Prace nad standardem Sender ID zostały wstrzymane na skutek niesnasek polityczno-licencyjnych. Dzięki temu opóźnieniu ostateczna wersja standardu będzie jednak doskonalsza.

Prawie się udało. Jeszcze na początku września wydawało się, że kompromis jest możliwy i że już wkrótce świat ujrzy uniwersalny z punktu widzenia technologii, powszechnie akceptowany standard identyfikacji nadawcy elektronicznego listu. Taki standard jest potrzebny, by ukrócić zjawiska, takie jak natrętna korespondencja handlowa (spam) czy listy ze zwodniczymi propozycjami adresowane do niedoświadczonych użytkowników Internetu (phishing). Bez mechanizmów identyfikacji nadawcy korzystanie z poczty elektronicznej jako narzędzia biznesowego przestaje powoli mieć sens.

Prace nad standardem weryfikacji tożsamości nadawcy (Sender ID) stanęły w martwym punkcie. Na przeszkodzie jednolitego standardu stanęły kwestie związane z prawami własności intelektualnej Microsoftu oraz nieprzejednane stanowisko środowiska open source. Pomimo chwilowego spowolnienia standaryzacji, konsensus jest możliwy. Nowa, udoskonalona specyfikacja zwana roboczo Unified SPF godzi sprzeczne oczekiwania, dając operatorom usług pocztowych elastyczność w definiowaniu wymagań odnośnie do zasad weryfikacji tożsamości nadawcy poczty.

Niejasne patenty

W marcu donosiliśmy (CW 11/2004), że duże firmy związane z Internetem przymierzają się do stworzenia zabezpieczeń przed nadużyciami związanymi z pocztą elektroniczną. Propozycje przedstawione przez AOL Time Warner, Microsoft, Pobox.com oraz Yahoo! miały doprowadzić do stworzenia pod egidą IETF uniwersalnej specyfikacji standardu, który byłby możliwy do zaakceptowania zarówno dla operatorów infrastruktury internetowej, jak i dostawców oprogramowania oraz oczywiście dla użytkowników systemów pocztowych.

Sender ID miał łączyć propozycje Pobox.com (SPF - Sender Policy Framework) oraz Caller ID Microsoftu. Próba standaryzacji zakończyła się, niestety, fiaskiem. Przed zatwierdzeniem ostatecznego kształtu specyfikacji Microsoft poinformował, że niektóre z zapisów mogą naruszać jego prawa własności intelektualnej, będące przedmiotem wniosku złożonego w urzędzie patentowym. Nie byłoby w tym nic nadzwyczajnego (wiele standardów uzgadnianych w ramach komitetów IETF w przeszłości uwzględniało patenty), gdyby nie fakt, że firma unika wyjaśnień, czego konkretnie wniosek patentowy dotyczy. Wiadomo jedynie, że ma on związek z algorytmem PRA (Purported Responsible Address), który w Caller ID odpowiada za weryfikację zgodności adresu e-mail z adresem IP nadawcy.

Takie stawianie sprawy musiało budzić podejrzenia. Po pierwsze - ze względu na moment, w którym informacja została podana, niedługo przed planowanym zamknięciem wstępnej specyfikacji. Po drugie - w kontekście tego, od kogo wyszła. Po trzecie - ze względu na ewidentny brak jasności intencji Microsoftu. Po czwarte wreszcie, z uwagi na powszechny charakter usług, których specyfikacja Sender ID miała dotyczyć oraz ich fundamentalne znaczenie dla użytkowników. Piąta kwestia to sposób, w jaki Microsoft sformułował warunki licencyjne dla PRA.

Na to zgody nie ma

Największa dyskusja rozgorzała właśnie wokół sprawy licencji. Microsoft chciał, aby licencjobiorcy rozwiązań PRA - głównie firmy zajmujące się tworzeniem oprogramowania pocztowego - udzielały licencji swoim klientom w formie sublicencji Microsoftu. Licencja miałaby być wprawdzie bezpłatna, jednak zabraniałaby redystrybucji oraz modyfikowania funkcjonalności objętej licencją bez wcześniejszego bezpośredniego skontaktowania się z Microsoftem.

