FAQ - Antispam, Antivirus e Blacklist

 

3.1 Antivirus

3.1.1 Cosa sono i database extra?

3.1.2 L'antivirus a bordo del MailServer mi svincola dall'utilizzare un antivirus sulle macchine client?

 

3.2. Blacklist e Whitelist

3.2.1 Come funzionano le blacklist in ingresso?

 

3.3. Antispam

3.3.1 Qual'è la differenza tra RBL in fase di Envelope e RBL in fase di Analisi?

3.3.2 Ho ricevuto più spam del solito, perchè?

 

 

 

 

3.1. Antivirus

 

3.1.1 Cosa sono i database extra?

I Database extra sono ulteriori firme virali che ClamAV può utilizzare. Tipicamente il database SaneSecurity conserva uno storico molto completo anche di virus particolarmente datati, mentre il database EBDB è una collezione di url di phishing e malevoli in genere.

 

3.1.2 L'antivirus a bordo del MailServer mi svincola dall'utilizzare un antivirus sulle macchine client?

NO! Nonostante ClamAV sia affidabile e utilizzato ovunque, la posta elettronica non è l'unico veicolo di trasmissione virale in grado di infettare un client. Basti pensare alle chiavette USB, ai DVD o al download di file da siti non affidabili. In tutti questi casi il mailserver non può verificare la presenza di virus, cosa che invece può effettuare un antivirus locale installato sulla macchina. Oltretutto due controlli (meglio se con antivirus differenti) sono sempre più affidabili di uno.

 

 

 

3.2. Blacklist e Whitelist

 

3.2.1 Come funzionano le blacklist in ingresso?

Le blacklist in ingresso (a differenza di quelle in uscita dove il mittente riceve subito un errore bloccante) sono correlazionate al motore antispam, pertanto ogni email blacklistata verrà marcata come spam, al pari della posta indesiderata.

 

 

 

 

3.3. Antispam

 

3.3.1 Qual'è la differenza tra RBL in fase di Envelope e RBL in fase di Analisi?

Le RBL in fase di Envelope vengono interpellate direttamente da Postfix e sono in grado di rifiutare un messaggio in fase di HELO, conoscendone principalmente l'indirizzo ip del server mittente. Lo scarto di un'email in questa fase riduce il traffico (l'email non viene neanche scaricata, ma direttamente rifiutata con un errore di tipo 5.x.x), pertanto la stessa non finirà nella cartella IMAP Junk (o indesiderata) del destinatario.

Le RBL in fase di Analisi, invece, intervengono grazie a SpamAssassin ed in una fase successiva alla ricezione dell'email sul server. Pertanto sono in grado di leggere il contenuto del body e intraprendere azioni in base alle maggiori informazioni a disposizione (url contenuti nell'email, body compliant, etc..). Queste email, se identificate come indesiderate, a differenza di quelle scartate in fase di Envelope, verranno marcate come spam e finiranno nella cartella IMAP Junk del destinatario.

Per maggiori approfondimenti si consiglia la lettura della sezione "Approfondimenti > Tecniche Antispam".

 

3.3.2 Ho ricevuto più spam del solito, perchè?

Lo spam segue un andamento spesso prevedibile, composto fondamentalmente da 3 fasi che si ripetono all'infinito:

  1. Una nuova tipologia di spam, in grado di non essere completamente o parzialmente rilevata, viene propagata in rete
  2. Gli antispam identificano la nuova tipologia di spam
  3. I MailServer aggiornano il proprio motore antispam rendendo la nuova tipologia di spam inoffensiva

Andamento Spam

Queste fasi si ripetono pressochè all'infinito. Quindi è del tutto naturale che, in determinati periodi, si riceva più spam del solito. Il periodo che intercorre tra la nuova tipologia di spam e la scoperta del suo "antidoto" può durare da poche ore a delle settimane.

Vanno fatte, tuttavia, delle considerazioni:

Bilanciamento Antispam