In fondo non c'e nulla di strano: si tratta di un fenomeno analogo a quello per il quale anche la cassetta postale di casa tende a riempirsi di cartaccia che, il più delle volte, prende la via della spazzatura senza neppure essere degnata di uno sguardo. L'analogia, però, è solamente parziale: non tanto per l'immaterialità del messaggio elettronico, quanto per la diversa distribuzione dei costi derivanti dall'attività di diffusione delle informazioni.

Proprio così: anche se può non essere evidente a prima vista, i costi della diffusione di pubblicità cartacea sono sostenuti da chi la *diffonde* (stampa del materiale, stoccaggio, compenso a chi materialmente se ne va in giro ad effettuare la distribuzione...); al contrario, lo spamming ribalta i costi sui *destinatari* della pubblicità e su chi mette inconsapevolmente a disposizone le infrastrutture tecniche per il trasporto della stessa. In buona sostanza, pagano i carrier e gli utenti finali, cioè noi.

Chi invia tramite posta elettronica un messaggio pubblicitario a diverse decine o centinaia di migliaia di destinatari spedisce, in realtà, una sola email: il costo dell'operazione è pressocché nullo. Tocca al mail server del suo fornitore di servizio postale generare le copie necessarie e inviarle, con una occupazione di tempo macchina e di banda di rete proporzionale al loro numero, verso i server di destinazione. Ciascuno di questi deve tenere a disposizione lo spazio su disco necessario (eventualmente per molteplici copie); infine, ogni utente finale sacrifica parte della propria banda e del proprio tempo di connessione per scaricare messaggi che gli costano ulteriore tempo semplicemente per stabilirne l'inutilità e cestinarli.

Caratteristica dello spamming è l'invio del messaggio ad un numero di destinatari il più elevato possibile; dal momento che le mailing list sono spesso costruite rastrellando a casaccio indirizzi di posta qua e là per Internet, spesso con l'aiuto di appositi programmi, lo spammer non può contare su contatti "mirati", ma solo sulla probabilità statistica: tra migliaia e migliaia di persone contattate, alla fine è probabile che almeno un piccolo numero recepisca il messaggio. Considerato il costo irrisorio dell'attività promozionale, può bastare un minimo ritorno economico per chiudere in attivo l'operazione. La probabilità di andare a buon segno è, ovviamente, porporzionale al numero di destinatari raggiunti.

Quanto detto spiega anche perché chi si limita a visitare siti web (evitando di comunicare i propri dati per ottenere servizi o accessi "privilegiati) e a scambiare posta elettronica con conoscenti difficilmente cade vittima dello spamming. Al contrario, pubblicare il proprio mail address su di un sito, comunicarlo a soggetti non del tutto fidati e (soprattutto) inviare messaggi ai newsgroup rappresentano una ottima garanzia di essere, prima o poi, inseriti in qualche mailing list senza averne fatto richiesta.

Purtroppo, esiste un fiorente commercio di indirizzi di posta: spesso, gli spammer acquistano da fornitori insospettabili (tempo fa anche Geocities fu accusata di avere venduto gli indirizzi dei suoi membri) veri e propri elenchi di indirizzi; ciò accade anche grazie alla debole e "rarefatta" legislazione in materia, che, per lo più, ammette l'invio alla cieca di mail pubblicitarie, purché sia data ai destinatari la possibilità di richiedere l'esclusione dalla mailing list (il cosiddetto opting-out).

Cosa possiamo fare per difenderci?

In primo luogo, *non* bisogna mai esercitare l'opting out. Può sembrare assurdo, ma è così. Nella maggior parte dei casi, una mail inviata allo spammer altro non è, dal suo punto vista, che una prova della validità del nostro indirizzo, il quale verrà prontamente rivenduto con tanto di bollino di qualità: non è un'esagerazione, c'è da aspettarselo per davvero.

