Cosa scrivere nel reclamo Siamo giunti alla parte più avvincente della nostra guida all'autodifesa contro gli spammer. Se avete letto le pagine precedenti sapete interpretare il significato tecnico degli header delle e-mail e siete, pertanto, in grado di ricostruire il percorso che ogni messaggio ha seguito. Questo però non basta; occorre raccogliere ulteriore informazione e prendere la decisione che conta: a quali soggetti inviare il reclamo e in quali termini scriverlo. Tutto ciò sarà, probabilmente, meno noioso se visto attraverso qualche caso pratico. Tra gli spam che ho ricevuto ne ho quindi scelto alcuni, in modo da coprire una casistica il più possibile completa. Cominciamo con un caso abbastanza lineare, che si può definire da libro di testo. Return-Path: <bjohnson000@ameritech.net> Received: from mail.mioisp.it (mail.mioisp.it [194.243.154.49]) by mbox.altronome-mioisp.it (8.8.5/8.8.5) with ESMTP id HAA07541 for <miacasella@box1.mioisp.it>; Thu, 12 Mar 1998 07:44:01 +0100 (MET) From: bjohnson000@ameritech.net Received: from andromeda.oakland-info.com (andromeda.netquest.com [209.69.94.6]) by mail.mioisp.it (8.8.4/8.8.4) with ESMTP id HAA27396 for <miacasella@mioisp.it>; Thu, 12 Mar 1998 07:44:00 +0100 (MET) Message-Id: <199803120644.HAA27396@mail.mioisp.it> Received: from [209.69.95.51] by andromeda.oakland-info.com (Post.Office MTA v3.1.2 release (PO205-101c) ID# 0-37888U2500L250S0) with SMTP id AIY145; Thu, 12 Mar 1998 01:45:21 +0000 To: miacasella@mioisp.it Date: Thu, 12 Mar 98 01:39:22 -0500 Subject: QUIT SMOKING IN 7 DAYS GUARANTEED ! ONLY $49.95 OR MONEY BACK! X-UIDL: 24a072eb9985896dd35b250cd22e3e81 Status: U SMOKE AWAY March 11, 1998 Dear Friend, Are you really ready to quit smoking? ....[Tagliamo qui, il messaggio sarebbe piuttosto lungo] Questo è un caso abbastanza semplice, che non pone alcun problema. I primi due 'Received:' sono stati messi dai mailserver del mio isp, pertanto sono attendibili e, in particolare, è attendibile la provenienza indicata sul secondo di essi: andromeda.netquest.com [209.69.94.6] che si è presentato, nel comando HELO, come andromeda.oakland-info.com. Non è raro che i sistemi siano configurati per dare un HELO diverso dal loro nome di dominio, e ciò non significa necessariamente che la cosa sia sospetta. Cominceremo con la verifica (superflua ma precauzionale) che andromeda.netquest.com sia proprio corrispondente all'indirizzo 209.69.94.6. Un DNS lookup ce lo conferma immediatamente. Se guardiamo a chi sono assengati gli indirizzi in questione, il risultato è il seguente: Trying 209.69.94 at ARIN Kennedy Industries (NETBLK-KENNEDYIND-94-32) KENNEDYIND-94-32 209.69.94.32 - 209.69.94.63 Logic Objects Inc. (NETBLK-LOGICOBJECTS-94-96) LOGICOBJECTS-94-96 209.69.94.96 - 209.69.94.127 NetQuest Communications (NETBLK-NETQUEST-209-69-94) NETQUEST-209-69-94 209.69.94.0 - 209.69.95.255 RUSTnet Internet Services (NETBLK-RUSTNET-BLK1) RUSTNET-BLK1 209.69.0.0 - 209.69.255.255 The Brads (NETBLK-THEBRADS-94-160) THEBRADS-94-160 209.69.94.160 - 209.69.94.191 To single out one record, look it up with "!xxx", where xxx is the handle, shown in parenthesis following the name, which comes first. The ARIN Registration Services Host contains ONLY Internet Network Information: Networks, ASN's, and related POC's. Please use the whois server at rs.internic.net for DOMAIN related Information and nic.ddn.mil for MILNET Information. Abbiamo quindi RUSTnet come assegnatario di tutti gli indirizzi che iniziano per 209.69; tra questi, tutti quelli che hanno come terzo numero 94 o 95 sono stati tutti sottoassegnati a NetQuest Communications, per finire con le altre tre compagnie indicate, che usano dei sottointervalli all'interno del blocco di NetQuest (della quale probabilmente sono clienti). Da qui si capisce che NetQuest deve essere un provider di discreta dimensione. Per farsene un'idea più precisa si cerca il relativo sito web. Non sempre è facile trovare il sito web essendo noto un nome di dominio ma, nella maggior parte dei casi, basta digitare semplicemente nel browser il nome di dominio o magari premettergli "www.". In qualche caso, con il nome di dominio che si conosce non si trova alcun sito, e ancora più difficile è quando si avesse solo un netblock. Quando questo succede si deve ricorrere ai motori di ricerca. Nel nostro caso, comunque, non è necessario e, ad una veloce visita, il sito della NetQuest appare come ci si può aspettare che sia il normale sito di un provider. Per essere certi di avere informazioni complete, conviene fare una ricerca sull'archivio usenet di Google. Gli archivi delle segnalazioni di spam e delle relative discussioni (originate su newsgroup o su mailing list) sono uno strumento preziosissimo. È possibile infatti cercare se, nei newsgroup della gerarchia news.admin.net-abuse, risulta qualcosa a carico di entità coinvolte nel nostro caso. Potremmo anche trovare uno spam identico al nostro, già accompagnato da osservazioni valide a farci risparmiare tempo. Si farà quindi qualche ricerca, per esempio inserendo le parole più significative presenti nel subject dello spam, o la url di un eventuale sito web pubblicizzato nel messaggio, il numero di telefono che lo spammer fornisce per contattarlo e così via. Se si è già pervenuti al nome di un provider (in questo caso NetQuest), si proverà a cercare che cosa eventualmente se ne dica: ci sono molte reti spam-friendly che riescono a dare nel loro sito l'apparenza da organizzazione seria, e non sarebbe utile mandare reclami a chi sia colluso con gli spammer o sia noto che li protegge. Per sapere se si è in un caso simile, non c'è che cercare le esperienze altrui. Comunque, nel nostro caso constatiamo che su NetQuest non si dice nulla. Non notando quindi nulla che ci debba portare a diffidare, diamo anche un'occhiata all'header inserito dal server di NetQuest. Qui si nota che non è indicato il nome della risorsa di provenienza, ma c'è l'indirizzo IP, che risulta essere interno al blocco della stessa NetQuest. Non occorrerebbe ma, già che ci siamo, possiamo tentare un reverse DNS su tale indirizzo. Non è detto che il reverse DNS sia possibile ma, se anche non lo fosse, poco male. Comunque funziona e dà questo risultato: nslookup 209.69.95.51 Canonical name: dyn-95-51-pontiac.netquest.com Addresses: 209.69.95.51 .com is a domain of USA & International Commercial Searches for .com can be run at http://rs.internic.net/cgi-bin/whois Il nome che abbiamo ricavato (e che risulta verificato dal dns diretto) ha in tutto e per tutto la faccia di una connessione dial-up. A questo punto il quadro è chiaro: lo spammer ha usato un account presso la NetQuest per collegarsi in rete e, per l'invio dello spam, ha utilizzato il server SMTP che NetQuest mette a disposizione dei propri utenti. Assodato pertanto che dobbiamo reclamare a NetQuest, l'ultima parte dell'indagine deve portarci a determinare l'esatto indirizzo di e-mail a cui scrivere. Secondo la RFC2142 l'indirizzo dovrebbe seguire lo standard abuse @ nomedominio , ma sarebbe troppo semplice se tutti seguissero questo standard. In pratica, molti provider hanno fatto a gara per inventare indirizzi fantasiosi. La cosa migliore da fare è guardare il sito web del provider in questione. Si dovranno cercare le pagine che danno informazioni sull'azienda (possono avere titoli del tipo "About us" oppure "How to contact us" o simili); in particolare, qualora esista va sempre consultata la pagina di Acceptable User Policy (che può avere titoli assai vari come "Terms and Conditions", "Acceptable User Guidelines" o altro). In molti casi, su tali pagine si può reperire un indirizzo creato apposta per ricevere questo genere di segnalazioni. Se sul sito in questione non trovate nulla, potete consultare la lista degli indirizzi di segnalazione abusi per i principali provider, mantenuta dalla Abuse.net . Se comunque non trovate nessuna indicazione, l'indirizzo canonico a cui scrivere è postmaster @ nomedominio ; non è sbagliato inviare l'email con entrambi i destinatari abuse e postmaster (se eventualmente abuse non funzionasse, pazienza). Una soluzione più begosa ma migliore è di tentare l'invio direttamente ad abuse : se l'indirizzo risulta non definito si ripiega su postmaster . Sarebbe sbagliato utilizzare gli indirizzi normalmente indicati dai record del whois (per esempio il "techical contact" o, peggio ancora, il "billing contact"), come sarebbe sbagliato scrivere al webmaster. Nel nostro caso, poiché riguardo a NetQuest non risulta esistere un apposito indirizzo, la e-mail dovrà essere scritta al postmaster. Vale la pena di tenere presente che, in base alle regole, qualunque rete connessa ad Internet deve avere la mailbox postmaster valida e deve esserci qualcuno a leggerne la posta in arrivo: se l'indirizzo postmaster risultasse non contattabile per un sito italiano, varrebbe la pena di segnalare la cosa al nic.it : gli darebbero una bella lavata di testa. Adesso resta solo da decidere cosa scrivere nella nostra e-mail. Ho visto, in un sito antispam americano, un esempio di testo da adottare che conteneva un lungo predicozzo sul perché lo spam è male eccetera eccetera. Non sono d'accordo: chi legge queste segnalazioni non ha alcun bisogno del predicozzo, anzi, ha solo bisogno di non stare a perdere tempo e di riuscire a capire velocemente qual è la natura del problema. Vediamo quindi di sintetizzare i consigli più importanti: Siate brevi, limitatevi a dire solo il necessario E' appropriato indichiate che si tratta di un messaggio non sollecitato, che voi non avete richiesto e che non volete riceverne altri. Spiegate anche perché ritenete che il problema competa a loro. Altre chiacchiere sono fuori luogo. Specialmente quando scrivete ad un grosso provider, è probabile che poche persone debbano evadere una montagna di reclami che arrivano in continuazione. E' nostro interesse che queste persone possano fare il loro lavoro nella maniera più produttiva. Anche se, per quanto mi riguarda, preferisco comunque mettere due righe di introduzione, giusto per sintetizzare per quale motivo gli sto scrivendo, ritengo che in molti casi basterebbe semplicemente rigirargli il messaggio in questione, anche senza commenti. Nel campo 'Oggetto:' (o 'Subject:') mettete poche parole che definiscano la situazione Per esempio, scrivendo al postmaster di ABCD.NET l'oggetto potrebbe essere: "Unsolicited commercial e-mail from ABCD.NET" . Un'altra soluzione da considerare validissima e, nella grande maggioranza dei casi, preferibile, sarebbe di costruire un subject prendendo quello del messaggio di spam preceduto da "Fwd: ", trattandosi di un inoltro del messaggio. Questo consente a chi riceve la segnalazione di vedere subito di che spammer si tratta. Siate cortesi Anche se lo spam vi ha irritato parecchio, non è il caso di dimenticare che la persona che leggerà la vostra e-mail non ha nessuna colpa. Anzi, è potenzialmente nostro alleato. Evitate di fare illazioni o di trarre conclusioni arbitrarie Non dite nulla di cui non ci sia evidenza. Per esempio, non state a parlare di unsolicited bulk e-mail, anche se la locuzione è molto comune in qualunque trattazione sullo spam: unsolicited e-mail è incontestabile, commercial può essere evidente ma bulk significa "spedita in gran massa", vale a dire, a parecchi altri destinatari oltre che a voi. Per quanto questo sia probabile, non potete assolutamente saperlo. A maggior ragione non state a segnalare che lo spam in oggetto ha contenuto illegale, a meno che non abbiate ottima conoscenza della legislazione di quel particolare stato degli USA in cui ha sede il vostro interlocutore (e siate ben sicuri di quello che dite). Per esempio, è molto raro che il carattere pornografico di un messaggio lo renda illegale. Se lo è, spetterà a chi gestirà la vostra segnalazione accorgersene. L'importante è non perdere di vista che la gravità dello spam non deriva dal contenuto (sarebbe molto pericoloso per la libertà in rete mettersi a censurare in base ai contenuti), ma dal fatto di essere stato inviato non richiesto ad una mailbox che è vostra proprietà privata. Mettete in evidenza tutte le aggravanti che avete riscontrato Esempi di aggravanti per una azione di spamming possono essere questi: avere falsificato degli header; avere usato il server di una terza parte come relayer; (vedremo nel prossimo capitolo di che si tratti) essere un Make Money Fast (definito anche schema piramidale o schema di Ponzi); si tratta di vere e proprie truffe, illegali in molti paesi. E', tra l'altro, l'unico tipo di contenuto la cui cancellazione su Usenet sia legittima a vista. Come si diceva sopra, limitatevi ad evidenziare che si tratta di uno schema piramidale (basta mettere nel subject "Unsolicited MMF e-mail..." ). L'organizzazione da cui lo spam è stato originato si darà verisimilmente molto da fare, anche per evitare l'eventualità di essere implicata nell'attuazione di una truffa. Nel caso che abbiate già ricevuto il medesimo spam tramite la loro rete (o comunque sia chiaro dal contenuto che lo spammer è il medesimo), fatelo presente. E' probabile che attribuiscano maggiore urgenza alla gestione degli spammer ostinati. Un altro abuso cui non sempre si presta attenzione ma che va segnalato è la simulazione della provenienza da un dominio realmente esistente e non coinvolto in altro modo. Per esempio, tempo addietro vari spammer incominciarono ad indicare nel campo 'From:' dei falsi indirizzi su hotmail.com, con il risultato che qualcuno si mise a bloccare ciò che appariva provenire da Hotmail. Quelli di Hotmail iniziarono allora a fare causa agli spammer che inserivano falsi riferimenti al dominio hotmail.com nelle loro junk email, ottenendo in tribunale piena soddisfazione (e risarcimento danni). Se quindi nel campo 'From:' vedete un indirizzo che fa riferimento ad un provider o fornitore di servizi di email che sapete esistente, anche se il messaggio non è giunto dalla loro rete vale senz'altro la pena di avvertirli. O l'indirizzo corrisponde ad una mailbox reale usata dallo spammer come 'maildrop' (ossia per essere contattato), nel qual caso va fatta chiudere, oppure si tratta di una mailbox inesistente, nel qual caso il titolare del dominio potrebbe voler prendere opportuni provvedimenti. Evitate di dirgli che cosa devono fare E' fuori luogo dirgli, per esempio, di revocare l'accesso all'utente responsabile. Può essere che la loro prassi preveda, per la prima volta, la semplice ammonizione: non potete saperlo. Del resto, è il postmaster in questione a sapere di quale utente si tratti e come sia il caso di gestirlo. Limitatevi a chiedere che prendano provvedimenti per evitare che la cosa si ripeta. Ricordatevi di allegare il testo dello spam completo di header Gli header del messaggio sono indispensabili: senza di essi il postmaster non può fare nulla. Conviene inserirli in fondo alla vostra e-mail, facendoli precedere da una riga di segnalazione. Dopo gli header va messo il vero e proprio testo del messaggio di spam. Tale testo non è indispensabile quanto gli header ma consiglierei senz'altro di non tralasciarlo. Non lasciate passare del tempo: inviate subito la vostra segnalazione Occorre che il reclamo giunga a destinazione entro pochissimi giorni (3-4 al massimo) dalla data in cui lo spam è stato inviato. Ciò detto, vediamo il testo della segnalazione consigliabile per il caso in esame: Dear postmaster, please deal with following unsolicited e-mail I've recently received: it's a commercial advertisement not requested by me and I don't want any more of it. The 'Received:' headers show it comes from andromeda.netquest.com, maybe from resource 209.69.95.51 (dyn-95-51-pontiac.netquest.com). Thank you Best