Come regola generale, se sembra spam allora è spam. Gli strumenti automatizzati possono essere sconfitti, ma un cervello umano (il mio, in questo caso) è più difficile. Il software antispam è utile per eliminare automaticamente la maggior parte degli spam, riducendo il problema a una dimensione in cui il filtraggio umano è tollerabile. In effetti è relativamente facile identificare lo spam pericoloso perché per essere pericoloso, lo spam deve avere un qualche aggancio: un link cliccabile a un dominio dall'aspetto funky, un file eseguibile allegato (o archivio Zip contenente un eseguibile) ... Gli spam ambigui sono quindi gli spam (o non spam) che sono per lo più innocui.
Per esempio una volta ho ricevuto uno spam il cui corpo completo era puro testo (nessuna versione HTML, nessun file allegato, solo testo ASCII) e consisteva in una sola parola: "Theravada". Questo è il nome di un ramo del buddismo quindi l'unico effetto potenziale di quello spam potrebbe essere stato quello di aiutarmi a raggiungere l'illuminazione, che non categorizzo come pericoloso.
Il problema, qui, è che il filtraggio delle e-mail richiede un cervello che sia ben consapevole di come, tecnicamente, una determinata e-mail possa danneggiare una macchina, quindi funziona solo per me o per qualsiasi altro specialista di InfoSec, non per utenti generici. (Inoltre, non leggere le e-mail mentre si è ubriachi). Ciò sottolinea anche il fatto che i filtri antispam non sono mai assoluti, soprattutto perché si basano sull'euristica a cui gli spammer si adattano continuamente; al meglio , le buone regole contribuiranno a ridurre la quantità di spam ai totali gestibili dall'uomo.
In un sito generico, un compromesso praticabile potrebbe essere il seguente:
- Utilizza strumenti "normali" come SpamAssassin per bloccare il 90% di "ovvi spam".
- Utilizza le whitelist per inviare automaticamente email provenienti da fonti conosciute. Ciò solleva la questione se una "buona fonte nota" possa essere impersonata; DKIM può aiutarti (ad esempio se un messaggio di posta elettronica è garantito, tramite DKIM, da un determinato server e quel server è stato inserito nella whitelist, quindi lascia passare l'email).
- Lascia passare le email che sono "ovviamente" innocue. Questo è relativo al livello di preparazione degli utenti; una e-mail ASCII pura può ancora chiedere all'utente di inviare la sua password a [email protected], e se i suoi utenti si innamoreranno di esso, allora nessuna email può essere considerata "ovviamente innocua".
- Tutte le e-mail rimanenti possono essere accumulate in una zona di quarantena, per essere ispezionate da persone esperte.
L'ispezione umana delle e-mail può avere implicazioni legali in merito all'aspettativa di riservatezza delle comunicazioni; anche in un contesto aziendale è necessario accertarsi che tutte le politiche e le clausole contrattuali pertinenti siano "legalmente pulite".
Ci sono molte aziende là fuori che vendono e / o gestiscono sistemi anti-spam, quindi possiamo dedurre che sconfiggere completamente lo spam non è probabilmente una cosa facile da fare.