Re: spamassassin URIBL

To: Piviul <piviul@riminilug.it>
Cc: debian-italian <debian-italian@lists.debian.org>
Subject: Re: spamassassin URIBL
From: Teodoro Santoni <asbrasbra@gmail.com>
Date: Wed, 13 Feb 2013 19:14:04 +0100
Message-id: <CAKrMTHr23kJ+Z839yyHgFLj3stEEuedNygdvOgNW6+hwJZtdMQ@mail.gmail.com>
In-reply-to: <511BA65F.5070209@riminilug.it>
References: <511B90D0.9010400@riminilug.it> <CAKrMTHrrC_U5SOVnpKAvov19xvhnWPdLgZJhF5wzGk_f+wpZ_g@mail.gmail.com> <511BA65F.5070209@riminilug.it>

> quando dici la mail stessa proviene da un posto... non capisco: una mail
> proviene sempre da un server smtp e non riesco a capire in questo caso
> come il server SMTP abbia a che fare con un url.

ma il server smtp in questione mica sta su una nuvola. Spesso e
volentieri (quasi sempre) una uri ha un top-level domain e un
medium-level domain, che indicano un nameserver. Il quale nameserver
sta in un contesto che utilizzerà i contenuti degli uri mandati e
l'smtp per fare le stesse cose.
Per esempio, se da un tale ns provengono uri di spam, probabilmente
l'smtp è sullo stesso ns, pertanto segnare in un database di spam un
tale ns perché ha degli url contenenti spam perché siano segnalate le
mail in uscita è buona cosa. Di ciò s'occupano uribl e surbl. Se noti
i nomi dei database che hanno segnalato la cosa ricordano le liste che
trovi in http://uribl.com/about.shtml alla voce List information e in
http://www.surbl.org/lists .
I vari BL però hanno liste variabili, non tengono i nomi sempre di continuo.
Perché in quel momento son comparsi? Boh, spamassassin ha aggiornato
le liste e son comparsi come siti di phishing e nella lista grigia di
uribl.
Un servizio come email.it viene spesso segnalato, è un servizio
abbastanza grosso e viene usato ancora commercialmente. Per quanto
concerne nimaia.net boh.

Il 13/02/13, Piviul<piviul@riminilug.it> ha scritto:
> Teodoro Santoni scrisse in data 13/02/2013 15:02:
>> www.uribl.com
>> http://www.surbl.org/
>>
>> Sembrerebbe che 'sti cosi blocchino gli uri riconducibili a mail di
>> spam. Se ci sono links all'interno della mail, o la mail stessa
>> proviene da un posto la cui uri è usata per pubblicità via mail, uribl
>> e surbl segnalano, in quanto nel loro database segnano ciò.
>>
> Non avertene male ma non ci ho capito quasi niente. Se ci sono link
> all'interno della mail riconducibili a mail di spam lo capisco; ma
> quando dici la mail stessa proviene da un posto... non capisco: una mail
> proviene sempre da un server smtp e non riesco a capire in questo caso
> come il server SMTP abbia a che fare con un url.
>
> Riguardo agli url che fornisci se analizzo il punteggio
>
>  0.4 URIBL_GREY             Contains an URL listed in the URIBL greylist
>                             [URIs: nimaia.net]
>
>  0.6 URIBL_PH_SURBL         Contains an URL listed in the PH SURBL
> blocklist
>                             [URIs: email.it]
>  1.6 URIBL_WS_SURBL         Contains an URL listed in the WS SURBL
> blocklist
>                             [URIs: email.it]
>
> e poi vado sul sito https://admin.uribl.com/, inserisco nimaia.net o
> email.it leggo: NOT Listed on URIBL.
> Allora deriverà dall'altro sito che mi hai mandato. Vado in
> http://www.surbl.org/surbl-analysis e inserisco nimaia.net o email.it ma
> per entrambi ottengo "is not blacklisted".
>
> Dove diavolo va a prendere sto punteggio? Io proprio non capisco e mi
> piacerebbe capirci qualcosa.
>
> Per fare delle ipotesi plausibili vi dico che le mail in questione (di
> cui sotto mostro un esempio epurato dai dati sensibili) vengono da una
> form di un sito web in cui l'utente mette alcuni dati tra cui la sua
> mail (la persona che ha compilato la mail in questione aveva un
> indirizzo su email.it) per l'iscrizione ad un corso. La form poi
> spedisce una mail con i dati inseriti dall'utente ad un indirizzo
> specifico <address@someware> che io poi scarico con fetchmail e analizzo
> con spamassassin. Come potete vedere nella mail non ci sono link se non
> l'indirizzo mail dell'utente che ha compilato la form. Ecco finalmente
> l'esempio epurato dai dati sensibili:
>
> To: <address@someware> Message-Id: <20130212215037.38D784698E@sitoweb>
> Date: Tue, 12 Feb 2013 22:50:37 +0100 (CET) Ricevuta dal sito una
> richiesta di iscrizione ai corsi:
>
> cognome: <censurato>
> nome: <censurato>
> indirizzo: <censurato>
> città: <censurato>
> cap: <censurato>
> provincia: <censurato>
> tel: <censurato>
> cell: <censurato>
> email: <censurato>@email.it
> c.f.:<censurato>
> p.iva:
> data nascita: <censurato>
> luogo nascita: <censurato>
> titolo studio: <censurato>
> professione: <censurato>
> luogo lavoro: <censurato>
> indirizzo lavoro: <censurato>
> note: <censurato>
>
> dati di fatturazione:
>
> sono gli stessi dei dati anagrafici
>
> corsi:
>
> <censurato>
>
> Ringrazio anticipatamente chiunque abbia voglia di fare luce.
>
> Grazie mille
>
> Piviul
>
>
> --
> Per REVOCARE l'iscrizione alla lista, inviare un email a
> debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
> problemi inviare un email in INGLESE a listmaster@lists.debian.org
>
> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive: 511BA65F.5070209@riminilug.it">http://lists.debian.org/511BA65F.5070209@riminilug.it
>
>

Reply to:

References:
- spamassassin URIBL
  - From: Piviul <piviul@riminilug.it>
- Re: spamassassin URIBL
  - From: Teodoro Santoni <asbrasbra@gmail.com>
- Re: spamassassin URIBL
  - From: Piviul <piviul@riminilug.it>

Prev by Date: Re: spamassassin URIBL
Next by Date: Re: duplicare il sistema
Previous by thread: Re: spamassassin URIBL
Next by thread: Backup incrementale rsync con hard link e limite di spazio
Index(es):
- Date
- Thread