© 2005-2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).
Ultimo aggiornamento: 4 luglio 2006.
Questa è una guida volutamente semplificata in modo da renderla utilizzabile da utenti con qualsiasi livello di preparazione. Ci sono molti siti dedicati agli utenti esperti che descrivono eccellentemente varie tecniche antispam evolute che complementano o estendono quelle elementari riassunte qui:
Se vi state chiedendo perché sono così perentorio e (giustamente) non vi fidate dei consigli non motivati, leggete le righe che seguono. Se volete avere maggiori spiegazioni sui singoli punti, cliccate sopra la parola Spiega! alla fine di ciascun punto e comparirà una finestra di informazioni dettagliate.
Lo spam non è semplicemente una scocciatura che si elimina cancellandolo.
Gli spammer mandano la loro pubblicità indiscriminatamente ad adulti e minori e vendono spesso prodotti destinati a un pubblico adulto: pornografia, Viagra e altri coadiuvanti sessuali (presunti o reali).
Grazie al fatto che molti dei più diffusi programmi di e-mail visualizzano automaticamente eventuali immagini allegate al messaggio pubblicitario, c'è il rischio che un minore si ritrovi immagini porno non richieste sullo schermo.
Non è un problema soltanto per la tutela dei minori: lo spam arriva anche sul posto di lavoro, e di certo può essere perlomeno imbarazzante trovarsi foto pornografiche sullo schermo in ufficio oppure in un posto di accesso pubblico a Internet, come una biblioteca o un Internet café.
Gli spammer sono venditori senza scrupoli: lo dimostra la loro stessa tecnica pubblicitaria, insensibile al buon gusto, alle regole della rete e alla privacy. Figuriamoci se gente di questa risma si prende la briga di essere onesta. I casi più famosi di spammer truffaldini sono:
Gli spammer mandano miliardi di questi messaggi ogni giorno, per cui contribuiscono massicciamente a rallentare il traffico di messaggi della Rete. I loro messaggi, fra l'altro, sono spesso conditi di immagini e animazioni che li rendono ancora più pesanti.
Questo comporta un costo per chi li riceve, cioè noi utenti, dato che il tempo che passiamo collegati a scaricare spam di solito lo paghiamo, sotto forma di bollette telefoniche e/o sotto forma di tempo perso ad aspettare che finisca lo scaricamento della posta e ad esaminare e cancellare i messaggi di spam.
Gli spammer usano programmi automatici, i cosiddetti spambot, per esplorare l'intera Rete ed estrarre dalle pagine Web, dai messaggi nei forum e nei newsgroup qualsiasi cosa che somigli a un indirizzo di e-mail. Sono in grado di estrarli anche dai commenti e dai codici HTML tipo mailto che si usano per creare link a un indirizzo di posta (quelli del tipo "clicca qui per mandarmi un e-mail").
Questa sorta di pesca con la rete a strascico è brutale ma efficace nel racimolare milioni di indirizzi. Compreso il vostro.
Lo spammer ha sempre fame di nuovi indirizzi da bombardare. E chi, meglio di un altro spammer, può fornirglieli, naturalmente a pagamento? Addirittura ci sono spammer che mandano messaggi pubblicitari in cui offrono a chiunque queste collezioni di indirizzi, a qualche decina di dollari per milione di indirizzi.
Di conseguenza, se anche un solo spammer riesce a carpire il vostro indirizzo, ben presto finirà in mano a mille altri spammer e sarete bombardati a non finire.
Se immettete il vostro indirizzo di e-mail nei parametri di configurazione del vostro browser (un'abitudine abbastanza diffusa), è facile per uno spammer creare un sito Web che è in grado di indurre il browser a rivelarglielo: è un difetto di progettazione abbastanza comune dei browser. Tipicamente questi siti sono "specchietti per le allodole": offrono gratuitamente pornografia, suonerie per cellulari, e altre delizie. E funzionano che è un piacere.
Questi siti, creati appositamente dagli spammer, sono una variante sul tema dello specchietto per allodole: promettono che se mandate loro il vostro indirizzo di e-mail riceverete un accesso gratuito a immagini o filmati porno, musica da scaricare, programmi piratati e altre lusinghe.
In realtà il sito non fa altro che accogliere con gioia il vostro indirizzo, magari dandovi un contentino per non farvi insospettire (e indurvi a segnalarlo ai vostri amici, che diverranno le prossime vittime), e aggiungerlo ai milioni che ha già da usare per il proprio spamming e da spacciare agli altri suoi emeriti colleghi.
Uno spammer particolarmente determinato può usare programmi che generano automaticamente tutti i possibili indirizzi di e-mail riguardanti un dominio. Per esempio, prende di mira un grande provider come libero.it e poi comincia a mandare spam ad a@libero.it, b@libero.it, ..., z@libero.it, aa@libero.it, ab@libero.it, ... zz@libero.it, aaa@libero.it, aab@libero.it, ... zzz@libero.it, e così via.
Chiaramente è un'operazione ad altissimo tasso di insuccesso: a fronte di milioni di messaggi mandati, sono una piccola frazione corrisponde a indirizzi realmente esistenti, e solo una piccola frazione di questi indirizzi reali abbocca e risponde allo spam.
Ma allo spammer tutto questo non interessa: è ben contento di bombardare i server di posta del provider con milioni di e-mail ai quali il server è costretto a rispondere almeno per respingerli, impegnando inutilmente le risorse del provider e rallentando (o paralizzando) il servizio per tutti gli utenti di quel provider.
Lo so che questo non sempre è possibile: per esempio, non ha molta scelta chiunque voglia farsi trovare via e-mail da persone che non conosce. Le aziende, per esempio, devono pubblicare un indirizzo di e-mail, così i nuovi clienti le possono contattare (io stesso sono bersagliato dallo spam perché ho un indirizzo pubblico presso il quale ci tengo a ricevere la posta dei lettori).
Tuttavia ci sono molti casi in cui non esiste questa esigenza: tipicamente nei siti amatoriali, dove l'indicazione dell'indirizzo di e-mail è spesso più che altro una questione di vanità, ma anche nei siti aziendali e istituzionali, dove non è assolutamente necessario elencare l'e-mail di ogni singolo dipendente. Basta mettere un indirizzo unico (che so, info@azienda.it) al quale si possono rivolgere i nuovi clienti.
In questo modo lo spamming colpirà un solo indirizzo anziché tutti quelli dell'azienda, riducendo drasticamente la quantità di messaggi da purgare.
Non pensate di aggirare l'ostacolo immettendo il vostro indirizzo nel sito in forma "mascherata": non funziona, come descritto più avanti.
Una tecnica elegante che permette di ricevere posta da sconosciuti senza rivelare il proprio indirizzo è l'uso di un cosiddetto form: una pagina Web in cui predisponete uno spazio in cui l'utente può scrivere il proprio messaggio. Un apposito software (script) invisibile al visitatore prende il messaggio e lo inoltra al vostro indirizzo di posta, che pertanto rimane segreto.
Molti utenti non sanno che non è assolutamente necessario specificare il proprio indirizzo di e-mail nei messaggi nei forum, nelle aree di chat o newsgroup: gli altri partecipanti non ne hanno bisogno per rispondervi, a meno che vogliate una risposta privata.
Fate attenzione: molti programmi per la frequentazione dei newsgroup immettono automaticamente il vostro indirizzo di posta nei messaggi perché è presente nei loro parametri di configurazione. Assicuratevi che il vostro programma di gestione dei newsgroup non contenga da qualche parte il vostro indirizzo.
Non pensate di immettere il vostro indirizzo nei messaggi in forma "mascherata": non funziona, come descritto più avanti.
E' uno dei trucchi più vecchi degli spammer: offrire una falsa opzione di "dis-iscrizione" ("se non vuoi ricevere altri messaggi da noi, clicca qui!") che in realtà non fa altro che confermare che il vostro indirizzo è valido e attivo e quindi bombardabile.
Rispondere al messaggio, magari con insulti e proteste, di solito ottiene lo stesso effetto. A volte, però, l'indirizzo del mittente dello spam è intenzionalmente alterato (proprio per evitare di essere sommerso di e-mail di insulti – per la serie "lanciare il sasso e nascondere la mano"), per cui la vostra protesta non arriva mai a destinazione.
