##language:it '''Come (non) modificare il proprio indirizzo per postare su Usenet''' '''Indice''' [[TableOfContents]] ---- = Spam e AntiSpam = È ormai prassi comune inviare articoli sui newsgroup adoperando un indirizzo falso o falsificato. [[BR]]Tale pratica, definita "address munging", viene messa in atto principalmente per due motivi: * Tentativo di fuggire agli spammer * Desiderio di privacy Scopo di questo documento sarà quello di mostrare perché l'address munging può divenire nocivo e come risolvere i problemi su elencati senza per questo creare danni o fastidi. La prima parte tratterà dei problemi che porta falsificare l'indirizzo, la seconda dei metodi per superarli. Perciò se sei interessato solo a sapere cosa devi fare per non creare fastidi puoi saltare direttamente alla seconda sezione. = Problemi dell'address munging = Principalmente chi adopera un indirizzo falso lo fa per fuggire agli spammer. È cosa nota infatti che uno dei terreni di caccia più fruttuosi per chi è in cerca di indirizzi cui inviare spam è Usenet, benché studi recenti (si veda "Why Am I Getting All This Spam?" citato nella bibliografia) abbiano mostrato che Usenet non è la prima fonte di mailbox da spammare ma viene ampiamente superata dal web (in altre parole: è inutile che nascondi il tuo indirizzo qua e poi lo pubblichi su pagine web, forum etc.). La raccolta di indirizzi su Usenet avviene in modo molto semplice: esistono dei programmi, chiamati "harvester", che scaricano le intestazioni[[FootNote(Gli articoli Usenet, come le email, sono composti dal corpo del messaggio, ossia il testo vero e proprio, e dalle intestazioni, ossia informazioni aggiuntive come la data, i server attraversati, il subject, etc.)]] degli articoli, e da queste estraggono gli indirizzi. [[BR]]È possibile che alcuni di essi scarichino anche i corpi, per cercarvi indirizzi, ma poiché in tale modo il lavoro cresce in maniera esponenziale, sono ben pochi quelli che lo fanno. Poiché dunque tutto quanto avviene in maniera automatica si è pensato di aggirare il problema con la falsificazione del proprio indirizzo, con un ragionamento molto semplice: se fa tutto una macchina è ovvio che questa non potrà capire che un recapito è falso e cambiarlo di conseguenza, cosa che invece può fare facilmente chiunque sia dotato di ragione. Tutto ciò è vero solo in parte, e per un motivo ben preciso: la gente ha poca fantasia. [[BR]]Ormai quasi tutti falsificano l'indirizzo aggiungendo una stringa come "NOSPAM" o "RIMUOVI". Ma se quasi tutti fanno così, cosa ci vuole a dare all'harvester il semplice comando "Se trovi 'NOSPAM' nell'indirizzo, toglilo automaticamente"? [[BR]]Ed ecco che l'antispam è già diventato inutile. Certo, a questo punto qualcuno di più intelligente avrà pensato: "vabbe', io allora uso una stringa più difficile da capire ed il gioco è fatto". [[BR]]Ecco quindi che sono nati gli antispam più assurdi e complicati: alcuni inseriscono il nome del proprio gatto, altri inframezzano l'antispam al vero indirizzo, e così via... Facciamo qualche esempio per essere più chiari. Ammettiamo che l'indirizzo originale sia: [[BR]] [[BR]]Nel caso di antispam "semplice", esso diventerebbe qualcosa tipo: [[BR]] [[BR]] [[BR]]O qualcos'altro di simile, a seconda se è messo prima o dopo la chiocciola, etc... Qualche antispam "fantasioso" invece potrebbe essere: [[BR]] [[BR]] [[BR]] Nel primo caso è stata semplicemente aggiunta una lettera, nel secondo l'antispam è inframezzato al vero indirizzo, e nel terzo... beh, ecco che appare anche il nome della gatta. Ma ora iniziano a sorgere anche i primi problemi relati alla scelta di utilizzare un indirizzo falsificato, ed in particolare: '''La difficoltà di contatto'''; è un dato di fatto che se adoperiamo antispam fantasiosi si creano difficoltà a chi vuole scriverci legittimamente. Chi è che sta sempre a controllare se un