Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

Milioni! Anzi no, Decine!

Grumblesmurf... siamo sotto Natale, e come ogni anno in questo periodo io mi incacchio di piu'. Che ci volete fare, sara' l'eta...

E niente di meglio per farmi incacchiare di piu' che una paccata di mail da parte di $manicadirompimarroni che mi segnalano 'spam sfuggito al nostro scanner'. Eh si. Se non fosse che, una rapida occhiata al loro "spam" mi rivela cio' che gia' sospettavo. Tutte le mail sono del tipo:


From: utonto@manicadirompimarroni
To: utonto@manicadirompimarroni
Ed ovviamente, tutte le mail hanno il loro bel taggino 'SPAM - whitelisted' negli header.

Perche', ovviamente, "manicadirompimarroni" e' nella white-list di $manicadirompimarroni, cosi' che le mail di questo tipo vengono inviate comunque. Che e' lo scopo della white-list ovviamente.

Ok, spara la prima mail della giornata con "se volete risolvere questo tipo di problemi dovreste aggiungere un record SPF al vostro DNS" e continua con il normale lavoro. Se non che, dieci minuti dopo, la mia mail mi ritorna indietro con la dicitura "anche questo e' spam" da parte di $manicadirompimarroni.

No, rintronata! Non e' spam, sei tu che devi leggere cosa ca$$o ci e' scritto.

Ok, rimuovi "manicadirompimarroni" dalla white-list, adesso vediamo quanto ci mettono a rompere che la loro stessa posta e' marcata come spam (chi vuole scommettere?).

Piu' tardi arriva DaBoss ad aggiungersi.

DB - Ho parlato con CL di $altramanica, che si lamenta dei falsi positivi che ricevono.
IO - E perche' invece di lamentarsi con te non li manda a me i falsi positivi cosi' ci guardo?
DB - Ha detto che te li ha gia' mandati.

Io faccio un attimo mente locale.

IO - No, lui non mi ha mandato i falsi positivi, lui mi ha mandato una chiavica di documento word dove ha copiato ed incollato gli header delle mail, ma solo gli header. Da quello ho visto, e gli ho risposto, che le mail sono marcate da DSpam. Quindi dal filtro bayesiano, e di piu' non posso dire. Se lui mi manda tutta la mail magari io posso insegnare al filtro che quelle non sono mail di spam. Ma senza la mail non e' che ci possa fare molto.
DB - Come possiamo risolverla la cosa?
IO - L'ho detto: mandatemi le mail ed io aggiustero' il filtro. O per lo meno ci provo. Per altro, quante sono queste mail di 'falsi positivi'? Che fino ad ora ne ho viste 3 sole.
DB - Ma, CL ha detto di migliaia.

Io sbotto a ridere. Poi faccio un rapido clicketi-click.

IO - Allora, nell'ultima settimana questi pinguini hanno ricevuto circa 1300 mail al giorno, di cui un buon 50 per cento sono marcate come Spam. (fermandomi a pensare) Hummm... 50% spam e 50% buone, non e' male come media. Questo significa che sono circa 600 mail al giorno. Che siano tutte falsi positivi non ci credo manco se lo vedo.

Un altro paio di clicckety-click ed estraggo una mezza dozzina di mail dalla nostra quarantena. E sono tutte spam che piu' spam non si puo'.

IO - Queste che ho pescato sono tutte spam di sicuro.
DB - Ok, ma come potremmo non avere nessun falso positivo?
IO - Non marcando nessuna mail? A quel punto non ci sarebbe nessun falso positivo, sarebbero tutte dei falsi negativi. Mettendo gli indirizzi da cui ti aspetti mail in white-list? Cosi' quelle passano senza essere marcate. Oppure mandandomi ste ca$$o di mail cosi' le posso guardare?
DB - Mettere tutti gli indirizzi in white-list e' impossibile, sono centinaia e centinaia...
IO - ? Ma mi prendi in giro? Questi ricevono meno di 2000 mail al giorno. Dubito seriamente che siano 2000 mail da 2000 persone diverse al giorno. Quindi saranno si e no 300 indirizzi 'fissi'. E' un lavoro che se ci si mettono lo fanno in un paio d'ore. E non devono nemmeno processarle tutte, solo quelle che sono marcate come spam. E comunque, quanti sono sti stracazzo di 'falsi positivi' che loro ricevono?
DB - Mah, CL parlava di migliaia...
IO - Con 600 mail marcate come spam al giorno?

Comunque, dopo molto madonnare riesco a convincere DB a richiamare CL ed abbiamo cosi' il computo dei 'falsi positivi' della settimana. Che si attesta a quota...

...

suspance

...

Dodici (12) mail. Che, considerando il totale di circa 8000 mail alla settimana di cui circa 4500 'spam', significa lo 0.2% del totale.

Migliaia, come no, anzi, decine...

Davide
07/09/2009 08:00

Previous Next

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

12 messages this document does not accept new posts
Herr FranzBella trovata... By Herr Franz - posted 07/09/2009 08:04
...quella del "suspance".
Comunque si sa che i CL ingigantiscono "un po'" le cose...e che non sanno contare....

