Hlavní navigace

Apache a Debian: lék na spam od Microsoftu šířit nebudeme

Aleš Miklík

Na jaře letošního roku představil Microsoft svůj návrh na řešení problémů se spamem, založený na identifikaci odesílatele. Svůj plán zároveň nabídl jako otevřený standard k široké diskusi. Nedávno však jeho podporu odmítli zástupci dvou předních open source společností a potíže mu na první pohled způsobují také samotní spameři.

Podrobněji jste si mohli o aktivitě Coordinated Spam Reduction Initiative (CSRI) a jeho podčásti, řešící identifikaci odesílatele, přečíst na Lupě v článku Vítězství nad spamem: bude to Microsoft?. Pro stručné shrnutí: Microsoft se s CSRI rozhodl vytáhnout do boje proti spamu na jeho území, tzn. přejít od pasivních druhů řešení (filtry na straně klienta, blacklisty) k aktivnímu a přenést náklady za rozesílání nevyžádané pošty na stranu odesílatele. Klíčovým požadavkem pro úspěšné splnění této představy pak je snadné a nezpochybnitelné ověření skutečného odesílatele emailu. To v CSRI zajišťuje koncept tzv. Sender ID, založený na zveřejňování IP adres serverů, používaných k rozesílání pošty z dané domény. Seznamy IP adres by měly být uloženy v rámci systému DNS a být k dispozici k ověření příjemcem, že IP adresa domény, ze které údajně email pochází, je platná a shodná s adresou podle tohoto kontrolního seznamu. V opačném případě bude email považován za podvržený. Prvotní koncept vychází z návrhu Meng Weng Wonga, provozovatele free-mailu Pobox.com, se kterým se Microsoft dohodl na spolupráci při vývoji svého Sender ID.

Řekni kdo jsi, a já ti řeknu, kolik zaplatíš

Specifikace Sender ID je na první pohled jednoduchá, avšak rychle se setkala s námitkami, zdůrazňujícími její obtížné praktické provedení. Asi nejčastější otázkou bylo, jak do tohoto systému bez poškození jeho funkčnosti zapracovat fakt obrovského počtu „domácích“ a menších SMTP serverů, užívaných k řídké, avšak často hromadné elektronické korespondenci. Microsoft pro tento účel navrhnul úpravu pravidel RFC tak, aby byla zdrojová doména každého emailu jednoznačně identifikována novými poli Sender, From a Resent-From v hlavičkách emailů.

Již původní návrh přitom připouštěl jako slabé místo, vhodné k širšímu posouzení, důvěryhodnost těchto nových hlaviček pro koncové poštovní klienty, kteří se při jejich posuzování budou muset spolehnout na názor serverů v komunikaci předcházejících. Jako druhá pojistka pak pro rozlišení spamerů a individuálních oprávněných rozesílatelů hromadných zpráv má podle CSRI sloužit certifikace pod dohledem nezávislé emailové autority. Certifikáty potom samozřejmě musí brát v potaz jak poštovní klienti, tak servery na cestě. Certifikáty by byly placené, což by spamerům zvýšilo náklady nad (podle představ autorů plánu CSRI) únosnou mez. Jednotliví oprávnění rozesílatelé by za certifikaci platili strojovým časem svého počítače – při odesílání většího množství zpráv by poštovní klient musel vyřešit netriviální početní úlohu, která by z časového hlediska měla znemožnit efektivní rozesílání spamu.

Z již takto stručně načrtnutých kontur plánu CSRI je zřejmé, že k jeho provedení bude nutná spolupráce širokého spektra subjektů, činných v síti Internet, a to jak komerčních (poskytovatelů přístupu, konektivity, poštovních serverů), tak nezávislých organizací, dohlížejících na dodržování standardů. Microsoft sice již v době oznámení své antispamové iniciativy proklamoval podporu více než padesáti významných společností, avšak někteří z důležitých hráčů především ze světa open source dávali od počátku najevo určitou zdrženlivost v jednoznačné podpoře pro nápad z dílny Microsoftu. Střet světa „otevřeného“ software s „tradičním“ se v tomto případě projevil začátkem září. Seskupení vývojářů pod hlavičkou Apache Software Foundation (ASF), tvůrci známého web serveru Apache, totiž ve svém otevřeném dopise pro pracovní skupinu MARID IETF (MTA Authorization Records in DNS, Internet Engineering Task Force), dohlížející na vývoj identifikace emailů v systému DNS, uvedlo, že z licenčních důvodů nemůže implementovat principy pro Sender ID do svých produktů. Neuběhlo ani pár dnů a se stejným stanoviskem přišel projekt Debian, vyvíjející operační systémy na bázi otevřeného softwaru.

Otevřený software je proti svému uzavření

Podle Debianu vyšli jeho představitelé z prohlášení ASF, avšak údajně došli ke stejným závěrům nezávisle na mínění druhých. Klíčový spor podle obou open source organizací spočívá v celkovém licenčním paradigmatu, které Microsoft u technologií pro Sender ID prosazuje. Licence, kterou nabízí pro implementátory Sender ID, je totiž založena na „closed source“ obvyklém předpokladu, že produkt bude užívat koncový uživatel, který bude mít omezená práva, co se distribuce produktu týče. Jak však v analýze pro ASF napsal Larry Rosen, poradce Open Source Initiative, „Open source licence zaručují, že kdokoliv získá software pod jejich ochranou, je může sám či sama dál šířit jako distributor. Tato svoboda se zároveň přenáší i na sub-licence.“ Jinými slovy, open source organizace se obávají, že Microsoft získá s širší implementací Sender ID do struktury Internetu moc nad jeho dalším rozvojem i současným provozem. „Jsme (…) přesvědčeni, že žádná společnost by neměla vlastnit práva na klíčovou internetovou infrastrukturu,“ stojí v prohlášení Debianu.

