Nowe technologie antyspamowe kładą nacisk na uniemożliwienie anonimowego wysyłania korespondencji masowej.

Producenci oprogramowania pocztowego i dostawcy usług internetowych przez lata bagatelizowali problem niechcianej korespondencji. Teraz, gdy drobna niedogodność stała się nieznośną plagą, obserwujemy pospieszną łataninę polegającą na instalowaniu tzw. filtrów antyspamowych, organizowaniu "czarnych list" adresów wykorzystywanych przez spamerów itd. Czy na dłuższą metę takie podejście wystarczy?

Obserwując dotychczasowe "sukcesy" tego oprogramowania, wypada stwierdzić, że raczej nie. Na przykład wg badań przeprowadzonych niedawno przez Hotmail, aż 70% listów elektronicznych otrzymywanych przez użytkowników tego serwisu można zakwalifikować do kategorii spamu, i to mimo że w systemie są zainstalowane mechanizmy filtrowania korespondencji. Filtry to zatem jedynie leczenie objawowe choroby, której przyczyny leżą głębiej. Dzięki nim schorzenie można wprawdzie nieco zaleczyć, ale pacjent wciąż jest daleki od pełnego zdrowia.

Wśród użytkowników poczty elektronicznej narasta świadomość, że w dziedzinie bezpieczeństwa usług pocztowych musi nastąpić radykalny przełom, kładący kres ręcznemu czy nawet półautomatycznemu filtrowaniu wiadomości. Spamerzy mają dużą motywację ekonomiczną do kontynuowania swojego procederu, a sprawę ułatwia im niedoskonałość technologii leżących u podstaw systemów pocztowych oraz fakt, że ofiary spamu są rozproszone. Na szczęście pojawiają się sygnały, że być może już wkrótce będziemy świadkami rewolucji w tej dziedzinie.

Niedostatki SMTP

Rozwiązanie problemów z niechcianą korespondencją nie będzie łatwe. Najpopularniejszy dziś protokół do obsługi transmisji listów e-mail - SMTP (Simple Mail Transfer Protocol) powstał ponad 20 lat temu i był przeznaczony do obsługi kilku tysięcy użytkowników korzystających zaledwie z kilkuset serwerów poczty elektronicznej. Nie było wówczas robaków ani koni trojańskich i nikomu nie przyszło do głowy, że ktoś mógłby modyfikować format listu, fałszując adres nadawcy, jak to obecnie masowo robią spamerzy.

Kluczową sprawą jest to, że w protokole SMTP nie istnieją mechanizmy umożliwiające weryfikację nadawcy przez adres pocztowy i adres IP - w obu przypadkach podszywanie się pod tożsamość kogoś innego nie stanowi większego problemu. Właśnie w związku z tym na rynku pojawiło się niedawno kilka nowych technologii pozwalających na zabezpieczenie systemów poczty elektronicznej przed kradzieżą tożsamości.

Stawka jest spora - z poczty elektronicznej korzystają obecnie cała sfera biznesowa oraz spora rzesza użytkowników indywidualnych w krajach rozwiniętych i rozwijających się. Na rynku już rozpoczęła się walka między wielkimi świata Internetu, z których każdy liczy, że jego koncepcja uzyska z czasu status standardu - choćby de facto. W szranki stają prawdziwi giganci: Microsoft, Yahoo! oraz America Online.

Weryfikacja à la Microsoft

Podczas lutowej konferencji RSA Microsoft zaprezentował nową architekturę o nazwie Caller ID for E-mail. Ma ona umożliwić weryfikację tożsamości nadawców listów elektronicznych na zasadzie analogicznej do wyświetlania numeru osoby dzwoniącej w systemach telefonicznych. Warto podkreślić, że Microsoft zdecydował się na udostępnienie technologii Caller ID jako standardu otwartego, a nie specyfikacji licencjonowanej za opłatą.

Technologia Caller ID wymaga odpowiedniej modyfikacji rejestrów serwera DNS obsługującego domenę nadawcy, tak aby mechanizm automatycznej weryfikacji adresów mógł uruchomić odpowiednią procedurę. Serwer lub aplikacja odbierająca pocztę może wówczas sprawdzić, czy rzeczywisty adres IP jest zgodny z podawanym w liście, i w przypadku negatywnej weryfikacji automatycznie odrzucić wiadomość. Komunikacja odbywa się za pomocą komunikatów XML.

Technologię Caller ID testuje już Sendmail - jeden z największych niezależnych producentów oprogramowania pocztowego. Sendmail planuje również udostępnienie modułów Mail Transfer Agent (open source) obsługujących wymienione funkcje.

Yahoo! z certyfikatem

Oprócz Microsoft Caller ID, Sendmail zamierza również rozpocząć testy innej technologii weryfikacji tożsamości nadawców listów elektronicznych. DomainKeys to technologia, która do zapobiegania wysyłaniu listów ze sfałszowanymi adresami IP wykorzystuje infrastrukturę PKI. Jej promotorem jest Yahoo! Sendmail twierdzi, że Caller ID i DomainKeys nie wykluczają się i dlatego zamierza włączyć je obie do swoich systemów.

Technologia DomainKeys wykorzystuje mechanizmy szyfrowania asymetrycznego oparte na parach kluczy: publicznym i prywatnym. Przewiduje także generowanie certyfikatów elektronicznych zawierających, oprócz nagłówka, także skrót wiadomości (łącznie z nagłówkiem) będący jej unikalnym identyfikatorem. Dzięki temu możliwe jest nie tylko zidentyfikowanie nadawcy wiadomości, ale także zabezpieczenie jej przed nieautoryzowanymi zmianami.

Największą wadą DomainKeys jest to, że zastosowanie tej technologii wymaga od użytkowników zainstalowania infrastruktury PKI. DomainKeys ma być technologią bezpłatną. Technologia Caller ID, choć nie umożliwia zabezpieczenia i weryfikacji treści listów, to jest łatwiejsza i tańsza w implementacji.