Questo causa due danni: il primo è la perdita di tempo nel comporre la vostra risposta, il secondo è l'ulteriore intasamento prodotto dal vostro messaggio che viaggia per la Rete e poi torna indietro respinto.
Se immettete nel vostro sito un'immagine contenente il vostro indirizzo di e-mail, gli spambot (i programmi automatici che gli spammer usano per raccattare ogni indirizzo di e-mail presente nelle pagine Web) non riusciranno ad interpretarlo e sarete al sicuro dalle loro grinfie. Gli utenti che visitano le pagine, invece, essendo esseri umani e non robot, saranno in grado di capire che si tratta del vostro indirizzo e lo immetteranno a mano se vogliono rispondervi.
Per esempio, io potrei indicare il mio indirizzo di e-mail così:
Sembra testo, ma in realtà è un'immagine. L'unico difetto di questa tecnica è che penalizza i non vedenti, che non riusciranno a "leggere" l'indirizzo, per cui usatela soltanto nei casi più disperati.
Ammettiamolo: siamo spesso troppo disinvolti nel dare in giro il nostro indirizzo di e-mail (e magari anche quello degli altri, quando diffondiamo una catena di Sant'Antonio lasciando nell'appello tutti gli indirizzi dei destinatari precedenti).
Dovremmo invece considerarlo alla stregua del nostro numero di cellulare, sul quale vogliamo essere raggiunti solo ed esclusivamente da persone che non ne abuseranno.
Prendete l'abitudine di non dare il vostro indirizzo di e-mail a tutti quelli che conoscete (magari perché "fa chic" mostrare di avere un indirizzo di posta Internet) e tenetelo per voi e pochi intimi. Se ormai il vostro indirizzo è conosciuto anche dai sassi, cambiate indirizzo e date quello nuovo soltanto a chi veramente ne ha bisogno, e date a queste persone l'esplicito ordine di non darlo a nessuno.
Molti browser prevedono un'opzione che permette di memorizzare alcuni dati personali, tipo nome, cognome, indirizzo postale (nel senso di "via e numero civico") e quant'altro, in modo da evitare di doverli digitare ogni volta che qualche sito ve li chiede.
Evitate assolutamente questo genere di automatismo, perché è una comodità che si paga: infatti a causa di un diffuso vizio di progettazione, con molti browser è facile per uno spammer creare un sito Web che è in grado di indurre il browser a rivelargli tutti questi dati. L'utente non si accorge di nulla, ma entro breve arriva l'onda di spam.
Vi siete mai chiesti come mai, quando date il vostro indirizzo postale a un catalogo per corrispondenza, venite subissati entro breve tempo di posta pubblicitaria di mille altre aziende? Legge sulla privacy o meno, esiste tuttora un mercato fiorente di compravendita di indirizzi postali.
Le aziende più serie rispettano la legge e si guardano bene dal violarla, ma non tutte si fanno di questi scrupoli. Lo stesso ragionamento vale per Internet, e anzi viene moltiplicato dal fatto che Internet non conosce confini geografici e molti siti sono al di fuori della giurisdizione delle leggi italiane o comunitarie.
Siate pertanto estremamente cauti nel dare il vostro indirizzo di e-mail ai siti che ve lo chiedono: dateglielo soltanto se si tratta di siti di reputazione più che buona.
Se possibile, comunque, vi conviene creare un indirizzo di e-mail supplementare "sacrificabile" da dare a questi siti: in questo modo, se sgarrano e vendono il vostro indirizzo a uno spammer, potrete semplicemente chiudere l'indirizzo sacrificabile.
Gli spammer più agguerriti usano generatori di indirizzi: in altre parole, mandano messaggi a tutti i nomi possibili degli utenti di un provider (a, aa, ab, .... aaaa, aaab, aaac.... e così via), sperando di indovinarne qualcuno (un po' come tentare di vincere al Totocalcio giocando le tredici triple, ma molto meno costoso per il giocatore-spammer).
