Gruppo di lavoro “Mailing” sottogruppo anti-spam: M. Corosu (GE), M. de Rossi (RM1) O. Pinazza (BO), R. Veraldi (FI) Paestum 9-13 Giugno 2003 LA SITUAZIONE a Bologna spam riconosciuti 6000 e-mail ricevuti 5000 4000 3000 2000 1000 2-giu 26-mag 19-mag 12-mag 5-mag 28-apr 21-apr 14-apr 7-apr 31-mar 24-mar 17-mar 0 Trend settimanale dei messaggi ricevuti e dei messaggi spam spam riconosciuti e-mail ricevuti 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 lun mar mer gio ven sab dom SpamAssassin permette di marcare come “Spam” gli e-mail che raggiungono un certo score stabilito da regole il daemon puo’ essere triggerato da sendmail tramite milter o da procmail a Bologna (mailbox server == MTA): non eliminiamo i messaggi marcati spam, ma tramite procmail li dirottiamo in un folder Spam dell’utente gli utenti periodicamente li controllano e li cancellano whitelist: *@*infn.it *@*unibo.it Ma il problema non e’ risolto… gli utenti si lamentano ancora il sistema e’ complesso, difficile da controllare la capacita’ del SW sembra peggiorare nel tempo prestazioni falsi positivi spam in italiano mailing lists Il (sotto)gruppo di lavoro si e’ riunito il 3 Aprile 2003 al CNAF temi di studio: “Spamassassin: individuazione configurazione ottimale, procedura per la gestione del database di spam” “Funzione antispam di RAV antivirus” altro?? i primi “volontari”: MC, MdR, OP, RV (1) SpamAssassin: cosa c’e’ da fare? Web site: www.spamassassin.org le versioni > 2.50 usano un filtro bayesiano: funzione sa-learn trigger: milter: spamassassin_milter.c o spamass_milter (c++) procmail blacklist e db (liste locali, db remoti o RAZOR) (2) non c’e’ solo spamassassin… RAV antivirus http://www.ravantivirus.com/index.php Distributed Checksum Clearinghouses http://www.rhyolite.com/anti-spam/dcc Tecniche/tools basate su MTA/MUA http://spam.abuse.net/adminhelp/mail.shtml MAPS RBL (Mail Abuse Prevention System - Realtime Blackhole List) http://mail-abuse.org/rbl/ Paul Graham’ pages http://www.paulgraham.com/antispam.html Distributed Checksum Clearinghouse (DCC) sistema coordinato di molti client e server (>120) che mantengono e si scambiano checksum di email per determinare se si tratta di spam il controllo principale e’ sui messaggi inviati a molti destinatari deve essere ben configurato (mailing-list, messaggi “sollecitati”), ma ogni sede puo’ personalizzare le proprie configurazioni puo’ lavorare in parallelo a spamassassin (header X-DCC) si puo’ cominciare utilizzando uno dei server pubblici le comunicazioni client-server avvengono su 6277/UDP Conclusioni…? proposte…. volontari…. siti candidati ai test… [email protected] [email protected]