Appunti su possibili norme antispam

Ho scritto questi appunti per cercare di fare un po' di chiarezza sul problema dello spam. Il loro scopo non è dare una soluzione precotta allo spam, quanto piuttosto raccogliere in un unico documento i vari problemi e i punti di vista distinti nel definire e combattere lo spam, in modo che si possa più facilmente giungere a una soluzione condivisa da tutti e soprattutto meditata.
Ulteriori contributi sono naturalmente sempre bene accetti!

Il documento è strutturato nelle seguenti sezioni:
Scopo del documento - perché l'ho scritto.
Cos'è esattamente "spam"? - un tentativo di dare definizioni condivisibili dei vari tipi di spam.
Chi fa spam - una disamina dei vari tipi di persone che inviano spam.
Quadro legale di riferimento - puntatori alle leggi attuali e alle iniziative legali che si stanno portando avanti.
Proposte antispam - elenco di possibilità per inviare bulk email in maniera rispettosa di chi non la vuole ricevere, con i vari pro e contro.
Come difendersi - le iniziative che si possono prendere già adesso per limitare lo spam.
Caselle "public.nome@dom.in.io" - una proposta nuova per stabilire chi è d'accordo a ricevere messaggi non sollecitati.
Documenti e siti sullo spam - ulteriori informazioni per chi vuole approfondire l'argomento.
Grazie a... - chi ha collaborato o fornito idee per questo documento.
Appendice: perché lo spam si chiama così? - un momento più "leggero" per chi è arrivato fino in fondo.

Scopo del documento 

Dato per assodato che lo spam è un problema globale, e che pertanto ogni soluzione non potrà che essere limitata, vediamo però che esso sta crescendo molto più velocemente del resto della rete. Il singolo non ha nessuna possibilità di cavarsela, ma a livello di un forte gruppo nazionale ci potrebbe forse essere una massa sufficiente per vedere qualche risultato pratico.
L'idea di avere una legge dello Stato che sanzioni lo spam è indubbiamente interessante almeno in teoria: ma in pratica non è detto che sia realizzabile, e quindi verrà per il momento lasciata da parte, cercando di trovare delle linee guida che spieghino perché certi comportamenti non siano corretti, e delle soluzioni che possano venire adottate in maniera volontaria dagli ISP. Anche una somma di minimi miglioramenti può aiutare a migliorare la qualità complessiva della rete!

Cos'è esattamente "spam"? 

Il primo dei problemi che sorge quando si parla di spam è darne una definizione accettata dalla maggior parte delle persone. E' ovvio che gli spammatori ci marciano sopra per potere fare i loro comodi: basta vedere le scuse infilate nei loro messaggi. Però vi sono persone che in buona fede vogliono fare i garantisti e pongono dei distinguo a seconda del tipo di messaggio ricevuto.
Queste sono ad ogni modo le categorie che sono state proposte per classificare il fenomeno, in ordine di "accettazione".

Posta commerciale non sollecitata (UCE, Unsolicited Commercial Email):
messaggi che pubblicizzano un prodotto commerciale che ci giungono senza che noi abbiamo chiesto di riceverli.
Posta non sollecitata a molti recipienti (UBE, Unsolicited Bulk Email):
messaggi che non hanno un contenuto commerciale, ma ci arrivano comunque da persone che non conosciamo, o a cui non abbiamo dato il permesso di inviarci tali messaggi. Ad esempio, un messaggio "la fine del mondo è vicina! Convertitevi!" inviato a più persone ricade in tale categoria.
Posta non sollecitata a un singolo recipiente: questa categoria non viene ritenuta spam da molte persone: in fin dei conti, dicono, occorre un modo per iniziare una comunicazione! Comunque questo tipo di messaggi è difficile da valutare.

Ho distinto le prime due categorie perché nel primo caso non è necessario che l'invio sia fatto a più persone.

