APEWS

la Black List

Data: 28 set 2003
ultima modifica: 29 ott 2016

Sito on line dal 2003
Home page
email
Chi sono
Translation
𝒮PEWS: Spam Prevention Early Warning System, è una Black List (BL), una lista di indirizzi IP proscritti, bannati, che grossi ISP usano: in Italia parliamo di Libero.

APEWS: Anonymous Postmaster Early Warning System, è una Black List (BL), una lista di indirizzi IP proscritti, bannati, che grossi ISP usano.

SPEWS non è più attivo dal lontano 2006 e dal 2007 è stato sostituito da APEWS tramite un post su nanae in cui si dice tra l'altro:
While it seems SPEWS was a one man show,  APEWS will be maintained by
many operators.
ovvero APEWS sarà un lavoro di gruppo ma comunque manterrà la stessa logica di funzionamento di SPEWS. Il sito di riferimento passa da spews.org a apews.org. spews.org è stato disabilitato. Quella che segue è la descrizione di SPEWS ma è valida anche per APEWS.

Chi sta dietro alla sigla SPEWS? Nessuno che si conosca, si dice solo che qualcuno di spews legga e posti sul newsgroup nanae (news.admin.net-abuse.email). Evidentemente è vero visto che le loro BL vengono modificate tenendo conto dei post su questo ng (newsgroup), per il resto nessun indirizzo email, nessun sito internet, nessun recapito. Si dice che il sito spews.org (difficilmente raggiungibile a causa del DDos, attualmente sembra finito l'attacco) sia loro ma è registrato sotto falso nome e nel sito viene dichiarato di non essere SPEWS.

Una introduzione alle politiche di SPEWS si può trovare nell'aggiornata enciclopedia wikipedia (tenete presente che su wikipedia chiunque può modificare queste informazioni, quindi leggete con cautela).

Un tempo spews.org si trovava in Siberia, registrato in Irkutsk, attualmente in Australia. Nel sito è scritto che in tal modo le aziende americane e europee con ampie disponibilità economiche e legali hanno minori speranze di citare in giudizio la spews crew.

I meccanismi di distribuzione di SPEWS sono diversi e indipendenti fra loro ma comunque si parla solo di una lista di indirizzi IP, gli ISP che usano spews possono a loro discrezione ignorare alcuni listing, oppure garantire a priori che determinate entità non verranno bloccate nel caso in cui spews decidesse di bloccarle. Vengono a tal fine utilizzate delle White List fatte soprattutto sulle email dei propri clienti.
 
Furio Ercolessi, un esponente importante del mondo antispam, precisa il modo di operare degli amministratori che usano SPEWS.
Secondo Furio tutto questo è assoluta routine per chiunque gestisca un sistema antispam che fa uso di SPEWS o di altre liste: le liste forniscono solo un "default", ognuno poi decide che cosa tirare via e che cosa aggiungere localmente. Ercolessi aggiunge il proprio modo di operare, dicendo "Per quanto ci riguarda, non abbiamo mai rifiutato un whitelisting a chiunque ci abbia contattato in seguito a un blocco SPEWS di posta legittima".
Esistono poi due livelli di attenzione per lo spam che si riceve, due liste separate in modo che tutte le entità che entrano nel livello 1 (quello che generalmente viene utilizzato ai fini di blocco) hanno già passato di solito molto tempo nel livello 2. Questo permette una gestione flessibile e personale della lista da parte dei sys admin.

Da parte degli ISP che ospitano spammer o che hanno problemi di spam la presenza del loro network nel livello 2 ma non nel livello 1 costituisce un segnale di allarme che la situazione è a rischio, allarme che spesso dura per dei mesi. Questo permette sia a utilizzatori di SPEWS, sia alle "vittime" che non leggono le loro caselle abuse@, di identificare le situazioni a rischio settimane o mesi prima che venga acceso il livello 1.

