Questa è la mailing list della lotta allo spam. Si tratta di una lista di
discussione ad alto traffico (oltre 100 messaggi al giorno, sottoscrivibili comunque per categoria)
cui aderiscono diverse centinaia di utenti, molti dei quali amministratori di sistema o comunque gente
esperta. Qui è possibile postare copia delle segnalazioni inviate ai postmaster; è anche
possibile postare lo spam che si è ricevuto, al fine di chiedere consigli su come risolverlo.
La mailing list dispone di un proprio archivio storico su cui compiere ricerche.
Come sempre in questi casi, occorre leggere bene la relativa FAQ prima di partecipare.
Il FREE mantiene due mailing list. Freemail è una lista
di discussione in cui i partecipanti possono discutere di qualsiasi cosa riguardi il mondo
dell'Unsolicited Commercial Email. Free-announce è una lista a basso traffico,
in cui i partecipanti si limitano a ricevere le comunicazioni del FREE sulle ultime novità.
Consigliabile per volersi semplicemente tenere aggiornati su ciò che succede. Successivamente
si è aggiunta, alle due suddette mailing list, anche un'altra (non segnalata dal sito) chiamata
RBL-nominate, in cui si discutono le proposte da sottomettere al MAPS per l'inclusione nell'RBL.
Le mailing list del FREE sono interessanti anche per la modalità di iscrizione: chi inserisce
il proprio indirizzo per sottoscrivere una lista si vede arrivare innanzitutto una richiesta di conferma,
corredata da una password, che va rispedita in modo che il sistema (automatico) possa essere certo che
il legittimo proprietario della mailbox davvero intendesse ricevere i mailing. Si tratta di un modo di
funzionare che qualunque mailing list dovrebbe adottare, così da evitare abusi.
Gestita dalla Abuse Net, questa lista ha come tema gli strumenti da usare per combattere lo spam.
Qui è appropriato parlare sia di strumenti ad uso degli utenti che server-side, sia Unix che
Windows. L'archivio dei messaggi che circolano su questa lista è consultabile via web.
La Registration Authority italiana gestisce varie mailing list su diversi argomenti di interesse
per gli addetti ai lavori della rete, e si deve a tale iniziativa l'esistenza di due mailing list in
lingua italiana sul tema degli abusi di rete:
ANTI-SPAM, dove si svolgono discussioni,
ABUSE, dove si inviano segnalazioni di spam (in email e su usenet).
L'archivio dei messaggi che circolano su queste liste è consultabile via web.
Si tratta di 6 newsgroup pensati per coprire tutte le fasi della lotta agli abusi di rete.
Originariamente creati ad uso degli amministratori di sistema, sono una risorsa preziosa su cui trovare
informazioni e consigli.
Data la scadente qualità dei news server
oggi a disposizione degli utenti italiani, su cui (salvo pochissime eccezioni) giunge solo una piccola
parte degli articoli effettivamente postati sui newsgroup internazionali, l'uso profittevole
di questi newsgroup passa necessariamente attraverso DejaNews.
La presenza di 6 gruppi rende sicuramente le cose meno semplici, in quanto occorre capire bene
il modo corretto di usarli; pertanto ora vediamo brevemente a cosa serva ciascuno di essi.
Il consiglio fondamentale, valido sempre su Usenet e, a maggior ragione, anche questa volta, è
di leggere attentamente il charter e di seguire il gruppo per un tempo sufficiente prima di cominciare
a postare; comunque, quando decideste di manifestarvi, non dubitate che verrete accolti benissimo
(certo, basta che non andiate a dire che è sufficiente premere DELETE...).
news.admin.net-abuse.sightings (moderato)
Sighting significa "avvistamento". Qui è pertinente postare lo spam che si sia ricevuto.
Va bene tanto lo spam avvistato su usenet quanto quello ricevuto privatamente in e-mail. Ciò
che non va bene sono le discussioni. Qui non è ammesso threading: ogni articolo deve
essere a sè stante e contenere un singolo caso di spam. All'inizio del subject va applicato
un tag ([usenet] oppure [email]), seguito da qualcosa che renda riconoscibile a colpo d'occhio di
che spam si tratta (raccomanderei di mettere semplicemente il subject dello spam). Il follow-up deve
essere impostato di conseguenza al tipo di spam: su news.admin.net-abuse.email ovvero su
news.admin.net-abuse.usenet. Lo scopo è di consentire, a chi ricevesse o trovasse spam,
di verificare se altri già lo avessero avvistato e come lo avessero gestito. E' quindi di
massima utilità che l'articolo contenga, oltre allo spam, l'elenco degli indirizzi a cui
sia stato inviato il reclamo (spiegando il perché per ciascuno di essi) e, quando lo si ritenga
opportuno per far capire meglio l'analisi, corredando il tutto con l'output delle query dns/whois o
con altra evidenza utile. E' anche opportuno evitare il doppione di un avvistamento già postato,
a meno che non contenga qualche elemento nuovo (es. essere stato inviato da una differente rete).