Altra cosa da evitare è rispondere alla mail indesiderata. Spesso, proprio per evitare di essere sommersi da tonnellate (o meglio: megabytes) di mail di protesta, gli spammer specificano nei propri messaggi un reply-to address fasullo: nel migliore dei casi la nostra risposta si perderà nella grande matrice del cyberspazio; nel peggiore tornerà indietro, con tanto di (eventuali) allegati chilometrici. Per lo stesso motivo, bisogna assolutamente resistere alla tentazione di colpire il nemico con un sano mail bombing: oltre ad essere del tutto inutile, tale condotta aggraverebbe il problema del consumo di risorse e potrebbe trasformarsi in un boomerang. Non dimentichiamo, inoltre, che si tratta di un illecito: potremmo metterci nei pasticci.

Anche limitarsi a cestinare il messaggio senza pensarci su troppo, o configurare il nostro mail client per farlo automaticamente, non è una gran soluzione: in primo luogo non impedisce che lo stesso spammer ce ne invii altri in futuro; inoltre, se è vero che lo spamming rappresenta un costo per la collettività di Internet, quando esso abbia raggiunto il nostro computer, ormai, il danno è fatto. Per il medesimo motivo rappresenta un miglioramento soltanto parziale una configurazione che, sempre in base ad opportuni filtri, istruisca il mail client a distruggere lo spam direttamente sul server del nostro provider.

L'azione corretta è scrivere a chi fornisce allo spammer il servizio di posta elettronica, allegando la mail incriminata e richiedendo, con ferma cortesia, che siano intraprese nei suoi confronti le azioni necessarie per farlo smettere: al limite, anche l'esclusione dal servizio. Il problema diventa, a questo punto, identificare il provider. Per quanto detto poc'anzi, non servirebbe a molto partire dall'indirizzo del mittente o dal reply-to address: bisogna scendere un po' in profondità e analizzare il percorso della mail dall'origine sino a noi. Per farlo, è innanzitutto necessario visualizzare gli headers RFC-822 completi del messaggio (ogni mail client ha un comando per visualizzarli), che riportano tutti i passaggi della mail da host a host. In pratica, occorre spulciare una serie di righe che iniziano con la parola "Received:", nelle quali sono specificati l'host di provenienza del messaggio (indicato dopo la parola "from") e quello di destinazione (indicato dopo la parola "by"). L'ultima di tali righe, leggendo gli headers dall'alto in basso, dovrebbe evidenziare la macchina da cui la mail è partita (from) e il server SMTP che la ha ricevuta per primo (by), cioè il server del mail provider.

Il "dovrebbe" significa che talvolta gli spammer alterano anche gli headers, perciò non è garantito che le cose siano sempre quelle che sembrano. In ogni caso può valere la pena di approfondire l'indagine (esistono interessanti letture al riguardo): vediamo un caso reale.

Received: from e-swing.co.kr ([211.196.189.169]) by mbox.teleion.it
          (Post.Office MTA v3.5.3 release 223 ID# 506-57754U1300L100S0V35)
          with ESMTP id it for WEBMASTER@ROSSANACASALE.COM;
          Wed, 18 Jul 2001 20:49:41 +0200
Received: from e-swing.co.kr (ppp-2-170.cvx2.telinco.net [212.1.141.170])
          by e-swing.co.kr (8.10.1/8.9.3) with SMTP id f2JJ5IE11425;
          Tue, 20 Mar 2001 04:05:24 +0900

Sono riportati gli ultimi due headers "Received:" di una spam mail. Il fatto che l'ultimo di essi riporti due nomi diversi per la stessa macchina (from) induce il sospetto che sia avvenuta qualche maldestra manipolazione: meglio verificare l'indirizzo IP.

Per questo genere di verifiche, il punto di partenza è sempre il sito dell'ARIN, l'ente americano che coordina l'assegnazione degli indirizzi IP in Internet: il suo servizio whois risponde che 212.1.141.170 fa parte degli indirizzi assegnati al RIPE-NCC, che gestisce l'utenza europea. Anche il RIPE offre un servizio whois sul suo sito web: questa volta la risposta è più interessante:

inetnum:      212.1.128.0 - 212.1.148.255 
netname:      TELINCO-INTERNET 
descr:        Telinco Internet Services Limited 

Questo ci fa capire che il messaggio è effettivamente partito dalla macchina ppp-2-170.cvx2.telinco.net, il cui prefisso, ppp, suggerisce che si tratti di un computer collegato alla Rete tramite una comune connessione telefonica, la quale, come di norma, implementa il protocollo PPP. Quindi lo spammer sembra collegarsi ad Internet attraverso il provider Telinco. Il nome e-swing.co.kr attribuito alla macchina mittente risulta, come ipotizzato, da una manipolazione degli headers.

E' interessante notare che e-swing.co.kr è, in realtà, il nome del server SMTP che ha ricevuto il messaggio. Questo è il mail provider: il primo dei due headers esaminati indica l'indirizzo IP del server; ripartiamo dal whois dell'ARIN. Questa volta veniamo rinviati al sito dell'APNIC, l'organizzazione che gestisce gli indirizzi IP per l'Asia. La ricerca whois, direttamente dalla home page, rivela che l'indirizzo 211.196.189.169 è amministrato dal NIC coreano (la Corea, come alcune altre nazioni asiatiche, gestisce direttamente un range di indirizzi IP da assegnare ai propri utenti; questa e altre interessanti informazioni tecniche sono disponibili sul sito APNIC):

inetnum              211.172.0.0 - 211.199.255.255
netname              KRNIC-KR
descr                KRNIC
descr                Korea Network Information Center

A questo punto, è necessaria una visita al servizio whois del KRNIC: la ricerca dell'indirizzo IP rivela che esso rientra nel range gestito da KorNet, carrier coreano.

IP Addr            : 211.196.188.0-211.196.189.255
inetname           : KORNET-INFRA-YOUNGDONG
descr              : KORNET

La ricerca per nome (e-swing.co.kr), invece, centra un obiettivo più specifico: l'indirizzo IP indicato nello header è proprio quello assegnato ad una compagnia coreana a nome E-Swing.

domain             : E-SWING.CO.KR
name               : e-swing.co.kr
IP Addr            : 211.196.189.169

Ricapitolando, sembrerebbe che lo spammer si colleghi alla Rete via Telinco e utilizzi la coreana E-Swing come mail carrier; quest'ultima acquisisce la connettività Internet dalla connazionale KorNet. E' probabile che lo spammer non abbia un account presso E-Swing, ma sfrutti una possibile lacuna nella configurazione del suo mail server che, probabilmente, consente il relaying (cioè serve le richieste di utenti non appartenenti al suo medesimo dominio).

Come già accennato, si tratta di ipotesi: uno spammer particolarmente accanito (e competente) potrebbe avere modificato gli headers con astuzia e precisione, preparando un "quadro" coerente e realistico, e per ciò stesso fuorviante. Ciononostante, quella da noi costruita è una ipotesi sensata, che ci autorizza a contattare gli amministratori interessati per sottoporre loro il problema e chiedere che siano effettuate le indagini opportune, alle quali far seguire i provvedimenti eventualmente necessari.

Allo scopo, tra i dati restituiti dalle ricerche sopra descritte compare sempre almeno l'indirizzo email di chi ha registrato il dominio o lo amministra: perciò si possono contattare l'amministratore del dominio telinco.net per chiedere una verifica sugli utenti (è probabile che, attraverso i log, sia loro possibile risalire a chi risultava assegnatario dell'indirizzo 212.1.141.170 al momento della spedizione della mail) e l'amministratore del dominio e-swing.co.kr per suggerire un controllo sulla configurazione del mail server 211.196.189.169. Per conoscenza, può anche essere opportuno scrivere a chi amministra il dominio kornet.net, per esercitare una certa pressione su E-Swing.

