Osservare i log di un antispam può riservare molte soprese prima fra tutte il fenomeno consolidato dello spoofing delle caselle di posta. Una delle tattiche più utilizzata dagli spammer è quella di spoofare un indirizzo ip dietro un account di posta Gmail. Questo perchè sulla quasi totalità dei filtri, data la grande attenzione che Google pone alla lotta contro lo spam, le connessioni dai server di Gmail vengono accettate con grande piacere. Guardate con attenzione questa riga di log :
May-06-11 13:24:35 m-30468-34404 88.208.223.37 <wangshu.shu00@gmail.com> to: amministrazione@dominio.it
L’indirizzo ip di provenienza della connessione SMTP è 88.208.223.37 mentre la maggior parte sa che gli indirizzi ip dei server di posta di Gmail sono generalmente il 74.125.79.83, il 74.125.79.19 ed il 74.125.79.18. Cosa significa? Che lo spammer ha tentato di darla a bere al filtro antispam cercando di ingannare il controllo presentandosi come un account di posta Gmail. L’indirizzo ip 88.208.223.37 appartiene invece a FASTHOSTS-UK-DS-NETWORK ed il messaggio ricevuto proviene da un server che non è quello di Gmail bensì uno tra i milioni di macchine compromesse ed utilizzate per inviare spam.