Sul sito di spin.it, una realtà commerciale di servizi internet in cui Ercolessi lavora, si fa una trattazione operativa dei metodi che spin utilizza per filtrare la posta, vengono esaminate le varie BL e i modi di utilizzarle. Il manifesto della propria politica anti spam si può trovare in queste frasi iniziali:
"Ogni email che entra dall'esterno nella rete di Spin, prima di essere distribuita all'utente viene sottoposta ad una serie di filtri con lo scopo di arginare lo spam in entrata. Tutti i filtri operano esclusivamente a livello di protocollo SMTP sulla base della provenienza del messaggio o, raramente, di "firme" trovate nelle linee di intestazione (headers).
Nessun filtro del sistema antispam esamina il contenuto del messaggio. Riteniamo che filtri basati sul contenuto siano un metodo sbagliato per affrontare il problema dello spam, perché sono soggetti ad errori e falsi allarmi, richiedono molta manutenzione, e, soprattutto, non attaccano il problema alla radice: una pressione diretta sulle sorgenti e sui veicoli di spam è necessaria per combattere il fenomeno su scala globale. Schierandosi in prima linea contro lo spam ed esponendosi, Spin vuole indicare con un segnale chiaro e forte che ritiene i metodi di marketing basati su email non sollecitate distribuite in modo massivo altamente nocivi per il futuro delle comunicazioni elettroniche tra gli individui e tra le imprese."
Quante sono le mail box (MB) la cui posta in arrivo viene filtrata da SPEWS? Si parla di 10^8, circa 100 milioni di caselle.

Quanti IPs sono bannati? Quanti sono i server presenti nelle BL di SPEWS?
Su nanae è stato detto:
<Well, not that this is a very meaningful test, but SPEWS is blocking about
0.15% of the 32bit IP space.

$ perl -e 'while(<>) { $t += 2**(32-$1) if (m!^[\d.]+/(\d+) !); }
           print "$t ", $t/(2**32)*100, "%\n";' spews_list_level1.txt
6280997 0.146240857429802%>
Quindi si parla di percentuali intorno all'un per mille di tutti gli IPs. Il dato non è particolarmente significativo per il fatto che non c'è corrispondenza nei due sensi tra numero IP e server di posta elettronica, comunque fornisce un'idea.

Ed ora la domanda più ricorrente in assoluto: perché SPEWS si permette di bannare ISP nazionali oppure Yahoo! oppure AT&T  oppure il mio server smtp? La risposta è: perché ha la fiducia di chi usa internet.

Vedremo la risposta lunga a questa interessante controversia, in realtà questo scritto è motivato solo da questo desiderio: spiegare la politica di SPEWS, quella che si chiama policy.

È fondamentale rendersi conto che le BL sono su internet, pubbliche e scaricabili, quella di SPEWS la potete scaricare da http://bliab.com/.

Gli amministratori di Libero la scaricano e la usano insieme a altre liste per la posta dei clienti, quindi i sys admin di Libero hanno fiducia nelle BL di SPEWS, chi sceglie Libero da indirettamente fiducia a SPEWS.

Sul perché molti amministratori di sistema scelgano queste liste, bisogna tenere conto che la rete è anarchica, collaborativa, punisce chi non segue la netiquette, è basata su informatici o tecnofili e Linux o i sistemi *nix la fanno da padrone. Per tutte queste ragioni si può affermerei che i sys admin sono gente vicina all'etica/cultura Hacker.

SPEWS rappresenta tutte queste cose, questa è politica sicuramente ma è una politica di tecnofili, una politica che ha radici nel fare funzionare correttamente la rete. Riassumendo la policy di SPEWS è una efficace rappresentazione pratica della cultura Hacker.

Vediamo la policy di SPEWS (Collinelli modificato da me):
Il provider che si ritrova un proprio netblock in Spews deve per prima cosa risolvere il problema (ossia liberarsi di tutti i suoi spammer, sistemare i suoi server open-relay, eliminare trojan, ecc. e far funzionare l'abuse desk), poi se questa opera di pulizia sarà risultata completa e convincente, allora il listing verrà tolto, a tempo opportuno a seconda dell'impegno antispam dimostrato.

Ovvio che, se lo spammer non viene cacciato subito dal provider, quel netblock è destinato a rimanere listato a lungo, casi di menefreghismo portano ad essere bannati per tempi lunghissimi e portano alla così detta "escalation del netblock". Col continuare dello spam il blocco listato da Spews crescerà di dimensioni (sempre rimanendo, ovviamente, nell'ambito dello spazio ip che è sotto la responsabilità del medesimo provider).

