Bronto è una pietra miliare nell'ambito dell'email marketing.

Fondata nel 2002 è cresciuta incessantemente, fino ad essere nominata anche la soluzione numero 1 di email marketing nel report "Internet Retailer 1000" nel 2014.

Nel 2015 viene poi acquisita da NetSuite per 200 milioni di dollari, che dopo poco più di 1 anno è stata a sua volta acquistata da Oracle per 9.3 miliardi di dollari.

La notizia, riportata lo scorso 11 febbraio da ZDnet, è rilevante anche per noi che ci occupiamo di email perché i domini "ingannevoli" vengono utilizzati molto anche nel mondo email, in particolare dai gestori di spamtrap, ma non solo.

Innanzitutto chiariamo cosa intendiamo per dominio ingannevole: in inglese vengono in genere chiamati "lookalike domains", "typo domains" o "mispelled domains" e sono domini che possono avere scopi molto diversi tra loro, spesso, ma non necessariamente, malevoli.

Alcuni sono pensati per intercettare l'errore di battitura, altri per sembrare simili alla vista:

Il subscription bombing può causare parecchie grane quando una rete di spambot decide di inondare un sistema con richieste di iscrizione fraudolente: questo tipo di abuso, rilevato in forma massiva a partire dal 2016, come testimonia SpamHaus, sta diventando sempre più diffuso.

Ma andiamo con ordine e vediamo in cosa consiste l'attacco, perché viene fatto, quali conseguenze può portare, come ci si può difendere.

Ieri, tra le 13 e le 14 tutto il mondo è rimasto col fiato sospeso trovando la maggior parte dei servizi Google inaccessibili. Quel problema, probabilmente legato alla gestione del login sui servizi Google, ora sembra risolto, ma da ieri sera alle 21 circa viene segnalato da più fonti uno sproporzionato numero di errori di casella inesistente cercando di inviare email ad utenti Gmail (e di caselle Google Workspace, ex GSuite).

Google ha documentato il problema nel suo servizio di Appstatus e, secondo ciò che ha riportato, il problema sarebbe durato 1 ora o poco più. Dalle nostre rilevazioni la problematica sembra essere ancora in corso.

Questo l'errore esatto fornito dai server di Google:

550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 https://support.google.com/mail/?p=NoSuchUser

Lo scorso 30 gennaio abbiamo rilevato un incremento anomalo di errori di consegna email che, come spiegazione del rifiuto, facevano riferimento al blacklisting dell'IP mittente. Analizzando più in dettaglio è risultato presto evidente che la blacklist incriminata fosse SpamCop e che non si trattasse di un vero blacklisting voluto ma di un effetto collaterale dovuto ad un classico errore umano.

In sostanza SpamCop (dal 2007 gestito da Cisco) si è dimenticata di rinnovare il suo dominio che quindi è scaduto: spesso quando un dominio scade, come in questo caso, il registrar (il fornitore) modifica il DNS del dominio stesso per rispondere a qualunque richiesta con propri indirizzi che indicano che il dominio è scaduto.

Dopo circa 1 giorno sembra che il dominio sia stato rinnovato e i DNS ripristinati ma alcuni server di posta stanno continuando a rifiutare qualunque email ricevano.

Martedì 14 Maggio 2019 gli utenti/clienti di Mailchimp hanno ricevuto una email intitolata "Exciting updates coming to your Mailchimp account". L'eccitazione è scemata però lungo la lettura del contenuto. L'email apre con un "What's new in Mailchimp?":

Cosa c'è di nuovo in Mailchimp?

Qual è la notizia eccitante? La notizia è che Mailchimp sta cambiando e che si sta evolvendo in una "Marketing Platform" dove l'email è solo uno tra molti strumenti di marketing. Ma di fatto non c'è nessuna funzionalità realmente annunciata nell'email, quindi se vi interessavano funzioni da "piattaforma di marketing" dovrete aspettare futuri annunci, se invece usate Mailchimp solamente per inviare email, nuovamente non troverete particolarmente eccitante la notizia.

