R: Metodo di spam alternativo...

Italynet Tech Staff staff a ITALYNETWORK.IT
Gio 9 Nov 2000 13:22:52 CET


Ovviamente il giochetto funziona, ma puo` essere evitato
o quantomeno fortemente limitato.

Due idee, entrambe gia` accennate da Fabio Pietrosanti:

- modificare il funzionamento del server, di modo che solo
alcuni computer permettano di fare tale operazione (identifier
del "mail from" tramite suo indirizzo IP). Facile da
implementare ma applicabile solo ad alcune situazioni.

- impedire il reply completo, sostituendolo con

"il vostro messaggio datato XXXXX con oggetto YYYYY
e` stato respinto per i seguenti motivi: ZZZZZ"

e rimuovere il messaggio originale, mandando l'error message solo
al postmaster. Credo sia fattibile con le sole configurazioni di
buona parte dei server, o se non possibile con una semplice patch.

Non penso che questo sistema contrasti con le RFCs:
1) il messaggio "errato" viene archiviato regolarmente (postmaster)
2) una reply di errore viene inviata regolarmente.

Eventualmente si puo` anche aggiungere - da software - un
controllo, che come per la prima solzione verifica l'identita`
del sender e/o il fatto che il nome del destinatario fosse "idiota",
ed aggiunge una postilla tipo "Se non avete inviato
questo messaggio si tratta probabilmente di POSTA NON
AUTORIZZATA". Questo a discrezione: personalmente non
la metterei generalizzata, ma alcuni clienti mi chiedono "mi
arriva un kilo di posta e perdo un bel po' di tempo, me la blocchi?",
nel qual caso la inserirei visto che il cliente e` conscio della
potenziale attivita` di SPAM/UBE verso la sua posta.

In aggiunta, si puo` inserire un processore sulla posta ed aggiungere
al messaggio di errore la frase:

"se desiderate recuperare il messaggio originale DA VOI SPEDITO
poiche' non ne avete una copia, spedite una e-mail a
postmaster a nomehost.tld
con oggetto GET MESSAGE ID=xxxx"

che permetterebbe agli utenti di recuperare i messaggi da loro
realmente spediti.

Saluti,
Raffaele Gariboldi

/*------------------------------------------
    Italynet s.r.l.
    Via S. Andrea 26
    I-51100 Pistoia
    Tel. (+39) 0573 975841
    http://www.italynetwork.it/
    info a italynetwork.it
------------------------------------------*/

PS. Chiedo scusa per l'intervento non prettamente in tema
con la lista, anche se sollecitato.


----- Original Message -----
>From: Consultel - Soluzioni Telematiche <consultel a inwind.it>
>To: <ita-pe a na.nic.it>
>Sent: Thursday, November 09, 2000 11:22 AM
>Subject: Fwd: Metodo di spam alternativo...
>

> Allego un messaggio piuttosto interessante: qualcuno ha idee in merito?
> Saluti a tutti.
> Gian Carlo Ariosto
>
> >On Wed, 8 Nov 2000, Fabio Pietrosanti (naif) wrote:
> >Ciao a tutti,
> >
> >scrivo in merito a cio' che e' accaduto oggi ad alcuni server che
gestisco
> >nel tempo libero la cui funzione primaria e' essere Mail Exchanger.
> >
> >C'e' su sendmail come MTA (non me la menate con postfix/qmail vari, fu'
> >una scelta politica e cosi deve rimanere :| ).
> >
> >Ho avuto il database bloccato, e da li ho iniziato a cercare di capire
> >cosa fosse accaduto, e questi sono i fatti:
> >
> >Alcuni Spammer hanno utilizziano i miei sistemi (che non sono OpenRelay)
> >per spammare mezza internet in questa maniera...
> >
> >Supponiamo che l'indirizzo a cui mandare lo spam sia tizio a caio.it
> >e che i sistemi gestiscano la posta per il dominio porchetta.it .
> >
> >La tipica sessione e' questa:
> >helo
> >mail from: <tizio a caio.it>
> >rcpt to: <2398yfhkeruhgelwrthgv a porchetta.it>
> >data
> >
> >Oh che bello, questo e' il mio messaggio pubblicitario!!!
> >
> >.
> >quit
> >
> >Facendo cosi', il mio MTA inviera' una e-mail di errore per lo User
> >Unknown dovuto al "2398yfhkeruhgelwrthgv a porchetta.it" che ovviamente non
> >esiste e quindi forwardera' la pubblicita'.
> >
> >Come combattere questa forma di spam?
> >Non e' possibile non inviare il messaggio perche' mi pare che secondo RFC
> >il msg d'errore debba tornare.
> >
> >Sulla mia workstation con postfix ho messo un "luser_relay = /dev/null"
> >nel main.cf ma naturalmente e' la mia workstation e non un server di
> >posta.
> >
> >Si potrebbe utilizzare l'account postmaster che riceve tutti i msg
> >d'errore con degli script che:
> >- fanno statistiche per ip che nel giro di 1 minuto mi fanno 20 User
> >   Unknown e di conseguenza filtrare tramite l'ipchains/ipf/ipfw di turno
> >   il maledetto che ci usa x spammare.
> >- Modificare i sorgenti dell'mta per non fare ritornare il body del msg
> >   inviato nell'errore dello User unknown, rendendo cosi' inutile questa
> >   forma di spam in quanto la pubblicita' non viene deliverata( ma poi
> >   siamo   secondo rfc?)
> >
> >Idee? pareri?
> >
> >naif
> >
> >p.s. premetto che questo gioco l'ho testato su qmail, postfix, sendmail e
> >      intermail...
>



Maggiori informazioni sulla lista ita-pe