Anonimowość na razie nie dotyczy użytkowników, lecz domen internetowych. Wszystko wskazuje na to, że dołączanie identyfikujących je podpisów cyfrowych do wszystkich e-maili już wkrótce zyska szerokie zastosowanie.

Standard DKIM (DomainKeys Identified Mail), znajdujący się w końcowej fazie zatwierdzania specyfikacji przez organizację IETF, ma ogromną szansę szybkiej popularyzacji. Już teraz zyskał szerokie wsparcie ze strony producentów sprzętu i oprogramowania, największych usługodawców internetowych i dużych użytkowników systemów pocztowych, takich jak banki i instytucje finansowe.

Poza Yahoo! i Cisco - których technologie były podstawą do opracowania DKIM - wsparcie dla tego standardu deklarują również AOL, CipherTrust, Google, IBM, IronPort Systems (obecnie należy do Cisco), PGP, gmail.org, Sendmail, StrongMail Systems, Trend Micro, Verisign i wiele innych. Oprogramowanie i urządzenia zgodne z DKIM wprowadziły już na rynek m.in. Sendmail, IronPort, Alt-N technologies, Message Systems, Port25 Solutions i StrongMail Systems.

Rośnie popularność e-podpisu

"Sądzę, że połowa firm z listy Fortune 1000 wdroży mechanizmy DKIM już w 2008 r." - mówi Greg Olson, dyrektor firmy Sendmail, która już w listopadzie 2007 r. wprowadziła na rynek urządzenia appliance zgodne z DKIM. Popularność technik umożliwiających identyfikację domen rośnie dynamicznie i jest większa niż mogłoby się wydawać. Według raportu AOTA (Authentication and Online Trust Alliance), obecnie aż 52% firm zarządzających dużymi, konsumen-ckimi serwisami finansowymi oraz 54% organizacji zajmujących się handlem elektronicznym już podpisuje e-mail, wykorzystując techniki Sender ID lub DKIM. Czyni to też 37% korporacji z listy Fortune 500.

Warto również zauważyć, że wpływowa amerykańska organizacja BITS, skupiająca 100 największych w USA instytucji finansowych, opublikowała zalecenie wdrożenia DKIM przez swoich członków do października 2008 r. Choć podobne rekomendacje BITS dotyczą też innych rozwiązań, takich jak Microsoft Sender ID, to - zdaniem analityków - tego typu silne i jednogłośne wsparcie dla DKIM wróży temu standardowi wyjątkowo szybką popularyzację.

Wśród firm, które już wdrożyły to rozwiązanie, wykorzystując jeszcze formalnie nie zatwierdzone specyfikacje, można wymienić: Bank of America, American Greetings, Cisco, eBay i PayPal. Serwisy eBay i należący do tej firmy PayPal nawiązały współpracę z Yahoo!, której oprogramowanie Yahoo Mail filtruje pocztę tych firm, eliminując przesyłki sfałszowane. Jak twierdzą przedstawiciele eBay, wyniki wprowadzenia DKIM okazały się zachęcające, Yahoo! blokuje dziennie setki tysięcy, a czasem nawet miliony fałszywych listów. I dlatego obecnie firma prowadzi już rozmowy dotyczące wdrożenia DKIM z innymi dostawcami usług internetowych, zachęcając ich do podjęcia takiej decyzji.

Dlaczego DKIM

DKIM to mechanizm umożliwiający automatyczne dołączanie do wysyłanych e-maili zaszyfrowanego podpisu cyfrowego, który może zostać użyty przez system pocztowy odbiorcy do weryfikacji autentyczności nadawcy, a jeśli jej wynik jest negatywny - automatycznego odrzucenia listu w sposób przezroczysty, niewymagający żadnej reakcji użytkownika.