indirizzo è vero o meno, prima di inviare una mail? E come si può pretendere che una persona sappia qual è il nome del nostro gatto? [[BR]]Solitamente si preme il pulsante che permette di rispondere via mail e si invia, visto che tutto è stato pensato proprio per facilitare tale operazione. È vero, magari nel messaggio è indicato che quello è un address fasullo ma può capitare che uno non se ne accorga e invii all'indirizzo sbagliato. Strettamente collegato a questo c'è poi un altro problema non da poco: attualmente la cultura informatica media è, eufemisticamente, bassa e non tutti riescono a riconoscere in una mail l'avviso che l'indirizzo cui si è scritto non esiste, perciò ecco un altro problema dell'address munging, la '''perdita di posta "buona"'''. Anche se non si tratta di corrispondenza importante perderla è comunque una seccatura. Ora, riprendiamo un attimo il primo caso elencato sopra, ossia quello in cui ci si è limitati ad aggiungere una "a" all'inizio: chi dice che quell'indirizzo non esista davvero? Nessuno, anzi è possibilissimo che a quell'indirizzo corrisponda effettivamente una mailbox e che quindi si commetta un '''abuso di un indirizzo non proprio'''. [[BR]]Questo è un "net-abuse"[[FootNote(Il net-abuse è l'abuso della rete, da non confondere con l'abuso avvenuto sulla rete. Non è net-abuse, ad esempio, la diffamazione, mentre lo sono il mailbombing o il morphing)]], e in certi casi (ma questo sarebbe un fatto più unico che raro) si potrebbe arrivare al reato di sostituzione di persona. [[BR]]D'accordo, si può pur sempre appurare se quell'indirizzo esiste, peccato che anche se non esistesse noi non avremmo alcun diritto su di esso: il gestore del dominio è l'unico che può adoperarlo legittimamente, e finché non lo assegna ad un utente rimane suo. Dobbiamo tenere conto del fatto che se anche al momento un indirizzo non appartiene a nessuno perché si è falsificato il dominio, rendendolo inesistente, beh anche se in questo caso è vero che non stiamo abusando di alcun indirizzo, nessuno dice che un domani le cose continueranno ad esser così e che non ci sarà gente che riceverà roba che era diretta a noi. In altre parole stiamo semplicemente nascondendo la polvere sotto il tappeto. Un tappeto che non ci appartiene. I problemi non sono ancora finiti, ma per affrontare il prossimo vediamo prima di capire cosa succede quando si invia una mail, ci sarà particolarmente utile per comprendere tutta la questione. [[BR]]Ammettiamo di voler spedire la nostra missiva a (sempre lui). Scriviamo il nostro testo, pigiamo "Invia", e il nostro bel messaggio parte, destinazione il server dedicato alla posta in uscita. Questo guarda l'indirizzo, cerca il server che corrisponde al dominio "example.com", e una volta trovatolo gli passa la mail. A questo punto tocca al server per la posta in entrata del destinatario cercare se esiste una mailbox chiamata "user": se non c'è manda indietro un messaggio al nostro server spiegandogli che quell'indirizzo non esiste, messaggio che il nostro server poi girerà a noi, se invece esiste non c'è da far altro che aspettare che il destinatario scarichi la posta. [[BR]]Ora, abbiamo visto prima che il motivo principale per cui l'address munging è considerato efficace è che una macchina non può, entro certi limiti, discriminare tra indirizzi esistenti ed indirizzi inesistenti. In conseguenza di ciò trovando un indirizzo falsificato tenterà comunque di inviargli l'email, e questo ci porta al problema presente, ossia la '''grossa quantità di risorse sprecate'''. [[BR]]Vediamo perché. Ammettiamo di adoperare un indirizzo del tipo "", in cui si è falsificata la parte alla sinistra della chiocciola. In questo caso ciò che accadrà è ovvio: il server dello spammer passerà la mail al nostro server, questo cercherà nel suo database se esiste l'account "userNOSPAM", e verificato che non esiste invierà la notifica all'indirizzo utilizzato dallo spammer[[FootNote(Si sta diffondendo l'abitudine di usare software che inviano agli spammer finte ricevute di indirizzo inesistente (i "bounce"). Questo accorgimento è assolutamente inutile, serve solo a sprecare ulteriori risorse.)]]