La contribuzione di molti utenti a questo newsgroup rende disponibile una notevole massa di dati,
continuamente aggiornata e facilmente accessibile. Vale la pena di vedere un esempio
di post su questo gruppo: quello che trovate qui è un caso risolto da Frederick, uno dei
frequentatori abituali e più esperti di questi newsgroup. Esempio di email sighting.
Nota all'esempio: Può sorprendere il fatto che l'autore di questo post invii la
segnalazione, oltre che ai provider interessati, pure allo spammer. Tranquilli: Frederick è
un professionista, sa quello che fa e, soprattutto, sa difendersi. Come vedete dal testo, la sua
casella di email è protetta con una white list: vale a dire, il mailserver rifiuta tutte le
email che non provengano dai mittenti previsti. Senza questo accorgimento, verrebbe sommerso di spam
e mailbomb nel giro di pochi minuti. Quindi, per tutti gli altri, vale il consiglio di non
mettersi mai in contatto con uno spammer.
news.admin.net-abuse.email
Si tratta di un gruppo non moderato su cui è appropriata qualsiasi discussione relativa
ad abusi di e-mail. Su questo gruppo è facile trovare notizie assai aggiornate sulle
attività degli spammer più conosciuti e, cosa non meno utile, sul comportamento dei
principali provider (quali sono solleciti nell'intervenire e quali sono spam-friendly), su evoluzioni
legislative e quant'altro abbia attinenza. In questo gruppo non si deve postare lo
spam che si fosse ricevuto. Nei casi tecnicamente più difficili è appropriato postare
gli header per chiedere consiglio su come interpretarli; riceverebbe invece flame chi si mettesse a
postare header ripetutamente per farseli risolvere: i frequentatori abituali sono disponibili ad
aiutare chi si aiuta da sè, quindi considerate questo gruppo come una risorsa di cui ci si
può avvalere ma che non può risparmiarvi di imparare voi stessi a gestire gli spam che
ricevete. Probabilmente è questo il gruppo più utile da tenere d'occhio.
Attorno a n.a.na.e si è costituita una compatta comunità di antispammer, tra cui un
certo numero di postatori abituali, molti occasionali e (se ne può essere certi) un notevole
numero di attentissimi lurker.
news.admin.net-abuse.usenet
Analogo a news.admin.net-abuse.email ma dedicato alla discussione su spam nei newsgroup. Su
questo gruppo vengono postati dei resoconti statistici relativi allo spam su usenet.
news.admin.net-abuse.misc
Gruppo destinato a discussioni su abusi di rete che non rientrino in alcuno degli altri. Per
esempio gli attacchi di tipo denial of service o altro.
news.admin.net-abuse.policy (moderato)
Qui si parla dei vari aspetti della gestione dei siti dal punto di vista dei regolamenti anti abuso,
quindi discutendo sulle Acceptable User Policy e su cosa le AUP dovrebbero prevedere. Appropriato anche
discutere quali siti stiano avendo problemi nel prevenire gli abusi e se sia il caso di prendere
provvedimenti nei loro confronti.
news.admin.net-abuse.bulletins (moderato)
Su questo gruppo postano essenzialmente i gestori di rete per rendere noti i provvedimenti da
loro presi contro gli abusi. Per esempio, vari provider postano report settimanali in cui dicono
quanti account hanno chiuso in seguito all'invio di spam.
it.news.net-abuse
E' l'unico newsgroup italiano riguardante gli abusi di rete, tuttavia leggendo il
charter si troverà che l'argomento di questo ng è
circoscritto allo spam originato da spammer italiani. In particolare questo gruppo ha una funzione
istituzionale relativa ai gruppi Usenet della gerarchia it (vengono annunciate su
it.news.net-abuse le cancellazioni dei messaggi make money fast operate sui gruppi it).