I file di evidenza leggibili sul sito di Spews spesso mostrano questi casi di escalation: all'inizio in genere vengono listati pochi ip, che sono risultati direttamente coinvolti in qualche spam, dopo qualche tempo può essere listato, secondo i casi, tutto il "/24" (ossia 255 indirizzi contigui), poi, in caso lo spam continui e il provider titolare degli indirizzi resti inerte, i blocchi listati diventano ancora più grossi (per es. dei "/20" o "/19"). Spesso queste escalation finiscono con l'includere indirizzi ip usati da clienti del provider che sono estranei allo spam.
Questo è il punto controverso, il punto che a molti proprietari di siti su provider che ospitano spammers, non piace. Vengono in questo modo colpiti interessi commerciali da piccoli a grossi a enormi. Aziende che ospitate da Verio si vedono bloccata la loro email, Yahoo! i cui egroups risultano inservibili, rilevanti fornitori di accesso a internet cinesi sono messi nelle BL di SPEWS.

Kensan.it


Spews ha però buone ragioni per fare questo, per esempio, impedire che il provider cerchi di aggirare la BL spostando lo spammer su indirizzi non ancora listati ma comunque suoi, o usando altri clienti come un sorta di "scudi umani". Inoltre, dato che buona parte del problema spam è di natura economica, per certi provider solo una buona ragione economica può indurli a rinunciare al denaro degli spammers (per esempio, il fatto che i clienti non-spammer se ne vadano altrove).

Sembra che SPEWS abbia delle spam-trap, ovvero delle MB (mailbox) non usate che fungono da trappole per lo spam, inoltre ci sono siti che catalogano lo spam. Comunque sia la conseguenza dello spam intercettato è che viene avvisato l'abuse desk del provider che esiste una fonte di spam da un ip che gli appartiene, il messaggio non è firmato da SPEWS ma da normali utenti: questo dovrebbe essere il funzionamento.

Se l'abuse non provvede subito o peggio l'abuse desk non è funzionante, l'ip è inserito nella BL e comincia la pressione con l'allargamento del netblock in BL fino a oscurare l'intero provider e fino a mettere una nota in cui si dichiara la volontà spammatoria del fornitore di ip. La tempistica di questo processo la si può seguire su nanae, interessandosi di singoli casi che collaborano oppure che non collaborano, con tempi in BL completamente diversi.

Ricordo ancora che si parla di molte settimane o mesi per passare dal livello 2 al livello 1 che viene solitamente usato dai provider, quindi termini come "improvvisamente ci hanno bloccato l'email" sono, da parte degli ISP blacklistati, tanto consueti quanto fuori luogo e indice di disattenzione, menefreghismo o peggio malafede.

Anche se ho più volte detto che SPEWS banna molti server, in realtà è falso perché SPEWS si limita a listare. Se un sys admin la ritiene una lista credibile, la utilizzerà per bloccare. Si può fare questo ragionamento: se fosse puramente arbitraria, nessuno la utilizzerebbe e, pur non avendo dati, sembra che SPEWS sia la seconda o la terza lista usata, dopo SBL e MAPS.

Le ricadute politiche di questo modo di operare di SPEWS sono molteplici, oltre a quelle viste le BL sono una sorta di compensazione economica che aggiunge dei costi agli ISP spam-friendly, e quindi avvantaggia i whitehat che rifiutano lucrosi affari con gli spammers e che devono sostenere altri costi che gli altri non sostengono, per esempio personale umano dietro l'abuse desk, preoccuparsi che non parta spam dal proprio network, ecc, ecc.

Un aspetto della responsabilizzazione degli ISP è che talvolta costoro non sono interessati ad abbandonare gli spammers, se il provider è un gestore nazionale importante, si ha come conseguenza l'oscuramento di una parte di una intera nazione, come nel caso della Cina. Però esiste sempre la possibilità per gli utenti più informati di usare servizi lontani da logiche spammatorie e sempre riguardo la Cina Ercolessi diceva che "Ed infatti ci sono ISP cinesi ben gestiti che certo non entrano in SPEWS (come ad esempio Chinanet-Jiangsu), pur essendo nella medesima area geografica dei grossi ISP spam-friendly".