Un punto collegato strettamente allo spam è la tutela dei dati personali. Perché ci arrivi della posta non desiderata, infatti, occorre che il mittente abbia trovato il nostro indirizzo da qualche parte. E non è detto che la presenza di un indirizzo email in un luogo pubblico implichi che questo indirizzo sia liberamente utilizzabile!

Chi fa spam 

Tutti noi possiamo essere degli spammatori. Per comodità di trattazione, e perché le soluzioni possibili contro lo spam dipendono anche dal modo in cui i messaggi vengono spediti ai destinatari, ecco alcune categorie che si possono distinguere.

Le varie categorie possono naturalmente sovrapporsi, se ad esempio un'azienda usa un server di posta aperto.

Se invece ci interessano più i motivi per cui si fa spam, si va da chi è convinto in buona fede che non stia facendo nulla di male - generalmente questi sono neofiti della rete, e quindi non ne sono stati esposti abbastanza per vedere l'altra faccia della medaglia - a coloro che hanno ben presente le implicazioni sociali, e non se ne curano affatto.
Lo spam è sempre più di moda perché costa molto poco al mittente, e quindi anche un bassissimo tasso di risposta può permettere buoni guadagni. Per fare analogie con il mondo reale, non varrebbe affatto la pena fare invii non sollecitati per posta ordinaria; i volantini si avvicinano di più alla bulk email, anche se i prezzi sono maggiori, ma già lì ci sono molti palazzi che vietano di imbucare volantini nelle caselle dei condomini.

Come ha poi fatto notare Claudio Allocchio, Interpol e polizia postale sanno bene che l'intero servizio d spam-mass-mailing è nelle mani della criminalità organizzata, che ne ha fatto un vero mercato parallelo di vendita servizi a persone spesso ignare delle ramificazioni, e convinte di non fare nulla di diverso dall'acquisto di spazi pubblicitari sui giornali.

Quadro legale di riferimento 

Purtroppo non esiste ancora una legislazione che affronti in maniera omogenea lo spam, anche se cominciano ad esserci alcune leggi e raccomandazioni in proposito. Limitandoci all'Italia e all'Europa per comodità pratica, esiste uno studio datato gennaio 2001 sull'UCE e sulla protezione dei dati personali, e una raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea.
Per quanto riguarda più speficatamente l'Italia, si registra l'opinione del Garante per la Privacy sullo "spam politico", e un primo accenno all'esistenza di offerte commerciali via email nell'articolo 10 del Decreto Legislativo 22 maggio 1999, n. 185 sui contratti a distanza.

Proposte antispam 

Esiste tutta una serie di metodi per inviare posta a multipli recipienti che sono considerati da chi li usa "rispettosi dei diritti del ricevente", e che invece sono visti come un'ulteriore presa per i fondelli da chi riceve i messaggi non voluti. Questo che segue è un elenco di possibilità già trattate in passato, oppure nuove proposte presentate negli ultimi tempi, che cercano di trovare la quadratura del cerchio tra le opposte esigenze di chi vuole inviare posta e chi non la vuole ricevere. Aggiungo anche una lista di vantaggi e svantaggi delle singole proposte: tralascio volutamente al momento le considerazioni sul dovere riuscire a fermare chi non segue le regole, a meno che non sia davvero impossibile farlo senza sforzi troppo elevati.

