Consigli per i provider

È opportuno per un provider interessarsi al problema dello spam?

Senza alcun dubbio.
Prima di accennare a qualcosa di ciò che i provider possono fare, vorrei dare loro un po' di buone ragioni concrete. A questo scopo mi appoggerei ad uno studio specifico, condotto da un istituto assai celebre che si occupa di indagini di mercato nel mondo della tecnologia dell'informazione. La ricerca è stata condotta proprio per chiarire il punto più importante: il modo in cui il problema dello spam viene affrontato da parte di un provider influisce sul successo di quel provider nel mantenere la propria clientela?

I riferimenti esatti all'istituto e alla ricerca in questione potete trovarli in questo file.

Data l'autorevolezza della fonte, la lettura delle 14 pagine di tale report si raccomanda senz'altro. Per immediatezza riassumo qui i punti più significativi.

• La posta commerciale non sollecitata sta rapidamente crescendo e non risparmia più nessuno, colpendo sia gli utilizzatori casalinghi di Internet che l'utenza aziendale. Il numero di utenti della posta elettronica crescerà considerevolmente nei prossimi anni, costituendo un target sempre più attraente per i junk emailer e rendendo i loro mailing sempre più frequenti, voluminosi e aggressivi. Il problema potrebbe diventare ingestibile, e gli ISP vedranno crescere i loro costi e lo scontento dei loro clienti.

• Il report indaga innanzitutto sulla percezione che gli utenti hanno dello spam, il loro atteggiamento in proposito ed il loro tipo di reazione. Attraverso alcuni grossi ISP americani è stato diffuso tra gli utenti un questionario al quale si sono ottenute circa 13000 risposte. Limitandoci agli aspetti più interessanti dei risultati si nota che:
  • Il 91% di coloro che hanno risposto riceve almeno 1 spam per settimana, il 31% ne riceve più di 10.
  • Quanto più a lungo l'utente resta cliente del medesimo provider, tanto maggiore è la probabilità che riceva spam e tanto maggiore è la quantità di spam che riceve.
  • Agli utenti piace o no ricevere spam?
    • il 63% risponde di detestarlo fortemente
    • il 20% ne è variamente infastidito (siamo così all'83%).
    Tolti i neutrali, si ha poi un 2% a cui lo spam non dispiace e un 1% a cui piace molto.
  • Richiesti di indicare la principale ragione per cui non gradiscono lo spam,
    • il 42% indica il tempo che fa perdere (e il tempo è denaro),
    • il 32% lo vede come una invasione della propria privacy.
    • il 15% fa riferimento ai contenuti offensivi.

• Passiamo al modo in cui gli utenti reagiscono. Una domanda chiede a chi sono soliti reclamare per gli spam ricevuti (essendo ammesse risposte multiple, le percentuali superano il totale di 100):
  • il 64% protesta con il mittente, ossia con lo spammer
  • il 53% si lamenta col proprio provider
  • il 34% reclama al provider dello spammer
  • il 25% protesta con le aziende pubblicizzate
  • il 24% si lamenta con familiari e amici.
  Si può osservare che i più seguono la scelta (inutile e spesso dannosa) di reclamare allo spammer. Quel 53% che reclama al proprio provider costituisce un costo in termini di customer care (qualcuno dovrà dedicare del tempo per rispondere). Il report fa notare l'importanza di quel 24% di utenti, quasi uno su quattro, che si lamentano in famiglia e con gli amici: è un chiaro segno di scontentezza del servizio, e ci si può aspettare che in tali chiacchierate con gli amici questi scontenti facciano pure il nome del proprio provider (con conseguente pubblicità non positiva).

• Più della metà degli interpellati ha dichiarato di avere cambiato provider in passato. Ad essi è stato quindi chiesto per quale motivo avessero cambiato, ottenendo le seguenti interessanti risposte:
  • il 34% per difficoltà nell'accesso
  • il 17% per ragioni di costo
  • l'8% per via delle linee spesso occupate
  • il 7% per causa dello spam
  • il 7% per via della lentezza dei collegamenti
  • il 6% per lo scadente servizio di relazioni coi clienti
  Il report fa notare che i problemi relativi all'accesso, alle linee occupate e alla lentezza saranno sempre meglio risolti con l'impiego di tecnologie che sono in continuo miglioramento e di cui tutti i provider beneficeranno. A quel punto, tra i fattori di competizione che rimarranno, comincerà a divenire sempre più rilevante anche il modo in cui il provider gestisce lo spam e l'efficacia con cui protegge da esso i propri utenti.