Tego typu mechanizm, jeśli zostanie powszechnie zaakceptowany i wdrożony, umożliwi zasadnicze ograniczenie spamu i phishingu, które wykorzystują obecnie istniejące słabości protokołów internetowych. Jest to szczególnie interesująca perspektywa dla banków lub dużych firm zajmujących się handlem bądź płatnościami elektronicznymi, bo według badań ruchu w Internecie, przeprowadzonych przez organizację Authentication and Online Trust Alliance (AOTA), aż 80% "wysyłanych" przez takie firmy listów to oszukańcze podróbki. Tak przynajmniej wynika z raportu opublikowanego w styczniu br. przez AOTA. Zawiera on wyniki analizy ponad 100 mln e-maili, które można było zidentyfikować jako wysłane w ciągu ostatnich 5 miesięcy przez firmy z listy Fortune 500.

Nie ulega wątpliwości, że mocne wsparcie DKIM przez duże korporacje wynika z narastającego przekonania, iż warto zainwestować w ochronę własnej reputacji, która jest coraz bardziej podważana przez masowy spam i phishing, wykorzystujący marki tych firm do oszukańczego wzbudzenia zaufania ze strony użytkowników Internetu. W ostatnich latach poczta elektroniczna stała się wygodnym i powszechnie stosowanym mechanizmem komunikacji, bez którego trudno sobie wyobrazić prowadzenie działalności biznesowej, a często jest to podstawowy element biznesu. Spam i phishing podważają zaufanie do e-maili i zmniejszają skłonność do korzystania z takich mechanizmów, jak choćby transakcje online. W efekcie, dla wielu firm oznacza to realne straty finansowe lub zwiększenie kosztów obsługi klientów. Choć DKIM nie jest czarodziejską różdżką, która wyeliminuje spam i phishing, to daje poważne szanse na istotne ograniczenie tych uciążliwych zjawisk.

Filtrowanie domen

Prace nad standardem DKIM organizacja IETF rozpoczęła w 2005 r. Przyjęto założenie, że będzie on łączył funkcje dwóch protokołów: DomainKeys - opracowanego wcześniej przez Yahoo! oraz Identified Internet Mail - stworzonego przez Cisco. Koncepcja ta nie była tylko wynikiem możliwości wpływu korporacji, takich jak Cisco i Yahoo!, na IETF i członków tej organizacji, ale przede wszystkim oceny, że wdrożenie opartego na tych rozwiązaniach standardu będzie względnie tanie, łatwe, nie zaburzające działania istniejącej infrastruktury Internetu, a także nie zagrażające bezpośrednio interesom producentów sprzętu i oprogramowania.

Należy podkreślić, że standard DKIM umożliwia filtrowanie e-maili tylko na poziomie infrastruktury internetowej. Nie eliminuje automatycznie spamu lub e-maili phishingowych, które mogą być bez problemu rozsyłane z domen, nie wpisanych do serwerów DNS obsługujących DKIM, ale również tych, które dołączają podpisy cyfrowe zgodne z tym standardem. W tym drugim przypadku możliwa jest jednak łatwa identyfikacja źródła listu i podjęcie działań zapobiegawczych. Podobnie jak PGP, DKIM bazuje na publicznym kluczu szyfrującym, ale podpisy cyfrowe dotyczą tylko domen. Zaletą tego rozwiązania jest m.in. to, że w porównaniu z adresami IP, nazwy domen są bardziej stabilnym elementem systemu internetowego.

W listopadzie 2007 r. przeprowadzono testy zgodności urządzeń i oprogramowania wykorzystującego funkcje DKIM zaimplementowane w produktach ok. 20 różnych firm. Ich wyniki nie wzbudziły poważnych wątpliwości i obecnie upływa termin zgłaszania ewentualnych uwag dotyczących standardu. Po wprowadzeniu drobnych poprawek, ostateczna specyfikacja zostanie niebawem opublikowana.

Problemy organizacyjne hamulcem dla DKIM

Bezpośrednie koszty wdrożenia DKIM nie powinny być wysokie - większość producentów sprzętu i oprogramowania do obsługi systemów pocztowych zamierza wprowadzić funkcje DKIM w ramach standardowej, bezpłatnej aktualizacji lub w postaci odpowiednich wtyczek plug-in. "Nie słyszałem o żadnej znanej firmie, która chciałaby na tym dodatkowo zarobić" - mówi Patrick Peterson, wiceprezes IronPort (obecnie Cisco).