Poczta z reputacją

SMTPi to nie udoskonalona wersja protokołu SMTP, lecz inicjatywa, której celem jest połączenie identyfikacji nadawców poczty z oceną ich reputacji.

SMTPi to nie udoskonalona wersja protokołu SMTP, lecz inicjatywa, której celem jest połączenie identyfikacji nadawców poczty z oceną ich reputacji.

Według ankiety przeprowadzonej przez Meta Group dla 80% biznesmenów poczta elektroniczna ma w codziennej pracy większe znaczenie niż telefon. Choć zasięg i znaczenie poczty elektronicznej wzrosły niepomiernie, do realizacji usług e-mail wciąż wykorzystuje się powszechnie stworzony 20 lat temu protokół SMTP (Simple Mail Transfer Protocol).

Wieloletnie utrzymywanie się jednego standardu transmisji poczty bez wątpienia przyczyniło się do upowszechnienia tej usługi. SMTP powstał jednak w czasach, gdy wirusy atakowały głównie istoty żywe, a nie komputery, a spam był zjawiskiem nieznanym. Dziś w dużej mierze właśnie dzięki takiej, a nie innej konstrukcji SMTP spam, infekcje czy kradzież tożsamości (spoofing) stawiają wiarygodność poczty elektronicznej pod znakiem zapytania.

Pomysłów na uzdrowienie sytuacji jest wiele (pisaliśmy o tym szerzej w CW 11/2004). Żadna technologia nie zyskała jeszcze powszechnej akceptacji, dlatego wciąż powstają kolejne. Najnowsza koncepcja, zaproponowana przez firmę IronPort Systems, nosi nazwę SMTPi.

Puk, puk. Kto tam?

Kluczową sprawą dla poprawy bezpieczeństwa poczty elektronicznej jest ustalenie tożsamości nadawcy listu, stąd owo "i", które odnosi się do identity (tożsamość). Koncepcja SMTPi będzie implementowana w kilku fazach. Odpowiednie mechanizmy mają w ciągu kilku lat pojawić się w serwerach pocztowych, domenowych i DNS. Powstanie także odrębna, nowa klasa rozwiązań.

Mechanizmy działające na poziomie serwera pocztowego będą kojarzyć nadawcę z jego adresem IP. Jeśli adres IP nadawcy zostanie podmieniony, serwer natychmiast to wykryje, próbując wysłać potwierdzenie odbioru na adres podany jako źródłowy.

Jeśli potwierdzenie zostanie odrzucone, będzie to sygnał, że adres mógł został sfałszowany.

Problemem pozostaje współdzielenie jednego adresu IP przez wielu nadawców, jak w przypadku translacji NAT czy usług proxy. W ciągu najbliższych lat na rynek mają trafić narzędzia pozwalające ustalić tożsamość nadawcy na podstawie domeny w rodzaju Sender Policy , Microsoft Caller-ID czy DomainKeys. IronPort Systems zamierza wykorzystać wszystkie te metody jako podstawę własnego rozwiązania, pozwalającego przypisywać nadawcom unikalne identyfikatory (universal ID).

Sitko na podejrzanych

Identyfikacja nadawcy listu na podstawie różnych czynników to tylko część wizji SMTPi. IronPort Systems wierzy, że do skutecznego zwalczania spamu konieczne jest nie tylko identyfikowanie nadawców, ale także ustanowienie systemu ich akredytacji, za pomocą którego nadawcy listów byliby poddawani publicznej ocenie.

Na pozór wydaje się, że chodzi tu o znane już od dawna (i skompromitowane) czarne listy, nadawców spamu. IronPort idzie jednak znacznie dalej.

Na prowadzonym przez firmę serwisie SenderBase (www.senderbase.org) operatorzy sieci mają do dyspozycji narzędzia do opisywania nadawców za pomocą kilkudziesięciu parametrów. Klasyfikacja nadawcy bierze pod uwagę np. to, czy poczta została wysłana przez znane niezabezpieczone

serwery (open relay), kraj pochodzenia, liczbę wiadomości wysłanych przez nadawcę w ostatnim czasie i w ciągu ostatniej doby, czy serwer DNS nadawcy działa poprawnie i wiele innych.

