Il subscription bombing può causare parecchie grane quando una rete di spambot decide di inondare un sistema con richieste di iscrizione fraudolente: questo tipo di abuso, rilevato in forma massiva a partire dal 2016, come testimonia SpamHaus, sta diventando sempre più diffuso.

Ma andiamo con ordine e vediamo in cosa consiste l'attacco, perché viene fatto, quali conseguenze può portare, come ci si può difendere.

Ieri, tra le 13 e le 14 tutto il mondo è rimasto col fiato sospeso trovando la maggior parte dei servizi Google inaccessibili. Quel problema, probabilmente legato alla gestione del login sui servizi Google, ora sembra risolto, ma da ieri sera alle 21 circa viene segnalato da più fonti uno sproporzionato numero di errori di casella inesistente cercando di inviare email ad utenti Gmail (e di caselle Google Workspace, ex GSuite).

Google ha documentato il problema nel suo servizio di Appstatus e, secondo ciò che ha riportato, il problema sarebbe durato 1 ora o poco più. Dalle nostre rilevazioni la problematica sembra essere ancora in corso.

Questo l'errore esatto fornito dai server di Google:

550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 https://support.google.com/mail/?p=NoSuchUser

Lo scorso 30 gennaio abbiamo rilevato un incremento anomalo di errori di consegna email che, come spiegazione del rifiuto, facevano riferimento al blacklisting dell'IP mittente. Analizzando più in dettaglio è risultato presto evidente che la blacklist incriminata fosse SpamCop e che non si trattasse di un vero blacklisting voluto ma di un effetto collaterale dovuto ad un classico errore umano.

In sostanza SpamCop (dal 2007 gestito da Cisco) si è dimenticata di rinnovare il suo dominio che quindi è scaduto: spesso quando un dominio scade, come in questo caso, il registrar (il fornitore) modifica il DNS del dominio stesso per rispondere a qualunque richiesta con propri indirizzi che indicano che il dominio è scaduto.

Dopo circa 1 giorno sembra che il dominio sia stato rinnovato e i DNS ripristinati ma alcuni server di posta stanno continuando a rifiutare qualunque email ricevano.

Martedì 14 Maggio 2019 gli utenti/clienti di Mailchimp hanno ricevuto una email intitolata "Exciting updates coming to your Mailchimp account". L'eccitazione è scemata però lungo la lettura del contenuto. L'email apre con un "What's new in Mailchimp?":

Cosa c'è di nuovo in Mailchimp?

Qual è la notizia eccitante? La notizia è che Mailchimp sta cambiando e che si sta evolvendo in una "Marketing Platform" dove l'email è solo uno tra molti strumenti di marketing. Ma di fatto non c'è nessuna funzionalità realmente annunciata nell'email, quindi se vi interessavano funzioni da "piattaforma di marketing" dovrete aspettare futuri annunci, se invece usate Mailchimp solamente per inviare email, nuovamente non troverete particolarmente eccitante la notizia.

A poco meno di 1 anno dall'entrata in vigore del GDPR, lo scorso 7 maggio il Garante Privacy ha pubblicato la relazione sulle attività svolte nel 2018. Il 2018 è stato un anno "unico" dovendo gestire anche la transizione dal "vecchio" regolamento sul trattamento dei dati personali ed il "nuovo" GDPR. Sappiamo inoltre che nei primi mesi di applicazione del GDPR l'uso delle sanzioni è stato piuttosto moderato, per dar modo ad aziende ed operatori di recepire il cambiamento portato dal GDPR (o meglio, la consapevolezza che ha portato su temi spesso precedentemente esistenti).

Il report di 259 pagine analizza in dettaglio tutti gli aspetti di cui si è occupato il garante: in questo articolo abbiamo estrapolato le parti che riteniamo più interessanti per chi gestisce liste di contatti per fini di marketing.

Data-breach, Segnalazioni e Reclami, Sanzioni riscosse

Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018 [...].

Il mese scorso abbiamo introdotto l'argomento spamtrap con la prima parte di questo articolo, ed eccoci qui con la promessa seconda parte.

