Il giorno 26/mag/08, alle ore 09:23, Rosario Russo ha scritto:
Richiamando i sacri principi della full-disclosure, e' possibile
sapere una buona lista di BL e il modo con cui sono utilizzate
(scoring, ...)? mi accontento di un documento web in cui qualcuno ha
fatto un'analisi seria (magari anche affiancata da una sana
esperienza pratica) delle BL piu' utilizzate.
Documenti non ne ho, ma ho amministrato per alcuni anni i mail server
di Libero.it e ho utilizzato con estrema soddisfazione e senza nessun
reclamo le liste di http://www.spamhaus.org/ ( che uso tutt'ora in
altre installazioni piccole e grandi che amministro o che ho
progettato ).
Nello specifico SpamHaus ha alcune liste:
- SBL ( http://www.spamhaus.org/sbl/index.lasso ) Interamente gestita
a mano, niente di automatico e contiene la lista degli IP utilizzati
dalle più note organizzazioni di spammers
La percentuale di spam bloccato da questa lista è bassa ma i falsi
positivi sono zero assoluto. Può tranquillamente e senza alcun dubbio
essere utilizzata per fare reject delle sessioni smtp
- XBL ( http://www.spamhaus.org/xbl/index.lasso ) Non è gestita a mano
ma viene attentamente controllata. Include open proxy e indirizzi IP
( mai mail server ufficiali ) abusati. Incorpora la lista CBL
( cbl.abuseat.org ) e la sola parte di open proxy di NJABL ( www.njabl.org
)
La percentuale di spam bloccato da questa lista è altissima e il
numero di falsi positivi è vicino allo zero ( e comunque gestibile con
un pochino di whitelist ). Può essere tranquillamente usata per fare
reject delle sessioni smtp
- PBL ( http://www.spamhaus.org/pbl/index.lasso ) E' la lista degli
indirizzi IP che non hanno ( per motivi contrattuali o altro, es.
dynamic IP ) ragione di spedire mail direttamente. Nella maggior parte
dei casi sono gli stessi ISP a chiedere a Spamhaus di inserire range
di IP in questa lista. La percentuale di spam bloccato da questa lista
è altissima e il numero di falsi positivi è trascurabile.
Ci sono alcuni server piazzati laddove non dovrebbero essercene
( ricordo che molti contratti non consentono di spedire posta da
connessioni ADSL dinamiche, ma molti utenti lo fanno lo stesso ).
Bisogna valutare l'impatto sui vari sistemi, quindi può essere
utilizzata per fare reject a patto di aver prima provato a vedere come
va sul proprio server.
La lista ZEN ( http://www.spamhaus.org/zen/ ) incorpora tutte e tre le
liste di cui sopra
Altre liste degne di nota:
- SpamCop ( http://www.spamcop.net/bl.shtml ) molto nota fra i NON
addetti ai lavori è ad inserimento automatico ( mandi spam, vieni
listato ). Non è assoltamente consigliabile usarla per fare reject
delle sessioni smtp ( lo dicono loro stessi sul sito ) ma va bene per
fare scoring.
Ogni sistema di posta che utilizzi le blacklist deve necessariamente
prevedere il bypass del controllo per gli ip della propria rete
( propri clienti ) o per le sessioni autenticate nel caso si offra il
servizio smtp per clienti di altri ISP.
Meglio ancora se il server smtp utilizzato per l'invio della posta è
diverso dal server smtp utilizzato per la ricezione ( smtp-in e smtp-
out separati ) e quindi con policy diverse.
La casella [EMAIL PROTECTED] e [EMAIL PROTECTED] deve essere SEMPRE
esclusa da tutti i controlli antispam ( sia sulla provenienza che sul
contenuto ).
Cataldo Cigliola
[EMAIL PROTECTED]
http://cigliola.eu.org/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