• A questo punto è stato chiesto agli utenti se, per causa dello spam, sarebbero propensi a cambiare provider in futuro o, addirittura, ad abbandonare Internet. Il 91% ha detto di non avere alcuna intenzione di abbandonare Internet, ma il 36% si è detto dispostissimo a cambiare provider al fine di ridurre lo spam ricevuto.

  L'analisi ha allora preso di mira quel 64% di utenti che si è detto non disposto, oggi, a cambiare provider per via dello spam, chiedendo ad essi di quale entità dovrebbe essere l'aumento nello spam ricevuto per indurli a cambiare idea (e quindi anche provider). Risultato: se lo spam aumentasse del 50% rispetto alla situazione attuale, il 22% di questi utenti cambierebbe provider. Percentuale che salirebbe al 40% se invece lo spam raddoppiasse e al 49% se triplicasse. Tenendo conto che il 60% degli interpellati riceve, alla settimana, solo 10 spam o meno, quegli incrementi necessari appaiono poco voluminosi e quindi possibili ad accadere da un giorno all'altro.

  Un altro dato significativo è che il 70% circa degli utenti sarebbe disposto a pagare almeno un dollaro di sovrapprezzo mensile di al fine di usufruire di adeguato filtraggio antispam.

• Il 40% degli utenti vorrebbe che lo spam fosse messo al bando e il 25% che fosse regolamentato. A questo 65% complessivo è stato chiesto a chi dovrebbe spettare, secondo loro, il compito di provvedere a ciò. Il 73,8% di essi ha indicato il proprio provider, distaccando alla grande il 13,5% che ha indicato le autorità governative.

  Richiesti di valutare quanto efficace sia il loro provider nel limitare lo spam, il 40% ha risposto "bene" o "molto bene". Per il 60% invece il risultato è da mediocre a molto scadente.

• Il report si conclude con dettagliate valutazioni numeriche sui costi che gli ISP rischiano di dover subire per via del turn-over degli utenti che cambierebbero provider alla ricerca di mailbox meglio difese. Sono presenti anche valutazioni dei costi di varia natura (hardware, banda, personale) causati dalla necessità di gestire lo spam.

Per trarre delle conclusioni, ai provider mi sentirei di dire: Fate qualcosa. Lo spam sta rendendo peggiore il prodotto che voi vendete, e sta vanificando in buona misura i vostri sforzi per fornire un servizio buono a costi contenuti.

Cosa dovrebbe fare un provider

I provider americani, tranne alcuni, tendono a considerare il problema meritevole di attenzione. Quando qualcuno di loro viene criticato per inefficacia, il problema è in molti casi transitorio: può essere il sottodimensionamento del reparto che gestisce le violazioni alla policy (poche persone oberate di lavoro non possono impedire, in certi periodi, l'accumularsi di reclami inevasi). Quanto all'Italia, il problema era all'inizio trascurato ma, nel tempo, il consenso sulla necessità di impedire gli abusi si è sempre più esteso.

Ora proviamo a vedere un elenco di cose che si devono raccomandare ad ogni provider.

