» continua
» continua
» continua
» continua
» continua
Che cosa si intende per sistema di "reputation"? In molti casi, può essere considerata come la differenza fra l'essere invasi da spam, phishing e altre e-mail indesiderate e il mantenere le caselle di posta in arrivo esenti da messaggi potenzialmente pericolosi. Lo spam ha subito uno sviluppo radicale durante gli ultimi anni e i sistemi di reputation sono oggi una tecnologia chiave, dato il volume sempre crescente di messaggi indesiderabili.
In passato, lo spam veniva rilevato abbinando un insieme di identificatori delle firme con alcuni metodi euristici, ottimizzati tramite un sistema di pesatura. Questo metodo ha funzionato all'inizio benissimo, ma con l'aumento esponenziale dei volumi di spam, i gateway e i servizi non erano più sufficienti: fare un'esplorazione dettagliata su ogni messaggio richiedeva troppe risorse.
L'image spam
Ultimamente, il problema è diventato ancor
più rilevante a causa dell'ondata di image spam.Questi messaggi usano immagini
spezzettate a caso e “pixellate” per eludere la rilevazione dello spam. Per
interpretare le parole in tali immagini, molti fornitori hanno proposto metodi
basati sul riconoscimento ottico dei caratteri (OCR). Ma l'OCR richiede molte
risorse e ciò va a impattare direttamente sulla scalabilità degli attuali
gateway anti-spam.
Lo cose sono però cambiate con l'arrivo dei sistemi di reputation. In realtà, questi sistemi sono in uso già da qualche anno, ma solo ora fanno comparsa nei listini di ogni fornitore che propone soluzioni per la sicurezza delle e-mail. In altre parole, oggi per ogni vendor è difficile offrire un alto tasso di rilevazione dello spam senza contare sui metodi di reputation.
Come funziona il sistema di
reputation
Il concetto generale che sta dietro un sistema di reputation è che potete,
con una certa precisione, calcolare la probabilità che un messaggio sia spam
basandosi su chi lo ha inviato. Valutando l'indirizzo IP del mittente, è oggi
infatti possibile determinarne le intenzioni.
Ma perché utilizzare l'indirizzo del mittente - o qualche altro attributo del messaggio - per valutare la reputation? Fondamentalmente perché gli indirizzi IP non possono essere contraffatti: identificano il mittente e chi riceve il messaggio dell'e-mail e sono essenziali per assicurare che quest'ultimo raggiunga la sua destinazione. Si possono simulare diversi aspetti di un messaggio, ma non l'indirizzo IP originario.
L'efficacia di un sistema di reputation
Affinché un
sistema di reputation sia efficace, il fornitore deve aver visto un mucchio di
dati - in pratica miliardi di messaggi - al fine di condurre un'analisi completa
che permetterà di avere i risultati esatti. Cercate i fornitori che hanno
accesso a una quantità immensa di messaggi e hanno trasmesso i dati storici di
milioni di indirizzi IP.
Ma in che modo un sistema di reputazione può realmente aiutare la vostra organizzazione? I suoi dati rappresentano un ulteriore ingrediente nel cocktail di strumenti per la rilevazione dello spam di cui la vostra azienda si avvale per determinare quali messaggi sono indesiderati. Aggiungere anche una "misura" delle intenzioni del mittente contribuirà a rendere tale cocktail decisamente più efficace. Nessun attributo è infallibile, così generalmente più dati si hanno migliore è l'ottimizzazione del cocktail.
Il modo migliore per usare i sistemi di reputation è nella gestione delle connessioni, che è uno strato supplementare di protezione posizionato sul perimetro e che funge da filtro di massima sul traffico dei messaggi ricevuti. Controllando le email in ingresso con le informazioni memorizzate in un database di reputation e scartando il traffico dei mittenti “indesiderabili”, un'organizzazione può bloccare almeno il 50% dello spam prima che entri nella rete. Questo porta via un sacco di traffico dal gateway, permettendo di fare un'analisi completa su ogni messaggio.
Come ogni altra tecnica di rilevazione dello spam, i sistemi di reputation non sono una scienza esatta e ogni e-mail che viene richiamata all'interno dell'area perimetrale è candidata alla quarantena. Molti vendor mettono in quarantena i messaggi “al limite” in modo da poter recuperare i falsi positivi. Ma la maggior parte delle aziende regola la gestione del collegamento in modo conservativo, affinché siano scartati solo i messaggi con i mittenti chiaramente fasulli.
Da quando, però, gli spammer si sono resi conto che questi sistemi di reputation stavano intervenendo sulla consegna dei messaggi, hanno cominciato a cercare altri modi per nascondere l'identità del mittente. Dato che gli indirizzi IP non possono essere falsificati, hanno definito un esercito di zombie anonimi per ingannare i sistemi di reputation.
