[Mail.manager] Benvenuti!

[Niko!]

Visto che gli attach non vanno ed ancora non ho avuto il tempo di
controllare riporto l'e-mail di Ercolessi:

On Fri, Jan 16, 2004 at 11:06:48AM +0100, Nicola Ranaldo wrote:
> Ciao
>
> > migliori a RSS e DUL, e RBL non bloccava praticamente piu' nulla
> > che SBL gia' non bloccasse, eccetto qualche falso positivo.
> > Cosi', alla fine del periodo era denaro gettato al vento.
>
> Capito... suppongo quindi sia completamente inutile...
> Cosa ne pensi di tools quali "vipul's razor" http://razor.sourceforge.net/
?

Io lavoro di piu' sulla difesa "a monte" - cercando nel contempo
di creare il massimo danno economico agli spammers - e non mi sono mai
occupato molto di sistemi basati sull'analisi dei contenuti.
I tools che dici sono anche abbastanza dispendiosi in termini di
risorse.

> > piuttosto pesanti.  Da non sottovalutare per noi anche la gestione
> > interamente negli USA (da confrontare con SBL che ha un pool di
> > collaboratori distribuiti in tutto il mondo e quindi con buona
> > copertura di problematiche locali).
>
> SBL e' attivata di default in SpamAssassin?

Non lo so, ma la cosa migliore e' usarla a monte!  Ossia non accettare
messaggi da IP in SBL.

> Gestisco il sistema di posta elettronica di Ateneo per conto
> dell'Universita' Federico II di Napoli.
> Purtroppo le nostre e-mail, circa 8500, tutte del personale docente sono
> richiestissime dagli spammer, ed il fenomento e' diventato davvero
> incontrollabile, considera poi, che quasi tutti gli indirizzi sono
> pubblicati on-line su siti web dipartimentali ed affini, facilitandone
> enormemente il recupero attraverso webbot.

Anch'io sono in universita' (a udine) e ho l'indirizzo in chiaro
in diversi posti.  Ho ben presente il problema.

> Molti docenti si sono lamentati dello SPAM, minacciando di abbandonare le
> caselle "unina" ed utilizzare quelle dei provider commerciali, che offrono
> praticamente per default il filtro antispam.
> Mi sono trovato dunque a dover rendere piu' aggressivo spamassassin
> potenziando i punteggi assegnati agli rbl-test,

Io userei le blocking lists direttamente, non attraverso spamassassin.
Ovviamente scegliendole con cura.

> con conseguenti fioccate
> esagerate di falsi positivi!
> Pensa che rfc-ignorant blacklista addirittura i server SMTP di tin, ed io
> non ho trovato il messaggio che mi e' stato spedito dal Prof. delegato
> Rettorale proprio per la gestione del servizio E-Mail, perche' scriveva da
> Palermo da un'abitazione privata! Cose da pazzi!

Occhio alle liste!  RFC-Ignorant NON e' utilizzabile per bloccare posta!
Sicuro che include tutta Telecom Italia: hanno abuse e postmaster che
non funzionano.  Questo non significa che sia opportuno adoperarle.
Inoltre, alcuni sani whitelistings non guastano.
Da che IP proveniva (nel senso: qual e' l'IP che ha effettuato
una connessione TCP col vostro server) la mail che dici?

> Sto passando le ore a fare tuning vari sui punteggi.

Io le passo a classificare range di indirizzi IP in giro per il mondo!
(Dialup, broadband, dinamici, non dinamici, servers, non servers...)

> Ma a questo punto mi chiedo... come gestiscono i provider i falsi
positivi?
> ed i "falsi negativi" ?

Posso dirti la situazione di Spin, che conosco bene avendola messa su
e scritto tutte le policies e procedure.
I falsi positivi sono dell'ordine (in media) di tre-quattro al giorno,
e sono gestiti da una persona (fortunatamente non piu' io!) che segue
tutti i casi fino a risoluzione.
Gli spam entrati che otteniamo ogni giorno sia dagli utenti, sia
ricevuti da noi stessi attraverso spamtraps, sono dell'ordine della
cinquantina.  Si cerca di analizzarli tutti (soprattutto in termini
di IP emittente, ma anche dominio se non forged etc) e tappare le falle.
Il livello di protezione e' attualmente attorno al 99% di spam
bloccato, anche se dipende considerevolmente dal destinatario.

> Possibile che sulle e-mail presso wind o yahoo non abbia alcun tipo di
> problema?
> Fra i nomi delle aziende produttrci di SW antispam che mi hai fatto, ne
> esiste qualcuno che mi permette di raggiungere i risultati ad esempio di
> Yahoo?
>
> altra cosa, i "falsi negativi" sono inevitabili e ce li si trova in INBOX,
> per non perdere falsi positivi, piuttosto che rifiutare lo spam, lo
inoltro
> in sottocartelle IMAP, in tal modo gli utenti "ansiosi" possono
controllare
> periodicamente tale sottocartella e verificare in piena sicurezza che
nulla
> sia andato perso.
> Ancora... i provider cosa fanno? cancellano direttamente?

La nostra strategia e' in http://www.spin.it/spam/ , io sono
assolutamente dell'idea di rifiutare in SMTP, quindi mandare subito
il rimbalzo al mittente (senza che il ricevente ne sappia nulla,
essendo che salvare tempo al ricevente e' l'intento primario),
dare al mittente un modo chiaro e facile per mettersi in contatto
(web form & indirizzo non protetto), rispondere a tutti subito
spiegando perche' il msg e' stato bloccato, seguire ciascun singolo
caso fino a risoluzione.
Chiaramente questo richiede che il numero di falsi positivi non
sia alto, e per questo occorre che il db di bloccaggio (inteso come
l'insieme di DNSBL, regole locali, whitelistings) sia di buona qualita'.

Questa metodologia e' del tutto inattuabile per gli ISP consumer.
Nessun ISP consumer puo' permettersi di gestire singoli casi,
e quindi usano sistemi s/w-based, sottocartelle IMAP (che sono
in realta' un modo di spostare sull'utente finale responsabilita'
e costi).  Non credo che piccoli/medi ISP business e enti accademici
debbano seguire questa strada, avendo generalmente a disposizione
molte piu' risorse per utente.

ciao

furio