Mając do dyspozycji tyle danych, dużo łatwiej jest podejmować decyzje o tym, czy nadawca jest wiarygodny. Świat nie jest w końcu czarno-biały. Ze względu na to, że dodatkowo stosowane są miary syntetyczne (wiarygodność w przedziale od -10 do +10 punktów), operatorzy systemów pocztowych mogą łatwo konstruować własne pochodne systemy na podstawie ustalonych progów. SenderBase eliminuje przy tym jedną z głównych bolączek czarnych list, a mianowicie brak odpowiedzialności osób raportujących spam, ich wiarygodność bowiem także jest oceniana.

Na wolnych obrotach

Połączenie informacji o nadawcy z kompleksową oceną jego reputacji, choć skomplikowane, wydaje się dobrym krokiem w kierunku okiełznania spamu i jego skutków. Poczta od nadawców znanych jako godni zaufania może być routowana z obejściem filtrów antyspamowych, poczta od nadawców znanych jako autorzy spamu może być automatycznie usuwana, a poczta od podejrzanych nadawców może być poddawana inspekcji przez filtry. W dłuższym okresie takie podejście ma szansę przyczynić się do zmniejszenia obciążenia sieci.

Nadawca prześwietlony

SMTPi to nie nowa, ulepszona wersja protokołu SMTP, lecz inicjatywa zapoczątkowana przez firmę IronPort Systems, mającą na celu, z jednej strony, umożliwienie identyfikacji masowych nadawców poczty elektronicznej, z drugiej zaś, ocenę ich wiarygodności.

W celu identyfikowania nadawców poczty IronPort rozwija własne oprogramowanie współpracujące z serwerami pocztowymi. Do oceny wiarygodności nadawców IronPort Systems stworzył serwis SenderBase (www.senderbase.com), pozwalający na ich wielowymiarową ocenę. Wśród parametrów wykorzystywanych do budowy "profilu" nadawcy są m.in. liczba wiadomości wysłanych w ostatnim czasie, w tym także w ciągu ostatnich 24 godzin, kraj, poprawność działania wykorzystywanego przez nadawcę serwera DNS i wiele innych. Do tego dochodzi jeszcze subiektywna ocena wiarygodności, którą wydają inni użytkownicy Internetu.

Powyższe informacje nie wiele mówią, jeśli analizować je oddzielnie, jednak ich zestawienie daje znacznie lepsze rezultaty. Ważne jest to, że SenderBase pozwala w dużej mierze wyeliminować ryzyko manipulacji systemem ocen przez osoby nadsyłające raporty o spamie. Na stronach SenderBase oceniana jest bowiem także ich reputacja, co znacząco odróżnia ten serwis od tradycyjnych "czarnych list".

Ta wielowymiarowość ocen jest kluczowa. Decyzja o tym, czy ktoś jest wiarygodny czy nie, wymaga jednoczesnej analizy wielu czynników. Według informacji podawanych na serwisie SenderBase wykorzystuje on informacje nadsyłane przez ponad 28 tys. operatorów sieci. SenderBase to serwis otwarty - IronPort nie pobiera za korzystanie z niego żadnych opłat.

Fałszerze w natarciu

Trudność w ustaleniu tożsamości nadawcy przyczynia się do rozwoju nowej klasy oszustw sieciowych.

Zjawisko określane jako phishing lub scamming polega na wysyłaniu do użytkowników internetowych serwisów oficjalnie wyglądających listów nakłaniających do ujawnienia poufnych informacji, np. loginu i hasła. Ofiary są zwykle proszone o kliknięcie na odsyłacz do podrobionej wersji strony internetowej organizacji, która rzekomo jest nadawcą listu. Takie przypadki notowano już także w Polsce.

Zjawisko wyłudzeń haseł czy numerów kart kredytowych bardzo się nasila. Według firmy MessageLabs w ciągu ostatnich 6 miesięcy (od września 2003 r.) liczba takich zaproszeń sięga już kilkuset tysięcy miesięcznie. Rekord padł w styczniu br. i wynosił 337 tys.


TOP 200