07/11/06 - Efficienza del sistema antispam

Novità , comunicazioni e FAQ

07/11/06 - Efficienza del sistema antispam

Postby IceWarp » Thu 09 Nov, 2006 18:13

07/11/06 - Efficienza del sistema Antispam

Gentili utenti,

Negli ultimi tempi abbiamo registrato un aumento delle richieste di supporto inerenti il sistema Antispam di Merak, per cui si è resa opportuna una nostra presa di posizione.
Ci vengono segnalati, a volte con tono polemico, casi sempre più frequenti di messaggi non intercettati, anche se di evidente carattere pubblicitario e indesiderato.
Chiariamo innanzitutto un paio di punti essenziali:

1) Il sistema Antispam dell'attuale versione 8.5.0-9 risulta esente da particolari difetti e malfunzionamenti che possano alterare i risultati delle scansioni ed elaborazioni.

2) Quanto segue riguarda solo ed esclusivamente i casi di falsi negativi, cioè messaggi indesiderati non marcati come Spam dal sistema di filtraggio.
I falsi positivi verranno eventualmente trattati separatamente, con uno o più articoli specifici. Essi sono infatti dovuti in massima parte a configurazioni non ottimali del sistema.


Come già affermato, il sistema Antispam della versione attuale funziona correttamente, nel senso che tutti i filtri e sottosistemi di cui è composto, operano come previsto dalle specifiche progettuali.
In buona parte si tratta di tecnologie e algoritmi ideati da terzi (SpamAssassin, filtro Bayesiano, Greylisting, ecc.) implementati in Merak e nei principali prodotti di filtraggio della posta elettronica.

Il problema è che lo spam è in continua evoluzione e gli spammer professionisti esaminano i principali sistemi di filtraggio ed elaborano nuove tecniche per aggirarli.
E' questo il caso della massiccia ondata di messaggi indesiderati che è iniziata a fine Luglio ed è andata via via crescendo, fino ad arrivare a livelli estremamente fastidiosi negli ultimi giorni.
Si tratta di messaggi il cui contenuto pubblicitario è inserito sotto forma di una o più immagini GIF o JPEG, anziché come testo. Questo stratagemma può sembrare banale, ma è in grado di aggirare praticamente tutti i filtri che si basano sui contenuti dei messaggi, quali il filtro Bayesiano, gran parte delle regole di SpamAssassin, le regole sui contenuti HTML e i content filter in generale. Tutti questi sistemi, infatti, agiscono sui testi alfanumerici e non sulle immagini.
Come se non bastasse, gli spammer stanno perfezionando ulteriormente le tecniche:

1) Le immagini hanno un filename generato in maniera casuale, in modo da impedire l'uso di filtri specifici. Le stesse immagini sono create in modo tale da risultare uniche e irripetibili.

2) Esistono alcuni filtri antispam che effettuano un'operazione di OCR (riconoscimento ottico dei caratteri) sulle immagini e le convertono in testo, per poi processarlo con i consueti filtri.
A parte il fatto che questa tecnica richiede una potenza di elaborazione non indifferente, gli spammer hanno trovato il modo di renderla vana inserendo bande colorate o altri elementi grafici di disturbo, che vanno ad alterare o rendono impossibile la conversione in testo. Per queste ragioni abbiamo scartato l'opportunità di implementare in Merak un sistema di OCR. Come si suol dire, "il gioco non vale la candela".

3) L'oggetto dei messaggi è casuale, ma composto da parole di senso compiuto, estranee al prodotto o servizio pubblicizzato.

4) Insieme alle immagini, spesso vengono inseriti testi di senso compiuto, ancora una volta estranei al prodotto o servizio pubblicizzato, con lo scopo di falsare l'esito della scansione dei filtri testuali. A questo proposito gli spammer sfruttano i feed RSS delle agenzie di stampa (CNN, Reuters, ANSA) e inseriscono nei messaggi pubblicitari notizie di cronaca.

5) In altri casi, al posto di frasi di senso compiuto, vengono inserite parole prive di senso, generate in maniera casuale oppure parole sensate ma non incluse in una frase. Questa tecnica, oltre a contribuire a falsare l'analisi del messaggio, può portare alla "contaminazione" della base dati dei filtri a dizionario, come il Bayesiano.
Per questo motivo è assolutamente da evitare l'uso dei messaggi di questo genere per le procedure di correzione e indicizzazione bayesiana. Essi vanno solo eliminati.


Vi sono diverse altre tecniche, ma con le cattive notizie ci fermiamo qui.
Le buone notizie consistono nel fatto che gli sviluppatori e i tecnici della IceWarp non stanno fermi a guardare.
Negli ultimi mesi il sistema Antispam di Merak ha subito importanti miglioramenti, sia a livello di semplificazioni nella configurazione, nell'uso e nella manutenzione, sia per quanto riguarda l'adozione di nuove tecniche di filtraggio.
La novità di rilievo è l'implementazione del sistema Razor v2 (http://razor.sourceforge.net), un filtro antispam distribuito che opera sulle varie componenti dei messaggi, non solo quelle testuali.
Senza voler suscitare eccessive aspettative, questa tecnica dovrebbe contribuire a contrastare il fenomeno dell'image spam descritto in precedenza.

Queste novità verranno introdotte ufficialmente a breve, con il rilascio della versione 8.9.0, previsto entro questo mese.
Era inizialmente previsto entro fine anno il rilascio della nuova serie 9, ma il percorso di sviluppo è stato modificato proprio per far fronte al più presto al dilagare dello spam che le tecnologie precedenti non erano più in grado di contrastare efficacemente.

Vi preghiamo quindi di pazientare ancora qualche giorno fino alla pubblicazione della nuova release.
A coloro che non hanno ancora rinnovato le licenze di aggiornamento del mail server e del modulo antispam, raccomandiamo di valutarne l'opportunità.

Dopo l'introduzione del nuovo modulo antispam pubblicheremo anche alcuni articoli tecnici per aiutarvi nella migliore configurazione e uso del sistema, esaminando in dettaglio i sottosistemi componenti.
IceWarp Italia
support@icewarp.it
IceWarp
 
Posts: 640
Joined: Thu 20 Feb, 2003 16:13

Return to Annunci

Who is online

Users browsing this forum: No registered users and 2 guests

cron