Il Monday 21 April 2008 12:37:05 Andrea Ranaldi ha scritto: > Ciao a tutti, > > Nell'ultimo periodo un server di posta che gestisco e` stato saturato > di spam non consegnato..... > mi spiego: i miei utenti hanno iniziato a ricevere sistematicamente > ricevute di ritorno a mail "SPAM" non consegnate, con ovviamente lo > "SPAM" allegato. > Le mail non sono originate dai mittenti che ricevono > la risposta ne sono partite dal server che le riceve. > So che e` prassi normale falsificare il mittente dello spam per > renderlo appetibile, ma noto alcune cose: > > Spam che normalmente non passerebbe nessun filtro come ricevuta passa > senza problemi (il mittente e` valido [EMAIL PROTECTED], > l'intestazione e` valida "email recipient error", ma consegna SPAM) > > E` prassi normale leggere un'email di errore ed a leggere l'email > allegata, molti utenti neanche capiscono che e` un errore, mi chiamano > lamentandosi che ricevono spam da un certo postmaster :). > > non si puo` eccedere con le mail di errore nei filtri baesiani > altrimenti si rischia di eliminare anche gli errori veri. > > Quindi se io mandassi email di spam a mittenti inesistenti per farle > arrivare come errori? Potrei raggiungere lo stesso risultato di una > email di spam normale senza complicarmi la vita per raggirare i vari > filtri. > > Considerate che mail di questo tipo passano sia con spamassassin altre > soluzioni a pagamento che ho montato. > > > Che ne pensate? Puo` essere un nuovo modi per far arrivare lo spam?
Ciao, il metodo non è affatto nuovo ed ogni tanto si riaffaccia. Vanno però, a mio avviso, distinti due casi: - lo spammer utilizza il tuo indirizzo e-mail come "From" e "Return-Path" delle e-mail di spam che invia agli utenti. A te torna il messaggio di errore dei vari "mailer-daemon" quando l'e-mail viene respinta dal server del destinatario. Nell'e-mail di ritorno che tu ricevi è ovviamente anche presente il messaggio di SPAM che era inizialmente destinato ad un altro utente. Problema molto diffuso. - lo spammer invia a te volutamente delle e-mail che sembrano di errore ma che sono di fatto delle e-mail di spam, tu nel andare a vedere di cosa si tratta finisci per leggere anche lo spam. Dirrei che la tattica più in voga in questo momento è la prima, anche se l'effetto per l'utente finale è il medesimo. Le soluzioni in questo caso sono di difficile attuazione, infatti non si possono bloccare i messaggi di ritorno di errore, altrimenti quello buoni si perdono, non si possono far imparare troppi "Failure Notice" ai filtri bayesiani altrimenti beccano poi i messaggi di errore buoni. Un possibile argine al problema può essere quello di creare una regola sull'MTA per smistare le mail di errore in sottocartelle accessibili via IMAP o Webmail. Io l'ho fatto tramite vpopmail ed il suo supporto a maildrop. Praticamente compilando vpopmail con --enable-maildrop=y tutte le e-mail prima di essere consegnate nella mailbox vengono passate sotto il filtro di maildrop. Basta fare delle regole per far si che se il mittente è "mailder-daemon|postmaster" o il soggetto è uno dei soliti noti messaggi di errore la mail viene spostata in una sotto cartella della Maildir. Altra misura precauzionale può essere quella di pubblicare per il proprio dominio le "regole" SPF (DomainKeys o SenderID) al fine di aiutare i mail server (più che altro quelli dei grossi ISP) a scartare queste e-mail, magari in maniera silenziona ( e qui si rischia però di vedere e-mail buone ma inviate erroneamente violando la policy SPF perse nel nulla). Vi invito a leggere questo articolo: http://www.spamresource.com/2007/07/ask-al-my-email-address-is-being-used.html Ciao -- Alessio Cecchi is: @ ILS -> http://www.linux.it/~alessice/ Assistenza Sistemi GNU/Linux -> http://www.cecchi.biz/ @ PLUG -> ex-Presidente, adesso senatore a vita, http://www.prato.linux.it @ LOLUG -> neo-Socio http://www.lolug.net
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