Taka konstrukcja prawna w odniesieniu do czegoś, co w założeniu miałoby być używane powszechnie, byłaby korzystna wyłącznie dla Microsoftu, zabójcza zaś dla wszystkich jego konkurentów w dziedzinie oprogramowania pocztowego. Microsoft trzymałby w ręku standard, mając przemożny wpływ na jego dalsze losy. Do tego, chcąc stworzyć rozwiązania konkurencyjne, inni producenci musieliby wcześniej informować Microsoft o swoich zamiarach godzących w długookresowe rynkowe powodzenie jednej z jego technologii.

Członkowie komisji stwierdzili, że standard powszechny nie może opierać się na technologiach, których status prawny nie jest do końca jasny. Zaproponowano wstępny schemat sprawdzania tożsamości, który wykorzystywałby algorytm PRA jako opcję. Nie satysfakcjonowało to jednak ani Microsoftu, ani operatorów sieci, ani środowiska open source. "Pomiędzy uczestnikami grupy roboczej zaistniały fundamentalne różnice zdań" - napisał w komentarzu kończącym działalność grupy MARID Ted Hardie, dyrektor odpowiedzialny w IETF za aplikacje.

Domysły i uprzedzenia

Dla środowiska open source sama konieczność licencjonowania kodu bez możliwości swobodnej modyfikacji była dostatecznym powodem do stanowczego "nie". Według zwolenników wolnego kodu, opór prawników Microsoftu to dowód na to, że firmie tak naprawdę nie zależy na uniwersalnym standardzie, czyli na czymś, co byłoby dobrem ogólnym. Trudno o tym wyrokować, choć Redmond zapewne widziałoby się chętniej w roli włodarza standardu de facto. Gdyby jednak sprawy rzeczywiście poszły w tę stronę, monopol Microsoftu w dziedzinie rozwiązań pocztowych byłby jeszcze silniejszy i jeszcze głębiej zakorzeniony, niż w przypadku przeglądarek WWW.

Idąc tym tropem, można by wysnuć jeszcze jedną teorię. Wcale nie tak dawno głośno było na temat .Net Passport - uniwersalnej metody uwierzytelniania - jak reklamował ją Microsoft. Passport nie przyjął się powszechnie z różnych względów, a jednym z nich była obawa co trzeźwiejszych klientów, że kontrola nad tożsamością daje w praktyce ogromną władzę marketingową i handlową. Trudno nie zauważyć, że na bazie bezsprzecznej weryfikacji adresu e-mail można relatywnie łatwo zbudować system uwierzytelniania - tym skuteczniejszy i potężniejszy, że wspierany na poziomie szkieletowych serwerów DNS.

Nie wszyscy byli jednak zatwardziale przeciwni licencjonowaniu PRA, np. Sendmail - firma, której serwery pocztowe zarządzają większością skrzynek pocztowych na świecie, podpisała z Microsoftem umowę licencyjną na technologię PRA, podobnie zrobiło jeszcze kilka mniejszych firm. Z punktu widzenia firmy komercyjnej sytuacja rzeczywiście może wyglądać atrakcyjnie, zwłaszcza że presja klientów na redukcję spamu jest bardzo silna.

Nie ma tego złego

Szkoda, że merytoryczne prace nad kształtem nowego standardu zostały zdominowane przez kwestie licencyjne i niesnaski natury "politycznej". Być może jednak dobrze się stało - standard uzgadniany na siłę i w warunkach "technologicznego fundamentalizmu" mógłby nie zyskać powszechnego wsparcia. Powstały obecnie impas uda się zapewne zażegnać - ukrócenie spamu jest przecież w interesie wszystkich. Pobox.com ma już gotową specyfikację Unified SFP - poprawioną wersję oryginalnej propozycji SPF uwzględniającą różne metody sprawdzania tożsamości nadawcy jako opcje (patrz ramka).