ASF ve svém vyjádření také uvedlo, že svoje námitky předneslo pracovní skupině IETF již počátkem března, avšak od té doby nebylo v diskusi s Microsoftem dosaženo žádného pokroku. Ještě před prohlášením Debianu však ani ASF nebylo ve své kritice osamocené. Výtky jiných společností, komentátorů a analytiků směřovaly k absenci seriózní debaty ohledně práv na duševní vlastnictví u jednotlivých částí projektu CSRI, zejména ohledně existence patentů, které Microsoft pro Sender ID uplatňuje. Ve své analýze Larry Rosen například uvádí, že za určitých podmínek může nastat situace, kdy vývojář, který by chtěl distribuovat svůj produkt s podporou Sender ID, bude muset za tímto účelem kontaktovat Microsoft, který tak získá přehled o záměrech svých konkurentů.

Podle Microsoftu však odmítnutí ASF a Debianu neznamená pro antispamový plán žádné větší ohrožení, neboť jeho podporu vyjádřilo velké množství klíčových firem a institucí. Podmínky Microsoftu již přijala řada jiných open source organizací. Ředitel Open Source Initiative Eric Raymond například prohlásil, že licence je přijatelná, neboť od uživatelů produktů nevyžaduje žádné platby ani vyjádření souhlasu s užíváním produktu. Stejně tak společnost Sendmail již vydala pod svlastní open source licencí poštovní filtr, podporující Sender ID.

IETF MARID, dohlížející na vývoj a schvalování technologií pro autentizaci na úrovni DNS systému, odmítl aktuální rozepři okolo Sender ID komentovat s poukazem na citlivou povahu zájmů zúčastněných stran. Neshody ohledně licencí však bezesporu zbrzdí postup se zaváděním Sender ID, což může vadit zejména Microsoftu, který toto řešení silně propaguje a na svých konferencích již od jara letošního roku přesvědčuje ke spolupráci vedoucí poskytovatele internetových služeb.

A co na to spameři?

Potíže se zaváděním Sender ID však pro Microsoft nezpůsobují jen open source organizace, ale i samotní spameři. Nedávná studie společnosti CipherTrust, Inc., zabývající se emailovou bezpečností, ukázala, že se tito internetoví škudci velmi rychle naučili systém Sender ID používat pro „maškarádu“ v podobě úspěšné autentifikace. Pouhých pět procent ze dvou milionů emailů, které CipherTrust zprostředkovávala svým zákazníkům mezi květnem a červencem letošního roku, bylo odesláno z domén, které zveřejnily platný seznam oprávněných adres podle specifikace Sender ID. To by ještě nebylo tak překvapivé vzhledem ke krátkému času, který od zahájení implementace Sender ID uběhl, zajímavější zjištění však představuje fakt, že z oněch pěti procent pochází více emailů od spamerů než od legitimních odesílatelů.

Brand

Tento úkaz zřejmě spočívá v tom, že spameři byli v adopci nového systému rychlejší a používají Sender ID jako nástroj pro snadný průchod antispamovými filtry. To se může zdát jako fakt, potrzující neschopnost Sender ID vypořádat se se spamem, avšak ani tento závěr nemusí být nutně oprávněný. Jak upozorňuje autor původního konceptu Meng Weng Wong, není primárním cílem Sender ID zastavit spam, jako spíš připravit pro tento cíl podmínky. Spolehlivá autentifikace je výchozím předpokladem k ukončení možnosti podvržení skutečné adresy odesílatele (source-address spoofing), nástroje k vymýcení spamu budou stavět až na úspěšném fungování Sender ID.

Fakt, že spameři se naučili systém Sender ID využívat, tak nemusí být nutně špatným signálem. Vše však závisí na úspěšné implementaci nejen Sender ID, ale zejména dalších kroků, jako je přijetí certifikačního systému. I zde pravděpodobně nastanou rozpory mezi open source pojetím standardů a jejich šířením a konzervativně zaměřeného pohledu Microsoftu, avšak byla by škoda nechat kvůli nim celý systém „rozdělaný“ tak, že nakonec nebude sloužit nikomu – spameři by se naučili jeho díry využívat a legitimním rozesílatelům by jen znepříjemnil život. To však již závisí jen na pružnosti a ochotě se přizpůsobit u obou stran.

Anketa

Hodlá podle vás Microsoft prostřednictvím Sender ID získat kontrolu nad částí Internetu?

Našli jste v článku chybu?
24. 9. 2004 10:13
Jakub Moc (neregistrovaný)
Hura... http://news.zdnet.com/2100-1009_22-5380029.html?tag=zdfd.newsfeed
22. 9. 2004 16:24
Dan Lukes (neregistrovaný)
Nejenze je to rychlejsi - ale, hlavne, je to spolehlivejsi. Spojeni v lokalni siti funguje pravdepodobneji nez spojeni na velkou vzdalenost. A prave tohle vyreseno neni. Respektive je - proste se s tim nepocita. V zasade vas chteji donutit pouzivat nejaky ten vzdaleny SMTP server. Tim by se lokalni ISP hladce zbavil moralni odpovednosti za to, co delate z jeho site a vesele by mohl, bez neklidneho spani, jen inkasovat penize. Naopak, ti co se snazi ve sve siti nejaky poradek udrzet a nedovolik k…