Attualmente il volume di posta elettronica entrante sulla rete di un provider di medie dimensioni è composto in modo approssimativo da 24% di messaggi legittimi e 76% spam. [1]

Il problema principale di tutti questi fornitori è come filtrare lo spam senza perdere messaggi leggittimi e come garantire il deflusso delle code dei server mail senza che i filtri anti-spam rallentino il processo di consegna. Oltre al problema tecnico, i fornitori di hosting e domini devono tener conto anche dell'impatto economico dell'infrastruttura, per poter garantire un prezzo concorrenziale al servizio di posta elettronica. Come risposta al fenomeno, HostingSolutions, uno dei leader tra i fornitori di web hosting italiani, ha creato un proprio processo di gestione del traffico di posta, certificato secondo gli standard UNI EN ISO9001, denominato Clean Mail.

Clean Mail adotta una protezione a tre livelli, descritti nei paragrafi sottostanti.

Secondo le ultime statistihce circa 200 spammer, tra l'altro ben noti anche alle autorità di competenza, causano l'80% dello spam che arriva verso i nostri server, quindi verso le vostre caselle. Non bloccare in modo efficace questi spammer può causare il riempimento delle caselle o il crollo dei server anche se dotati di hardware molto potente.

La difficoltà maggiore per bloccare gli spammer è il fatto che essi cambiano continuamente sia la loro locazione sia le loro tecniche di diffusione dei messaggi illeciti. Tuttavia, gli indirizzi IP dai quali lo spam proviene è identificabile, quindi, è possibile generare delle tabelle con le liste dei sorgenti dai quali proviene lo spam. Una volta che si dispone della "block list" sarà possibile verificare l'origine di ciascun messaggio ancor prima che questo sia inserito nella coda del server di posta. Per un maggiore efficienza CleanMail usa server DNS propri con le liste DNSBL aggiornate in tempo reale.

Livello 1

Nel primo livello, tramite proxy di content filtering, è controllato l'oggetto è il contenuto di ciascun messaggio allo scopo di individuare e-mail scam noti. Sono inoltre controllati ed individuati i messaggi contenenti allegati con estensione e formato MIME potenzialmente dannosi. I dannosi rilevati in questa fase saranno rifiutati prima di essere recapitati ai server di posta, evitando di inserire nelle code dei server quasi metà dei messaggi illeciti.

Livello 2

Nel secondo livello è ontrollata l'identità del server che invia il messaggio. Al momento di connessione SMTP del server mittente, il nostro mail relay controlla i dati di questo e lo confronta con le block list SBL (Spamhaus Block List) e XBL (Exploit Block List). [2] A questo livello è bloccata l'altra grossa parte dei messaggi spam, circa il 34% del traffico di posta entrante, composto da 8% di messaggi provenienti dalla lista SBL e 26% dalle liste XBL. [3] La posta in ingresso da server elencati sulle liste SBL-XBL sono rigettati nella fase RCPT TO, terminando in questo modo la transazione SMTP prima della ricezione del corpo del messaggio.

Questo riduce di un terzo il traffico in ingresso e la conseguente coda di posta ed è un metodo molto sicuro ed efficace per il filtraggio di messaggi, in quanto un eventuale errore di un mittente leggittimo questo viene notificato sia sul mancato recapito del suo messaggio, sia sulla causa del rigetto e su chi deve contattare per la sua risoluzione. [4]

Livello 3

Oltre l'87% dei messaggi spam includono l'URL dove risiede il sito web. Gli spammer potranno trovare nuovi indirizzi da cui spedire, ma devono comunque pubblicizzare un sito che da qualche parte è ospitato. Gli indirizzi IP dei siti dei spammer sono inclusi nelle liste BL. [5] Il terzo livello è quindi quello di controllare il rimanente 31% di messaggi che hanno passato i primi 2 livelli, cercando nei messaggi gli URL (indirizzi di siti web) e confrontare gli indirizzi degli host con la lista BL. Questo passo identificherà circa 5% dei messaggi recapitati nelle caselle come spam.
La parte rimanente di spam, infine, è rilevata mediante altri fitri, come i filtri DCC o Baesiani. In questo livello intervengono filtri AntiVirus che controlleranno anche gli allegati che non sono di formato MIME potenzialmente dannosi, quindi hanno già passato i livelli precedenti.
I messaggi individuati in questo livello saranno comunque recapitate alle caselle di posta, ma potranno essere identificate e contrassegnate secondo specifici criteri impostati dall'utente.

[1] Statistiche: MessageLabs.

[2] SBL (Spamhaus Block Liste) e XBL (Exploit Block List)

• La lista SBL è un database di indirizzi IP di sorgenti spam identificati e verificati, che include spammer individuali, gruppi di spammer e fornitori di servizi per spam. La lista è mantenuta dallo Spamhaus Project Team. Per dettagli visitare www.spamhaus.org
• La lista XBL è un database generato in tempo reale contenente indirizzi IP caratterizzate da exploit illegali tra cui proxy aperti (HTTP, socks, AnalogX, wingate, etc), worm/virus con motore spam integrati e/o altri tipi di exploit troiani. La lista include gli indirizzi di CBL, BOPM e NJABL.
  Dettagli su queste liste agli indirizzi:
  - CBL (Composite Block List) da cbl.abuseat.org
  - BOPM (Blitzed Open Proxy Monitor) da opm.blitzed.org
  - NJABL open proxy IP da www.njabl.org.

[3] I risultati potranno variare secondo la tipologia di attività dei domini di posta ospitati sul server.

[4] Al mittente è inviato un messaggio di testo (TXT) con l'URL al record esatto dove è spiegato il motivo per il quale il server di posta da lui utilizzato per l'invio è bloccato e a chi deve rivolgersi per risolvere la questione.

[5] URL nelle SBL: un test effettuato da SpamHaus su 750 messaggi di smap nel dicembre 2006 utilizzando la caratteristica "URIBL_SBL" di SpamAssassin 3.0, 658 messaggi (equivalenti all'87.73%) contenevano url di siti di spammer i cui IP erano presenti nella lista SBL.