Come combattere lo spam sul proprio server

Le statistiche dicono che circa l’85% delle traffico email è spam (fonte cisco), questo vuol dire che bisogna configurare al meglio il sistema email, in modo da integrare diversi sistemi di protezione per evitare, non solo di essere destinatari di spam, ma anche di inviarne! Lato amministratore, esistono diverse politiche per proteggere il proprio server dello spam, e devono poter lavorare congiuntamente in modo da ottenere il miglior risultato.

La prima cosa che si deve verificare, è che il proprio server di posta non sia configurato come open relay e quindi permettere l’invio mail se sono rispettate determinate regole:

  • Email inviata e ricevuta da IP della stessa LAN;
  • Email destinata alla WAN e proveniente da LAN;
  • Email destinata alla LAN e proveniente da WAN;
  • Email inviata da utenti autenticati e autorizzati;

Per adottare al meglio queste regole sul proprio server Exchange vi consiglio le guide di Petri verificandone lo stato attraverso Network Tools.
Dopo aver configurato il server di posta a seconda delle proprie esigenze, molto probabilmente abilitando l’autenticazione, il passo successivo è arginare l’invio massivo di email, con un metodo semplice come il tarpit. L’idea di base è inserire un piccolo ritardo nella fase di autenticazione, questo per rendere più sconveniente inviare grosse quantità di mail. Bisogna pensare infatti che questo piccolo ritardo, ha un impatto pressochè irrilevante se si parla di singola mail, al contrario, se si parla di invii massivi.
Questa tecnica, a seconda del server, permette utleriori personalizzazioni, come per esempio la possibilità di inserire il delay a determinate condizioni (es: superato il limite di 20 messaggi per sessione si applica il delay).

Ora, possiamo concentrarci sul secondo aspetto, bloccare lo spam. Esistono molteplici metodi per arginare questo problema, per Exchange 2003, consiglio di abilitare l’Intelligent Message Filter (IMF), sistema che permette di filtrare lo spam lato server, grazie ad un’analisi euristica dei messaggi (http://technet.microsoft.com/en-us/exchange/bb288484.aspx). Per il più recenete Exchange 2013 esistono una serie di impostazioni molto più avanzate, fra le quali il Content Filtering.
Parlando in senso più ampio, per proteggersi dallo spam, solitamente sono utilizzati il filtro Bayesano, euristico, SPF e le liste antispam. Mentre per i primi due, l’amminsitratore può fare relativamente poco, in quanto frutto di probabilità applicata al contenuto delle mail ricevute dall’utente (https://en.wikipedia.org/wiki/Bayesian_spam_filtering) o risulato di una funzione di hash,  (http://en.wikipedia.org/wiki/Heuristic_function) gli altri metodi permettono di avere risultati diretti e quasi immediati.
Acronimo di Sender Policy Framework, l’SPF nasce dall’esigenza di autenticare il mittente. Per applicarlo si necessita del dominio e del nostro server di posta. L’idea è quella di inserire un record TXT in cui è indicato come rispondere in caso un server cerchi di inviare un messaggio.
Un esempio di SPF è: 

v=spf1 mx ip4:192.168.0.34 a ~all

dove viene indicato oltre alla versione dell’SPF che l’MX ed il record A sono autorizzati ad inviare posta, come l’ip 192.168.0.34. Tutti gli altri mittenti (~all), sono ugualmente accettatti ma taggati. Esistono moltre altre sintassi e regole, fornite dalla documentazione ufficiale del progetto.

Infine, le famose DNSBL, liste contenenti indirizzi IP che determinano se il dominio corrispondente è taggato o meno come spam. Ne esistono molteplici, ognuna con policy differenti. Personalmente credo sia utile e semplice, identificarne solamente un paio, come possono essere le liste fornite da SpamCop e da Barracuda.
Esistono, ovviamente, anche servizi che permettono di identificare se il proprio server è stato iscritto a qulacuna di queste liste, uno dei siti è mxtoolbox.com, mentre senderbase.org concentra i propri risultati solamente sulle liste più importanti, mostrando però anche altri dati statistici riferiti a quel server, come la reputazione e la quantià di traffico generata.

Per aprofondire questo calderone, suggerisco la lettura dell’articolo di wikipedia sulle tecnologie antispam, credo sia un buon punto di partenza per sviluppare la propria linea di difesa.

Leave a Reply