qualche dato sullo spam via email
Posted by Raimondo Fanale • Thursday, November 9. 2006 • Category: Software per server, Spamtutti ne parlano e tutti lo odiano. Ci sono diversi modo di considerare lo spam che arriva via email: quello tecnico, quello sociale, quello economico...
A noi in questo momento interessa quello (poco)tecnico/statistico.
Mi piacerebbe condividere qualche dato preso da uno dei server che controllo giornalmente.
I dati si riferiscono a ieri (08/11/2006), arco temporale di 24 ore
| Quantità | Motivazione | % |
| 4 | Recipient address rejected | 0,003 |
| 5 | Other | 0,004 |
| 24 | Local access rule: Sender address rejected | 0,019 |
| 1448 | Relay access denied | 1,159 |
| 4840 | Bad HELO | 3,873 |
| 6159 | Sender Domain not found | 4,928 |
| 12162 | RBL list.dsbl.org | 9,731 |
| 22907 | User unknown | 18,329 |
| 29685 | RBL sbl-xbl.spamhaus.org | 23,752 |
| 47744 | RBL bl.spamcop.net | 38,202 |
| totale | ||
| 124.978 | email di spam solo su un server in un giorno | 100% |
Cosa vogliono dire questi dati?
Quelli più importanti, secondo me, sono quelli relativi agli errori su HELO e su Sender Domain not Found.
Spiego subito qual'è la motivazione che mi spinge a dire che sono i più interessanti.
Gli errori su HELO.
Sono generati da mail servers che si presentano in modo strano o non corretto. Ce ne sono molti che si presentano con nomi non conformi alle RFC, del tipo
- <????????>
- <|>
- <http?//mail.> e il nomedi uno script cgi (ad esempio...)
- <2AABA38>
che generano un errore proprio sul tipo di nome con il quale si presentano.
Poi ci sono
- <andy> (ad esempio)
- <localhost>
- <localhost.localdomain>
che vengono rigettati a causa del fatto che non sono hostnames qualificati. <andy>, infatti, non mi risulta essere associato a nessun host conosciuto, neanche interno alla rete. Il <localhost>, invece, può essere generato da programmi di spam che tentano una via per fare relay. Il vero problema è che tutte queste casistiche hanno le loro eccezioni:
- <andy> potrebbe essere un nome di un server realmente esistente, il cui sistemista non ha provveduto ad associare un vero e proprio hostname e nessun reverse name. Oppure è un server interno di un ufficio o una azienda che non ha la possibilità tecnica di configurare un hostname (non scandalizzarti... molti fornitori di connettività "storcono il naso" anche se si chiede un dominio di terzo livello, figuriamoci un hostname e un reverse associati al proprio ip...)
- <localhost> potrebbe ricadere nello stesso caso di <andy>, oppure essere l'esperimento di qualche sistemista
Gli errori Sender Domain not found.
Generalmente faccio controllare al mail server o al mail gateway che il dominio che spedisce sia realmente esistente. Quando non lo è arriva questo tipo di errore. Ecco i contro:
- il dominio che spedisce o il dns che lo risolve potrebbero essere temporaneamente "fuori uso", quindi si rischia di rigettare una email buona. Per questo motivo la regola non deve essere ferrea, ma flessibile e dovrebbe permettere all'MTA di fare altre verifiche nelle ore successive alla ricezione di questo tipodi email.
- il dominio che spedisce riestra nei casi di mancata impostazione dell' hostname e/o del reverse
Per finire.
Se vuoi avere un'idea di come va lo spam nel mondo puoi collegarti a questi due indirizzi:
View as PDF: This entry | This month | Full blog
0 Comments
Add Comment