1. Dotarsi di un proprio regolamento di servizio. Di buoni regolamenti, che prevedano un quadro completo di comportamenti non ammissibili, se ne possono trovare in rete (per esempio, ci se ne può far consigliare su news.admin.net-abuse.email, posto che si provveda poi agli opportuni aggiustamenti in base al diritto italiano). Occorrerebbe richiamare il regolamento nei contratti firmati dagli abbonati, in modo che ne fosse accettata a priori la applicazione. Il tutto dovrebbe essere scritto con la necessaria consulenza legale, in modo che in caso di violazioni non ci fossero appigli che consentissero, al contravventore, di aprire un contenzioso legale. Tra i comportamenti vietati ci deve essere innanzitutto l'invio mediante email di ogni genere di pubblicità o avvisi non richiesti dai destinatari (prescrivendo che documentazione di tali richieste dei destinatari debba essere conservata ed esibita in caso di contestazioni); si dovranno ugualmente vietare gli spam su newsgroup, nonché le chain-letter e simili, comunque diffuse. Tali comportamenti dovranno essere vietati anche se effettuati tramite altri provider, qualora pubblicizzino pagine ospitate dal servizio oggetto del contratto. Deve inoltre essere prescritto, ai clienti che intendessero usare il servizio per diffondere newsletter e/o mailing list, di adottare un meccanismo di conferma per qualunque richiesta di iscrizione a tali newsletter o mailing list. Poi, così come si proibisce di solito l'uso del servizio per distribuire software pirata, si deve proibire la promozione o distribuzione di software mirato all'invio di junk email o di spam su Usenet (i prodotti spesso indicati come spamware), servizi di bulk email e programmi mirati a provocare attacchi di tipo denial of service, mailbomb e simili. Il regolamento d'uso del servizio deve essere infine reso pubblico tramite una apposita pagina web.
2. Non consentire a nessuno l'accesso al servizio senza avere accertato le generalità del richiedente. Per lungo tempo, una tra le più grandi iatture della rete è stata la diffusione in edicola di riviste cui erano allegati abbonamenti gratuiti (per es. di 15 giorni) che, come era stato accertato, consentivano di accedere alla rete senza dare alcuna prova della propria identità. Problema analogo si pone con l'accesso internet cosidetto gratuito. È ovvio che qualsiasi spammer riuscirebbe sempre ad essere in rete se potesse accendere un nuovo abbonamento gratuito ogni volta che gli fosse revocato l'accesso. E' quindi indispensabile che i clienti vengano sempre identificati. Anche se si intende concedere un abbonamento di prova di due giorni, bisogna farsi inviare via fax la carta di identità del richiedente, o adottare altre procedure che diano il medesimo risultato finale. Bisogna proprio evitare di accettare un cliente che avesse già dato problemi in passato. In Italia risulta che provider di primaria importanza già adottino con successo il bando degli utenti indesiderabili, identificandoli in base all'identificativo chiamante della linea usata per le connessioni dial-up.
3. Aprire una casella abuse@nomedominio. Se si utilizzano più nomi dominio un'alias abuse va creato per ciascuno di essi. Si evitino nomi di caselle insoliti e si adotti abuse, che tutti provano per primo. Sarebbe poi utile comunicare tale indirizzo alla Abuse Net per l'inserimento nella loro lista pubblica dei contatti per segnalazione abusi (hanno una apposita mailbox update). Sarebbe anche opportuno indicare l'indirizzo abusi nella pagina web contenente il regolamento d'uso dei servizi e, se esiste, anche nella pagina che riepiloga tutti i contatti con i quali è possibile comunicare con l'azienda. Non si raccomanderà mai abbastanza di tenere presente che coloro che segnalano abusi ad un provider gli stanno facendo un favore e che, di conseguenza, è interesse di ogni provider facilitare al massimo tale opera di segnalazione. È inammissibile pretendere che le segnalazioni passino, per esempio, tramite un form web: chi lo fa (si conoscono un paio di casi al mondo) viene giustamente messo alla berlina su RFC-Ignorant e va, prima o poi, incontro a vari inconvenienti. È pure altamente raccomandabile fornire una qualche forma di riscontro a coloro che inviano segnalazioni.
4. Configurare con molta attenzione il proprio software. Scoprire, il giorno in cui se ne avesse la necessità, che un server non include nel log i record necessari a individuare gli autori degli abusi è cosa assai spiacevole. Almeno altrettanto spiacevole è scoprire di avere un relay aperto il giorno in cui ci si trovasse la CDN congestionata, mentre il server lavora alacremente per conto di uno spammer americano (tralasciamo le centinaia di email furibonde che per giorni continuerebbero ad arrivare da ogni parte del mondo). Fate soprattutto attenzione ad ogni upgrade di software ai mail server: provate prima ogni nuovo release su una macchina di test, verificando dall'esterno che il relay non sia abilitato. Tenete presente che, per giungere ad escludere che un server accetti relay di terze parti, occorrono test multipli piuttosto sofisticati. Abuse.net e mail-abuse.org forniscono tool online adeguati allo scopo.
5. Individuare alcune persone che si occupino delle segnalazioni ricevute. Questo dovrebbe accompagnarsi all'adozione di soluzioni tecniche che consentissero alle persone in questione di operare speditamente nella trattazione degli incidenti (per esempio, prevedendo la disponibilità immediata dei log e adottando software gestionale di supporto, per esempio per registrare i reclami ricevuti, aggregarli per incidente e per utente ecc..). Le medesime persone sarebbero pure nelle migliori condizioni per occuparsi anche della assistenza ai clienti che fossero oggetto di abusi di rete. Naturalmente, bisognerebbe fare in modo che queste persone disponessero della formazione opportuna (punto su cui, in genere, gli imprenditori italiani sono assai poco sensibili): a costoro verrebbe infatti richiesto di masticare come niente protocolli di rete (soprattutto IP, TCP, SMTP, NNTP), DNS, le varie problematiche relative alla cancellazione dei messaggi Usenet, per finire all'individuazione di attacchi denial of service, ping storming eccetera. C'è da dire che la maggior parte dell'informazione necessaria può essere reperita direttamente in rete. Tali persone dovrebbero essere in numero sufficiente per non essere oberate di lavoro e per fare in modo che abbiano il tempo di seguire quotidianamente i principali forum dedicati agli abusi di rete. Un ulteriore consiglio: queste persone siano istruite in modo che si occupino degli abusi di rete e si tengano fuori dalle beghe tra utenti. Sono infatti stati riportati casi in cui certi abuse desk hanno redarguito o minacciato provvedimenti contro utenti che avevano semplicemente discusso in toni un po' sopra le righe. Sia chiaro che il compito dell'abuse desk non ha nulla a che vedere con quello di un insegnante d'asilo.
6. Adottare misure di protezione verso le mailbox dei propri utenti. Dato che il problema dello spam è in crescita, gli utenti iniziano ad aspettarsi che i loro provider facciano qualcosa per fermarlo. Quanto meno, l'utente che si vede arrivare uno spam che sarebbe stato facilmente bloccabile (per esempio, giunto direttamente dal netblock di una grossa e famosa spamhaus o da un plurilistato proxy aperto in Corea), è sempre meno disposto a subirlo e piuttosto si chiede se, negli uffici del suo provider, esistano o meno forme di vita intelligente. È quindi importante porsi al più presto il problema, e certamente le misure più efficaci, che possono immediatamente sgravare gli utenti di molto spam bloccabile, sono le blacklist. Tempo fa consigliavamo di configurare il sistema in modo da avvalersi automaticamente di MAPS RBL, DUL e RSS. Ora la scelta è più articolata: ci sono molte altre possibilità ma anche, di conseguenza, una maggiore responsabilizzazione per le scelte che si fanno. Rimandiamo alle pagine in cui trattiamo le blacklist e, soprattutto, alle opportune aree di discussione, che seguono l'attualità molto più in tempo di quanto possa fare questo sito. Dato che l'uso di queste liste è normalmente piuttosto semplice dal punto di vista tecnico, non c'è proprio alcun motivo per rinunciare ad avvalersene. Se il software del vostro server non consente di sfruttare queste liste, considerate seriamente di cambiarlo o, eventualmente, di ricevere la posta in arrivo su una macchina di front-end che effettui il filtraggio (un sistema Linux o *BSD con un MTA sicuro e configurabile come Postfix può essere a questo scopo una soluzione ottima ed economica). Qualunque scelta si faccia in materia di blacklist, si preveda in ogni caso la possibilità di aggiungere una lista nera propria e anche una whitelist, con cui stabilire eccezioni alle blacklist utilizzate. Riguardo alla blacklist locale, la cosa migliore è metterla assieme in base alle proprie esperienze, soprattutto per quanto riguarda gli spammer italiani. Andrebbe sfruttato il gruppo di discussione italiano (it.news.net-abuse), in cui le notizie relative agli spammer italiani possono giungere prima che altrove. Altrettanto dicasi per le utilissime mailing list del NIC.it, che realizzano un archivio degli spam provenienti da domini italiani. Inoltre sarebbe bene fornire ai propri utenti filtri personalizzabili attivi sul server della posta in arrivo. L'utente dovrebbe poter decidere di far respingere direttamente dal server tutte le e-mail che soddisfano o non soddisfano a certe condizioni (per esempio, che in certi header compaiano certe stringhe). Si dovrebbe infine considerare l'opportunità di richiamare, nei contratti di adesione al servizio, il fatto che la connettività relativa alla posta elettronica in arrivo sia limitata per via dell'utilizzo di blacklist, scelte a discrezione dei responsabili del servizio. In altre parole, gli utenti devono avere chiaro che non tutti potranno inviargli email. Ci sono comunque soluzioni software che consentono, agli utenti di un server, di operare scelte individuali sulle blacklist da adottare, ciascuno per la propria casella. Quello che consigliamo di evitare sono quel tipo di regole che agiscono "in silenzio", accettando apparentemente la transazione smtp in arrivo e, poi, scartando il messaggio se questo viene considerato essere spam. Ci pare prevalente in rete l'opinione, peraltro anche da noi pienamente condivisa, secondo cui è fondamentale che, per le email respinte, si abbia una chiara segnalazione di errore già durante la transazione smtp: in questo modo, il mittente di una email legittima che venisse respinta come spam potrebbe, quanto meno, rendersene conto al più presto.

Sui punti qui elencati e su altri ancora esiste un documento utilissimo pubblicato dal RIPE: "Good Practice for combating Unsolicited Bulk Email" (ripe-206). Direi senz'altro che la prima cosa da fare è leggerlo per bene e più volte, poi darsi l'obiettivo di metterlo in pratica nel minor tempo possibile e senza tralasciare nulla.

Esistono esperienze interessanti di attività antispam da parte di provider italiani?

Sì, c'è chi già si è mosso. Un esempio significativo da citare (il primo di cui venni a conoscenza) è la sezione antispam del sito di Spin. La visita del relativo link si raccomanda. Qui vorrei rimarcare alcune di quelle che mi sono sembrate le idee migliori messe in atto da Spin.

• Innanzitutto fanno informazione (e di qualità) sul problema spam nei confronti dei loro utenti. I loro utenti hanno quindi modo di conoscere tutto su questo problema, compresi i modi per combatterlo e gli errori da non commettere. Vengono anche spiegate le condizioni a cui è possibile effettuare mailing di massa in maniera legittima.
• Sono in funzione filtri basati sulle blacklist del MAPS (tutte e tre RBL, DUL e RSS), su altre liste internazionali di primaria importanza (tra cui Spews.org, Spamhaus.org, Spamsites.org) e su una lista nera propria. La cosa viene spiegata e agli utenti viene comunque lasciata la possibilità di richiedere un indirizzo non protetto da filtri.
• Oltre alla casella abuse, è stata allestita anche una casella spam, alla quale i clienti possono scrivere per chiedere chiarimenti e assistenza in merito al problema dello spam.
• Per consentire ai clienti di usare il più liberamente possibile la propria mailbox senza essere progressivamente sommersi da sempre maggiori ondate di spam, è previsto che essi possano richiedere delle alias "da battaglia" e che possano farsele cambiare in qualunque momento (ossia, quando iniziassero a ricevere spam). Questo tipo di soluzione può contribuire enormemente a migliorare l'esperienza di rete di un utente, e mi sentirei di raccomandarla a qualunque provider. La cosa più pratica per un utente sarebbe di disporre di varie alias per usi diversi e che egli stesso se le potesse modificare mediante un form web protetto da password.

È senz'altro incoraggiante che la sensibilità al problema stia crescendo presso i provider italiani e che la strada sia ormai stata aperta (e partendo su livelli di qualità che nulla hanno da invidiare ai provider americani).

È vero che questo tipo di impegno ha un costo nell'immediato, tuttavia ci si deve anche chiedere qual è il costo in cui si incorrerebbe, nel medio-lungo termine, scegliendo di non fare nulla. Gli utenti diventeranno sempre più sensibili a certi aspetti della professionalità del servizio che acquistano, e queste cose iniziano già ad essere molto determinanti per formarsi una valutazione in tal senso.

Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 24 dicembre 2002