Jak fungují značkovače korektní pošty

28. 4. 2010

Sdílet

Snaha o nalezení univerzálního léku na spam, nevyžádanou elektronickou poštu, je stará jako spam sám. Bohužel má několik háčků. Jedním z nich je, že každá technologie se dá nějakým způsobem obejít – zvláště ta masově nasazená v prostředí internetu.

Háčkem je také fakt, že tradičně prvními uživateli antispamových novinek jsou paradoxně právě spammeři.

Při detekci spamu existuje jeden zásadní problém: nevyžádaná elektronická pošta se totiž nedá nějak exaktně definovat. Může nabývat nekonečně mnoha podob, a to podle řady různých předloh (na rozdíl od třeba polymorfních virů, které se musí vždy od nějakého algoritmu odrazit – a jsou tak, byť obtížně, uritým způsobem detekovatelné).

 

Individuální přístup

Navíc vnímání spamu je značně individuální. To, co by mohl ne příliš sofistikovaný filtrační nástroj označit v jednom případě bez váhání jako spam, je v jiném případě každodenní zcela legální práce (třeba medicínské firmy nakládající s podpůrnými prostředky).

Z toho plyne – kromě nutnosti filtr spamu neustále dolaďovat a kontrolovat – logický závěr, že je nutné se v boji s tímto nešvarem zaměřit jiným směrem než na kontrolu samotného obsahu.

Tuto verifikace se ostatně nikdy nepodaří realizovat stoprocentně: jak asi naložit s obsahem, který obsahuje jedinou věc, a to odkaz na video třeba na serveru Youtube? (Že tato reklama pak nabízí téměř legální software nebo skoro pravé značkové hodinky, je věc jiná.)

V době, kdy organizace využívají společenské servery (kam sdílení multimediálních aplikací bezesporu patří) jako naprosto běžný komunikační nástroj, nelze takové odkazy velkoryse zahazovat – ale stejně tak je nelze neméně velkoryse akceptovat.

 

Důraz na odesílatele

Takže pokud se mají tvůrci antispamových řešení zaměřit na něco jiného, než na obsah, zbývá jim analýza odesílatele. Pomiňme nyní různé blacklisty (seznamy zakázaných domén či odesílatelů) či whitelisty (seznamy povolených a domén či odesílatelů), které mají několik omezení - třeba je nutné je neustále aktualizovat – a přitom nikdy úplně aktuální nebudou.

Proto přicházejí na scénu různé technologie, které mají za cíl na vyšší úrovni prověřovat odesílatele e-mailových zpráv. Namísto toho, aby si každý lokální systém udržoval své databáze žádoucích či nežádoucích odesílatelů, je cílem těchto technologií podobné rozhodování převzít na svá bedra.

Když pak přichází e-mailová zpráva, uživatel už na první pohled dle jednoznačného atributu vidí, zda jde, či nejde o spam.

Jednou z takových technologií je DomainKeys, se kterou přišlo Yahoo. Cílem jejího ověření je zajistit, aby uživatel odesílal e-mail z počítače, ze kterého je pro dotyčnou doménu oprávněný zprávy odesílat.

Je to jednoduché a stačí odpovídajícím způsobem nastavit server: není nutné nic konfigurovat u uživatele nebo u každé e-mailové schránky zvlášť.

Samozřejmě nejde o všeřešící technologii. Krom toho, že má určitá omezení plynoucí z jednoduchosti, se nikterak nebrání tomu, aby si spammeři své vlastní servery odpovídajícím způsobem nakonfigurovali a vydávali tak spam za regulérní poštu.

Nejde o to, že by za sebou zanechávali jasnou stopu, neboť tu zanechávají tak jako tak (pokud chtějí prodat, musí mít beztak zpětnou vazbu), jako o skutečnost, že systém proti nim není příliš odolný.

V rámci objektivity dodejme, že dnes se drtivá většina spamu (přes devadesát procent) rozesílá s pomocí tzv. zombie počítačů (tedy těch zpravidla zapojených do botnetů), kde tato ochrana funguje bezvadně.

 

CallerID a SPF

Pak jsou tu ještě technologie označované jako CallerID a Sender Policy Framework (SPF). Vycházejí z logiky, že pokud e-mail splní určité podmínky, není považovaný za spam. Vše ostatní je pak zahazováno. (Ponechme nyní stranou konstatování, že bezvadně by to mohlo fungovat v případě, že na tuto hru přistoupí většina světa a že by opravdu všichni museli hrát podle pravidel. Obě podmínky jsou – jak asi ctěný čtenář uzná – přinejmenším utopistické.)

Z technologického hlediska by to ale byla změna přístupu oproti současné praxi, kdy se hledá nevyžádaná pošta, spam. A pokud není identifikován, je příslušná zpráva elektronické pošty považována za korektní.

Nově by se identifikovaly na základě jasně daných hodnot (doména definuje, které servery smí odesílat e-maily s určitou adresou), zda je to opravdu korektní zpráva. Vše ostatní je dle nastavení spam - buď automaticky nebo pravděpodobně.

Pro technickou podobnost obou technologií vznikla v rámci standardizační organizace IETF skupina MARID, která se měla pokusit je spojit v jeden standard SenderID.

Důvod je logický: čím více serverů jeden typ technologie používá, tím lépe to funguje. Jinak si CallerID a SPF „kradou“ navzájem klienty, a z následné nepřehlednosti mají prospěch jedině spammeři.

 

Jednotný přístup

Vytvoření jednotné SenderID je ale doposud problematické, protože některé její části jsou patentované firmou Microsoft. Ta je sice později převedla pod otevřenou licenci Open Specification Promise, které je kompatibilní se svobodnými a otevřenými licencemi, ale nikoliv s GPL verze 3.x. Budoucnost této společné technologie je tedy každopádně nejistá.

Mimochodem, největší zájem o CallerID a SPF byl paradoxně (svým způsobem ale podle očekávání) mezi spammery. Krátce po uvedení technologií do praxe bylo v červnu 2005 dle průzkumu společnosti MX Logic z Denveru plných 84 procent zpráv ověřených technologií SPF ve skutečnosti spamem. Sender ID dopadl o něco lépe: zde bylo spamem 83 procent e-mailů… Dnes je situace trochu lepší, ale rozhodně nikoliv ideální.

Boj se spamem je zkrátka nekonečným příběhem.

ICTS24

 

Tento článek vyšel v tištěném SecurityWorldu 4/2009.