I lettori affezionati di Security Fix, l’ottimo angolo dedicato al mondo della sicurezza informatica del Washington Post, certamente non si saranno persi questo articolo, che in realtà si limita a rendere noto al pubblico della rubrica quel che di fatto già si vede da tempo nelle traps: i servizi di Microsoft sono attualmente una delle risorse più pregiate a disposizione degli spammer, e Microsoft pare non essere granchè interessata ad occuparsene.
In breve, il discorso, è questo: i portali di Microsoft (spaces.live.com in primis) stanno venendo utilizzati oramai da svariati mesi da parte di bot che effettuano registrazione ottenendone spazio web utilizzabile; spazio sul quale viene poi depositato il contenuto desiderato dallo spammer.
Lo spam può quindi partire con contenuti sufficientemente minimali da non “far scattare” le usuali metriche di filtraggio sui contenuti, contenendo invece semplici link che puntino allo spazio web suddetto.
Se non ci sono gli estermi per poter filtrare la singola mail sulla base della sua semplice provenienza (ovvero: se la mail non ci sta ragiungendo in direct-to-MX), significa che ci sono pochi “appigli” sulla base dei quali poter basare un filtraggio, salvo il link stesso.
Come i più avvezzi sapranno, ci sono progetti che si occupano espressamente di mantenere DNSBL contenenti domini avvistati come target di link all’interno di spam. Tra questi, il più noto ed affidabile è certamente SURBL.
Il problema (o “il vantaggio”, per lo spammer) è il fatto che SURBL, per policy, non lista domini che non siano sotto il diretto ed univoco controllo da parte dello spammer, e che -soprattutto- limita il listing al secondo livello. Ovvero, nel caso in questione, SURBL pubblica informazioni relative al fatto che “live.com” sia o meno un dominio in uso a spammer, ma nulla dice relativamente agli eventuali (ed abbondanti) sotto-domini dello stesso. (Ci sono in realtà svariate ragioni per questa scelta di SURBL, ma troppo lunghe da esaminare qui…)
Poichè evidentemente “live.com” non è risorsa di spammer, non viene listato, e con ciò anche l’informazione più significativa presente nello spam ricevuto diviene tutto sommato inutile, a meno che non iniziate a popolare (visti i numeri in gioco, meglio se in automatico), una vostra lista dei sotto-domini utilizzati per il giochino, da utilizzare poi come parte del vostro rulset.
Qui, ad esempio, trovate quelli da me rilevati nel corso degli ultimi 30 giorni precedenti a questo post (circa), con al fianco data e ora in cui essi sono stati listati. Prima che vi prendiate la briga di contarli, sono 6270.
La cosa più interessante (e grave), tuttavia, non è il numero in sè, quanto il fatto che, se provate a visitarli (attenzione: declino qualsiasi responsabilità qualora vi siano malware downloader dentro, non li ho certo verificati uno per uno, quindi fate a vostro rischio e pericolo) vedrete che la stragrande maggioranza di essi è ancora attiva, con i propri contenuti bellamente disponibili: casinò, pilloline, un po’ di porno tanto per gradire, ecc.
Se considerate che tutto ciò avviene in casa dell’azienda che annunciava come avrebbe eliminato lo spam dalla faccia della terra entro il 2006, ci sarebbe da ridere, se non ci fosse da piangere…
Skull's blog 
oltre a questa piaga da inizio anno gli account mail live ed msn sono usati da i ben noti ‘chinese electronic wholesaler’
Stavo pensando a uno script che prendesse la tua lista e per ogni entry aprisse una segnalazione di abuso al supporto di MS e con mia sorpresa scopro che tra i “tipi di abuso” preimpostati non esiste nessuna voce che faccia riferimento a spam o simili!
Nè credo che al supporto/abuse desk di MS glie ne freghi qualcosa: di notifiche relative a siti come quelli riportati in quel file ne ricevono senza dubbio a migliaia, in virtù della gran mole di utenti che segnalano via Spamcop.
Il fatto che quella roba sia ancora lì e prosegua non è certo per via del fatto che MS non sa che essa sia lì…
[…] Apparentemente, tuttavia, non vi è alcun interesse a farlo, considerando che oramai l’attuale stato di cose procede da oltre 12 mesi. […]