. In altre parole avremo fatto sprecare inutili risorse non solo al server dello spammer, ma anche e soprattutto al nostro! Risorse che potrebbero essere allocate per risolvere problemi o migliorare il servizio! [[BR]]Una possibile soluzione potrebbe essere quella di falsificare la parte alla destra della chiocciola trasformando il dominio, ad esempio in "NOSPAMexample.com". In questo modo il server dello spammer lo cercherebbe e non trovandolo (ammettendo per ipotesi che non esista) notificherebbe direttamente al mittente che quel dominio non è registrato, senza far sprecare risorse al di fuori della sua rete. [[BR]]Questa, in parte, è una soluzione, ma non evita del tutto il problema: innanzitutto ci si deve accertare che "NOSPAMexample.com" davvero non esista, e questo controllo va fatto periodicamente, in secondo luogo si deve tener conto di una cosa molto semplice, ma che sfugge sempre: '''non vi è alcuna equazione che stabilisca che le email inviate in automatico debbano essere email di spam'''. Si pensi ad esempio alle ricevute inviate dal robomoderatore nei gruppi moderati: queste email sono completamente legittime e lo spreco di risorse causato da indirizzi inesistenti non è in questo caso giustificato in alcun modo[[FootNote(Senza considerare che nel caso specifico vi è anche il fastidio aggiuntivo causato dal fatto che la ricevuta del robomoderatore non giunge a destinazione, e questo solitamente porta a chiedere su altri gruppi che fine abbia fatto il proprio messaggio, se è arrivato, se è stato rifiutato, etc.)]]. Facciamo infine un accenno all'altro motivo che porterebbe alla rinuncia ad utilizzare un indirizzo reale: il desiderio di privacy. Chi è afflitto da tale problema di solito non usa un indirizzo falsificato, ma uno completamente fasullo. [[BR]]Esistono due tipi di privacy che si possono desiderare: da una parte si può volere che nessuno conosca il nostro indirizzo così da non ricevere mail di scocciatori (ossia non spam ma mail di persone che in seguito alla lettura dei nostri articoli ci contattano via posta elettronica), dall'altra si può vuoler evitare che in futuro qualcuno faccia una ricerca tramite Google o simili e dai risultati ne ricavi informazioni che potrebbero causarci fastidi, trovando ad esempio certi nostri interessi od opinioni che abbiamo inviato con l'indirizzo che usiamo anche sul lavoro. [[BR]]Premesso che vedremo nella prossima sezione quali sono le soluzioni per ovviare molto facilmente a tali problemi, è subito da dire che '''è sempre maleducazione non fornire alcun recapito valido'''. La scusa della privacy non regge, se qualcuno vuole postare su Usenet deve anche accettare di poter ricevere risposte in privato. Questo non solo è previsto ma è anzi incoraggiato: se una discussione degenera o si passa a discutere di fatti personali tale comunicazione deve avvenire via mail, senza infastidire il newsgroup. [[BR]]E non è una buona scusa neanche sostenere che il proprio indirizzo venga comunque fornito a chiunque ne faccia richiesta: in casi come questi non c'è altro modo di richiederla se non sul gruppo, ma come detto adesso farsi i propri affari sui newsgroup è un comportamento altamente maleducato: irrispettoso e menefreghista. Senza contare cosa accadrebbe se anche l'altra persona la pensasse allo stesso modo, e si rifiutasse di fornire l'indirizzo pubblicamente. Una situazione senza via d'uscita. [[BR]]Può sembrare una posizione estrema ma in realtà è solo buonsenso: indicare almeno un indirizzo reale non porta a nessuna controindicazione e non farlo indica soltanto mancanza