Attualmente, un mailing di spam composto da centinaia di migliaia di messaggi di posta elettronica può essere distribuito in Rete nell’arco di poche decine di minuti. Nella maggior parte dei casi, lo spam viene diffuso attraverso le cosiddette “reti-zombie” (ugualmente conosciute con l’appellativo di “botnet”), network formati da una considerevole quantità di computer-vittima infettati da insidiosi programmi malware. Cosa possiamo fare per contrastare efficacemente tale genere di attacchi? Al giorno d’oggi, l’industria della sicurezza IT propone numerose soluzioni in merito; di fatto, gli sviluppatori di software anti-spam dispongono di diverse tecnologie, nel loro nutrito arsenale. Nessuna delle tecnologie attualmente impiegate, tuttavia, può essere considerata come l’arma “magica” nella lotta contro lo spam. Non esiste, semplicemente, una soluzione universale. La maggior parte degli attuali prodotti integra, in effetti, varie tecniche; in altro modo, l’efficacia complessiva del prodotto anti-spam non risulterebbe particolarmente elevata.
Riportiamo, qui di seguito, un elenco delle tecnologie anti-spam più note e diffuse.
Blacklisting
Il metodo che comprende le DNSBL (DNS-based Blackhole Lists) rappresenta, indubbiamente, una delle tecnologie anti-spam più “datate”. Tale tecnica permette di bloccare i messaggi di posta elettronica provenienti dai server IP elencati nella blacklist appositamente allestita.
- Vantaggi: Il blacklisting garantisce il 100% di filtraggio del traffico di posta proveniente da fonti sospette.
- Svantaggi: Il livello dei falsi positivi risulta piuttosto elevato; è questo il motivo per cui tale tecnologia deve essere utilizzata con particolare attenzione.
Rilevamento del carattere massivo del mailing (DCC, Razor, Pyzor)
Questa tecnologia rende possibile l’individuazione, all’interno dei flussi di posta elettronica, dei mailing di massa composti da messaggi del tutto identici o leggermente diversi tra loro. Per allestire un efficace analizzatore “di massa” occorrono tuttavia enormi flussi di traffico e-mail; la tecnologia in questione viene pertanto offerta dai principali vendor, i quali dispongono di considerevoli volumi di posta da sottoporre ad analisi.
- Vantaggi: Se questa tecnologia funziona come previsto, essa garantisce il rilevamento dei mailing a carattere massivo.
- Svantaggi: In primo luogo, un mailing di massa di notevoli proporzioni può anche risultare composto da messaggi e-mail non riconducibili allo spam, bensì del tutto legittimi (ad esempio, Ozon.ru e Subscribe.ru sono soliti inviare, tramite posta elettronica, migliaia di messaggi praticamente identici tra loro; non si tratta, tuttavia, di spam). In secondo luogo, gli spammer possono neutralizzare tale metodo di protezione nei confronti dei mailing di spam mediante l’utilizzo di determinate tecnologie “intelligenti”. Essi fanno uso, in effetti, di particolari software in grado di generare contenuti di vario tipo (testo, grafica, etc.) in ogni messaggio di spam. In tal modo, il rilevamento del carattere massivo del mailing non può più essere eseguito.
Verifica delle intestazioni Internet del messaggio di posta elettronica
Gli spammer creano speciali programmi in grado di generare i messaggi e-mail di spam e di effettuare l’istantanea distribuzione degli stessi. Talvolta, però, essi commettono errori a livello di scrittura delle intestazioni; ciò significa che i messaggi di spam non sempre soddisfano i requisiti previsti dallo standard RFC (utilizzato nell’ambito della posta elettronica), il quale determina l’esatto formato dell’intestazione del messaggio. Tali errori permettono di rilevare in maniera inequivocabile la presenza di un messaggio e-mail di spam.
- Vantaggi: Il processo di riconoscimento e filtraggio dello spam è “trasparente”, regolato da appositi standard e sufficientemente affidabile.
- Svantaggi: Gli spammer “imparano” velocemente, e quindi commettono un numero di errori sempre minore, a livello di intestazioni dei messaggi di spam. Utilizzando esclusivamente questa tecnologia è possibile rilevare non più di un terzo del volume complessivo dei messaggi e-mail “spazzatura”.