Non è quindi appropriato discutere qui di junk e-mail proveniente dall'estero (ossia, il
fenomeno che ha tuttora maggiore impatto anche sugli utenti italiani) o di spam sui gruppi
internazionali, né è ritenuto utile occuparsi di spammer internazionali sui gruppi
della gerarchia it. Il motivo principale di queste limitazioni è che si vuole evitare di
sovrapporre questo gruppo a quelli internazionali, cosa che provocherebbe una inutile o dannosa
suddivisione dell'area di discussione.
E' interessante osservare che in Germania (paese dove, a quanto mi sembra di cogliere,
c'è una buona sensibilità al problema degli abusi di rete) esistono questi
newsgroup:
de.admin.net-abuse.announce (moderato)
de.admin.net-abuse.mail
de.admin.net-abuse.misc
de.admin.net-abuse.news
Personalmente, riconosco che esistano buoni motivi per tenere separata l'area Usenet da
quella e-mail: i fenomeni sono tecnicamente diversi, ed è pure vero che molti spammer tendono
a operare o solo su Usenet o solo su e-mail. C'è però anche da dire che il pubblico
è nei due casi lo stesso o quasi e, almeno per ora, non sembra essere in Italia così
numeroso da suggerirne un frazionamento. Soprattutto, però, i provider che devono intervenire
sono gli stessi in entrambi i casi. Sarebbe sicuramente interesse generale che si costituisse un gruppo
di sorveglianza e pressione sui provider italiani il più vasto possibile. Del resto, si
può osservare che a livello americano questo già succede: molti provider USA leggono
n.a.na.e. e non hanno affatto piacere di essere citati in negativo; anzi, talvolta postano dei messaggi
essi stessi per giustificarsi quando avessero provocato problemi.
Probabilmente molti concorderanno sul fatto che Usenet sia la più potente fonte di
informazione oggi fruibile dagli utenti di rete. DejaNews fornisce a Usenet un valore aggiunto
inestimabile: archiviare tutta questa enorme quantità di informazioni che ogni giorno viene
prodotta dagli utenti di tutto il mondo ed indicizzarla in modo da rendere possibili potenti ricerche.
E' importante considerare che il feed di messaggi elaborati da DejaNews è ottimo: è assai
raro che qualche articolo sfugga. Inoltre, viene filtrato lo spam. Dejanews è utilizzabile
gratuitamente, si mantiene grazie ai banner pubblicitari. In linea di massima, qualunque
necessità si abbia, in qualunque campo, vale la pena di cercare la soluzione tramite query su
DejaNews. Anche per la lotta allo spam. Non intendo trattare diffusamente le possibilità di
DejaNews in questo campo: è l'argomento di uno dei casi pratici di Bill Mattocks e non resta
nulla da aggiungere. Mi limito a dire come abitualmente procedo io, in poche righe.
Eseguo una prima analisi del messaggio e degli header, in cui determino la provenienza del
messaggio e, di conseguenza, a chi debbano essere inviate le segnalazioni. Ciò riguarda il
nodo a cui il messaggio è stato effettivamente originato e la rete che ospita l'eventuale
sito web pubblicizzato nello spam.
Apro la pagina di Power Search di Dejanews ed indico, nel campo Newsgroup del form
di ricerca: news.admin.net-abuse.* (mi interessa cercare in email e in sightings)
Nel campo Subject indico qualche parola presa dal subject dello spam (per mettere in AND
le parole da cercare occorre usare gli '&').
Lo scopo è cercare innanzitutto se lo stesso messaggio che si è ricevuto sia
già stato analizzato da altri. Se sì, è possibile trovare conferma della propria
analisi. Se non risulta segnalato uno spam identico al proprio, si possono comunque cercare tracce del
medesimo spammer (per esempio mediante ricerca sul numero di telefono che lo spammer fornisce per
contattarlo).
Se le reti coinvolte sono organizzazioni importanti a me già note, non sto a compiere
particolari indagini sul loro conto. Se si tratta di reti o provider sconosciuti, oltre a visitarne
il sito cerco se di loro si è già detto qualcosa su n.a.na.e. A questo scopo uso
come campo di ricerca prima il Subject, poi addirittura cerco il loro nome entro il testo
degli articoli (DejaNews indicizza l'intero testo). Se si vedono articoli titolati, per esempio,
"White hat for ABCD.NET" vuol dire che le cose si stanno mettendo bene: la rete in
questione ha già avuto occasione di mostrarsi pronta nel fermare gli spammer. Opposto il
caso in cui si veda "ABCD.NET rogue?". In quest'ultimo caso la faccenda è più
complessa, ed occorre cercare di saperne di più per capire se è il caso di reclamare
a loro o direttamente al loro up-stream provider.