Lunedì 10 Dicembre 2018

L’ASTA (Anti-Spam Technical Alliance) pubblica le raccomandazioni per aiutare a prevenire lo Spam

Yahoo!, Microsoft, EarthLink e AOL sono le fondatrici di questa allenaza contro lo SPAM mondiale e hanno proposto i metodi e le tecnologie migliori per contrastare il problema delle email commerciali indesiderate. Si tratta di proposte, raccomandazioni e regolamenti da seguire per gli Internet Service Provider (ISPs) e gli E-mail Service Provider (ESPs) così come i mittenti di consistenti invii di email, inclusi i governi, le società private e le organizzazioni di marketing online. Questi consigli si focalizzano su due elementi chiave: aiutare a risolvere il problema delle e-mail falsificate eliminando il domain spoofing tramite soluzioni basate su IP e sulle firme digitali; e l’adozione di comportamenti adeguati per aiutare gli ISP e i propri utenti a non essere fonte di spam.

ASTA è stata fondata nell’aprile 2003 per unire tutte le maggiori aziende web del mercato nella creazione di standard tecnici e per promuovere la collaborazione nello sviluppo di linee guida per risolvere il problema dello spam. I membri comprendono le maggiori aziende tecnologiche quali America Online, British Telecom, Comcast, EarthLink, Microsoft e Yahoo!

Riassunto delle raccomandazioni ASTA
La proposta di ASTA si focalizza su due aspetti chiave: aiutare a risolvere il problema delle false e-mail eliminando la contraffazione dei domini attraverso le soluzioni basate su IP e sulla firma, e l’adozione dei migliori strumenti per aiutare gli Internet Service Provider (ISPs) e i loro utenti a evitare di essere vittime dello spam. Dichiarando che l’adozione di una qualsiasi tecnologia o strumento migliore sia critica per risolvere l’epidemia dello spam, tutti i membri di ASTA devono impegnarsi a rispettare i seguenti punti:

Contraffazione degli indirizzi e-mail
Uno dei problemi chiave con l’infrastruttura e-mail odierna è che i messaggi non contengono sufficienti informazioni affidabili per far si che le caselle di posta possano decidere se il mittente del messaggio e-mail è legittimato e affidabile. Gli spammer si avvantaggiano di questo aspetto e generalmente contraffanno le origini del loro messaggio nascondendo l’indirizzo del mittente sulla loro e-mail utilizzando il nome del dominio di un’altra persona. Questa pratica viene chiamata “domain spoofing”.
Sebbene il problema di identificazione delle origini delle e-mail sia complesso, esistono due nuovi metodi promettenti, che possono essere migliorati dalle organizzazioni per creare delle fondamenta per il futuro e per promuovere l’autenticità, che verificano che il mittente del messaggio sia realmente chi dice di essere.

Mittenti autentici basati sugli indirizzi IP
Attualmente, l’unica caratteristica affidabile in un’intestazione di un messaggio e-mail è l’indirizzo IP del server che sta trasmettendo l’e-mail. Gli indirizzi IP possono quindi essere utilizzati dai destinatari delle e-mail per verificare altre caratteristiche nell’intestazione del messaggio, come il dominio di invio, e ciò aiuta a ridurre le più comuni forme di “phishing” (il sistema illegale di raccolta d’informazioni sensibili) e contraffazione che sono oggi molto diffuse. Questa verifica può essere fatta usando l’infrastruttura esistente DNS combinata con semplici cambiamenti nei sistemi del destinatario delle e-mail.

Destinatari autentici basati sulla firma
Un altro approccio per l’autenticazione del destinatario usa una tecnologia chiamata Content Signing (CS). I sistemi CS usano coppie di chiavi pubbliche/private per creare le firme che vengono usate per la verifica del mittente. Le chiavi pubbliche possono essere rese disponibili all’esterno attraverso meccanismi di scambio o pubblicazioni in una directory o tramite DNS.
Le chiavi private sono conservate nei server e-mail. Quando un utente manda una e-mail, il server usa le chiavi private per conservare i messaggi per generare automaticamente una firma digitale sul messaggio. Quando il server riceve la mail, recupera la chiave pubblica del mittente e la usa per verificare la firma digitale sul messaggio. Ciò serve per controllare sia l’identità del mittente che l’integrità del messaggio (ossia che il contenuto e-mail non sia stato modificato durante l’invio). Attraverso il processo di implementazione di queste tecnologie, i membri dell’ASTA forniranno un feedback per il miglioramento che, unito ad altri proposti dall’ industria, permetterà maggiori miglioramenti, con l’obiettivo di offrire le migliori soluzioni a lungo termine per l’autenticazione basata su IP.
L’ASTA crede che l’impiego di alcune o di tutte queste proposte, combinate con le più innovative tecnologie anti-spam, la continua condanna dei colpevoli, una legislazione appropriata e altre misure serviranno a ridurre gli iinteressi economici  legati a questo abuso  e a creare uno sbarramento alle loro comunicazioni indesiderate. ASTA valuta la risposta della comunità a questa proposta e invita alla partecipazione tutti i componenti del mercato per controllare la validità e l’impatto di queste soluzioni proposte e delle loro specifiche tecniche.