A poco meno di 1 anno dall'entrata in vigore del GDPR, lo scorso 7 maggio il Garante Privacy ha pubblicato la relazione sulle attività svolte nel 2018. Il 2018 è stato un anno "unico" dovendo gestire anche la transizione dal "vecchio" regolamento sul trattamento dei dati personali ed il "nuovo" GDPR. Sappiamo inoltre che nei primi mesi di applicazione del GDPR l'uso delle sanzioni è stato piuttosto moderato, per dar modo ad aziende ed operatori di recepire il cambiamento portato dal GDPR (o meglio, la consapevolezza che ha portato su temi spesso precedentemente esistenti).

Il report di 259 pagine analizza in dettaglio tutti gli aspetti di cui si è occupato il garante: in questo articolo abbiamo estrapolato le parti che riteniamo più interessanti per chi gestisce liste di contatti per fini di marketing.

Data-breach, Segnalazioni e Reclami, Sanzioni riscosse

Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018 [...].

Il mese scorso abbiamo introdotto l'argomento spamtrap con la prima parte di questo articolo, ed eccoci qui con la promessa seconda parte.

Nella prima parte abbiamo visto che cosa è una spamtrap, quali tipi di spamtrap esistono e come questi indirizzi possano finire in una lista di indirizzi: oggi vedremo se e come si possono individuare e cosa fare o non fare per evitarle.

Cosa segnala la presenza di una spamtrap?

Non ci stancheremo mai di ripetere che la presenza di spamtrap nella lista è un sintomo, non è la malattia: rimuoverle, ipotizzando sia possibile farlo al 100%, quasi mai risolve il vero problema.

Dal 22 aprile 2019 il dominio bad.psky.me sembra essere scaduto e la blacklist associata "Protected Sky" ora non funzionano più. Dal momento che il registrar del dominio usa un wildcard per intercettare tutto il traffico dei domini scaduti, chi ha configurato tale blacklist nel proprio server potrebbe rifiutare email da qualunque IP provengano.

Tra l'altro sembra che si trattasse di una blacklist "fraudolenta", come riportato da SpamHaus qualche anno fa. Inoltre la blacklist risulta non fosse più operativa dal 2017, quindi riteniamo preoccupante che alcuni mailserver contengano ancora configurazioni così obsolete senza quindi apparente manutenzione, come evidenziato qualche mese fa per la blacklist NJABL non più funzionante da oltre 6 anni.

Se amministrate un server di posta verificate di non utilizzare più quella blacklist e soprattutto assicuratevi di configurare il filtro antispam correttamente, ovvero in modo da verificare la risposta delle DNSBL che utilizzate.

I filtri antispam utilizzano numerose tecniche per decidere se un messaggio sia spam o meno. Inizialmente i fattori più determinanti erano alcune parole chiave nell'oggetto e nel contenuto, poi i filtri sono diventati via via sempre più complessi e oggi utilizzano decine o centinaia di indicatori per decidere se una email debba essere rifiutata, messa in spam, o consegnata al destinatario.

Tra questi indicatori ci sono sicuramente il numero di caselle inesistenti che un mittente cerca di contattare e il numero di segnalazioni di abuso fatte dai singoli destinatari. Ma entrambi questi dati sono "indizi" che da soli potrebbero non inquadrare correttamente la situazione. Il filtro antispam blocca una email, il mittente si lamenta dicendo di aver raccolto tutti i consensi e il filtro antispam non ha molto per "contraddire" tranne il fatto che gli utenti si lamentano. La parola del mittente contro la parola del destinatario.

Ed ecco che entrano in gioco le spamtrap...

Ma cos'è una spamtrap?

Le "trappole per lo spam" sono vere e proprie caselle di posta, indirizzi email all'apparenza normalissimi, create appositamente per fregare o "intrappolare" le email di uno spammer, potendo così dimostrare che tale mittente ha spedito una email a qualcuno che non poteva averlo chiesto.

La presenza di spamtrap in una lista ha come principale inconveniente quello di far finire in spam molto più facilmente tutte le altre email, inviate agli indirizzi di persone vere. Ma le spamtrap non sono tutte uguali e non sono pensate tutte per lo stesso scopo.