Martes, 09/03/2010 @ 05:07 AM
El negocio del SPAM
Hace tiempo que vivo luchando (como administrador de sistemas, esto
es literal) contra el SPAM. Mi pregunta siempre ha sido ¿por qué el
SPAM? ¿De verdad alguien saca algo en claro / provechoso del SPAM?
¿Acaso alguien hace dinero del SPAM?
No creo que haya nadie tan pringado como para comprar Viagra en
sitios web con direcciones super raras porque les llegue un email
vendiendo "V!agra" (para evitar la detección de la palabra por los
sistemas anti-spam), ni tampoco creo que nadie crea que internet
puede alargar su pene, o que la tremenda chica rusa de la foto
quiere realmente encontrar el amor en España. Por no hablar de los
familiares de exgobernantes Nigerianos que tienen que blanquear
dinero en Europa...
Así pues, una marea tan inmensa como el SPAM, tiene que tener algún
fin útil para alguien. Y en este mundo en el que vivimos, "un fin
útil" siempre equivale a pasta.
Así que analicemos... ¿Quién podría sacar dinero de mandar SPAM? Mi
primer hilo de pensamiento siempre me llevó a algún tipo raro de
competencia desleal entre proveedores de correo, puteando a los
demás para vender sus servicios como "el que menos spam tiene en el
mundo". Pero como apenas nadie se vende así (salvo quizá Gmail),
creo que esa no es la razón última.
Durante mis años de lucha anti-spam he usado mogollón de métodos:
desde el más básico (y torpe, pero sencillo) filtrado por palabras
clave en el asunto o el cuerpo del mensaje, hasta los filtros más
complejos de spamassassin, pasando por listas negras distribuidas,
servicios online de listado de "open relays", SPF, Domain-keys,
tácticas de análisis de cabeceras e incumplimientos de
protocolo...
Prácticamente ningún sistema es calificalble de "perfecto". Por
norma general, siempre es difícil colocar el límite entre lo que se
considera aceptable y lo que se considera SPAM. Si te pones muy
estricto terminas rechazando correo legítimo (también llamado HAM,
en memoria de un sketch de los Monty Python), y si no, terminas
recibiendo cantidades asombrosas de correo basura.
Ayer mismo implementé el último sistema anti-spam: las listas
grises. Por definición, una lista negra y una lista blanca se
entienden perfectamente, pero la lista gris es un sistema que se
basa en el rechazo temporal del correo. Este rechazo no es una
devolución, sino una notificación de acuerdo al protocolo de
intercambio de correo que indica al servidor emisor que el servicio
no está disponible temporalmente (aunque lo esté) y le pide que lo
reintente más tarde. Si el servidor que envió el correo está
correctamente configurado y responde al protocolo SMTP, reintentará
el envío diligentemente pasados unos minutos, y entonces nuestro
sistema de lista gris detectará que cumple con el protocolo y
permitirá la entrega, agregando además el par emisor-receptor a una
lista blanca temporal. En la inmensa mayoría de los casos de SPAM,
el servidor usado para enviarlo es un sistema temporal que finge
ser un servidor correctamente configurado, y que por lo tanto no
responde al protocolo. Esto significa que nunca reintentará este
tipo de rechazos temporales, con lo cual el correo jamás será
entregado al pobre receptor.
Después de un día funcionando con este sistema, no he recibido ni
un sólo correo basura.
Pero volviendo al tema anterior, la implementación de las listas
grises me permite deshabilitar uno de los (hasta ahora) más
efectivos sistemas de control de spam: las listas negras
distribuidas. Este tipo de listas negras consiste en empresas que
ofrecen un servicio (algunas de pago, otras -la mayoría hoy en día-
gratis) por el cual identifican servidores de correo (por IP o por
nombre) como ilegítimos, ya sea por ser "open relay", por
pertenecer a un bloque de IPs dinámicas, o incluso por haber
detectado spam desde esos servidores en buzones títere llamados
"spamtrap".
Y si hasta ahora ha sido tan efectivo, ¿por qué querría yo
deshacerme de este sistema? La respuesta está directamente
relacionada con el asunto de este post. Ya sé quién hace dinero del
SPAM: las empresas anti-spam. El modelo de negocio es tan sencillo
y lucrativo como el de las empresas anti-virus: ¡tú mismo puedes
crear tu propia demanda!
Hace tiempo me encontré con que una de las empresas más relevantes
de distribución de listas negras había incluído mi servidor en una
de sus listas. El motivo resultó ser que otro servidor que está en
la misma red que el mío ha enviado repetidamente spam a direcciones
de "spamtrap". Su política consiste en listar todo el bloque de red
IP como culpable del SPAM (en lugar de sólo la IP del servidor que
envió el SPAM).
Para que nos entendamos, esto es como si un ciudadano de un país
árabe atenta contra un país occidental, y automáticamente todos los
controles de seguridad consideran culpable a cualquier
árabe/musulmán que vean. Ah, coño, que esto también se hace en la
realidad... ¿Acaso es justo? ¡Paguemos todos por los pecados del
vecino!
Cuando solicité que me sacaran de la lista negra, la empresa me
indicó que su política es inalterable, y que aunque saben que mi
servidor nunca ha enviado SPAM, no van a sacarme de la lista hasta
que mi proveedor se ponga en contacto con ellos. Pero la cosa no
acaba ahí, no... porque, ¿de qué vive esta empresa (SORBS)? Pues
este es el final de toda la cadena: SORBS impone a los proveedores
de internet un sistema de "multas" por el cual deben PAGAR a SORBS
para eliminar sus IPs de sus listados. A mayor reincidencia, mayor
multa.
¿Qué implica esto? Para el proveedor, que sus IPs (por las que paga
una pasta) están injustamente incluídas en listas negras de SPAM,
por lo cual no podrán venderlas a sus clientes, sin entrar en el
aro de pagar el impuesto revolucionario de la lista negra. Para el
usuario como yo, esperar indefinidamente hasta que mi proveedor se
decida a pasar por el aro, o cambiar de proveedor.
Lo peor de todo es la terrible sospecha de que el propio intersado
en crear su propia demanda podría sin ningún problema, contratar un
servidor en mi proveedor, configurarlo deliberadamente para ser
usado como spam, y hacer que la rueda gire, y la caja siga
sumando...
Y este tocho, amiguitos, es para ilustraros sobre por qué nada es
gratis en el mundo y cómo nos torean y putean sistemáticamente para
hacer caja a nuestra costa. Yo, mientras tanto, seguiré pagando a
mi proveedor la cuota mensual del servidor, aunque mi correo no
funcione bien porque está en una lista negra.
¿A que mola?
-kali dixit, kali drinkit- |
[enlace
permanente] | Categoria:
general