Eliminare lo spam con i migliori strumenti
Nella proposta, ASTA consiglia i migliori strumenti che le organizzazioni dovrebbero usare per migliorare la situazione. Molte di queste pratiche sono già state adottate da organizzazioni responsabili che usano oggi le e-mail, ma è necessaria una più ampia adozione globale, poich l’effetto combinato di questi approcci può servire per minimizzare le opportunità per gli spammer. Coloro che non adottano queste proposte creano grossi rischi per lo scambio sicuro e affidabile delle e-mail per tutto il mercato.
Nello specifico, la proposta di ASTA sottolinea i seguenti punti.

Consigli per i provider e le organizzazioni di ISP e mailbox che offrono servizi di connessione a Internet, quali:

  • Bloccare o limitare l’uso della porta 25
  • aumentare i controlli e le limitazioni sul traffico in uscita
  • Controllare la registrazione automatica degli account
  • Chiudere le risposte automatiche delle quali si può abusare
  • Chiudere tutte le relay (invii automatici / reininvii)
  • Configurare i proxy solo per uso interno
  • Individuare i computer compromessi (zombie)
  • Educare gli utenti a incrementare l’utilizzo degli strumenti di protezione già presenti nei loro computer
  • Sviluppare sistemi efficaci di segnalazione degli abusi

Raccomandazioni per gli amministratori dei servizi di posta e per chi invia e-mail in volumi notevoli:

  • Non catalogare indirizzi e-mail attraverso SMTP o altri mezzi (definiti per raccogliere indirizzi e-mail, solitamente con mezzi automatici) senza il consenso del amministratore.
  • Registrare il nome dominio e-mail con un fornitore autorevole di liste sicure.
  • Fornire sempre ai clienti istruzioni chiare su come eliminare la sottoscrizione o dissociarsi dalla ricezione di e-mail. (newsletter)
  • Mettere in pratica immediatamente le richieste dell'utenza.
  • Non usare o inviare e-mail che contengono intestazioni non valide o contraffatte.
  • Non usare o inviare e-mail che contengono nomi di domini non validi o non esistenti nell’intestazione Da o Rispondi a.
  • Non utilizzare alcuna tecnica per nascondere o oscurare informazioni che identificano la vera origine o il percorso di trasmissione di e-mail di notevole volume.
  • Non usare il nome di un dominio Internet di una terza parte, sia che ripetuto che indicato attraverso un sistema di una terza parte, senza avrene il permesso.
  • Non inviare e-mail che contengono informazioni false o ingannevoli nella riga che si riferisce al soggetto o all’interno del suo contenuto.
  • Il Monitor SMTP deve sempre rispondere alla e-mail del destinatario. Rimuovete immediatamente tutti gli indirizzi e-mail per i quali i server delle mail riceventi rispondono con il codice errore 55x SMTP (per esempio, “l’utente non esiste”).

Raccomandazioni per i consumatori, come per esempio:

  • Installare un firewall sui PC in modo appropriato.
  • Usare un software anti-virus e altri strumenti di protezione per filtrare virus nei messaggi, malware e codici dannosi o sospetti.
  • Usare tecnologie di filtraggio spam e modificare secondo le proprie esigenze le impostazioni che forniscono il giusto livello di protezione necessaria.

Alcune di queste raccomandazioni sono già entrate in vigore in diversi paesi, compreso quello del 16 dicembre 2003: Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM). La differenza fra le leggi e l’assenza di leggi anti-spam nella maggior parte dei paesi significa comunque che l’industria necessita di riunirsi e di adottare politiche e pratiche di un certo livello che mettano fuori gioco gli spammer.