Antispam: come ridurre i falsi positivi

Alessio Cecchi
29/01/2014

Un falso positivo (FP) è un messaggio email marcato come Spam ma che in realtà (o almeno per la sensibilità di chi lo riceve) non doveva essere marcato come indesiderato. Per quanto si presti attenzione ad una corretta configurazione del proprio antispam è sempre possibile avere falsi positivi.

spamassasinCi sono vari motivi per cui queste errate classificazioni avvengono ma per esperienza posso dire che spesso è perchè i server mittenti hanno problemi di blacklist e configurazione. Vedo ogni giorno messaggi email (legittimi) con SPF che ritorna “fail”, inviati da server SMTP senza un reverse DNS impostato o i cui IP sono in varie blacklist perchè spesso usati per inviare spam mediante account email con password “rubate”.

Purtroppo nella lotta allo spam non è facile conciliare questi messaggi il cui contenuto è legittimo ma che arrivano da server compromessi o mal configurati. Bisogna ad un certo punto scegliere una soglia di “rischio” e su quella basare la propria scelta di filtraggio delle email.

Nelle scorse settimana mi sono dedicato a ridurre ulteriormente i FP che gli utenti di Qboxmail riscontravano o ci segnalavano. Parliamo di meno di 10 segnalazioni al giorno sul totale del traffico email, ma è pur sempre un attività che richiede un nostro intervento di verifica e che quindi richiede tempo che avremo volentieri dedicato ad altro.

Analizzando queste segnalazioni abbiamo riscontrato che diverse erano email lecite inviate da server mail (esteri) senza un rDNS impostato. Per le nostre policy la mancanza di rDNS nell’IP del mittente genera un errore permanente e la connessione chiusa immediatamente. In un certo senso questo è giusto, la maggior parte dei server senza rDNS è lì solo per inviare spam per cui respingerli è normale. Ci siamo però accorti che tutti questi server senza rDNS che inviano spam erano anche presenti nelle DNSBL (blacklist) che utilizziamo a livello SMTP, mentre i server senza rDNS che inviano email legittime non lo erano.

E’ bastato quindi rimuovere il controllo sul reverse DNS per vedere che quegli IP erano comunque bloccati dalle DNSBL, senza aumentare significativamente il carico sui successivi filtri, e far arrivare a destinazione le email lecite che prima venivano bloccate. Rimangono ancora delle penalizzazioni per i server i cui IP non hanno un reverse DNS impostato ma se non si sommano ad altre l’email arriva senza problemi nella INBOX dell’utente.

Certo potevamo pensarci prima, ma credetemi, certe tecniche nella lotta allo spam non durano a lungo, un tempo molti di questi IP non erano in nessuna blacklist (specie se appena allocati) e questo tipo di blocco era necessario. E potrebbe tornare necessario in futuro, per cui verificate sempre che il vostro mail server abbia un reverse DNS correttamente impostato.

Al fine di migliorare il sistema antispam di Qboxmail invitiamo sempre i nostri utenti a segnalarci i falsi positivi/negativi attraverso l’apposito pulsante “Spam/Non Spam” presente nella webmail.

Utilizziamo i cookie per fornirti una migliore esperienza di navigazione, continuando ne accetti l’utilizzo. Per maggiori informazioni visita la pagina Privacy policy.

Accetta