Mail server su Alice ADSL e Spamhaus: ecco la soluzione ai problemi di DNS!

8 luglio 2008, scritto da Matteo

Qualche giorno fa, improvvisamente, il mio server di posta aveva iniziato a rifiutare tutte le mail in arrivo: Da un momento all’altro, le DNSBL di Spamhaus (ma anche qualunque altra abbia provato ad utilizzare) segnalavano la posta in ingresso come spam. All’inizio ho pensato a qualche mio errore di configurazione (anche se è strano che un sistema cambi di colpo il suo comportamento) e ho disabilitato temporaneamente i filtri antispam, in modo da ricevere almeno la posta.

Avevo subito notato una particolarità nei log: le mail legittime, ma scartate per errore, non avevano il campo “reason”, che punta all’indirizzo web in cui trovare il motivo per cui l’indirizzo IP in questione è iscritto alle liste di Spamhaus.

Grazie all’aiuto del buon Gervystar, ho capito che il problema stava in qualche modo nei DNS, anche se apparentemente tutto funzionava a dovere tranne la consultazione delle liste antispam. Mi sono quindi documentato sul funzionamento delle DNSBL e ho capito che il problema era effettivamente nei DNS, ma in quelli che Alice fornisce agli utenti ADSL.

Cos’è e come funziona una DNSBL

Una DNSBL non è altro che una lista di indirizzi IP in cui vengono inseriti gli indirizzi delle fonti di spam: affinchè funzionino bene, devono essere costantemente aggiornate. Spesso contengono anche i blocchi di indirizzi assegnati dai provider come IP dinamici agli utenti dialup o ADSL, che grazie a worm o configurazioni fatte alla pene di segugio si trovano ad essere fonti inconsapevoli di tonnellate di spam.

Un server di posta, nel momento in cui vuole utilizzare una DNSBL come filtro antispam per le mail in arrivo (o in transito verso altri server), si comporta in questo modo:

recupera l’indirizzo IP da cui proviene la richiesta
controlla se questo indirizzo è presente nella/e DNSBL impostate
se presente scarta il messaggio, altrimenti procede con l’elaborazione

Il controllo avviene in maniera analoga a una normale query DNS (per questo le liste vengono chiamate DNSBL: DNS Blackhole List). Partendo dall’indirizzo IP da controllare (aaa.bbb.ccc.ddd) e dalla zona DNS assegnata alla lista (lista.antispam.tld), si ricava l’hostname su cui fare una normale richiesta DNS sul record di tipo A. Nell’esempio considerato, l’hostname da controllare sarebbe:

ddd.ccc.bbb.aaa.lista.antispam.tld

La richiesta DNS può avere due esiti:

Host inesistente: l’indirizzo in questione non è elencato come fonte di spam;
Indirizzo ip del tipo 127.0.0.X: l’indirizzo è elencato come fonte di spam. L’ultimo byte (X) dell’IP restituito rappresente un codice che rappresenta il motivo per cui è elencato come tale.

Nel caso specifico, per controllare l’IP 87.4.233.209 (uno degli indirizzi IP che Telecom mi ha assegnato ultimamente) su Spamhaus (zen.spamhaus.org) bisogna utilizzare questa query DNS:

mbg@mercury:~$ dig +short 209.233.4.87.zen.spamhaus.org
127.0.0.10

Come si può vedere, trattandosi di un indirizzo IP dinamico assegnato a utenti ADSL casalinghi (io, nella fattispecie), è indicato come fonte di spam. Il significato del codice di risposta (10, in questo caso) è variabile da gestore a gestore: nel caso di Spamhaus, è disponibile una comoda tabella.

I DNS mal configurati di Alice ADSL

Negli ultimi giorni, per via di una maldestra iniziativa commerciale, i server DNS (non so se tutti o solo alcuni) che Alice ADSL assegna ai suoi utenti si comportano in modo anomalo: se si richiede un hostname inesistente, anzichè rispondere che l’host non esiste restituiscono l’indirizzo IP 212.48.8.140.

Perchè tutto questo? Semplice, quell’indirizzo IP corrisponde a un server Web che mostra una pagina di ricerca di Virgilio, motore di proprietà di Telecom Italia. Per cercare di recuperare un po’ di svantaggio da Google, i geni del marketing di Telecom Italia hanno pensato di stravolgere la logica di funzionamento di un server DNS. Ne hanno parlato in molti e nessuno sembra contento della cosa:

Ad onor del vero, bisogna dire che anche OpenDNS fa cose simili, pur con altre finalità.

