Liste contenute in Spamhaus??

[giack83]

Salve a tutti

dovrei chiedere un'informazione che riguarda Spamhaus....

Esso mantiene diversi database di liste di blocco giusto, la lista PBL per cosa viene usata? Cioè che tipo di indirizzi IP contiene?

Stessa cosa per l' xbl cosa contiene?


Perpiacere rispondetemi è importante. Graziee.

[Dylan666]

http://www.spamhaus.org/pbl/index.lasso
http://www.spamhaus.org/xbl/index.lasso

[zello]

In merito al significato ti è già stato detto tutto; mentre conosco poco pbl, ti dico che xbl (ma anche sbl, che è una lista di "well known spammers") è estremamente utile.
In generale, spamhaus è una delle entità più serie e più affidabili nella lotta allo spam.

[giack83]

Grazie per la risposta....

una domanda, come filtri antispam in circolazione cosa c'è?
euristico, statico e poi????

[Dylan666]

baynesiano
http://it.wikipedia.org/wiki/Filtro_bayesiano

[giack83]

Grazie per le risposte che mi avete dato....

un ultimissima cosa, SENDER ID e Sender policy framework non sono la stessa cosa giusto? Posso dire che sender id si è trasformato in sender policy framework????????'

[zello]

Non sono un esperto in materia di SPF, ma - da Wikipedia mi pare che SPF sia un sottoinsieme di SenderID. Mi pare anche ci siano problemi di copyright su SenderID.

[giack83]

in effetti ancheio ho trovato queste informazioni.....

e su il CRM114 sai qualcosa?

[zello]

Poco, è un altro sistema - diverso dal bayesiano - per fare filtro sui contenuti. Come ho detto altre volte, pur avendo un buon risultato sull'utente finale, che riesce a discriminare tra spam e ham in maniera abbastanza automatica, il filtro per contenuti a livello di mailserver ha limiti non superabili:
1) per filtrare il contenuto devi riceverlo, e quindi non limita il problema della banda sprecata dallo spam. A livello di mailserver, ha più senso non ricevere la mail (filtrando a livello di origine della connessione con le dnsbl, oppure tramite spf e derivati al momento dell'helo) che riceverla e poi scartarla
2) il filtro per contenuti filtra in base ai dati che lo spammer ha inserito nella mail, cioé fornisce una possibilità diretta allo spammer di influenzare i filtri stessi. Dato che ogni meccanismo ha i propri punti deboli, si rischia che qualche spammer più furbo degli altri aggiri il meccanismo e ti muri di spam.

[giack83]

Grazie prima di tutto per la risposta.

Posso chiedere un'altra cosetta sulle liste DNS in generale....

Allora, NEL FUNZIONAMENTO DELLE LISTE dns c'è un passo che permette di

ottenre l'indirizzo IP del client e se ne invertono i byte.... ma xche???????

per effettuare le query forse!!!!??????????

[giack83]

uppppppppppppppppppppppppp

[zello]

Non ho capito precisamente la domanda; comunque, le dns blocking lists (DNSBL) funzionano come un dns, cioé - quando gli si invia una query di risoluzione di un nome rispondono con un ip.
Generalmente il nome è formato dall'indirizzo ip da testare, con gli ottetti rovesciati (*), e con appeso il dominio della blocking list. A sua volta, la blocking list risponde con un errore (se non è listato) o con un indirizzo ip (di solito della classe loopback, 127.0.0.0/8). Qualche blocking list risponde con un solo indirizzo (cioé, risponde sempre ad esempio 127.0.0.1), altre rispondono con indirizzi diversi a seconda del motivo con cui listano un ip. Qualche blocking list ha anche testo associato al listing, come RR TEXT del dns.
Per interrogare una dnsbl basta nslookup (se su windows) o dig (o host, o tools analoghi) su linux. Per fare test di solito si usa 127.0.0.2, che è listato - appunto per test - da quasi tutte le dnsbl.
Un "nslookup 2.0.0.127.sbl.spamhaus.org" ti dà un idea di cosa sto dicendo.

