I tradizionali metodi antispam sono ormai inefficaci
Di recente mi sono preso alcuni giorni per analizzare i metodi antispam attualmente a protezione delle caselle email di Qboxmail. La mia intenzione era capire se ci fosse qualcosa che poteva essere migliorato o qualcosa che poteva essere rimosso al fine di rendere ancora più efficace il nostro sistema Antispam.
Nel corso degli anni gli amministratore di piattaforme email (detti anche Postmaster) hanno studiato e messo in pratica varie soluzioni antispam, alcune anche bizzarre e discutibili per compattere l’invio di spam verso le caselle email dei loro utenti. Ma al tempo stesso gli spammer si sono evoluti ed i loro software sono sempre riusciti ad eluderle in una continua gara a rincorrersi. Quindi è corretto ogni tanto rivedere le impostazioni dei propri server MX per capire se le configurazioni in essere siano ancora valide o facciano solo sprecare cicli di CPU.
Ad esempio, molti anni fà, si scopri che i software delle botnet che inviano spam non attendevano le risposte ai comandi SMTP ma inviavano più velocemente che potevano i loro dati. Introducendo un piccolo ritardo sulle risposte del server MX ed analizzando chi inviava dati prima del tempo era possibile individuare con certezza un invio di spam e bloccarlo. Questa tecnica fu detta “Earlytalkers“. Ovviamente poco dopo gli spammer modificarono i loro software e tale accorgimento divenne insignificante.
Poi c’è stato il turno del Greylisting, ovvero il rifiuto temporaneo di tutte le email da un certo mittente che non conosce. Un server “vero” segue lo standard SMTP e ritenta pochi minuti dopo, uno spammer si arrende e passa al server successivo. Personalmente non ho mai implementato seriamente questa tecnica in quanto introduce un ritardo, anche sensibile, nella ricezione delle email. Ci sono casi in cui un utente attendere l’invio di una password o di una conferma di registrazione ma questa tarda minuti ad arrivare o peggio non arriva mai in quanto la invia un sistema automatico che non è un vero server SMTP e che quindi non è in grado di gestire l’errore temporaneo.
Poi è stato il turno del badhelo, il turno del record MX primario finto e via dicendo. Ma tutte queste tecniche generano spesso problemi di dialogo fra server SMTP/MX che ricadono sugli amministratori di sistema e che ovviamente non vorrebbero averne.
Allo stato attuale le più efficaci tecniche rimangono le blacklist basate sul DNS (DNSBL) che permettono di difendersi dalle più note botnet, poi c’è la tecnica, non semplice da implementare, della reputazione del mittente o del contenuto dei messaggi ricevuti.
La reputazione a mio avviso è la più efficace per avere dei risultati soddisfacenti per l’utente in quanto è l’utente stesso a dirci cosa per lui è spam e cosa non lo è. Ed è in questa direzione che il sistema antispam di Qboxmail si sta muovendo, coinvolgendo gli utenti.
Ritengo che soluzioni come Spamassassin andranno diventando sempre più inefficaci se non cambieranno il loro metodo di ragionamento in quanto il loro motore è troppo basato su tecniche statiche (rules) mentre servono aggiornamenti costanti ed in tempo reale dettati dalle decisioni degli utenti.