Questo documento è citato da provider che usano la lista di SPEWS in risposta a utenti bloccati, alcuni lettori potrebbero quindi essere interessati a capire se il loro fornitore di servizi Internet è un personaggio onesto oppure no. A tal fine esistono degli esperti che volontariamente e a loro discrezione sono a disposizione per chiarimenti. Sul newsgroup it.news.net-abuse si ritrova la comunità italiana degli esperti dell'antispam, seguendo la netiquette dei newsgroup si può fare la propria domanda cliccando su "invia nuovo messaggio" previa registrazione al servizio di Google.

Il sito spews.org/bounce descrive come comportarsi nel caso la propria email sia stata respinta (bouncing), nella pagina di spiegazione si dice in italiano che:
"Molte persone trovano questo sito dopo aver ricevuto una email automatica in cui li si avvisa che la loro email originaria è stata rifiutata..."
"Se siete venuti su questa pagina, probabilmente siete un innocente utilizzatore della posta elettronica ed una vostra email è stata respinta."
"Noi sappiamo che, come utente Internet, la posta elettronica e ogni altra connettività è importante per voi. Noi sappiamo anche che la spedizione massiva di email non richieste (lo 'spam') è male. Vi esortiamo a chiedere al vostro Provider Internet di porre rimedio al problema tra le cui conseguenze c'è stato il rifiuto della vostra email,..."
Spews.org mette a disposizione un servizio che permette di individuare le ragioni del bouncing della vostra email, a questo link, tramite il form in alto (casellina da riempire), compilandolo col numero IP del vostro server di posta (un numero come 100.99.101.98), avrete le spiegazioni in inglese.

Qualora ci si rendesse conto che il proprio ISP sta proteggendo uno o più spammers e per questo è in BL, si possono prendere in considerazione servizi non spam-friendly. Il newsgroup citato è un covo di combattenti e spesso nella firma dei vari poster ci sono i servizi Internet da loro forniti. Per esempio Ercolessi ha Spin.it in firma.

------------------------------

Ringrazio Furio Ercolessi e Cataldo Cigliola per le preziose informazioni e per l'interessante colloquio via ng che mi ha permesso di aggiungere diversi punti alla discussione.

Alcuni link:

Se il sito di spews non è on line potete trovare informazioni su: SPEWS su wikipedia,
Ercolessi consiglia la lettura del saggio di Jeffrey Race in pdf, "che mette a fuoco il problema con grande lucidità".
Il Collinelli è la bibbia degli spammer-hunter, così si evince dal newsgroup antispam italiano, è aggiornatissimo e la descrizione delle varie BL comprende la SPEWS ma non solo: Collinelli.



Non dimenticatevi di mettere la vostra opinione: scrivete il commento, premete "Inserisci" e il commento è immediatamente pubblicato nell'area qui sotto: grazie!






Altri testi sullo stesso argomento li trovate elencati di seguito sotto l'argomento Spam

Diaspora* button
-
Facebook button
0
Twitter button
-
Google+ button
0
LinkedIn button
0
TzeTze button
voti: 0
Data: 28 set 2003
modifica: 29 ott 2016
argomento: Spam, articoli: Filtri Bayesiani

argomento: Privacy, articoli: Il tariffario della Privacy, Carta di Identità Elettronica (CIE) , Anonimato in Rete, Impronte digitali, TOR per affrontare la censura, Anonymous remailer - manuale, I cookie e la privacy

ball animated




Firefox: Riprenditi il web






A proposito dei giornalisti...

Non dico affatto che lei menta, dico che lei non sarebbe nel posto che occupa se non scrivesse quello che scrive.






La legge determina le condizioni in cui si esercita la libertà garantita alla donna di ricorrere all'interruzione volontaria della gravidanza.

Nuovo articolo della costituzione francese: libertà garantita






L'intervento sull'aborto della Onorevole Gilda Sportiello in merito agli antiabortisti nei Consultori, in cui racconta la sua storia: il personale è politico

Intervento della Onorevole del M5S Sportiello Gilda alla Camera dei Deputati
kensan logo Licenza Creative Commons 3.0
I miei testi sono sotto la Licenza "Creative Commons 3.0 Italia": se sei interessato a pubblicare i miei articoli leggi le note aggiuntive (Licenza di kensan.it) dove troverai anche le attribuzioni dei diritti per tutte le immagini pubblicate.
Questo sito memorizza sul tuo pc uno o più cookie di tipo tecnico, leggi l'informativa estesa.
Kensan site

e-mail
e-mail cifrata