www.MegaLab.it

Le prime voci sono apparse pochi giorni fa su usenet, ma oggi abbiamo avuto modo di verificarle con prove dirette: il server della posta in uscita di Libero, il principale provider italiano come numero di abbonati, blocca tutte le mail che contengano file eseguibili (.exe) come allegati.

La limitazione, introdotta solamente nei server in uscita (smtp.libero.it), non fa distinzione fra eseguibili "buoni" e virus/worm: la mail viene bloccata in toto, con un messaggio di risposta, solamente in lingua inglese, che esplica cosa sia successo.

La mail ci informa che il messaggio è stato bloccato poiché conteneva un tipo di file non consentito, e ci invita a pubblicare su web, o spedire come archivio zippato, il nostro programma.

È da ricordare che, sebbene non sia il metodo più indicato, il trasferimento di eseguibili come allegato viene sfruttato quotidianamente da migliaia di utenti, soprattutto neofiti che non hanno le conoscenze tecniche adeguate per adottare altre soluzioni.

Desidero spendere qualche parola per sottolineare la totale inutilità di una mossa di questo tipo, almeno per una serie di ragioni:

1) Qualunque sistema utilizzi server smtp non-Libero potrà continuare a spedire virus a proprio piacimento

2) I virus/worm di nuova generazione contengono server smtp direttamente al loro interno, e possono replicarsi anche con questa limitazione, e anche se l'utente ha impostato l'smtp di Libero

3) Un utente deciso a visualizzare un allegato infetto (magari attirato dal nome "PornScreenSaver.exe") lo farà indistintamente, che si tratti di un eseguibile o di un eseguibile all'interno di un archivio zippato.

4) Le mailbox ("posta in arrivo") degli utenti continueranno ad essere sprotette, ricevendo virus ed eseguibili come succede normalmente: la protezione è disponibile solamente come servizio aggiuntivo, naturalmente a pagamento.

5) Alcuni nuovi virus inoltrano solo un indirizzo di una pagina web che, sfruttando alcune debolezze di un sistema operativo non debitamente aggiornato, permette di infettare l'utente: niente allegato per questi malware, quindi niente blocco.

Si tratta, a mio modesto avviso, di una mossa tesa alimitare il carico sulle connessioni del provider, che per ogni spedizione deve fornire connettività sia per l'invio che, qualora il destinatario fosse anch'esso un abbonato Libero, per la ricezione: le epidemie degli ultimi tempi hanno raggiunto dimensioni record, con un numero di macchine infettate drasticamente alto, in grado di farsi sentire come volumi di traffico, anche su strutture leader del settore come Libero Infostrada.

Riportiamo di seguito il messaggio di risposta di Libero nella sua forma integrale.

======================================================================

BANNED CONTENTS ALERT

Our content checker found

banned name: tre.exe

In email presumably from you (), to the following recipient:

-> leo@zanezane.net

Delivery of the email was stopped!

The message has been blocked because it contains a component (as a MIME part or nested within) with declared name or MIME type or contents type violating our access policy.

To transfer contents that may be considered risky or unwanted by site policy, or simply too large for mailing, please consider publishing your content on the web, and only sending an URL of the document to the recipient.

Depending on the recipient and sender site policy, with a little effort it might still be possible to send any contents (including viruses) using one of the following methods:

- encrypted using pgp, gpg or other encryption methods;

- wrapped in a password-protected or scrambled container or archive (e.g.: zip -e, arj -g, arc g, rar -p, or other methods)

Note that if the contents is not intended to be secret, the encryption key or password may be included in the same message for recipient's convenience.

We are sorry for inconvenience if the contents was not malicious.

The purpose of these restrictions is to cut the most common propagation methods used by viruses and other malware. These often exploit automatic mechanisms and security holes in certain mail readers (Microsoft mail readers and browsers are a common and easy target). By requiring an explicit and decisive action from the recipient to decode mail, the dangers of automatic malware propagation is largely reduced.

For your reference, here are headers from your email:

------------------------- BEGIN HEADERS -----------------------------

Return-Path:

Received: from [151.42.62.3] (151.42.62.3) by smtp2.libero.it (7.0.027-DD01)

id 40CB2A0800BA4CD5 for leo@zanezane.net; Tue, 22 Jun 2004 11: 25: 18 +0200

Date: Tue, 22 Jun 2004 11: 24: 57 +0200

From: Gianluigi'Zanè Zanettini

-------------------------- END HEADERS ------------------------------

======================================================================.