Producenci oprogramowania, dostawcy usług internetowych i organizacje standaryzacyjne łączą wysiłki w walce ze spamem.

W ubiegłym roku liczba przesyłek poczty elektronicznej kwalifikowanych jako spam przekroczyła już liczbę normalnych listów. Martwią się nie tylko użytkownicy poczty nękani spamem. Lawina niechcianej korespondencji oznacza większe użycie łączy, konieczność skrócenia cyklu wymiany sprzętu oraz zaangażowanie większej liczby pracowników działu IT. Dostawcy oprogramowania i usług internetowych obawiają się, że z biegiem czasu spam może doprowadzić do marginalizacji poczty elektronicznej jako sposobu komunikacji.

Na początku tego roku pojawiły się trzy konkurencyjne koncepcje powszechnej implementacji technologii antyspamowych (pisaliśmy o tym obszernie w CW 11/2004). Microsoft zaproponował rozwiązanie zwane Caller ID, Yahoo! wyszło z inicjatywą DomainKeys, zaś America Online - Sender Policy Framework (SPF). Niezależnie organizacja ASTA (Anti-Spam Technical Alliance) opublikowała dokument zawierający listę rekomendacji dla firm świadczących usługi internetowe. Do ASTA należą m.in. Yahoo!, Microsoft, America Online i EarthLink, a więc najwięksi dostawcy usług pocztowych w USA.

Praca u podstaw

Choć ograniczenie spamu w znacznym stopniu zależy od świadomości i zachowań indywidualnych użytkowników Internetu, organizacja ASTA skupiła się na opracowywaniu zasad i rekomendacji dla firm ISP, wychodząc z założenia, że to przede wszystkim ich zadaniem jest dostarczenie odpowiednich funkcji, narzędzi i informacji o metodach zapobiegania spamowi.

Jak można się spodziewać, publikacja ASTA nie "odkrywa Ameryki". Zawiera rady zdawałoby się powszechnie znane i oczywiste. Chyba jednak nie do końca, skoro problem spamu wciąż się nasila. Problem w tym, że serwery części firm - zwykle mniejszych, których nie stać na profesjonalną obsługę informatyczną - wciąż są łatwym łupem dla spamerów. ASTA liczy, że tego typu publikacje przyczynią się do zwiększenia świadomości i w efekcie poprawy bezpieczeństwa systemów pocztowych.

ASTA zaleca m.in. sprawdzenie, czy firmowy serwer nie działa jako open relay, czyli serwer pocztowy, z którego można wysłać dowolną liczbę wiadomości bez potrzeby logowania. Postuluje też zwiększenie dbałości o ochronę komputerów przed infekcjami wirusowymi i staranne monitorowanie funkcji umożliwiających automatyczną rejestrację kont na serwerach firm. Administratorzy powinni zrezygnować z oferowania na swoich stronach WWW prostych aplikacji do tworzenia i wysyłania poczty elektronicznej, takich jak popularny i bezpłatny program formmail.pl, oraz wprowadzić wymóg każdorazowego uwierzytelniania użytkownika skrzynki podczas wysyłania listu. Zdaniem przedstawicieli ASTA zastosowanie się wszystkich dostawców ISP do opublikowanych zasad pozwoliłoby zasadniczo zredukować liczbę spamu.

Dwie szkoły

W tym roku pojawiło się kilka nowych, konkurujących ze sobą pomysłów zapobiegania rozsyłaniu spamu przez wprowadzenie mechanizmów identyfikacji i weryfikacji źródeł poczty elektronicznej uniemożliwiających m.in. fałszowanie adresu nadawcy przedstawionych przez Microsoft, Yahoo! i AOL.

W maju br. Microsoft zawarł porozumienie z autorem popieranej przez AOL technologii Sender Policy Framework. Efektem ma być opracowanie jednolitej specyfikacji łączącej funkcjonalność SPF i Caller ID Microsoftu. Oba mechanizmy wymagają od firm wysyłających pocztę publikacji listy wykorzystywanych adresów e-mail na serwerach DNS, co umożliwia odbiorcom łatwe sprawdzenie źródła listu. Wspólny standard ma wykorzystywać format XML i informacje zapisane w treści listu (jak proponował to Microsoft w Caller ID), ale również analizować dane zapisane w tzw. kopertach (envelope) listów elektronicznych (format SPF).

Odmienną, bardziej zaawansowaną technologię, tzw. DomainKeys, wspiera Yahoo! DomainKeys wykorzystuje mechanizmy PKI oparte na parze kluczy: prywatnym i publicznym, umożliwiające dołączenie do każdego listu unikalnej sygnatury jednoznacznie identyfikującej nadawcę i zapobiegającej modyfikacji treści listu. Rozwiązanie to daje większe możliwości kontroli - nie tylko zapobiega fałszowaniu adresów e-mail, lecz także pozwala na ochronę treści korespondencji. Jego wadą jest jednak konieczność implementacji infrastruktury PKI.