Feeds:
Posts
Comments

Archive for November 4th, 2008

Anche le botnet piangono

Un articolo con una minima valenza tecnica, con lo scopo di “mostrare” comportamenti inaspettati che si riscontrano nell’analisi e nel monitoraggio del flusso di spam nella posta elettronica.
Non è quel genere di osservazioni che possa essere di qualche aiuto nella strutturazione di un ruleset, ma può esserlo per chi necessiti di valutare il dimensionamento della propria infrastruttura di posta, compatibilmente con le tecnologie di filtraggio che sceglie di adoperare.

Uno degli “effetti collaterali” di gestire un servizio di filtraggio email “di frontiera” (ovvero che effettua il filtraggio per poi consegnare le mail “pulite” a mailserver che il gestore del dominio mantiene altrove) è il fatto che periodicamente accade di acquisire clienti che scelgono questa soluzione in virtù del fatto che i propri mailserver sono allo stremo.

Questo accade particolamente qualora il mailserver in questione sia stato realizzato con misure antispam del tipo “tagging-only“. Apparentemente, vi è nel comportamento delle botnet una sorta di attrazione compulsiva per mailserver che accettino bovinamente qualsiasi cosa si sottoponga loro, con il risultato che questi tendono, in breve tempo, ad essere sommersi dallo spam, con i conseguenti problemi di carico, storage, I/O, banda, ecc.

Dell’andamento di questa prima fase “crescente” non ho dati, poichè non gestisco sistemi che utilizzino questo tipo di approccio (come ben sa chi conosce come la penso al riguardo). Quando però i nostri sistemi vengono chiamati in causa, siamo nella condizione di osservare il fenomeno opposto; ovvero: se, in una situazione di questo genere, si inizia ad implementare una robusta politica di rigetto dello spam, la quantità di spam ricevuto decresce.

Spam Decreasing

Spam Decreasing

Il grafico qui accanto rappresenta l’andamento del numero di mail di spam ricevute dal dominio di un nostro cliente, giunto da noi nella condizione suddetta. Dopo la prima giornata di applicazione dei nostri ruleset, il conto delle mail di spam ricevute si attestava a quota 400.000 circa, per poi iniziare a decrescere, nel corso delle settimane successive, in maniera pressochè lineare.

Quale sia la ragione di questo comportamento è difficile dirlo “da fuori”, ma è evidente che in qualche misura le diverse botnet tendono ad abbandonare (o a rendere meno intensivo, quantomeno) l’invio di spam quando vedono che il sistema destinazione tende a non accettarlo.

Si noti anche che il grafico riporterebbe anche la traccia relativa alle mail accettate per lo specifico dominio, ma che tale traccia, per via della scala del grafico, non si sposta dall’asse X: il dominio, infatti, riceve un traffico lecito piuttosto risibile, nell’ordine delle poche decine di mail al giorno (di media, circa 30). Significa che, prima di iniziare “la purga” applicata dal filtraggio in rejezione, il dominio vantava un rapporto segnale/rumore inferiore allo 0.01%.

Read Full Post »

%d bloggers like this: