro per il mondo hanno inserito dei nomi host fasulli che puntano ad indirizzi di loopback (come 127.0.0.1). Per esempio, si risolvono al computer locale nomi come ftp.japan.com, warez.satanic.org, net.surfers.org.uk e molti altri. Usando tali nomi host come parte di indirizzi di email, alla destra della @, lo spammer che si trovasse ad averli in elenco non ne dovrebbe essere particolarmente contento. E` difficile però ipotizzare che questo tipo di trucchi possa effettivamente creargli dei problemi.
In molti casi, specialmente per ottenere l'accesso alla pagina di download di vari software, occorre immettere i propri dati. Di solito, l'indirizzo di e-mail è richiesto come campo obbligatorio. Purtroppo, sono stati riportati casi di produttori di software anche di chiara fama che hanno abusato degli indirizzi di e-mail a loro forniti. La soluzione di fornire un indirizzo non valido non può, generalmente, essere presa in considerazione, poiché è all'indirizzo indicato che il produttore può spedire il codice di registrazione o altra informazione necessaria. La soluzione che a me sembra più consigliabile è di dotarsi di una mailbox presso qualcuno dei tanti servizi che le forniscono gratuitamente: il giorno in cui ci si rendesse conto che la mailbox è finita nelle liste degli spammer, sarà sufficiente dismetterla ed aprirla con un altro nome.
Un altro standard di rete non più adeguato ai tempi è quello relativo alla password per siti FTP. Per accedere normalmente a siti FTP è previsto che come nome utente si indichi anonymous e che, come password, si metta un qualsiasi indirizzo di e-mail. Parecchi siti FTP accettano come password anche la parola guest. Certi siti danno un messaggio che avvisa che la risposta guest non è valida, tuttavia consentono l'accesso, magari emettendo un ulteriore messaggio che dice: "next time use your e-mail address". In certi casi fornendo guest non è possibile accedere e, dai messaggi forniti dal server, si vede che è sufficiente il carattere @ in fondo (ossia indicare guest@). Poiché si deve supporre che il server FTP scriva su log le password usate da coloro che lo utilizzano, poiché è difficile ipotizzare che uso venga fatto di tale log e poiché sono riportati dei casi in cui si è abusato di indirizzi così forniti, è prudente non indicare il proprio vero indirizzo.
Pochi sanno quante informazioni sull'utente e sul pc vengono passate dal proprio web browser a qualsiasi sito web che venga visitato. La maggior parte delle informazioni passate sono a fin di bene (es. la risoluzione dello schermo, la profondità di colore e il tipo di browser utilizzato potrebbero, in teoria, essere utili per inviare al browser risposte più adeguate alle capacità di visualizzazione), altre non si giustificano facilmente. Esistono siti ove si può osservare tutto ciò che il browser comunica ai siti visitati: per esempio è utile visitare http://www.helie.com/BrowserCheck/. Ovviamente se in tale prova si vede comparire il proprio indirizzo di e-mail è il caso di allarmarsi. Comunque, il vostro browser non può sapere il vostro indirizzo se non glie lo avete detto voi o qualcuno che l'abbia configurato. Rispetto alla mia esperienza in ambiente Windows, ho constatato che l'installazione di MS Internet Explorer versione 3 non richiede l'indirizzo di e-mail e che, di conseguenza, non è neppure in grado di passarlo alla rete. Quando si usa MS IE per accessi FTP viene usata come password una stringa impostata nel registry di Windows ("IE30User@"). Durante l'installazione di Netscape 4.04 mi sono invece visto chiedere l'e-mail: ovviamente ne ho indicato uno fasullo.
Sembra che la raccolta di dati dagli inconsapevoli visitatori dei siti web non sia prerogativa di singoli individui o piccole organizzazioni. E' stato segnalato che uno tra i principali produttori mondiali di antivirus, uno dei primissimi nomi che vengono in mente quando si pronuncia la parola "antivirus", ammette di ricavare dai visitatori del proprio sito tutto quello che si può e, in particolare, l'indirizzo di e-mail (qualora il browser lo fornisca). Dopodiché al malcapitato visitatore arriveranno, da parte dell'azienda in questione, e-mail indesiderate per tutta la vita. Non solo, ma nella pagina di "Privacy policy" si può perfino leggere che si riservano di condividere il vostro indirizzo con reputabili organizzazioni di marketing ecc... Potete anche capire che, da parte dell'upstream provider, non sia semplice la decisione di intervenire contro un cliente di quella importanza; quindi l'unica soluzione è prevenire.
Sempre in tema di grosse aziende che spammano per scelta ben precisa del proprio marketing (tali aziende sono definite Mainsleaze spammers), guardatevi anche da certi famosissimi venditori di libri on-line. Su news.admin.net-abuse.email, dove la parola d'ordine è "Non fare affari con chi ritiene che infastidire i propri potenziali clienti sia una accettabile condotta commerciale", si vede talvolta consigliare, a chi vuole acquistare libri in rete, di servirsi da Powell (che sotto l'aspetto spam sarebbe decisamente corretto).
Tenete presente che, se il browser passa l'indirizzo di e-mail al web server, il semplice uso del proxy del proprio provider non dà alcuna garanzia che l'header che lo contiene venga tolto.
Un'altra cosa potenzialmente insidiosa nella navigazione web è il JavaScript: una pagina maliziosa potrebbe contenere un form con azione di tipo 'mailto:' ed una routine JavaScript che lo aziona quando, per esempio, passate con il mouse su un'immagine o un link o altro, o addirittura nel momento in cui la pagina viene caricata. Siate sospettosi, soprattutto se vi capita di visitare siti degli hacker (e non solo).
Ultimo aggiornamento: 27 giugno 1999