Soluzione antispam

Solo nel 2009 lo spam è più che raddoppiato (+144% in un anno)
Si calcola che a dicembre 2009 lo spam ha raggiunto il 94%, con un incremento delle junk email del 144%. In base a questi valori ne consegue che solo 6 email su 100 sono utili.

Tra Dicembre 2008 e Dicembre 2009 il volume della posta indesiderata è più che raddoppiato: +144% il dato emerso all'interno di una specifica varie indagini.
Non solo: secondo alcune proiezioni il dato è destinato a restituire una situazione ancora peggiore a fine 2007 a causa di un tendenziale aumento della diffusione della banda larga e delle relative opportunità per i malintenzionati. Ad oggi appena 6 mail su 100 sarebbero utili, mentre tutto il resto sarebbe semplice spam.

Un momento particolarmente delicato sarebbe stato vissuto tra Settembre e Ottobre 2006, quando la quantità di spam in circolazione ha vissuto un picco improvviso che ha determinato gravi problemi a livello di banda e di capacità di storage per i server interessati.

Di seguito il grafico rappresenta lo spam negli ultimi 6 mesi a livello mondiale.

La maggior parte dello spam proverrebbe dalle botnet (Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto).
Queste reti vengono usate strumentalmente come motori per l'invio di milioni di messaggi.
Si calcola che il tempo impiegato durante l’arco della giornata dedicato alla eliminazione della posta indesiderata sia di circa 15 minuti.

Di seguito una mappa europea in cui ha origine lo spam.

La soluzione 2000net
si chiama Sharkmail

2000net ha investito nell’ultimo hanno in questa direzione e oggi è pronta per fornire una soluzione ad elevato livello tecnologico indirizzato al settore Business.

Sharkmail è una piattaforma Appliance ed è costituita da una parte Hardware ed una parte software.
Per le aziende che dispongono già di un server fornito da 2000net con funzioni di reverse proxy l’hardware viene recuperato ed eventualmente solo espanso.

Caratteristiche principali

• Max Connection Block
• Tarpitting
• IPThrottle
• SPF (Sender Policy Framework)
• RBL (Realtime Block Lists)
• Greylist
• Aderenza al protocollo
• Controllo DNS
• Controllo Whitelist
• Controllo Blacklist
• Auto whitelist
• Integrazione con ActiveDirectory Microsoft 2003 srv
• Esistenza delle caselle di posta
• Scansione antivirus
• Scansione contenuto
• Scansione antispam
• Scansione dell’immagine
• Analisi Bayesiana
• Log e statistiche

Il software è composto da due parti: la parte di amministrazione e la parte di utente finale.
La parte di amministrazione consente di impostare la macchina al fine di configurarla correttamente in rete e abbia le impostazioni esatte per gli aggiornamenti. Questa parte, normalmente, viene gestita direttamente via remoto da 2000net.
La parte end-user consente di personalizzare il filtro antispam come meglio l’utente preferisce, nonché di istruire il motore antispam e di recuperare eventuali email indesiderate.

Tutta le tecnologia è lato server questo significa che il PC client e i server di posta aziendali non devono installare alcun software aggiuntivo. Tale aspetto è di fondamentale importanza in quanto il prodotto non è invasivo,e la vostra rete non potrà subire disservizi , rallentamenti improvvisi o addirittura crash dei server.

La soluzione è costituita su un sistema operativo sicuro e robusto, il firewall antispam riceve le email per conto del server di posta elettronica, isolandolo da una connessione internet diretta.

I controlli sulle email in ingresso vengono effettuati su vari strati:

ANALISI IP I programmi usati per spedire spam possono inviare una grande quantità di messaggi verso un server,questo può causare rallentamenti, blocchi sul servizio è sprechi di risorse. Per proteggere le infrastrutture da questo tipo di attacco, il firewall 2000net utilizza le seguenti tecniche: Max Connection Block Enumera le connessioni provenienti da un particolare indirizzo IP e li blocca quando superano una certa soglia,impostata per default a 3 connessioni contemporanee da un medesimo ip.

Tarpitting
Visto che il protocollo SMTP (posta elettronica) permette di inviare la stessa email a
un numero elevato di destinatari,il firewall 2000net per ogni destinatario aggiunto alla
email,implementa un ritardo di ricezione esponenziale con una riserva di 5 email.
Ciò significa che se lo spammer tenta di inviare una email a 100 indirizzi email,
dal primo indirizzo inserito al quinto ,il server invierà un ok immediatamente,al sesto indirizzo varrà dato un ok dopo 2 secondi,al settimo dopo 4,all’ottavo dopo 8 e successivi 16,32,64,128.

IPThrottle
Il firewall 2000Net enumera i messaggi provenienti da un particolare indirizzo IP e li blocca quando superano una certa soglia.
E’ possibile aggiungere un particolare dominio con cui si scambiano molte email, a una lista di indirizzi che vengono sempre accettati.
Per default un singolo server non può inviare più di 10 email in un minuto.

SPF (Sender Policy Framework)
La specifica Sender Policy Framework consente di controllare se un determinato mittente email sia stato falsificato o meno.
Molti spammer odierni utilizzano indirizzi email falsificati.
Il protocollo SPF è uno sforzo comune che sta rapidamente guadagnando terreno.
SPF richiede che l'azienda del mittente abbia pubblicato il suo server di posta in un record SPF. Ad esempio, se un'email è inviata da xyz@CompanyABC.com, la società "companyABC.com" deve pubblicare un record SPF affinché il protocollo possa determinare se l'email sia stata davvero inviata dalla rete di "companyABC.com" o se sia stata falsificata.
Se l'azienda CompanyABC.com non pubblica alcun record SPF, il risultato del protocollo SPF sarà "sconosciuto".
Il firewall 2000Net è pronto e attivo per quanto riguarda SPF,per cui è in grado di comunicare
ed approvare le email spedite da domini SPF compliance.

Sharkmail ha la possibilità di accettare email dall’esterno tramite autenticazione smtp,questo permette agli utenti mobili di inviare email in conformità a SPF. Inoltre il servizio smtp del firewall supporta le comunicazioni cifrate. RBL (Realtime Block Lists) Il firewall utilizza alcune liste rbl. Le rbl sono liste fornite da siti specializzati che identificano e pubblicano gli indirizzi ip degli spammer e dei server di posta configurati impropriamente. Se il server riceve una email da un ip presente in queste liste,assegna una probabilità maggiore alla email che questa sia spam. Il server non scarta immediatamente l’email ma la passa ai controlli successivi.

Greylist (Opzionale)
Il sistema di greylist consente di tenere traccia di tutte le “triple” (destinatario, mittente, ip di provenienza) delle mail arrivate.
La prima volta che si presenta questa “tripla” la mail viene rifiutata con un errore temporaneo,
al tentativo successivo la tripla sarà già nel database e la mail verrà accettata.
Solo i server conformi agli standard smtp sono in grado di ritentare l’invio di un messaggio
rifiutato,mentre i programmi che solitamente gli spammer utilizzano,non sono in grado
di farlo.
Di default questa feature è disabilitata perché introduce un ritardo nella ricezione delle email,
dovuta al secondo tentativo di invio,ma se abilitata permette di ridurre in modo significativo lo spam.

ANALISI DEL MITTENTE

Dopo aver controllato la connessione, il firewall analizza l’ indirizzo del mittente e del destinatario.

Aderenza al protocollo
Prima di convalidare un mittente il firewall controlla che il mittente sia specificato propriamente (Conforme RFC 821) e impedisce che mittenti non conformi agli standard inviino email.

Controllo DNS
Per evitare che il mittente utilizzi un indirizzo falso, il firewall richiede che il dominio del mittente esista, sia valido e registrato in un dns.

Controllo Whitelist
Il firewall permette di definire una lista degli indirizzi email e di domini fidati.
Le email ricevute che hanno una corrispondenza in queste liste, non verranno mai considerate
spam dai successivi controlli.

Controllo blacklist
Il firewall permette di definire una lista degli indirizzi email e di domini NON fidati.
Le email ricevute che hanno una corrispondenza in queste liste, verranno sempre considerate
spam dai successivi controlli.

Auto whitelist
Il firewall ha un sistema di auto-apprendimento che permette di definire delle Whitelist automatiche.
Se un mittente invia n email lecite, e poi ne invia una che il server rileva come spam, il server terrà conto di questo e in base al numero di email lecite e alla probabilità che l’email ricevuta sia veramente spam, prenderà una decisione in merito.
Se il mittente continuerà ad inviare email che il server rileverà come spam, allora le probabilità che il filtro si stia sbagliando scenderanno (il mittente potrebbe per esempio avere il pc infetto da un virus), e l’email verrà contrassegnata come spam.

ANALISI DEL DESTINATARIO

Molti spammer attaccano un infrastruttura setacciando la rete in cerca di indirizzi email. Il firewall permette di verificare la validità del destinatario in vari modi.

Aderenza al protocollo
Prima di accettare una email ,il firewall controlla che il destinatario sia specificato propriamente (Conforme RFC 821) e impedisce che email con destinatario non conforme agli standard vengano processate.