Problema con DNSBL e server DNS di Alice ADSL

In un primo momento non avevo collegato le due cose, ma poi il problema è diventato ovvio. Affinchè un messaggio in arrivo sia considerato valido dal mio mail server, la query DNS sulla lista antispam non deve fornire risultati. Se il DNS di Alice fornisce in ogni caso un risultato (l’IP del server di Virgilio, nel caso in cui l’host sia inesistente), si può capire come mai tutte le mail entranti venissero bloccate.

La soluzione? Utilizzare il DNS già presente e configurato sul mio server. Per una mia leggerezza, tutte le macchine della rete lo usavano già, ad eccezione del server stesso. Mi è bastato disabilitare l’impostazione automatica del DNS e inserire “nameserver 127.0.0.1” in /etc/resolv.conf per avere tutto nuovamente funzionante. Con robuste e meritate imprecazioni a chi, in Telecom, ha avuto questa brillante pensata.

Giocare con i DNS è male

Nel 2003 Verizon utilizzò una tecnica simile, chiamata Site Finder, per mostrare agli utenti pagine pubblicitarie e portarsi in vantaggio sulla concorrenza nella registrazione dei domini. Il sistema, sommerso dalle proteste, rimase attivo per una quindicina di giorni. Quello di Telecom Italia è in funzione da una settimana: con tutta probabilità resterà attivo per un bel po’ di tempo e verrà visto come una funzionalità anzichè come il problema tecnico che è in realtà.

Ti è piaciuto l'articolo, eh? OFFRIMI UNA BIRRA! (è sufficiente essere iscritti a Paypal o avere una carta di credito, anche Postepay)

Condividi :

Categorie: adsl, alice, dns, fastidio, mail, server, spam, spamhaus, telecom, tuxfeed

Articoli consigliati...

15 commenti per questo articolo

08/07/2008, 10:30Gionni (permalink)

Ah ROTFL, non avendo telecom non sapevo che anche loro avessero realizzato sta merdata sui propri dns, quindi involontariamente col mio riferimento su OpenDNS o simili che non funzionano con le RBL c’avevo azzecato

beh, l’importante è aver risolto
08/07/2008, 11:41Matteo (permalink)

@Gionni:
Esatto. Ci ho pensato solo dopo a questo fatto, accidenti…
08/07/2008, 14:39klingsor (permalink)

la stessa cosa la fa fastweb, siamo in buone mani…
08/07/2008, 20:25uguccione500 (permalink)

…io ho semplicemente messo i dns 151.99.125.2 e 151.99.125.3 e magicamente telecozza e il suo servizio delle balle sono spariti dal mio pc…

E pensare che i dns citati sono di abbonamenti interbusiness, quindi sempre di telecozza…

BAH!
08/07/2008, 23:41Matteo (permalink)

@klingsor:
Pure Fastweb? Sarebbe interessante, a questo punto, capire quali server DNS si comportano in modo strano. Giusto per sapere cosa evitare.

@uguccione500:
Infatti, il consiglio “finale” è di cambiare DNS. Usarne uno proprio aiuta le prestazioni, per il resto va bene uno qualunque. A patto che non faccia giochetti strani.
09/07/2008, 04:07Traffyk (permalink)

Ciao Matteo, grazie mille per il link ad ItalianBloggers. Volevo avvisarti che tuttolinux ha copiato integralmente il tuo articolo:
http:// www . tutto-linux.com/703-mail-server-su-alice-adsl-e-spamhaus-ecco-la-soluzione-ai-problemi-di-dns.html

Non so se possa farti bene una copia speculare Salutoni
09/07/2008, 08:51Chiavix (permalink)

GRANDE ADMIN e CELEBRE BLOGGER!
09/07/2008, 09:29Pino (permalink)

Domanda,
ma per un servizio che reputi fondamentale, di lavoro, professionale, usi i dns di ALICE?
cioe’ fai tutto il figo e poi usi un sistema per l’utente residenziale?
ma dai, non fatemi ridere.
Oh, ma interbusiness, utenza professionale, non e’ afflitta da questi problemi, o mio dio!
Ma allora non sono io il deficente, ma chi pensa di usare cose professionali, quando queste sono pensate per il grande pubblico.
Quanta pochezza.
09/07/2008, 09:36Matteo (permalink)

@Pino:
Talmente “di lavoro” che ospita le 4 caselle @matteomoro.net esistenti, tra cui la mia. Siccome gradirei non essere invaso da spam (oltre che per un sacco di altri buoni motivi) è bene che Telecom non pieghi il funzionamento standard dei servizi web al suo comodo.