di rispetto. Chiunque può fare come meglio crede ma non può pretendere anche di non essere chiamato per quello che è: maleducato. [[BR]]Non si possono avere botte piena e moglie ubriaca. Passiamo all'ultimo problema causato dall'address munging, problema che non riguarda più la comunità ma solo chi ha scelto questa opzione: '''inviare articoli con un indirizzo inesistente rende difficoltoso stabilire la paternità di tali messaggi'''. [[BR]]Se questo potrebbe sembrare un problema solo teorico basta pensare che la paternità di un articolo legittimo è necessaria per poterlo cancellare. È insomma possibile che qualcuno cancelli un post inviato con un indirizzo falso perché chi usa quell'indirizzo non può rivendicarne la paternità, e questa è una cosa da soppesare attentamente, prima di scegliere la via dell'address munging. = Le Soluzioni = Prima di trattare delle soluzioni ricapitolo brevemente quali sono i possibili problemi cui può portare non adoperare un indirizzo valido: * Maggiori difficoltà di contatto; * Perdita di posta legittima; * Abuso di un indirizzo non proprio (addirittura possibile reato di sostituzione di persona); * Generazione di traffico inutile; * Infrazione della netiquette; * Cancel abusivo degli articoli; E dopo questo breve riepilogo vediamo ora le tante soluzioni disponibili. A parte la prima, utile solo a chi per motivi di privacy non vuole che vengano archiviati i propri post, le restanti verranno elencate in ordine di preferibilità, dalla migliore alla peggiore. Chi, per motivi di privacy, non vuole che in futuro i propri articoli appaiano su Google o archivi simili può adoperare l'header "X-No-Archive", una intestazione pensata per prevenire l'archiviazione dei post su database accessibili via web. Non è detto che tutti i siti lo rispettino ma spesso è così (Google, ad esempio, lo fa). [[BR]]Attenzione, questo suggerimento vale '''solo ed esclusivamente''' per chi non vuole che in futuro i propri articoli non vengano letti sul web, soltanto per questa esigenza particolare, ché generalmente è meglio non adoperare l'X-No-Archive, vista l'importanza che hanno gli archivi come Google per trovare informazioni. È grazie a questa memoria storica che non si debbono leggere articoli dal contenuto sempre identico. Passiamo ora a soluzioni più generali. [[BR]]Sia che non si voglia associare il proprio indirizzo email agli articoli inviati (X-No-Archive o meno), sia che semplicemente non si voglia ricevere spam, la soluzione migliore consiste nell'adoperare un indirizzo ad hoc. [[BR]]Esistono molti servizi che offrono caselle email gratuite, e crearsene una non richiede se non pochi minuti. [[BR]]È possibile adoperare una webmail da controllare di tanto in tanto, oppure una mailbox gestibile via pop3/imap4, o ancora un forwarder che re- indirizzi tutte le mail al vero indirizzo. È vero, in questo modo lo spam non viene evitato completamente, ché prima o poi anche l'indirizzo usato al posto di quello ufficiale verrà preso di mira dagli spammer, ma essendo un indirizzo "a perdere", usato soltanto per Usenet, possiamo chiuderlo facilmente e sostituirlo con un altro, mentre l'indirizzo "serio" che avremo dato alle persone fidate o comunque che non avremo esposto in giro per la rete, continuerà ad essere scevro da spam. E, a parte questo, è un dato di fatto che l'unico modo per fermare lo spam è combatterlo, e non fuggirlo. Di webmail gratuite ne esistono a bizzeffe, basta usare un motore di ricerca per trovarne una che ci soddisfi, mi limiterò qui a citare qualche fornitore di caselle email di tipo pop3/imap4 (ossia utilizzabili tramite mailreader): * [http://www.gmx.net/ GMX] Dieci mega di spazio, veloce, efficiente e con ottimi filtri antispam. Il grosso neo potrebbe essere il fatto che il servizio è ora tutto in tedesco. * [http://www.vene.ws/ Vene.ws] Un servizio pensato proprio per chi vuole una casella secondaria da poter usare su Usenet o in contesti simili. Al contrario di GMX non ha un server per la posta in uscita e lo spazio è poco, in compenso ha ottimi filtri antispam. Completamente in italiano. Consigliato se cercate una casella secondaria. * [http://www.poste.it Poste.it] Anche le Poste Italiane offrono una casella email con dieci mega di spazio, server per la posta in uscita, etc. A fronte di un buona offerta si deve però sottostare ad una maggior burocratizzazione: non si può avere più di una casella email a persona (vengono richiesti i dati personali), e la conferma dell'attivazione non avviene via email ma tramite posta cartacea. Aprire una nuova casella email potrebbe essere alquanto seccante, costringendoci a configurare il nostro mailreader per un nuovo account, senza contare che presto o tardi potremmo affezionarci a tale account e a questo punto proteggerlo di nuovo con un antispam. Il metodo migliore è allora l'uso di un forwarder. [[BR]]Un forwarder non è altro che un indirizzo di comodo che gira tutta la posta ricevuta ad un indirizzo che noi gli abbiamo indicato. In questo modo non dobbiamo far altro che cambiare l'indirizzo nel campo mittente del nostro newsreader. Nel momento in cui questo indirizzo divenisse un bersaglio degli spammer non dovremmo far altro che chiuderlo ed aprirne un altro, senza dover rinunciare al nostro account di posta. [[BR]]Esistono molti forwarder ma ne citerò qui solo un paio: *[http://www.despammed.com Despammed] Despammed è un servizio pensato proprio per chi è afflitto dal problema spam. Ha dei filtri per bloccarlo e tutto quello che passa può essere notificato direttamente al servizio abuse sul sito. Alcuni filtri troppo aggressivi hanno bloccato in passato anche email legittime ma pare che il problema sia stato risolto. *[http://www.sneakemail.com Sneakemail] Simile a Despammed, ma non ha alcun filtro e gli indirizzi a disposizione (cinque nella versione gratuita del servizio), sono creati automaticamente in modo da essere difficilmente "indovinabili" dagli spammer. Se si utilizza un indirizzo reale, che sia la propria mailbox o una creata ad hoc, o un semplice forwarder, una soluzione per ricevere meno spam è quella di inserire tale recapito non nel campo "from" ma in quello "reply-to". [[BR]]Abbiamo detto in precedenza che i programmi che raccolgono su Usenet indirizzi da spammare si limitano di solito a scaricare gli header; per alcune limitazioni del protocollo, il comando che adoperano per fare ciò [[FootNote(Il comando XOVER)]] non scarica tutti gli header ma solo alcuni, tra i quali il "from" ma non il "reply-to", inserendo perciò un indirizzo falso nel primo campo e quello vero nel secondo, le probabilità che non venga intercettato aumenteranno. Sia che abbiate scelto la strada ora indicata, sia che tutto quanto detto fin qui non vi abbia convinto, e vogliate comunque adoperare un indirizzo falso, vediamo come falsificare correttamente un indirizzo, ove per "correttamente" si intende "in modo che non crei alcun fastidio a nessuno". La regola è molto semplice: l'indirizzo falso deve terminare con il suffisso ".invalid". [[BR]]Ammettendo sempre che il nostro indirizzo sia: [[BR]]. [[BR]]Una falsificazione corretta è: [[BR]] [[BR]]Non importa cosa c'è prima dell'ultimo suffisso, avremmo potuto modificarlo anche in: [[BR]] [[BR]] [[BR]]L'unica cosa davvero importante è il suffisso, se c'è quello nessuna macchina tenterà di inviare una mail a quel recapito, così non si genererà mai alcun traffico inutile e sicuramente non staremo abusando di alcun indirizzo esistente. Alcune brevi considerazioni: * Oltre ad aggiungere il suffisso si può comunque adoperare un antispam, se si teme che gli harvester possano altrimenti risalire al nostro recapito limitandosi a levare l'".invalid" finale; * A questo punto può divenire un ulteriore, gradito, segno di attenzione verso gli altri, quello di usare una sintassi che impedisca qualsiasi equivoco concernente l'inesistenza dell'indirizzo indicato. Ossia, potreste utilizzare un indirizzo falsificato del tipo "", evitando in maniera assoluta di creare situazioni sgradevoli, con eventuali e-mail inviate a chi magari ha l'indirizzo ricavabile da quello da voi indicato, togliendovi il suffisso. * Uno dei server gratuiti più utilizzati, Individual.net, non consente di adoperare indirizzi con dominio inesistente, per cui non è possibile adoperare il suffisso ".invalid". I gestori del servizio danno solo la possibilità di adoperare il recapito "", che in pratica è un indirizzo reale ma "a perdere". In altre parole se si vuole utilizzare quel newsserver si deve indicare una mailbox vera oppure il succitato "", altrimenti occorre cercarsi un altro server. Altre soluzioni andrebbero contro le policy del sito e creerebbero solo fastidi alla comunità, in altre parole il proprio comportamento sarebbe paragonabile a quello degli spammer, né più né meno. Se scegliete quest'ultima strada infine, '''ricordate sempre di segnalare che avete falsificato l'indirizzo''', ed i metodi per ottenere quello reale. [[BR]]Questo è un punto fondamentale, troppo spesso dimenticato, con le conseguenze che sono ovvie. = Conclusioni = Con il presente documento si è cercato di mostrare perché l'adozione di un indirizzo reale sia preferibile ad un indirizzo falsificato e, in seconda battuta, qual è il metodo corretto per falsificare il proprio address. Non si vuole demonizzare la pratica dell'address munging ma solo presentarne limiti, alternative, e corretta applicazione. Riepilogando, quindi: * La soluzione migliore consiste nell'utilizzare un indirizzo reale non falsificato; * Per non rendere inutilizzabile la nostra casella email possiamo crearne una a perdere o affidarci ad un forwarder; * Inserendo l'indirizzo nel campo "reply-to" riceveremo molto meno spam; * Un indirizzo falsificato deve terminare con il suffisso ".invalid"; * Togliendo solo il suffisso ".invalid" non si dovrebbe risalire ad un indirizzo che possa esistere; * Ogni falsificazione deve sempre essere segnalata; * Se non vogliamo che i nostri articoli vengano archiviati possiamo usare l'header "X-No-Archive". Nota finale: i suggerimenti dati qua richiedono, per essere attuati, non più di un quarto d'ora. Non abbisogna poi di un grande sforzo, la buona educazione. = Bibliografia = * "Draft For Usefor", il documento che prenderà il posto della RFC 1036, contenente lo standard per lo scambio di articoli su Usenet: http://www.landfield.com/usefor/ * "Address Munging Considered Harmful", documento che spiega i problemi che porta la falsificazione dell'indirizzo: http://www.interhack.net/pubs/munging-harmful/ * "Address Munging FAQ", documento che spiega come falsificare correttamente il proprio indirizzo: http://www.faqs.org/faqs/net-abuse-faq/munging-address/ * "Why Am I Getting All This Spam?", interessante documento del "Center for Democracy & Technology" sulle origini dello spam, reperibile presso: http://www.cdt.org/speech/spam/030319spamreport.shtml Altri documenti interessanti: * "Collinelli Antispam", la bibbia italiana per combattere attivamente lo spam: http://www.collinelli.net/antispam * "Qmail and anti-spam": http://www.chrishardie.com/tech/qmail/qmail-antispam.html * "Anti spam tips and solutions": http://www.anti-spam-tips.com * "Collection of Useful Anti-Spam Web-Links": http://www.0spam.com/links.shtml * "Spam Blocker Guide - How To Stop Getting Spam": http://www.spamblockerinfo.com ---- {{{#!CSV -3 Versione e data;Commento;HIDDEN! V. 1 07/03; Prima stesura di Gesu` 1.1; Aggiunte e correzioni 1.2 08/03; Altre correzioni con il contributo di MaMo. 2.0 01/04; Riscritto tutto, ad opera di Gesu` (con importanti contributi di daRkSidE, Enrico C, ed altri) }}}