Spin Statistics Server

Un punto di osservazione

Con il duplice fine di mantenere sempre il punto della situazione sullo SPAM e di avere sotto controllo la reale efficienza dei nostri sistemi, abbiamo messo in piedi una serie di meccanismi che consentano di monitorare in tempo reale il flusso delle mail dirette verso Spin e i suoi clienti.

Quello che ne è risultato può fornire dati interessanti (e non sempre così intelligibili) sull'andamento di fenomeni quali l'incremento sensibile e costante del fenomeno SPAM, o fornire indicazioni sul tasso totale di virus in circolazione per la rete.

In breve, ne sta nascendo un piccolo osservatorio contenente dati (a tratti inquietanti) sul rapporto segnale/rumore cui sottostà questo meraviglioso strumento di comunicazione dell'era moderna: l'e-mail.

Questo sito è stato quindi destinato a contenere i dati - più o meno interessanti - che raccogliamo dai nostri sistemi, per metterli a disposizione di chiunque possa essere interessato agli stessi.

Ovviamente, quello che è possibile osservare qui non è - e non può essere - la "verità" sullo stato della e-mail, ma solo un punto di vista, di analisi.
Questo fatto è tutt'altro che irrilevante, dato che la qualità del campione incide in maniera pesante sul tipo di dato ottenuto. Ne è ad esempio riprova il fatto che, essendo i nostri utenti in massima parte locati in Italia ed essendo in buona parte aziende, il traffico "pulito" transitante durante la notte o durante i fine settimana ne risulta molto scarso, portando (come è visibile nei grafici relativi al rapporto spam/totale) le percentuali di reject a livelli molto elevati in questi periodi.
Chiaramente, entità che forniscano servizi a livello intercontinentale e con tipologia di utenza maggiormente variegata otterrebbero dati molto diversi, pur effettuando analoghe misurazioni.

Analizzare poi in maniera sensata una entità come il traffico e-mail ha tutte le limitazioni che può avere una qualsiasi misura quantitativa di un dato qualitativo. Come discernere, ad esempio, ciò che è SPAM da ciò che non lo è?
L'unica definizione su cui possiamo appoggiarci è: "considero SPAM ciò che blocco come tale".

Tutte le ipotesi su cui si basa l'analisi dei dati grezzi vanno pertanto considerate alla luce di questo assunto iniziale, nella speranza che possa rappresentare una approssimazione sufficiente allo scopo, confortata dalla bassa incidenza di falsi positivi rilevata da parte dei nostri clienti.

I grafici e i metodi di analisi

Spam Rejection Detail

La prima domanda cui volevamo fornire una risposta era: "Quanta parte del traffico totale effettivamente fermiamo, e per via di quali regole di blocco?"

Molti dei blocchi attuabili e attuati possono essere effettuati semplicemente tramite l'utilizzo di BlockList pubbliche, quali ad esempio quelle curate da Spamhaus. Altri invece sono il frutto di lavoro svolto in maniera esclusiva all'interno di Spin, come ad esempio la BlockList LOSABL, oppure le regole volte a bloccare mail provenienti da software appositamente realizzati per inviare SPAM, piuttosto che mittenti notoriamente spammer.

Una analisi effettuata sui dati reali dei blocchi avvenuti ci avrebbe permesso di rilevare, pertanto, quale fosse la reale efficacia dei nostri sistemi rispetto a quanto fornito dai sistemi di "pubblico dominio", oltre a darci una stima estremamente precisa di quanta parte del traffico totale stessimo effettivamente bloccando.

Il risultato dei nostri sforzi è pubblicamente accessibile presso questa pagina, sotto forma di una serie di grafici rappresentanti diversi intervalli temporali.
L'analisi è effettuata direttamente sui log dei nostri server esterni, liddove avviene il rifiuto, e viene aggiornata in tempo reale.

L'effetto collaterale principale di questo tipo di analisi è il fatto che la differenza di efficacia tra BlockList che si sovrappongano viene inevitabilmente falsata. Infatti quelle sorgenti di SPAM che risultino essere bloccate da una coppia di liste verranno interamente bloccate dalla prima delle due -in ordine di applicazione-, a discapito dell'efficacia apparente dell'altra.
Nel grafico relativo al dettaglio delle ragioni di blocco qui generato, ad esempio, è palese la enorme differenza di efficacia tra la XBL di Spamhaus e DSBL, sebbene le due liste siano tra loro abbastanza paragonabili in quanto a validità.
La ragione è ovviamente il fatto che XBL è tra le prime BlockList interrogate, mentre per contro DSBL si trova tra le ultime.