--
Herr Franz


z f k12... hmmm By z f k - posted 07/09/2009 08:36

Magari l'han letto in binario: 1100

CYA

--
z f k


Anonymous coward@ z f k By Anonymous coward - posted 07/09/2009 10:13

> Magari l'han letto in binario: 1100
>
> CYA
>
>

hahaha :\)
Allora non dovrebbero essere CL! :P

--
Anonymous coward


Anonymous cowardPercentuale di successo... By Anonymous coward - posted 07/09/2009 08:55

La cosa assurda e' che in altri ambiti (quello medico INCLUSO) una percentuale di successo del 99.8% se la sognerebbero di notte. E invece questi pisquani si lamentano :-/

--
Anonymous coward


Ringo@ Anonymous coward By Ringo - posted 07/09/2009 10:08

> La cosa assurda e' che in altri ambiti (quello medico INCLUSO) una percentuale di successo del 99.8% se la sognerebbero di notte. E invece questi pisquani si lamentano :-/

Putacaso che si arrivi ad un ipotetico 100%.
In tal caso si lamenterebbero perche' non ricevono piu' SPAM (cfr. altra storia gia' raccontata).
Non c'e' alcuna via di scampo!

--
Ringo


Kurgan@ Ringo By Kurgan - posted 07/09/2009 11:00

> Putacaso che si arrivi ad un ipotetico 100%.
> In tal caso si lamenterebbero perche' non ricevono piu' SPAM (cfr. altra storia gia' raccontata).


Esatto.

Non c'e` niente da fare, lo spam e` il male peggiore di internet, e non per lo spam in se` stesso, ma per le reazioni psicopatiche dei CL. Troppo spam, stringi il filtro. Troppi falsi positivi, allarga il filtro. Ripetere all'infinito. Fino appunto all'assurdo che se un giorno non ricevono nemmeno una mail di spam, mi chiamano perche` "la mail non funziona piu`".

Piu` ci penso, piu` credo che dovrei scrivere un piccolo trattato sui CL e il loro rapporto con la mail. Da mandare a Davide, ovviamente.


--
Il massimo danno con il minimo sforzo


Anonymous coward@ Ringo By Anonymous coward - posted 07/09/2009 11:16


> In tal caso si lamenterebbero perche' non ricevono piu' SPAM (cfr. altra storia gia' raccontata).

Beh, come gli antivirus e i firewall commerciali. Ogni tanto devono rilevare qualcosa altrimenti l'utente li cambia perché "funzionano male". Fai conto che un noto firewall/ids locale per windows era firewallato da checkpoint prima e da una linux box dopo (la linux box faceva sostanzialmente una drop di tutto il traffico in ingresso ad eccezione di quello nella connection tracking table) e ancora riusciva a dire che c'erano dei pacchetti strani... :\)

--
Anonymous coward


Andrea Ballarati@ Anonymous coward By Andrea Ballarati - posted 07/09/2009 12:13

> La cosa assurda e' che in altri ambiti (quello medico INCLUSO) una percentuale di successo del 99.8% se la sognerebbero di notte. E invece questi pisquani si lamentano :-/

Occorre tenere presente che le conseguenze di un falso positivo (non ricevere una mail legittima) sono potenzialmente assai più gravi di un falso negativo (non intercetto una spam) ergo è meglio stare sul largo che sullo stretto.

--
Andrea Ballarati


Davide InglimaLa mia mail IMPORTANTISSIMA By Davide Inglima - posted 07/09/2009 10:29

Non sottovalutare la cattiveria del SUSL che desidera avere per forza la sua mail IMPORTANTISSIMA di lavoro, soprattutto se ha come campo from newsletter@mailinglists.barzellette.net

--
http://limacat.blogspot.com


Luca PLo spam filter perfetto !!!! By Luca P - posted 07/09/2009 20:36

Se un programma riesce ad beccare tutto lo spam allora può anche fare il lavoro di un impiegato medio.

--
Luca P


checkitout3@ Luca P By checkitout3 - posted 10/09/2009 14:50

> Se un programma riesce ad beccare tutto lo spam allora può anche fare il lavoro di un impiegato medio.

si ma molto più velocemente però...

la storia della spam è come si accennava prima senza fine, almeno finchè ci sono utonti in giro.... è che non ho mai capito chi ci guadagna, gli ISP che vengono connettività a byte?

--
checkitout3


Davide Bianchi@ checkitout3 By Davide Bianchi - posted 10/09/2009 15:17

> è che non ho mai capito chi ci guadagna

Una statistica che lessi tempo fa' sosteneva che uno su 100 dei riceventi di una mail di spam fa' click sul link. Ora, se il "link" porta ad un sito con un paio di banner pubblicitari e' un introito. Se invii dieci milioni di mail ed uno su cento fa' click, sono 100.000 click. Se poi il link e' un sito di phishing... ancora di piu'.

--
Davide Bianchi


12 messages this document does not accept new posts

Previous Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira