Spammer che si offrono di verificare indirizzi e-mail?

Per la serie caramelle dagli sconosciuti, vagando in attesa del pranzo ho trovato una recensione di un “servizio” su un blog molto noto, che non riporto per non sviluppare guerre sante.

Il servizio offerto consiste nella verifica di un indirizzo e-mail direttamente alla fonte, con risposta immediata. La pagina è: http://www.email-unlimited.com/tools/verify-email.aspx e non la rendo un link sempre per quieto vivere.

Il meccanismo usato è molto semplice: l’indirizzo inserito nella casella viene prima verificato per correttezza sintattica, poi viene iniziata una sessione verso il il server SMTP che la query DNS riporta come mail exchanger per il dominio di appartenenza dell’indirizzo (nel record MX). Nella sessione si usa il comando RCPT con l’indirizzo da verificare ed il server risponderà con un errore se l’indirizzo richiesto non esiste.

Ora, ci sono alcune cose che non mi quadrano. Il blog che recensisce il servizio afferma che la privacy è rispettata perché (cito integralmente):

il servizio appena segnalato non memorizza gli indirizzi e-mail digitati. Quindi potete state tranquilli per la sicurezza dei vostri dati e di quelli della persona della quale avete verificato l’esistenza dell’indirizzo di posta elettronica.

Nel sito in questione non vi è alcun documento o dichiarazione di privacy policy. La pagina web contenente il form con la casella di testo in cui inserire l’indirizzo è in ASP, che è la stessa su cui si viene indirizzati cliccando sul pulsante di verifica. Tradotto, la pagina è generata dinamicamente dal server e nessuno sa che operazioni esegua il server stesso con l’indirizzo di posta inserito.

Inoltre, fatto molto più interessante, alcuni server SMTP rifiutano ogni colloquio con il server che verifica l’indirizzo per un motivo molto poco onorevole: l’indirizzo IP è classificato come generatore di spam ed è in blacklist. Se non fosse chiaro, l’indirizzo IP non è il nostro, ma quello del server che il servizio di verifica usa per contattare il server SMTP di destinazione.
Per gli scettici ecco un esempio con un mio vecchio indirizzo di posta:

Result        ANTISPAM
Log           Connect:
   Get MX for libero.it... OK.
   Connect to mxlibero2.libero.it... OK
   = 554-mailrelay03.libero.it
   554 Your access to this mail system has been rejected due to the sending
   MTA's poor reputation. If you believe that this failure is in error, please
   contact the intended recipient via alternate means.
   Connect to mxlibero1.libero.it... OK
   = 554-mailrelay03.libero.it
   554 Your access to this mail system has been rejected due to the sending
   MTA's poor reputation. If you believe that this failure is in error, please
      contact the intended recipient via alternate means.

ed uno con un altro mio vecchio indirizzo:

Result        Rejected
Log           Connect:
   Get MX for tiscali.it... OK.
   Connect to mail-mx-4.tiscali.it... OK
   = 220 mail-mx-5.tiscali.it ESMTP Service (7.3.127) ready
   > EHLO mail.com
   = 250-mail-mx-5.tiscali.it
   250-DSN
   250-8BITMIME
   250-PIPELINING
   250-HELP
   250-DELIVERBY 300
   250 SIZE
   > MAIL FROM: 
   = 550 mail not accepted from blacklisted IP address - see
   http://assistenza.tiscali.it/supporto/sicurezza/abuse/ [71.18.216.56]
      > QUIT

L’indirizzo IP mostrato (71.18.216.56), verificato attraverso Spamhaus e Outblaze risulta in una delle blacklist (la XBL).

Concludendo, invito a non utilizzare questi pseudo servizi, offerti fra l’altro da chi ha una reputazione non proprio specchiata…

Aggiunte delle 16 e 30

Il servizio in molti casi fallisce miseramente anche per un motivo: come ho scritto nel mio libro a pagina 153, molti server SMTP accettano senza battere ciglio anche indirizzi inesistenti sul proprio dominio per fuorviare proprio gli spammer. Rispondendo con “indirizzo inesistente” indicano allo spammer di turno che l’indirizzo non è valido, mentre rispondendo sempre “va bene” fanno riempire i database degli spammer di indirizzi inesistenti, diminuendo l’efficacia degli invii di massa di messaggi: gran parte della banda viene sprecata per messaggi che vengono buttati e non raggiungeranno mai nessuno. Quindi molti server rispondono sempre “indirizzo valido” anche se inesistente, con tanti saluti alla verifica.

Ed ancora, cosa che mi sono dimenticato di scrivere, ma che ho scritto in un commento del blog che pubblicava la recensione: il sito è di una software house che vende due prodotti di “mail marketing”, uno è un programma per fare mass mailing, l’altro per verificare il database di indirizzi di posta. Diciamo che sono i due principali strumenti per fare spam. Non credo serva aggiungere altro.

Questo articolo é stato pubblicato 16 November 2007, 14:37 ed é archiviato sotto Information security. Resta aggiornato attraverso il feed RSS 2.0. Tanto i commenti quanto i ping non sono permessi.

#1 da denis il 16 November 2007 - 16:20

forse forse che chi ha verifica un proprio indirizzo lo vedrà sommergere dallo spam ?! :-8 ?!

#2 da Massimiliano MGX Graziani il 21 November 2007 - 11:16

Non ho parole, in quesi giorni ne sentivo parlare in ufficio….
Mi sembrava abbastanza inutile come servizio…. erogato poi
da un sito che ha come core business proprio lo Spamming!

Bah! Che tristezza.

Massi

PS
Complimenti Mario!!!!!

#3 da Patrizio il 11 July 2009 - 15:59

Complimenti per il servizio e per tutto il sito. Un template magnifico per un sito chiaro e pulito.
Davvero complimenti!!

Il non-blog di Mario Pascucci

Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht)