header image
Home
Azienda
Servizi
Libra Security
Prodotti
Security Alerts
Area Riservata
Downloads
Login Utente
Inserire le proprie credenziali:





Password dimenticata?
Nessun account? Registrati
Il tuo ip : 38.107.191.84
Home arrow Libra Security arrow Virus e Spam arrow Anti-Spam: Greylisting
Anti-Spam: Greylisting

Nella lotta allo spam emerge un nuovo approccio "non tradizionale" in grado di arginare il problema operando i modo semplice a livello del MTA, generando come plus una serie di problemti tecnici in grado di disincentivare gli spammers a bersagliarci oltre.
Dalla ricerca di nuovi sistemi in grado di arginare l'afflusso di spam è emerso un approccio nuovo ed estremamente efficiente, il Greylisting.
Questo sistema e' descritto  nel dettaglio da Evan Harris nel suo whitepaper di presentazione.

Quest'approccio si focalizza su tre obbiettivi superando le limitazioni dei sistemi tradizionali antispam:
-Un impatto minimo sull'utente finale
-Limitare la capacità degli spammers di aggirare i sistemi di blocco
-Richiedere una manutenzione minima sia da parte degli utenti che degli amministratori.

Evans critica tre principali difetti ai sitemi tradizionali:
-La mancanza di un messaggio di avviso agli utenti legittimi erroneamente archiviati come spammers
-L' accentramento dei costi di analisi dello spam piu' sul lato del ricevente che del mittente spammers
-La mancanza di un vero disincentivo allo spam

La critica sottolinea infatti che mentre per uno spammer e' tecnologicamente semplice condurre le proprie attività risulta estremamente oneroso per i riceventi elaborare e censire lo spam a cui si e' sottoposti. Invertendo i ruoli non solo si godrebbe di una forma di risparmio ma si incrementerebbero i costi diminuendo i ritorni alle attività di spam.
Una piccola rivoluzione ottenibile non operando più a livello utente ma bensì a livello del MTA (Message Transer Agent).

Il metodo del greylisting, cosi denominato perché opera in maniera ibrida tra il whitelisting ed il blacklisting, è estremamente semplice esi basa su tre informazioni associate ad una mail:
-L'indirizzo Ip dell'host che sta effettuando la delivery della mail.
-L'indirizzo del mittente.
-L'indirizzo del ricevente.

Questi tre valori determinano un "tripletta" in grado di descrivere una "relazione mail". Su questa tripletta si applica una regola molto semplice:

Se non è mai stata registrata una tripletta simile allora rifiutiamo la mail in arrivo e tutte quelle che possono seguire per un determinato periodo di tempo rispondendo al sender un messaggio standard di "temporary failture".

Essendo il protocollo SMTP considerato un protocollo non-affidabile è prevista nello stesso standar che lo descrive la possibilità di avere una temporary failture. Per questo motivo un  sistema MTA virtuoso, operante quindi nei parametri dello standard, condurrà un numero di retries, nuovi invii, a fronte del messaggio di temporary failture ricevuto.
A fronte di un minimo sforzo di registrazione, necessario all'archiviazione delle triplette, è possibile inserire il famoso ostacolo citato in precedenza.
L'MTA di un mittente legittimo applicherà lo standard e ritrasmetterà il messaggio che dopo il quanto di tempo prestabilito genererà un tripletta legittimata.
I sistemi di spamming invece, tipicamente costruiti per l'invio massiccio di mail la cui ricezione non e' verificata, send and forget, non solo saranno respinti ma difficilmente daranno luogo a nuovi invii.
Il sistema non e' tecnicamente infallibile ma risulta economicamente e tecnicamente svantaggioso per gli spammers gestire le temporary failture, esse infatti posso essere generate sia dal grey listing ma anche da reali failture.
Uno spammers si prefigge di colpire statisticamente piu' bersagli possibili utilizzando email non verificati o generati randomicamente e quindi, per ottimizzare e velocizzare il processo, non aderisce allo standar e non verifica lo stato di delivery delle proprie mail.

Quando l'onda dello spam ci raggiunge infiliamo la testa sott'acqua e la lasciamo scorrere, se era posta "buona" ci sarà ritrasmessa e verra' accettata con un piccolo ritardo nell'ordine dei 5-10 minuti.

Per realizzare praticamente il greylisting e' sufficiente affiancare al mail server un software che verifichi le triplette prima che la posta si accettata.
I test condotti in laboratorio hanno evidenziato un alta efficacia ed un numero elevato di spam intercettato ancora prima che potesse "entrare" sul server ed essere processato dai sistemi tradizionali.

Ulteriori sviluppi ed applicazioni di questo promettente metodo saranno descritti nei prossimi articoli.

Davide Valsecchi
Libra Srl - Security Engineer
 
Cerca su Libra Srl

Links