Nella prima parte abbiamo visto che cosa è una spamtrap, quali tipi di spamtrap esistono e come questi indirizzi possano finire in una lista di indirizzi: oggi vedremo se e come si possono individuare e cosa fare o non fare per evitarle.

Cosa segnala la presenza di una spamtrap?

Non ci stancheremo mai di ripetere che la presenza di spamtrap nella lista è un sintomo, non è la malattia: rimuoverle, ipotizzando sia possibile farlo al 100%, quasi mai risolve il vero problema.

Dal 22 aprile 2019 il dominio bad.psky.me sembra essere scaduto e la blacklist associata "Protected Sky" ora non funzionano più. Dal momento che il registrar del dominio usa un wildcard per intercettare tutto il traffico dei domini scaduti, chi ha configurato tale blacklist nel proprio server potrebbe rifiutare email da qualunque IP provengano.

Tra l'altro sembra che si trattasse di una blacklist "fraudolenta", come riportato da SpamHaus qualche anno fa. Inoltre la blacklist risulta non fosse più operativa dal 2017, quindi riteniamo preoccupante che alcuni mailserver contengano ancora configurazioni così obsolete senza quindi apparente manutenzione, come evidenziato qualche mese fa per la blacklist NJABL non più funzionante da oltre 6 anni.

Se amministrate un server di posta verificate di non utilizzare più quella blacklist e soprattutto assicuratevi di configurare il filtro antispam correttamente, ovvero in modo da verificare la risposta delle DNSBL che utilizzate.

I filtri antispam utilizzano numerose tecniche per decidere se un messaggio sia spam o meno. Inizialmente i fattori più determinanti erano alcune parole chiave nell'oggetto e nel contenuto, poi i filtri sono diventati via via sempre più complessi e oggi utilizzano decine o centinaia di indicatori per decidere se una email debba essere rifiutata, messa in spam, o consegnata al destinatario.

Tra questi indicatori ci sono sicuramente il numero di caselle inesistenti che un mittente cerca di contattare e il numero di segnalazioni di abuso fatte dai singoli destinatari. Ma entrambi questi dati sono "indizi" che da soli potrebbero non inquadrare correttamente la situazione. Il filtro antispam blocca una email, il mittente si lamenta dicendo di aver raccolto tutti i consensi e il filtro antispam non ha molto per "contraddire" tranne il fatto che gli utenti si lamentano. La parola del mittente contro la parola del destinatario.

Ed ecco che entrano in gioco le spamtrap...

Ma cos'è una spamtrap?

Le "trappole per lo spam" sono vere e proprie caselle di posta, indirizzi email all'apparenza normalissimi, create appositamente per fregare o "intrappolare" le email di uno spammer, potendo così dimostrare che tale mittente ha spedito una email a qualcuno che non poteva averlo chiesto.

La presenza di spamtrap in una lista ha come principale inconveniente quello di far finire in spam molto più facilmente tutte le altre email, inviate agli indirizzi di persone vere. Ma le spamtrap non sono tutte uguali e non sono pensate tutte per lo stesso scopo.

Qual è il testo in assoluto più usato per i link e i pulsanti sul web? "Clicca qui" , o "Click here" nella più diffusa versione inglese.

Ogni volta che inviamo una email abbiamo in mente uno scopo ben preciso che vogliamo raggiungere: a volte sarà quello di far comprare qualcosa al destinatario, altre volte di chiedergli un consenso, altre ancora di farlo incuriosire su un nuovo prodotto o confermare la sua partecipazione ad un evento.

Il pulsante o il semplice link che permetterà al destinatario della nostra comunicazione di raggiungere il risultato che vogliamo, si chiama "Call to action". Ne abbiamo parlato qualche mese fa descrivendo il quarto passaggio del metodo AIDA, ovvero l'Azione: oggi ci soffermiamo su qualche buon (speriamo) motivo per non usare le parole "clicca qui" nelle vostre call to action e nei vostri link di approfondimento.

Poche settimane fa Google ha iniziato la distribuzione dell'aggiornamento dell'App Gmail per Android e iPhone in stile Material 2.0, ovvero più in linea con l'attuale versione desktop.

Esteticamente la prima cosa che si nota è la scomparsa della barra rossa superiore, sostituita da un look total-white e da un riquadro di ricerca.