Rispondo ad ere geologiche di distanza causa ferie...
On Aug 14, 2009, at 2:00 PM, Dimitri Giardina C.D. Trade S.r.l. wrote:
In senso più generico: che senso ha considerare,
l'informazione data da quello che potrebbe essere il nemico ?
Lo è proprio perchè l'informazione proviene direttamente dal nemico.
Tutta la prassi dell'analisi e del filtraggio dello spam è
descrivibile come una serie di euristiche più o meno affidabili che
permettono di correlare determinati comportamenti/contenuti/whatever
con il fatto che la mail sia spam oppure no.
In quest'ottica, configurare appositamente un mailserver per
presentarsi con una HELO-string propria di una zona inversa generica,
quando
- 1/4 dello spam in circolazione è veicolato da bot che mantengono
questo comportamento
- la percentuale di mailserver "leciti" che usano un HELO siffatto è
assolutamente irrisoria
è più o meno l'equivalente di andare contromano in autostrada: è pur
vero che l'asfalto è uguale a quello dell'altra corsia, e forse da
dove l'hai imboccata era più comoda la corsia di sinistra, ma non è
una grande idea farlo se lo scopo è quello di arrivare a casa sani e
salvi...
beh. il dns non è un buon modo per contraddistinguere.
Dipende per contraddistinguere cosa.
Per contraddistinguere il fatto che "pippo" è realmente pippo, lo è :
mi dice di esserlo, ho una risorsa affidabile ove verificarlo
(lasciamo da parte per un attimo l'argomento poisoning e simili, che
rientrano in un quadro di attacco assai più complesso).
Dopodichè, tutto dipende da cosa implica il fatto che tu sia pippo:
può essere una informazione utile, oppure no...
Analogamente, il fatto che tu affermi di esser pippo senza esserlo
davvero può essere informazione utile oppure no.
Di certo, se il 99.9999% di chi si presenta come "pippo" è composto
da macchine trojanizzate che inviano spam, farsi passare per pippo
può non essere una mossa furba.
Chi vieta allo spammer di identificare il reverse, se c'è',
dell'ip che sta usando e fare helo con quello ?
E' esattamente quello che accade nello scenario in cui l'helo è
"generico": il bot copia bovinamente la stringa di rDNS e la usa come
HELO.
O ci sono comunque ISP che hanno usanze diciamo "arbitrarie" ?
ognuno (in quell'ambito) pare faccia quel che gli pare...
Se ti riferisci al fatto che i sistemi di filtraggio son gestiti
sulla base di implementazioni distinte, è vero.
Se invece parli del fatto che le metriche utilizzate siano
"fantasiose e a discrezione dell'implementor", bisogna fare dei
distinguo: le metriche valide sono sempre quelle e chi le sa usare le
usa sempre nello stesso modo, anche se con implementazioni e pesi
differenti.
Purtroppo, come i ricorrenti thread che negli anni son passati per
questa ML ben dimostrano, la gestione di mailserver e dei filtri
antispam è terreno di macumba e di "mio cugino mi ha detto", per
qualche ragione.
E quindi, accanto ad una certa uniformità di obiettivi e meccanismi
da parte di ristretti gruppi di "addetti ai lavori", lì fuori si
trova realmente di tutto...
--
http://bofhskull.wordpress.com/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