E' una tecnica onerosissima persino per uno spammer: tentare tutte le possibili combinazioni di sole cinque lettere e numeri richiede circa 60 milioni di tentativi, e il numero sale incredibilmente in fretta: con un nome utente di dieci caratteri lo spammer dovrebbe fare centomila miliardi di tentativi.
Per questo si consiglia di scegliere un nome utente lungo: più è lungo, meno probabilità si hanno che lo spammer arrivi a generarlo per tentativi.
Ovviamente gli spammer furbi sanno come ridurre il numero di tentativi (usando per esempio parole di senso compiuto e i nomi delle persone, escludendo certe sequenze di lettere poco comuni), per cui l'ideale è avere un nome utente lungo e privo di senso compiuto, per esempio paoatt1963@tin.it (che magari a voi sembra difficile da ricordare, ma è semplicemente composto dalle prime tre lettere del mio nome e del mio cognome e dal mio anno di nascita).
Queste semplici contromisure riducono sostanzialmente a zero le probabilità che uno spammer vi becchi tirando a indovinare: si stufa prima (e il mare è pieno di pesci più arrendevoli).
C'è la cattiva, cattivissima abitudine di usare la "copia carbone" o "CC" per mandare lo stesso messaggio a più persone. Con la copia carbone, ogni destinatario vede gli indirizzi degli altri destinatari, e già questa è una scortesia.
La cosa peggiore è che la copia carbone viene usata anche per distribuire le catene di sant'Antonio: è per questo che certi appelli viaggiano accompagnati da centinaia di indirizzi. Quando un messaggio del genere cade nelle mani di uno spammer (ad esempio perché viene pubblicato in un forum o newsgroup), per lui è festa grande: centinaia di indirizzi freschi freschi, pronti per essere "spammati" fino allo spasimo.
In realtà esiste una variante della "copia carbone" che si chiama "copia carbone nascosta" (CCN) o BCC (dalle iniziali dell'equivalente inglese blind carbon copy) ed ha l'immenso pregio di nascondere gli indirizzi dei destinatari. Nessun destinatario vede gli indirizzi degli altri.
Purtroppo in molti programmi (Outlook, per esempio) questa variante è stata nascosta (non chiedetemi perché), e così pochi ne sono a conoscenza. Imparate ad usarla e fatela usare a chi conosce il vostro indirizzo di e-mail: in questo modo ne limiterete la diffusione.
Quasi tutti i programmi di posta moderni hanno questa pessima abitudine di visualizzare le eventuali immagini allegate ai messaggi. Questo significa che se qualcuno vi manda un'immagine porno, ve la trovate subito sullo schermo appena aprite la posta.
Per evitare questo problema è sufficiente usare programmi che non visualizzano le immagini o perlomeno permettono di disattivarne la visualizzazione. Io sono rimasto per anni (fino al 2003) fedele al mio Eudora 3.0.5, classe 1997, che non è fisicamente in grado di visualizzare immagini. Ora uso Thunderbird e (sul mio Mac) Mail, che sono un po' più moderni e hanno le stesse caratteristiche di sicurezza.
Un piacevole effetto collaterale di questo tipo di programmi di posta è che rendono innocui quasi tutti i virus in circolazione. Infatti molti virus sfruttano istruzioni nascoste nei codici HTML usati per creare gli effetti speciali (grassetti, sfondi, eccetera) nell'e-mail.
Queste istruzioni vengono eseguite automaticamente e quindi lanciano il virus allegato senza che dobbiate aprirlo: basta visualizzare il messaggio. Usando un programma che non interpreta i codici HTML (né quelli buoni, né quelli ostili), ottenete sì messaggi visivamente piuttosto piatti, ma siete automaticamente al riparo dai virus (a meno che siate così incoscienti da aprire intenzionalmente un allegato senza prima controllarlo con l'antivirus aggiornato).
Quasi tutti i filtri che promettono di eliminare lo spam si basano sulla semplice ricerca di parole chiave all'interno dei messaggi. Per esempio, se un messaggio contiene "viagra", "hardcore", "Claudio Tommasi" o altre parole tipicamente presenti nei messaggi di spam, il messaggio viene considerato spam e quindi cancellato o messo in quarantena.