  1. opt-out, vale a dire inviare il messaggio dicendo "se non vuoi più riceverli, scrivi qui". Questo sistema è assolutamente sconsigliato da tutti i report sulla posta elettronica, ma lo aggiungo per completezza. Vantaggi: Esiste una possibilità per chi riceve i messaggi di non vedersene arrivare degli altri. Svantaggi: E' il ricevente che deve attivarsi per non ricevere più posta, senza del resto avere la certezza del risultato: alcuni spammatori di professione anzi tengono da parte gli indirizzi che hanno chiesto di essere rimossi dalla lista, perché sono sicuri della loro esistenza. Inoltre, i messaggi che giungono possono risultare offensivi: si pensi alle pubblicità di siti pornografici.
  2. opt-in, vale a dire inviare un messaggio dicendo "se vuoi ricevere ulteriori messaggi su questo argomento, scrivi qui".Vantaggi: Non è necessaria nessuna ulteriore operazione da parte dell'utente che non è interessato alle offerte. Se gli indirizzi sono ricavati direttamente dall'azienda, ad esempio utilizzando un modulo Web, ci sono ottime possibilità che il ricevente abbia in effetti richiesto quelle informazioni. Svantaggi: Il meccanismo può essere abusato: ad esempio una società potrebbe inviare ogni giorno pubblicità per una nuova lista di discussione, sempre a partire da una stessa lista di indirizzi destinatari.
  3. inserire nel titolo del messaggio un identificativo, ad esempio ADV:, che permetta al ricevente una scrematura dei messaggi senza leggerli, o addirittura facendoli cancellare all'ISP, così che l'utente non debba nemmeno riceverli. Si può anche immaginare di avere identificativi secondari per riconoscere varie categorie di messaggi. Vantaggi: chi non vuole messaggi non sollecitati ha un sistema semplice per trovarli ed eliminarli. Svantaggi: l'utente deve comunque scaricare i titoli dei messaggi, se l'ISP non offre direttamente il servizio. Inoltre non è possibile per gli MTA vedere il titolo di un messaggio senza riceverlo, quindi per chi ha un mail server locale il guadagno su tempo e banda di connessione è in realtà nullo. Gli identificativi secondari soffrirebbero inoltre dello stesso problema di partenza: come essere certi che i sottotag siano veritieri.
  4. definire una lista di persone che non accettano posta elettronica non richiesta, in modo che chi vuole spedire bulk email può eliminare quegli indirizzi dalla sua base dati. Vantaggi: chi non vuole UBE/UCE può dichiararlo esplicitamente. Svantaggi:una simile lista è difficile da mantenere, e soprattutto sarebbe una fonte di "indirizzi puliti" per tutta una sfilza di "spammatori non etici", che naturalmente approfitterebbero subito dell'elenco. Ci sono poi obiezioni di principio, perché una simile lista assomiglierebbe più a un opt-out che a un opt-in.
  5. definire una lista di persone che accettano posta elettronica non sollecitata, in modo che chi vuole spedire bulk email può direttamente usare quegli indirizzi. Vantaggi: Chi fa UBE/UCE trova un elenco di persone sicuramente più interessate degli utenti medi alle proposte da loro fatte. Svantaggi: come nel caso precedente, occorre che questa lista venga gestita da qualcuno, che deve anche vigilare sugli inserimenti all'insaputa dell'utente.
  6. definire un tipo di caselle email facilmente riconoscibile in maniera automatica, i cui proprietari accettano di ricevere posta non richiesta esplicitamente, secondo una definizione di "non sollecitata" da definire. Una possibilità, proposta da Giorgio Giunchi, consiste ad esempio nell'usare i nomi public.*@dom.in.io allo scopo: maggiori dettagli nella sezione apposita.. Vantaggi: E' possibile decidere automaticamente se la casella email a cui si sta spedendo posta accetta l'invio di posta non richiesta, e quindi presumibilmente può avere interesse maggiore nelle offerte commerciali. Svantaggi: Alcuni utenti email potrebbero avere indirizzi che corrispondono al tipo definito come "UCE-friendly", e quindi essere costretti a cambiarli.
  7. vietare tutta la posta non sollecitata, senza eccezioni. Vantaggi: la soluzione è facile da implementare: una società dovrebbe indicare esplicitamente dove ha ricevuto l'ok per l'invio del messaggio. Svantaggi: Questo sistema renderebbe illeciti molti messaggi perfettamente plausibili: anche semplicemente un'email "sono d'accordo con te" potrebbe portare a una denuncia!

Come difendersi 

Proprio perché non è possibile dare una definizione univoca di cosa è spam, e inoltre non lo si può circoscrivere a una singola area geografica o tipologia di messaggi, non si può nemmeno dare una soluzione singola, ma occorre prendere delle iniziative a tutti i livelli.