regards [firma] ---------------------------- Begin spam message with full headers: Return-Path: <bjohnson000@ameritech.net> [eccetera, segue il testo completo di header e messaggio] Traduzione: Egregio postmaster, si occupi per favore della seguente e-mail non sollecitata che ho recentemente ricevuto: è un annuncio commerciale non richiesto da me, e non ne voglio ricevere altri. Gli header 'Received:' mostrano che viene da xxxxx. Grazie. Distinti saluti Probabilmente, chi conosce l'inglese meglio di me avrà un po' obiezioni, ma anche così si è dimostrato efficace. Prima però di vedere il finale, poniamoci un'ultima domanda. Cosa succede quando la nostra segnalazione viene ricevuta ? A volte lo veniamo a sapere a volte no. A seconda dell'organizzazione a cui si invia la segnalazione, può darsi che si riceva subito una risposta automatica. E' il caso, per dare qualche nome, di CompuServe, Netcom, UUnet. La risposta automatica ci conferma che la nostra segnalazione è giunta a destinazione, ma non ha particolare contenuto informativo. In qualche caso (UUnet) la risposta (automatica o no) comunica un numero di riferimento assegnato al problema, da utilizzare per ulteriori comunicazioni al riguardo: per esempio, se lo stesso spam vi viene inviato più volte, nelle segnalazioni successive includerete il riferimento in modo da consentirgli di decidere se gestire la cosa nell'ambito dello stesso incidente. Dopo la risposta automatica (sempre che ci sia stata), è probabile che non riceviate più nulla. Chi gestirà la faccenda farà uso del log che ogni provider deve tenere per registrare tutte le attività effettuate dagli utenti. Questi log non vengono tenuti per un tempo infinito, ed è questa la ragione per cui le segnalazioni devono essere tempestive. Nel caso in esame, il postmaster avrà verisimilmente cercato sul log quale userid risultava collegato, il giorno 12 marzo 98 alle ore 01:45:21 sul nodo dyn-95-51-pontiac.netquest.com. Può darsi che, per ulteriore conferma, abbia anche verificato l'effettuazione della transazione SMTP contraddistinta dall'id AIY145. A quel punto, l'accertamento sarà stato completo. Alcuni provider inviano una comunicazione finale all'autore della segnalazione, per confermare che si è provveduto; altri (la maggior parte) non si fanno più vivi in alcun modo, ma ciò non significa necessariamente che la faccenda sia stata trascurata. Certo, l'invio della comunicazione finale è una prassi che denota serietà e buona organizzazione e che mi sentirei di raccomandare ad ogni provider. Nel caso di NetQuest ho ricevuto, dopo due giorni, la seguente e-mail: The customer has been warned that another incident like this one, and we would cancel his account with our service. Please inform me if this happens again. Thanks.. _________________________________________________________________________ Lee A Keiser, President NetQuest Communications http://www.netquest.com Poiché è stata data evidenza che al cliente non viene consentito di continuare questo tipo di attività, l'esito di questo caso è stato senz'altro positivo. Copyright EPPYNET.COM® 2000 All right reserved Home | Privacy e Policy | Faq | Contatti	In collaborazione con: www.fighters4web.com Associazione libera per gli abusi in rete. Su Fighter 4 web di Giulio Pipitone tutto sullo spam, hacking, abusi di rete, software freeware anti spamming e molto ancora.

Ricevi questa newsletter perche' ti sei volontariamente iscritto ai servizi gratuiti di EPPYNET.COM. I tuoi dati sono strettamente confidenziali e non verranno ceduti a terzi. Per consultare il testo completo sulla privacy puoi visitare la sezione dedicata disponibile in home page. Per modificare, cancellare i tuoi dati o iscriverti ad altre newsletter usa il pannello di controllo che trovi in Home Page. Per accedere usa la tua email: subemail e la tua password: subpasscode Se invece desideri cancellarti da questa lista clicca unsubscribelink