In generale, se si contatta un amministratore, è necessario allegare la mail incriminata, corredata di headers completi. Il tono della protesta deve essere fermo, ma sempre assolutamente cortese: la scortesia può indurre alla non collaborazione; inoltre, se gli headers sono stati contraffatti "bene", la nostra indagine potrebbe averci condotto alle persone sbagliate, eventualmente vittime esse stesse dello spammer.

Perché un provider, o un amministratore di dominio, dovrebbe prendere in considerazione la nostra protesta? Ci sono diverse buone ragioni. Innanzitutto perché avere spammers tra i propri utenti e consentire loro di operare indisturbati non è certamente un buon biglietto da visita; in più, impedire ad uno spammer l'accesso ai propri servizi significa risparmiare risorse e, di conseguenza, denaro. Ma forse, l'argomentazione più convincente è che se ogni vittima dello spam si prendesse il disturbo di indagare un po' e scrivere agli amministratori coinvolti, questi sarebbero subissati di proteste e richieste di intervento, talune corrette, altre infondate, ma il risultato immediato sarebbe comunque uno: la loro vita diventerebbe impossibile... Pochi rispondono; la maggior parte di coloro che lo fanno sostiene (in buona o mala fede: può accadere che lo spammer paghi il proprio provider per fruire del servizio di posta elettronica...) di essere estraneo alla vicenda e che gli headers sono falsificati, qualcuno ammette di essere a conoscenza del problema e di avere avviato indagini. Solo in qualche raro caso si riceve in risposta un ringraziamento, accompagnato dall'assicurazione che lo spammer verrà identificato e fermato. Frustrante? Non importa, quello che conta èsollevare la questione.

Piuttosto, dal nostro punto di vista di utenti finali, il vero disincentivo ad agire è che se già rappresenta una seccatura scaricare dal server e cestinare le mail indesiderate, dedicare a ciascuna il tempo necessario ad identificare i providers coinvolti potrebbe non essere materialmente possibile, soprattutto considerando che la ricerca rischia di rivelarsi infruttosa per una molteplicità di motivi (risultati errati, scarsa disponibilità dei providers, eccetera).

E allora?

Allora, ci si può affidare a chi ha scelto di dedicarsi pesantemente e con le necessarie competenze tecniche alla caccia allo spammer. Network Abuse Clearinghouse offre un servizio gratuito di inoltro automatico delle proteste agli amministratori. Ovviamente, non tutti i domini e relativi amministratori sono censiti nel database di N.A.C.: per questo è offerta a chiunque la possibilità di collaborare, comunicando dati relativi a domini conosciuti.

Per chi desiderasse approfondire la propria cultura sullo spamming, la Coalizione Europea Contro le Mail Pubblicitarie Non Richieste è fonte di interessanti notizie, nonché punto di coordinamento di iniziative; sul sito è anche possibile sottoscrivere una petizione che si spera possa originare una proposta di legge restrittiva da presentare al Parlamento Europeo. Opportuno è anche leggere la faq dell'APNIC e documentarsi sulla netiquette.

Un'ultima considerazione: come accennato in apertura, lo spamming non comprende solo le mail pubblicitarie, ma anche la propaganda di qualsiasi genere (politica, religiosa, eccetera) e le cosiddette Catene di Sant'Antonio (sui possibili effetti delle quali vale la pena di leggere la storia di Craig Shergold, raccontata da Paolo Attivissimo) gestite via posta elettronica. Anche il cross-posting (la pubblicazione di un messaggio su molteplici newsgroups, magari scelti a sproposito) e l'invio di messaggi pubblicitari o commerciali nei newsgroups per i quali ciò è vietato dalle regole di utilizzo sono spamming a tutti gli effetti, e vanno combattuti con le medesime armi riservate alle email, con l'unica differenza che, se il gruppo è moderato, generalmente è il moderatore stesso ad attivarsi. In ogni caso, un suggerimento: anche i messaggi dei newsgroup hanno headers che descrivono il loro avventuroso viaggio dall'autore al lettore...

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: