On Jun 11, 2008, at 11:17 AM, dany wrote:
Sempre dalle faq di spamhaus, alla domanda se e' possibile inviare
comunicazioni di SPAM:
No. Spamhaus DNSBLs are not based on spam reported to us (we have our
own systems for detecting and identifying spam, proxies, etc.). Please
DO NOT forward your spam to any Spamhaus.org address, we can not do
anything with spam you send us, except bin it ourselves (we block
people who do forward spam to us from connecting to our mail servers
again). [E questo indica uno dei metodi che utilizzano per
'intercettare' spam]
Cioè? Finirebbe in spamhaus chi forwarda loro lo spam che riceve?
Prendi un abbagio colossale. Rileggi la frase.
The only public DNSBL system you can currently report spam to is
SpamCop. [...]
...E questo si riallaccia a cio' che scrive Andrea..
E a quel che dicevo (in maniera eccessivamente stringata) poc'anzi:
SpamCop (che per inciso è gestita da IronPort, che a sua volta
appartiene a Cisco) mantiene una DNSBL basata su segnalazioni. La
somma di complaint ricevuti viene "pesata" con i dati relativi al
traffico "ham", per stabilire se l'emissione di spam sia quella
normalmente riscontrabile come "endemica" per un mailserver, o se
invece sia una percentuale soverchiante del traffico emesso dall'IP
in questione e quindi attesti la presenza di trojan o altro abuso
"pesante".
Ovviamente, molto della validità del meccanismo deriva dal computo di
"quanto ham" un determinato IP veicola: poichè l'ham per natura non è
soggetto a complaint, la rilevazione deve essere inevitabilmente
basata su sonde quanto più possibile distribuite.
In passato, soprattutto questa seconda parte era il punto debole di
spamcop: IP piazzati in zone poco monitorate e a traffico
strettamente locale sfuggivano alla rilevazione degli ham, e questo
rendeva assai facile che mailserver relativamente piccoli finissero
in spamcop perchè implicati in un numero relativamente piccolo di
complaint.
Da svariati mesi, spamcop ha avuto una notevole ristrutturazione, e
la la qualità dei dati è notevolmente migliorata, soprattutto per la
rilevazione delle quantità di ham.
Da qui la mia frase "la quantità di roba che dovresti emettere per
arrivare a tanto è tale che [...] il flusso fa probabilmente in tempo
a schiantare prima il tuo mailserver".
(sottolineerei anche che RBL *non è* il termine corretto, ma
oramai ho perso la speranza...)
.. beh dai non mi sembra *cosi' sbagliato* .. poi DNSBL.. queste liste
non pubblicano "nomi di dominio", ma IP..
Non c'entra nulla.
DNSBL sta per DNS-based Blocking List, ed è il termine corretto per
indicare sistemi di blocking list basati sul paradigma in questione.
Che listino IP o domini è irrilevante. Vedi SURBL, ad esempio: lista
domini usati in URL, ma è nondimeno una DNSBL...
RBL è *una* DNSBL (la prima, pensata e realizzata da Vixie), ed è
marchio registrato di chi la mise in piedi, attualmente in proprietà
di Trend Micro.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
