dmpro.it - Tecniche Antispam

Tecniche Antispam

Le tecniche Antispam degli apparati DM comprendono (in ordine di esecuzione):

I check nativi del sistema Postfix

Il greylist (di default disabilitato)

Le RBL (in fasxe di Envelope ed in fase di Analisi)

Il sistema di punteggio SpamAssassin

il DM AntiSpam (abilitato per i possessori di una maintenance valida)

Postfix Check

Il MailServer effettua dei controlli protocollari per assicurarsi che il mittente sia lecito, tra cui:
- Veriﬁca che la casella di destinazione esista realmente
- Veriﬁca che il dominio di destinazione sia gestito dal mailserver
- Veriﬁca che il mittente abbia un nome valido e veriﬁcato di dominio
- etc..

Il Greylist

Il Greylist è una tecnica estremamente efficace in grado di combattere la maggior parte dello spam. Si basa essenzialmente sul rispetto del protocollo smtp.

Quando un mailserver destinatario risponde con un errore temporaneo (di tipo 4.x.x) il mailserver mittente ritenterà l'invio dell'email.

In linea di massima un mailserver impegnato ad inviare centinaia di migliaia di email di spam non perderà tempo nel rimandare l'email una seconda volta, quindi scaduto un determinato tempo, il server DM provvede a scartare quel mittente. Diversamente il mittente viene inserito in un whitelist e non subirà ulteriori controlli alle email successive.

Questa semplice tecnica è estremamente efficace ma ha un contro: (solo) la prima email inviataci da un mittente in genere tarda di 5 minuti.

Le RBL

Le RBL (Reject BlackList) sono delle liste esterne manutenute da terzi. Quando un’email viene ricevuta, determinati elementi di essa vengono inviati e confrontati con i Server RBL esterni che restituiscono un risultato (Spam o Ham).
Le RBL possono essere contattate in fase di Envelope oppure in fase di Analisi.

In fase di envelope l’RBL viene richiamata direttamente dai Postﬁx Check e, in caso di riﬁuto, ha il grande vantaggio di richiedere un carico computazionale molto ridotto e non generare trafﬁco (l’email di fatto non é stata ancora scaricata in questa fase di helo). Questo tipo ti controllo in genere ben si sposa con i check relativi agli IP address.

In fase di analisi l’email viene scaricata e la parte oggetto di controllo non é piú solamente la parte dell’header, ma anche quella del body consentendo una piú accurata veriﬁca anche sul contenuto. Le email scartate in fase di envelope non raggiungono la cartella IMAP “Spam” dell’utente, quelle invece rilevate in fase di analisi si, pertanto l’utente potrá controllare autonomamente la presenza di falsi positivi.

Tra i check effettuati dalle RBL vi sono:
- DBL: Domain Black List, ossia un elenco di indirizzi ip o domini blacklistati
- XBL: Un elenco di Botnet note e Server compromessi
- PBL: Un elenco di indirizzamenti dinamici su cui un mailserver lecito non dovrebbe in nessun caso trovarsi
- URIBL: Una particolare interrogazione in grado di leggere i link inclusi nel corpo dell’email e stabilirne l’afﬁdabilitá

SpamAssassin

Spamassassin é un potente motore antispam, globalmente riconosciuto, che effettua ulteriori controlli in fase di analisi ed associa un punteggio ad ogni elemento “sospetto” di un’email.

Banalizzando, un testo bianco su uno sfondo bianco potrebbe avere un punteggio, cosí come un link scritto a caratteri cubitali. La somma di una serie di micro punteggi, in relazione ad una soglia pre impostata (si veda il capitolo F1 15.1 - Criteri Generici Antipsam) concorre a stabilire se un’email é spam oppure no.

Il punteggio di default é 7, abbassando tale soglia il sistema rileverá piú email come spam ma potrebbe comportare qualche falso positivo. Al contrario, alzando il valore di soglia, si avranno meno falsi positivi ma anche meno email illecite rilevate.

DM AntiSpam

Il DM-AntiSpam si basa su SpamAssassin, ma é fondamentalmente popolato da regole create da un osservatorio umano a cura DM. Quando un cliente segnala un’email come spam non riconosciuto dal proprio sistema, una divisione DM apposita la esamina e le assegna dei punteggi. Tale email viene recapitata ad un osservatorio umano DM che elabora l’email non riconosciuta. Nel giro di poche ore l’informazione verrá propagata su tutti i server.

Questo sistema é estremamente efﬁcace perché ogni email viene analizzata da un pool di persone in grado di prendere decisioni speciﬁche caso per caso.
Se il server non ha una maintenance valida, l’invio di segnalazioni viene automaticamente disabilitato.

Antivirus

ClamAV

Nonostante l’antivirus assolva funzioni completamente differenti rispetto a quanto invece faccia l’Antispam, abilitando apposite estensioni Database Extra esse sono in grado di analizzare ogni messaggio di posta elettronica ed esaminare i domini contenuti nei link degli URL inclusi del body dell’email. Similarmente a quanto avviene per le URIBL, l’antivirus cosí conﬁgurato scongiura in parte il fenomeno del Phishing e concorre a rilevare e scartare email pericolose.

Di base il sistema DM utilizza ClamAV come antivirus e dei Database Extra abilitabili singolarmente, tra cui il noto Sane Security.