Avercela coi sysadmin

Questo è un post che mi tengo in canna da un po’, ed appartiene al filone che mi vede caustico nei confronti di quella gran fetta dei c.d. amministratori di sistema che in realtà non ha idea di cosa sta facendo nè perchè (ma, soprattutto, non si premura di peritarlo).

E parliamo, ovviamente, di email (e che altro?) e DNSBL.

Un po’ di background.

Il primo di marzo Spamhaus mette in linea pubblicamente DBL, una DNSBL mirata al listing di domini. Fin da subito Spamhaus cerca di mettere in chiaro che DBL non è pensata per listare IP, nè li listerà mai.

Presa poi da compassione per i volenterosi (di cui lo scrivente fa parte) che mettono a disposizione risorse come banda e HW per tenere in piedi l’infrastruttura pubblica di mirror (che maneggia alcune centinaia di megabit di traffico DNS), SH decide che è opportuno evitare che la gente configuri i propri sistemi per effettuare query per IP con il solo effetto di appesantire l’infrastruttura DNSBL con traffico inutile. Decide pertanto di mettere le mani avanti: DBL risponderà con un record A a qualsiasi query per IP. E lo scrive nero su bianco, fin dall’istante zero.

In questo modo, chi dovesse -stupidamente- configurare ugualmente DBL per tali query (come fosse una nuova DNSBL assimilabile a SBL, XBL e PBL), si fa del male, dato che si ritrova a blacklistare il mondo intero. Ne avevo scritto io stesso su queste pagine.

Qui riporto il grafico attestante il traffico che i mirror (questo ovviamente si riferisce a quello che sta da me) hanno visto arrivare sulla neonata DBL nei primissimi giorni dopo l’attivazione.

E’ facile notare quell’alto e robusto picco verde e blu, che dura qualche giorno e poi si normalizza.

Se la legenda del grafico non è chiara, esplico io: in verde ci sono le query/sec ricevute dal mirror per DBL. In rosso quelle cui è stata data risposta negativa (ovvero: “risorsa non listata“). In blu quelle con risposta positiva (ovvero: “risorsa listata“).

Dovreste aver capito dove si va a parare, ma tantovale dirlo chiaro e tondo. Quel picco iniziale è dovuto alla quantità di fessi che (senza evidentemente passare per il sempre opportuno RTFM) hanno configurato il proprio mailserver per interrogare DBL per IP, ottenendo -come da manuale- solo risposte positive. La cosa è proseguita per due-tre giorni, poi si è più o meno normalizzata entro ranghi più ragionevoli, anche se la completa normalizzazione si è avuta solamente sulla scala delle settimane.

Tolte le configurazioni fatte dai cretini, il traffico ricevuto da DBL è divenuto quasi un decimo di quello iniziale.

Il che ha fatto sorgere una domanda così riassumibile: «Ma quanti sono, costoro?»

Read Full Post »

Sempre su DBL

Oggi è entrata definitivamente in funzione DBL.

Con l’occasione, voglio precisare una osservazione riguardo a quanto affermavo pochi giorni fa sull’uso di DBL con software (quale milter-link) non predisposto per le query della tipologia che Spamhaus si aspetta.

Per evitare che l’utenza attivasse dall’istante zero le query su DBL anche per gli IP oltre che per i domini (cosa che Spamhaus non si attende per policy), sono stati attivati in testa a DBL dei record di  catchall per le query numeriche, che rispondono con record A 127.0.1.255 e TXT associato pari a “No IP queries, see http://www.spamhaus.org/faq/answers.lasso?section=Spamhaus%20DBL#279“.

Significa che, se viene utilizzata in tale modalità, DBL lista qualsiasi URL numerica contenuta nel messaggio.

Per quanto mi riguarda ho bypassato il problema rimuovendo le entry di catchall dalla copia locale prelevata da Spamhaus, come misura temporanea in attesa che Anthony rilasci una nuova versione di milter-link che eviti il problema alla radice.

Nel frattempo, nulla vieta di usarla nelle sue altre declinazioni possibili, quali il lookup delle HELO string, della zona inversa e dell’envelope sender, badando però di limitare il reject alle sole risoluzioni che tornino un record A pari a 127.0.1.2:

reject_rhsbl_helo dbl.spamhaus.org=127.0.1.2

reject_rhsbl_client dbl.spamhaus.org=127.0.1.2

reject_rhsbl_sender dbl.spamhaus.org=127.0.1.2

Aggiornamento 02/03/2010: oggi Anthony ha rilasciato la versione 1.3 di milter-link e la versione 1.73.14 di libsnert, che includono il necessario supporto a DBL.

Read Full Post »

Spamhaus amplia l’offerta: arriva DBL

Spamhaus sta per rilasciare una nuova DNSBL.

Questa volta l’attenzione si rivolge non più al listing di IP (come nel caso di SBL, XBL e PBL), ma al listing di domini, indirizzandosi ad una tipologia di utilizzo sovrapponibile alle oramai consolidate SURBL e URIBL. In altre parole, è pensata per il lookup dei domini linkati nelle email.

DBL verrà rilasciata ufficialmente il 1° marzo; poichè le specifiche di implementazione richiedono alcune variazioni al codice di lookup di SpamAssassin, gli utenti di quest’ultimo sono invitati ad attendere l’uscita delle release 3.3.1 di tale framework di filtraggio, che dovrebbe avvenire all’incirca negli stessi giorni e includere già il supporto a DBL.

In virtù della “amicizia” con Spamhaus , in realtà, nel momento in cui scrivo DBL sta già venendo utilizzata in produzione dai nostri sistemi da alcune settimane, ed è stata usata in testing (ovvero limitandoci a monitorarne il comportamento senza usarla in blocco) per alcuni mesi prima di ciò, utilizzandola in modo assolutamente analogo a SURBL per tramite di milter-link.

I risultati sono pregevoli,  se si considera la policy “Zero False Positive” che DBL si prefigge (finora confermata a pieno titolo dai dati), anche se in termini di hits al momento SURBL le è superiore (dalle mie rilevazioni, tutt’altro che scientifiche, al momento) di un fattore compreso tra 3X e 5X.

Read Full Post »