Gli utenti, oltre naturalmente a non inviare spam, possono segnalare quello che ricevono agli appositi servizi che tutti gli ISP con un minimo di serietà hanno istituito. In generale, l'indirizzo email di riferimento è abuse@dom.in.io. Nelle "Pagine antispam" di Collinelli citate più oltre viene spiegato con dovizia di particolari come imparare a "leggere i messaggi" per scoprire la vera sorgente dello spam ricevuto.
Un metodo indiretto ma che può comunque essere utile per iniziare una nuova tendenza è verificare se il proprio ISP adotta iniziative antispam, e in caso contrario valutare l'ipotesi di passare a un altro, naturalmente dopo avere spiegato loro la ragione di questo abbandono. Queste operazioni sono indubbiamente poco incisive se viste dalla singola persona, ma possono portare a un effetto valanga.

Anche i singoli ISP possono fare qualcosa per migliorare lo stato globale della rete. Tra le varie possibilità che hanno a disposizione, eccone alcune, di nuovo con i pro e i contro relativi.

  1. Avere un servizio antiabusi efficiente. Questo comporta sicuramente un costo per il provider, ma il ritorno di immagine può contribuire a ripagarlo. Inoltre, una volta pagato lo scotto dell'inizio, si riesce a costruire un sistema semiautomatico che riduce molto lintervento umano.
  2. Tenere sempre aggiornati i propri software per la gestione della email, e la loro configurazione. Può sembrare un consiglio inutile, ma molti spammatori approfittano di tutti i possibili buchi di sicurezza: esistono addirittura dei robot che spazzano la rete alla ricerca di nuovi "punti di ingresso".
  3. Non accettare posta dai relay di posta aperti. Questo potrebbe risultare utile soprattutto per i siti ad esempio asiatici, da dove è assai improbabile che giunga posta legittima per i propri utenti; più difficile farlo nel caso di grossi ISP italiani.
    Le controindicazioni riguardano la gestione di tale lista. E' infatti praticamente impossibile infatti tenere aggiornata da soli la lista dei server "pericolosi", e non è poi detto che i servizi commerciali e no tipo ORBS seguano le nostre linee su quali siano i siti "cattivi".
  4. Fare controlli sulla posta che arriva da sistemi esterni. Mentre il controllo sul sito da cui arrivano i messaggiè un "tutto o niente", a volte può essere utile verificare il singolo messaggio, a partire dai dati tipo mittente, titolo, formato, numero di recipienti, e sviluppare delle euristiche per rimandare al mittente quelli indesiderati. Purtroppo questo approccio, oltre ad essere pesante computazionalmente, è anche difficile da implementare in maniera ottimale: per evitare di avere troppi falsi positivi, infatti, occorre tenere le maglie del controllo abbastanza larghe. Nondimeno, c'è sempre un sia pur piccolo guadagno finale, applicando tali euristiche.
  5. Fare controlli sulla posta che arriva dal proprio sistema. Per essere buoni cittadini della rete, occorre anche verificare di non allevare le serpi in casa. A parte il controllo per non avere dei relay aperti, sarebbe utile favorire lo sviluppo di più rigorosi e condivisi standard di autenticazione del mittente in SMTP. Purtroppo l'autenticazione completa non è ancora utilzzabile in pratica, perché alcuni mailreader molto comuni, come ad esempio Eudora, non permettono autenticazione multipla.
    Un'altra idea che potrebbe avere un senso è limitare il numero di messaggi spediti da un singolo recipiente in una giornata, soprattutto se non si ha un contratto con tale recipiente (casella free, oppure sotto un altro provider). Di nuovo, questa regola non blocca del tutto lo spam, ma lo rende più difficoltoso, e quindi risulta più improbabile che il nostro sistema venga utilizzato come base.
  6. Infine l'ISP dvrebbe educare i propri clienti, sia con le buone -spiegano loro il perché certe operazioni non si han da fare - che con le cattive, prevedendo la rescissione del contratto in questi casi e passando alle vie di fatto. Tanto un cliente di questo tipo dà più rogne che soldi...