Esistenza delle caselle di posta
Il firewall rifiuta immediatamente i messaggi con destinatario inesistente,impedendo
che vengano processate email illegittime con spreco di risorse e generazione di elevati bounce (messaggi di notifica).

Integrazione con mailserver basati su ActiveDirectory Windows 2000 e 2003. E’ possibile integrare il firewall in un sistema ActiveDirectory (es. Microsoft Exchange Server 2000, 2003 e 2007) in modo che le caselle siano sincronizzate col dominio, oppure specificarle manualmente. Questo feature consente di risparmiare notevoli perdite di tempo nel replicare le caselle nel software di antispam e di introdurre le doppie autenticazioni in fase di gestione degli utenti.

ANALISI DEL CONTENUTO

SCANSIONE ANTIVIRUS
La scansione basilare per la posta elettronica è la scansione antivirus.
Il firewall utilizza 2 livelli di scansione e espande automaticamente i file compressi.
La scansione antivirus ha la precedenza rispetto a tutte le altre tecniche di scansione ed è applicata anche quando il messaggio è accettato dai manager di connessione. Anche le email provenienti da indirizzi IP, domini o caselle considerati fidati verranno scansionati e bloccati se viene riconosciuto un virus.
Inoltre il firewall blocca i messaggi che hanno allegati con estensioni pericolose (exe com etc) e li deposita in un’area di quarantena specifica (Area Banned-File).

SCANSIONE CONTENUTO
L’email viene controllata da un filtro che ne verifica l’integrità e la conformità alle specifiche per quanto riguarda l’intestazione. Se l’email non supera questo controllo,viene depositata in un’area di quarantena specifica (Area Bad-Header).

SCANSIONE ANTISPAM
Il firewall scansiona l’email con oltre 800 controlli.
Questi controlli cercano di identificare le email di spam,in particolare per ogni controllo
che l’email non passa,viene assegnato un punteggio crescente.
Quando il punteggio raggiunge un certo livello,l’email viene rilevata come spam.
La lista dei controlli,viene aggiornata giornalmente.

ANALISI DELL’IMMAGINE
Al giorno d’oggi lo spam attraverso immagini rappresenta un terzo del traffico di spam su internet.
Il firewall utilizza delle tecniche mirate di analisi che bloccano varie tipologie d’immagini.

Riconoscimento ottico d’immagini (OCR)
Introdurre testo in immagini è una pratica comune per evitare i controlli i testo. Gli algoritmi di OCR permettono di scansionare le immagini in cerca di testo.
Il firewall passa l’immagine in 2 motori ocr differenti in modo da avere una maggiore affidabilità.

Elaborazione d’immagine
Per mitigare gli effetti della scansione OCR gli spammer utilizzano tecniche di frammentazione, ombreggio e manipolazione del colore. Il firewall utilizza dei processi poco onerosi per normalizzare l’immagine prima della scansione OCR.

Analisi di GIF animati
Il firewall inoltre utilizza degli algoritmi per analizzare delle immagini GIF animate sospette.

ANALISI BAYESIANA
L’analisi Bayesiana è un algoritmo che crea un profilo delle parole utilizzate normalmente sia nelle email di spam sia in quelle legittime generalmente spedite e ricevute da un’organizzazione o utente.
Per determinare se un messaggio è legittimo l’algoritmo confronta il contenuto del massaggio con il materiale raccolto.
Il controllo si attiva solo dopo che l’organizzazione ha ricevuto almeno 200 email di spam.
Questo controllo è l’unico che richiede una interazione con l’ultente,in particolare
quando l’utente riceve una email che è sfuggita al filtro,potrà spostarla in una cartella specifica
in modo che il filtro possa imparare il proprio errore e porvi rimedio per le successive email.

GESTIONE
Il firewall dispone di una interfaccia web utilizzabile direttamente dall’utente,o gestita dall’amministratore.
Tramite questa interfaccia,si potrà:

• Vedere e gestire le varie aree di quarantena delle email
• Far consegnare le email erroneamente considerate spam
• Istruire il firewall confermando le email di spam o le email lecite
• Impostare blacklist e whitelist

E’ possibile inoltre chiedere al firewall di inviare agli utenti un riepilogo
delle email in quarantena quando queste superino un determinato numero.

E’ anche possibile chiedere al firewall di inviare agli utenti a cadenze regolari una email
contenente il riepilogo delle email di spam,con la possibilità di confermarle (e quindi istruire i filtri baysiani) o di recapitarle tramite un click su un link.

Log e statistiche
Il sistema è grado di produrre svariati log e statistiche in base numerosi situazioni.
Ciò consente di analizzare l’intero sistema e valutare determinati eventi.