Che poi non sia cosa buona mettere un mail server su IP dinamico, l’ho scritto fin dall’inizio. Ma questo è un altro discorso.
09/07/2008, 09:39Pino (permalink)

Oh, quindi hai un sito con una connessione alice residenziale.
Scusa.
09/07/2008, 10:20Matteo (permalink)

@Pino:
Quindi fai tutto il figo e poi non distingui un record A da un MX?

Il mail server sta a casa, su ADSL. Il web server sta nella sua bella server farm, in tutt’altro luogo. Per la cronaca.
10/07/2008, 16:58Pino (permalink)

Mhhh che centra la distinzione tra record?
analizzando cosa ha fatto Alice, tratta solo i record A…
L’unico mio appunto è sul fatto che se vuoi essere serio, utilizzi tutti gli strumenti seri.
Se usi una cosa residenziale “accetti” che non potrai usare un sistema professionale.
Da notare che questo sistema, succede su alice residenziale e non su interbusiness, professionale.
Se poi dobbiamo discutere se e’ bello, brutto, lecito illecito ok.
Ma leggendo trovo solo gente che si lamenta perche’ una cosa che ritiene professionale la fa girare su sistemi residenziali…
cioe’, il problema sta altrove, e prima di arrivare ai dns “farlocchi” ce ne passa…
Anche perche’ in italia si applica una censura (si censura vera e propria) sui dns… ma non vedo blog che si alzano a discutere se e’ bene o male…
Io direi che il sistema per quanto brutto, non e’ cosi’ male come lo si dipinge.
Si parla di violazione di privacy (non te, ma altri “bloggher”) mentre in italia per avere dei dati sensibili bisogna fare i salti mortali… la tripletta ip-data-url non puo’ essere memorizzata se non facendo una serie di operazioni atte a garantire la privacy appunto…
Ma le pulci a google qualcuno le fa? Il fatto che tiene traccia di tutto cio’ che TU fai, non è altrettanto preoccupante?
E’ brutto quello che ha fatto Telecom, certo.
E’ sfruttamento della posizione dominante?sicuramente…
Ma i vari browser come IE? perche’ con ie quando sbaglio vado su msn?
Non e’ una violazione di predominanza?
10/07/2008, 17:06CDF (permalink)

Uei ciao “esperto”, guarda cosa ho trovato qui:
http://www.repubblica.it/2007/10/sezioni/economia/telecom-anatel/protesta-autosearch/protesta-autosearch.html

Mi fai un autografo?
10/07/2008, 18:46Matteo (permalink)

@CDF:
Anche celebre, non solo esperto! Dove lo vuoi, l’autografo?
10/07/2008, 18:55Matteo (permalink)

@Pino:

Mhhh che centra la distinzione tra record?

C’entra nel momento in cui scrivi “quindi hai un sito con una connessione alice residenziale“, supponendo questo dal fatto che il mail server sta su quel tipo di linea.

L’unico mio appunto è sul fatto che se vuoi essere serio, utilizzi tutti gli strumenti seri.

Dev’esserci qualcosa di poco chiaro in “talmente di lavoro che ospita le 4 caselle @matteomoro.net esistenti“.

Ho anch’io un appunto da fare: un provider, per i servizi non-business, ha forse il diritto di stravolgere le logiche di funzionamento dei DNS? Perchè è questo che sta facendo Telecom, nè più nè meno. Forse (legalmente parlando) il diritto anche ce l’ha, ma quale credibilità, perlomeno tecnica, pensa di avere chi fa queste cose?

Un mail server su IP dinamico non è buona cosa (l’avrò scritto almeno 3 volte negli ultimi 10 giorni), ma nè questo nè altri sono motivi validi per giustificare il genio del marketing che, in Telecom, ha avuto questa pensata.