Filtraggio dei contenuti
Si tratta di una tecnologia ampiamente collaudata nel tempo. Nella circostanza, viene effettuata la scansione del messaggio di posta elettronica per rilevare l’eventuale presenza di parole abitualmente inserite nelle e-mail di spam, così come di frammenti di testo, immagini ed altri tratti peculiari dei messaggi di posta indesiderati. Inizialmente, l’operazione di filtraggio del contenuto prevedeva solo l’analisi dell’oggetto dell’e-mail e del testo in essa presente (plain text, HTML); adesso, i filtri anti-spam controllano tutte le parti di cui si compone il messaggio di posta, incluso gli allegati grafici.
L’analisi condotta può determinare la creazione di una firma di testo, o permettere di calcolare il “peso” del messaggio in termini di contenuti di spam.
- Vantaggi: Flessibilità, possibilità di eseguire procedure di impostazione rapide ed accurate. I sistemi che fanno uso di tale tecnologia possono facilmente adattarsi alle nuove tipologie di spam e, inoltre, commettono di rado errori nel distinguere i messaggi di spam dal traffico e-mail legittimo.
- Svantaggi: In genere, si rivela necessaria l’esecuzione di appositi aggiornamenti. Per effettuare i settaggi dei filtri anti-spam occorre la presenza di validi specialisti; talvolta è addirittura necessario l’intervento di interi laboratori anti-spam. Un supporto del genere è indubbiamente dispendioso; questo si riflette, ovviamente, sul costo dello stesso filtro anti-spam. Gli spammer, da parte loro, escogitano trucchi speciali per cercare di bypassare la tecnologia sopra descritta: essi introducono nelle e-mail apposite forme di “inquinamento” casuale del testo, le quali ostacolano, di fatto, la ricerca e la valutazione dei tratti caratteristici dei messaggi di spam. Vengono ad esempio utilizzati, nella composizione delle parole, set di caratteri non alfanumerici (la parola “viagra” può apparire nel modo seguente, quando gli spammer fanno ricorso all’uso di un simile trucco: “vi_a_gra”, oppure “vi@gr@”); un ulteriore metodo, comunemente praticato, consiste poi nel generare sfondi dai colori variabili all’interno delle immagini.
Filtraggio dei contenuti: Bayes
Gli algoritmi statistici bayesiani rappresentano un ulteriore approccio nei confronti dell’analisi dei contenuti. I filtri bayesiani, innanzitutto, non necessitano di una costante messa a punto. Tutto ciò che occorre, per questo genere di filtro, è una sorta di “apprendimento” iniziale. Il filtro, in pratica, “impara” a riconoscere le tematiche abitualmente contenute nelle e-mail ricevute da un determinato utente. Se, ad esempio, l’utente opera nel settore dell’istruzione e conduce spesso corsi di formazione, le e-mail collegate a tale tematica – da egli ricevute – non verrano rilevate dal filtro bayesiano come messaggi di spam. Per contro, se l’utente non riceve abitualmente, nella propria casella di posta elettronica, messaggi di posta riconducibili al tema sopra descritto, il filtro statistico provvederà a rilevare come spam le e-mail in questione.
- Vantaggi: Settaggi individuali.
- Svantaggi: Il miglior funzionamento si ottiene sui flussi di posta individuali. Settare il filtraggio bayesiano sui server di posta aziendali, costantemente attraversati da flussi e-mail eterogenei, può in effetti trasformarsi in un compito alquanto complesso e ingrato. Di fatto, il risultato finale apparirà decisamente peggiore rispetto a quello ottenuto a livello di e-mail box individuali. Se poi l’utente è pigro e non provvede ad “insegnare” al filtro le “nozioni” necessarie, la tecnologia in questione risulterà priva di efficacia. Gli spammer si adoperano in maniera specifica per cercare di bypassare il filtraggio bayesiano e, in genere, ottengono risultati – per loro – piuttosto soddisfacenti.
Greylisting
Si tratta del rifiuto temporaneo riguardo alla possibilità di ricezione del messaggio di posta elettronica. Tale rifiuto include un codice di errore che tutti i sistemi e-mail sono in grado di comprendere. Normalmente, qualche tempo dopo, il mittente ordinario provvede ad inviare di nuovo il messaggio. I programmi adibiti alla distribuzione dello spam, invece, una volta ricevuta la notifica relativa al rifiuto, non ripetono l’invio dell’e-mail.
- Vantaggi: È una delle possibili soluzioni.
- Svantaggi: Ritardi nella consegna della posta. Per molti utenti tale soluzione è inaccettabile.