image-based spam
Posted by Raimondo Fanale • Monday, November 13. 2006 • Category: Generale, SpamChiedo scusa perchè sto scrivendo un nuovo post sullo spam. Forse qualcuno si annoierà, ma se davvero la funzione dei blog è quella del "tam-tam" delle informazioni, allora sono contento di dare e di ricevere.
Mi sto scontrando con un problema serio sullo spam, ed in particolare una forma di esso: l'image-based spam.
Racconto una favoletta: c'era una volta "lo spammer". Dava fastidio, anche perchè con i bei modem a 2400 baud anche 1 solo matrix indesiderato portava a pronunciare imprecazioni e maledizioni verso il suo autore.
Poi lo spammer ha avuto fortuna, ed ha deciso che era cosa buona e giusta diffondere il suo verbo, ed internet è diventata la sua terra. Poco importa se chi riceve posta non ha nessuna intenzione di ricevere informazioni non desiderate. Poco importa se riceve le stesse informazioni da 10 fonti diverse e 10 volte al giorno.
Poco importano le leggi e i filtri. Lo spammer è convinto del suo verbo. E trova sempre metodi migliori. Già diversi anni fa arrivavano le prime email di spam image-based dalla... non so se dire "Russia con amore" o "dalla Russia con furore" ( e qui chiedo venia per la commistione di citazioni...)
In sostanza si tratta di questo: vere e proprie immagini che contengono il testo del messaggio pubblicitario indesiderato. Generlamente nessun'altra informazione.
Cambiano i testi, cambiano le dimensioni, cambiano i colori. Le stesse dimensioni dell'immagine sono spesso studiate per ingannare i filtri, e sono degne di una menzione al merito per l'usabilità: sono leggibii a varie risoluzioni e con tutti i mailers. A volte contengono dei leggeri disturbi per renderne ancora più difficile l'individuazione. Mantengono solo un punto comune: sono email indirizzate a più indirizzi contemporaneamente. E' un punto di partenza, non di arrivo...
Ed ora come al solito un po' di dati: da marzo la stima di crescita di questo tipo di spam è del 300%. Da giugno 2005 a giugno 2006 la percentuale di questa forma di spam è salita dall'1% dello spam mondiale al 12% (vedi qui un interessante articolo, anche se datato...).
Inoltre per i providers è molto dannoso: maggiore banda consumata (un email di spam testuale ha il peso medio di 5,5kb, una image-based di 18kb) e maggiore potenza di calcolo sui servers per impostare dei filtri su immagini.
UPDATE: per chi legge l'inglese, qui trovate altri riferimenti interessanti.
, antispam
, dspam
, Generale
, hosting
, hosting professionale
, internet
, internet sociale
, spam
View as PDF: This entry | This month | Full blog
5 Comments
Ma, un momento, sono sicuro che in un certo qual modo anche nelle caverne c'era gia' lo spam.. e chissa' che i graffiti che conosciamo noi non erano proprio quello ?
Ok, a parte una piccola parentesi storicodivertente, il problema di cui parli è moolto serio. E' interessante vedere come i "spammer" siano sempre piu' evoluti nella realizzazione di queste mail... scomode.
Abbiamo assistito, (e c'era da negarlo?) al fallimento delle leggi antispam, quindi come era prima e come sarà poi, non bisogna far altro che cercare di isolare il piu' possibile qeste scomode mail, cercando di capire i vari procedimenti utilizzati.
Come hai detto tu, uno di questi è il fato che tali mail vengono inviate, per la maggior parte, contemporaneamente a piu' mailbox, certo è solo un punto di partenza, ma perlomeno questo c'e'!
Certo, è pur vero che spesso nemmeno questo e' facilmente rilevabile, ecco il motivo del "per lo piu'".
Non credo sia possibile rimuovere senza rischio di errrore molto dello spam odierno, in fin dei conti sembra motlo piu' comune una mail di spam che quella che invio regolarmente con il mio client.
Il mio spam assassin ormai è spuerato, ne blocca una su dieci.. sigh.
Ma forse una mia idea...
Come ben sai, sono un fautore del sitema spamarrest, in quanto permette di diminuire sensibimente il numero delle mail indesiderate.
Ma, a mio avviso qualche funzione potrebbe essere migliorata.
Forse l'errore sta nel fatto che l'autenticazione venga richiesta al sender e non al destinatario....
Opps! Forse lo scopo del tuo blog era differente, ma sai come sono fatto, per me la soluzione prima di tutto... se il problema è difficile, lo aggiro e lo prendo alle spalle !
Michele
Per lo spamassassin: ci sono comunque configurazioni che permettono di miglirare il filtro. Io personalmente preferisco il dspam.
dimensioni: le mail che ricevo giornalmente, vanno dai 2 agli 11 kb in versione "testo" mentre le grafiche dai 30 ai 45kb.
Una delle ultime ricevute dal mio server presenta in allegato una
immagine gif animata a cui segue il messaggio indentato, praticamente è stato replicato alla perfezzione come se fosse stata scritta manualmente.
Il messaggio è composte da frasi di senzo compiuto, ma assolutamente senza alcuna correlazione.
La cosa furba è che ora si mettono da soli il flag x-spam status.
Ovviamente settata as no-spam, Me ne accorsi un po' di tempo fa..
mi trovo una cosa del genere:
X-Spam-Status: No, hits=2.5 required=5.0
quando il mio required = 6.
Furbi.. éh ?
Il *dspam* , che io uso, lo fa in automatico. nel suo file di configurazione c'è una bellissima sezione dove indicare se deve ignorare i tag precedenti (ad esempio IngoreHead Date, IgnoreHead X-Spam) oppure agireanche su questi.
Il vantaggio sta nel fatto che se il dspam è usato come secondo frontend dopo l'MTA, ovvero non riceve email da altri filtri interni, allora il suo learning funziona anche su questi headers e si riduce il rischio di forged mails.
*Per lo spamassassin* :
*add_header* personaizza i tuoi headers - da usare con cautela, rischi di non avere più compatibilità con i filtri dei mailers
Poi puoi eliminare i tag nell'headers con uno script di questo tipo nel procmailrc (esiste anche una versione maildrop).
-
:0
\* ^X-Spam-Status:
{
:0 fw
| formail -R "X-Spam-Status:" "X-False-Spam-Status:"
:0 fw
| formail -A "X-Nasty: Aren't we?"
}
:0
\* ^X-Spam-Level
{
:0 fw
| formail -R "X-Spam-Level" "X-False-Spam-Level"
}
:0
\* ^X-Spam-Checker-Version:
{
:0 fw
| formail -R "X-Spam-Checker-Version:" "X-False-Spam-Checker-Version:"
}
Chiedo scusa all'autore di questo script, ma lo uso da diverso tempo e non ricordo più chi me lo ha suggerito... non è farina del mio sacco...
Purtroppo però il riconoscimento di immagini è un problema "difficile" dal punto di vista computazionale.
Quindi molto probabilmente non si arriverà mai ad un filtro in grado di bloccare queste email.
Add Comment