(*) l'inversione consente di listare un range di indirizzi con una singola riga del file di configurazione del dns server; se lo si fosse scritto "al dritto", si sarebbe dovuta scrivere una riga per ogni indirizzo del range.

[giack83]

Grazie per la risposta....

quindi se ho capito bene, si invertono l'ordine dei byte in un indirizzo IP per potere listare un range d'indirizzi in una solo riga!??

[giack83]

Una domandina......

i scenari futuri nei software antispam dove li posso trovare? Cioè si stamnno creando software nuovi oppure ci sono quelli più conosciuti (vedi SpamAssassin, DSpam ect)???

[zello]

quindi se ho capito bene, si invertono l'ordine dei byte in un indirizzo IP per potere listare un range d'indirizzi in una solo riga!??

Prendendo ad esempio bind, che è comunque il nameserver di riferimento, il file di configurazione permette trucchetti di questo genere:

$ORIGIN 0.0.127.spamhaus.org
$GENERATE 1-127 $ A 127.0.0.1

che ti permettono di generare automaticamente entries del genere

1.0.0.127.spamhaus.org A 127.0.0.1
2.0.0.127.spamhaus.org A 127.0.0.1
...
127.0.0.127.spamhaus.org A 127.0.0.1

che, ammettiamolo, è estremamente comodo.

i scenari futuri nei software antispam dove li posso trovare?

"in giro", nel senso che - dopo un po' che segui l'ambiente impari a distinguere tra chi è fattivo, concreto e capace e chi ha tempo da perdere o idee vaghe. Ma prima di chiederti quali saranno gli ultimi sviluppi - e prima di pensare di avere la soluzione - studiati, e bene, la storia dello spamming e le relative questioni tecniche (dal protocollo smtp agli open relays, da quello che è successo a MAPS fino a SPEWS, dalla differenza tra filtrare prima o dopo il DATA, ecc, ecc, ecc). Il settore è tecnico, e la controparte "qualificata", in linea di massima, ti richiede un certo livello di competenza prima di considerarti.

[giack83]

Grazie per la risposta.........

[giack83]

Salve,

ho visto che in Spamhaus è uscito un nuovo servizio chaimato DROP, qualcuno sa che tipi di indirizzi contiene? Da quello che ho capito contiene indirizzi IP usati al 100% dagli spammer.... possibile?

Grazie.

[zello]

DROP è la "don't route on peer" list: contiene la lista dei netblocks rubati dagli spammers. Succede che gli spammers rubano range di indirizzi (interi AS, di solito) di società fallite (o comunque scomparse) da tempo, che erano titolari di un'allocazione diretta da un RIR.
Niente di buono, con nessun protocollo, potrà mai venire da quegli indirizzi; DROP è quindi più una lista per border routers che per mailservers.

[giack83]

Grazie per la risposta ........

una domanda pero, cosa sono i netblocks??????

[zello]

Un netblock è un intervallo di indirizzi ip; normalmente sono i vari RIRs (ARIN, RIPE, AFRNIC, LACNIC, APNIC ecc) che assegnano i blocchi (e gli AS).
Ad esempio (ottenuto da ARIN):

Codice: Seleziona tutto

OrgName:    AT&T WorldNet Services
OrgID:      ATTW
Address:    200 S. Laurel AVE.
City:       MIDDLETOWN
StateProv:  NJ
PostalCode: 07748
Country:    US

NetRange:   12.0.0.0 - 12.255.255.255
CIDR:       12.0.0.0/8
NetName:    ATT
NetHandle:  NET-12-0-0-0-1


Il blocco 12.0.0.0 - 12.255.255.255 è stato assegnato ad AT&T (quando il mondo era giovane, e evidentemente nessuno pensava che gli ip potessero anche finire... Sono 16,8 milioni di indirizzi...)

Tuttavia, a volte gli spammers pescano indirizzi non più in uso (gli assegnatari sono solitamente falliti da tempo), e di fatto li utilizzano come se fossero loro (il "come" prevede un discorso un po' approfondito sul routing via internet, e non sono neppure il più indicato a farlo).