Il problema è che i filtri sono facilmente aggirabili usando leggere storpiature delle parole chiave, come "viegra" , "v_i_a_g_r_a" , "v i a g r a" e simili. Cosa anche peggiore, i filtri bloccano indiscriminatamente anche i messaggi legittimi contenenti quelle parole. In altre parole, se usate i filtri, nessuno dei vostri amici potrà parlarvi di Viagra, neppure in una metafora, o di musica hardcore.
Per darvi un'idea di quanto siano colabrodo i filtri, considerate il caso del servizio Hotmail di Microsoft, descritto da The Register in questo articolo a ottobre 2002: Hotmail ha un servizio centralizzato antispam gestito da uno dei più quotati nomi sulla piazza, ossia Brightmail. Per aggirare questo superfiltro era sufficiente usare staff come falso mittente del messaggio. Detto questo, detto tutto.
C'è tuttavia un barlume di speranza, costituito dai cosiddetti filtri bayesiani, che trovate descritti in un mio articolo. Questi filtri, disponibili in alcuni programmi di posta (come Thunderbird), usano tecniche statistiche sofisticate per riconoscere lo spam e hanno un'efficacia molto elevata. Tuttavia hanno il limite di essere filtri da personalizzare per ciascun utente, per cui agiscono soltanto dopo lo scaricamento individuale della posta (senza quindi risolvere il problema del costo di scaricamento dello spam) e non possono essere centralizzati.
Molti utenti pensano di scansare lo spam inserendo parole nel loro indirizzo di e-mail quando lo specificano nelle pagine Web e negli altri posti dove uno spammer può catturarlo: per esempio, topone@pobox.com diventa toponeANTISPAM@pobox.com, oppure sostituendo la chiocciolina con "at" (come in topone(at)pobox.com) e così via.
Addirittura esistono siti dedicati all'email obfuscation, vale a dire l'arte di rendere il proprio indirizzo invisibile agli spammer ma comprensibile agli esseri umani: un tipico esempio è http://alicorna.com/cgi/obfuscator.cgi, che converte un indirizzo in una sequenza di codici che dovrebbero nasconderlo agli spambot ma lasciarlo ben visibile agli utenti.
Il problema è che gli spammer affinano ogni giorno le proprie armi, per cui tutti questi camuffamenti hanno vita breve. Rendono difficile la vita agli utenti legittimi (molti principianti di Internet non sanno cosa significa "at" oppure non si rendono conto che "antispam" va rimosso dall'indirizzo prima di usarlo) e frenano ben poco gli abusi degli spammer.
E' vero che il Garante è riuscito a risolvere qualche caso di spam, con tanto di indennizzo alle vittime (http://www.maxkava.com/spam/spam_intro.htm), ma il problema è che gli spammer sono tanti e sono bersagli mobili (società che nascono e chiudono nel giro di pochi giorni), per cui la fatica necessaria per trovarli e punirli non giustifica l'eventuale indennizzo.
Inoltre se dovessimo rivolgerci al Garante per ogni spam che riceviamo, il Garante sarebbe paralizzato dalle richieste e non avrebbe tempo di occuparsi di altri problemi di privacy più scottanti.
Si invocano leggi e leggine antispam, ma ci si dimentica quasi sempre che la stragrande maggioranza dello spam arriva da fuori dell'Unione Europea. Cosa volete che gliene freghi delle leggi UE a uno spammer nigeriano, coreano o brasiliano? Pertanto le leggi sono una contromisura assolutamente inutile.
I provider raramente puniscono i propri abbonati che fanno spamming, un po' per indolenza e un po' per necessità: gli spammer sono troppi, e se l'abbonamento di uno spammer viene chiuso, lo spammer non fa altro che aprirne uno nuovo.
Inoltre lo spam è una fonte di guadagno per quei provider che vendono soluzioni antispam: se non ci fosse lo spam, non potrebbero vendere agli utenti abbonamenti "speciali" a prezzo maggiorato che promettono di filtrare i messaggi indesiderati (e puntualmente falliscono).
Le "liste bianche" (o whitelist) sono elenchi personalizzati che specificano gli unici indirizzi che autorizzate a mandarvi e-mail. I messaggi provenienti da chiunque altro vengono respinti o semplicemente cancellati. E' un sistema che sicuramente elimina tutto lo spam, ma ha un difettuccio: elimina anche i messaggi legittimi degli utenti (amici o clienti, per esempio) che vogliono contattarvi.
Siccome non sono nella vostra "lista bianca", i loro messaggi non vi raggiungeranno mai. Quindi se un vostro amico cambia indirizzo di e-mail, non può scrivervi dall'indirizzo nuovo e avvisarvi del cambio: deve ricordarsi di farlo da quello vecchio oppure telefonarvi e comunicarvelo. E naturalmente la whitelist è una soluzione impraticabile per chi, come le aziende o i servizi pubblici, offre un indirizzo di e-mail proprio perché vuol farsi contattare da nuovi clienti o utenti.
La "lista nera" (o blacklist) è una lista di indirizzi dai quali non desiderate ricevere posta. Quando ricevete uno spam, includete l'indirizzo dello spammer nella vostra blacklist, così non riceverete più posta dal malandrino. Il problema di questa tecnica è che gli spammer non usano quasi mai lo stesso indirizzo di posta: lo cambiano in continuazione proprio per aggirare queste blacklist. Inoltre spesso l'indirizzo indicato dagli spammer è completamente fasullo, per cui la vostra blacklist si riempie di fuffa.
Il mittente nei messaggi di spam è quasi sempre fasullo. Visualizzando le intestazioni complete (header) del messaggio è a volte possibile tracciare il percorso seguito dallo spam per raggiungervi, ma quand'anche ci riusciste, scoprireste che la fonte è al di fuori della giurisdizione della legge locale. Che fate, avviate una causa internazionale? Una volta che sapete da dove viene lo spam, cosa potete farci? Nulla. Il provider dello spammer non collaborerà (ha altro da fare) e comunque può darsi che non sia lui il vero colpevole.
Infatti molti spammer usano i cosiddetti open relay: server di posta configurati maldestramente, appartenenti magari ad aziende (non a provider), che consentono a chiunque di usarli per spedire milioni di messaggi. Un server di posta dovrebbe consentire soltanto due tipi di messaggi: quelli degli utenti esterni destinati agli utenti del server e quelli degli utenti del server destinati a utenti esterni.
Per esempio, il server di posta di Tin.it deve permettere a un utente non-Tin di mandare messaggi agli utenti Tin.it e deve permettere a un utente Tin.it di mandare posta agli utenti non-Tin.it.
Non deve invece permettere a un utente esterno di mandare posta ad altri utenti esterni (per esempio, il server Tin.it non deve permettere a tizio@spammer.com di mandare posta a caio@spammato.it).
Un utente esperto è in grado di capire la situazione ed eventualmente contattare (in chissà che lingua) l'amministratore del sistema malamente configurato e avvisarlo del problema, ma se non sapete esattamente come procedere, rischiate di contattare la persona sbagliata: se scrivete indignati a quella che sembra essere l'origine dello spam, potreste trovarvi di fronte a un'ulteriore vittima, che non sa neppure di essere usata dagli spammer e non sa come porvi rimedio. E siete punto e a capo.
Alcuni programmi di posta permettono di rispondere agli spammer mandando loro messaggi confezionati in modo da somigliare ai messaggi d'errore che si ottengono quando si scrive a un indirizzo inesistente. L'idea dietro questa tecnica è che se lo spammer si rende conto che quell'indirizzo è inesistente, smetterà di usarlo.
Il problema è che gli spammer non fanno questo lavoro di fino. Tanto a loro non costa nulla mandare un milione di messaggi in più o in meno, per cui non perdono tempo a togliere dai propri elenchi gli indirizzi che non rispondono. I più furbi, comunque, sono in grado di accorgersi della inevitabile differenza (nascosta nelle intestazioni estese o header del messaggio) fra un vero messaggio "utente inesistente" e uno fasullo. E se se ne accorgono, hanno ironicamente la conferma che il vostro indirizzo è valido e attivo.
Se avete qualche dettaglio o correzione da contribuire a quest'indagine antibufala, scrivetemi presso topone@pobox.com. Grazie!