Infine, a livello più alto ancora occorre promuovere per quanto possibile un coordinamento italiano, europeo e mondiale, che operi per coaalizzare gli sforzi per estirpare lo spam. Visto che gli interessi in gioco sono tanti, non è affatto facile arrivare a una soluzione, ma bisogna comunque tentare!

Una nota sulle mailing list: esse devono necessariamente essere configurate in modo che non sia possibile per nessuno essere iscritto a propria insaputa. Quindi occorrerà fare in modo che giunga a chi si vuole iscrivere un'email di conferma, e solo dopo la ricezione di quest'ultima aggiungere l'utente alla lista. Questa email dovrebbe indicare da dove era partita la richiesta, tipicamente una pagina web o una richiesta esplicita dell'utente.

Dato che lo spam è un problema che di rapporti tra persone diverse, e che non si ferma ai confini nazionali, sarebbe assai importante avere leggi dello Stato, e norme interstatali, al riguardo; tali norme non dovrebbero naturalmente nascere da zero, ma di dovrebbero coordinare con lo sviluppo, la ricerca e le proposte degli organismi della Rete.

Caselle "public.nome@dom.in.io" (Giorgio Giunchi) 

Lo spamming tipicamente viola la rete: ne distorce struttura e funzionalità. Il fatto nuovo è che, nella sua corrente mutazione, tende a saldarsi pericolosamente con una obbiettiva e articolata domanda di comunicazione sociale. Da qui la considerazione di un approccio nuovo, che implementi cultura antiabuse e strumenti repressivi nello scenario di un modello condiviso di canali e indirizzi di pubblica corrispondenza.

Tale modello può risultare urgente se si valuta lo spamming strutturale in rischiosa espansione. Se pure il fenomeno viene calcolato come congiunturale, con pronostico di recessione, l'adozione volontaria di uno standard condiviso di public mailing potrebbe comunque risultare utile per la risoluzione della equivoca esposizione pubblico-privata degli attuali indirizzi e-mail.

A fronte di tale processo di normalizzazione potrebbero pure risultare finalmente efficaci le simmetriche strategie repressive su un terreno altrimenti discrezionale, come favorita l'immagine della rete, cui senz'altro lo spamming reca discredito e disaffezione.

La proposta si pone come campagna telematica di coinvolgimento dei soggetti della rete e delle realtà che con la rete interagiscono di fatto e per statuto.

Chi desiderasse approfondire la proposta di una campagna public@ può vedere il sito public.it.

Documenti e siti sullo spam 

Ecco una serie di documenti prodotti da varie persone ed enti, e che trattano dello spam. Possono essere utili letture per fare un complemento a quanto discusso qui.

Due collezioni di ulteriori link si possono trovare nella Appendice B di RIPE-206 (in inglese), e nel sito di Spin.it (in italiano).

Grazie a...  

A parte le sezioni in cui ho indicato il nome dell'estensore, anche molte delle idee contenute in questo documento sono state prese più o meno educatamente (nel senso che a volte le ho sfruttate senza chiedere loro il permesso!) da altre persone. Voglio perciò ringraziare in ordine rigorosamente alfabetico Claudio Allocchio, GianCarlo Ariosto, Marco d'Itri, Enzo Fogliani, Giorgio Giunchi, Alessandro Nosenzo, Ettore Panella, Bruno Piarulli, Alessandro Ranellucci jr per i loro punti di vista, che io sia o no d'accordo con le loro idee!

Appendice: perché lo spam si chiama così? 

Il nome "Spam" deriva probabilmente dal marchio di una carne in scatola americana, passando per uno sketch del Monty Python. Maggiori informazioni si possono ottenere leggendo il capitolo 44 del libro di Giancarlo Livraghi "L'umanità di Internet", oppure l'etimologia del termine da NoSpamWare.

Questo documento è stato redatto da Maurizio Codogno
Versione 1.001, 16 febbraio 2004 - aggiornati i link a public@.
Versione 1.00, 29 marzo 2002