Hlavní navigace

Apache a Debian: lék na spam od Microsoftu šířit nebudeme

Aleš Miklík 15. 9. 2004

Na jaře letošního roku představil Microsoft svůj návrh na řešení problémů se spamem, založený na identifikaci odesílatele. Svůj plán zároveň nabídl jako otevřený standard k široké diskusi. Nedávno však jeho podporu odmítli zástupci dvou předních open source společností a potíže mu na první pohled způsobují také samotní spameři.

Podrobněji jste si mohli o aktivitě Coordinated Spam Reduction Initiative (CSRI) a jeho podčásti, řešící identifikaci odesílatele, přečíst na Lupě v článku Vítězství nad spamem: bude to Microsoft?. Pro stručné shrnutí: Microsoft se s CSRI rozhodl vytáhnout do boje proti spamu na jeho území, tzn. přejít od pasivních druhů řešení (filtry na straně klienta, blacklisty) k aktivnímu a přenést náklady za rozesílání nevyžádané pošty na stranu odesílatele. Klíčovým požadavkem pro úspěšné splnění této představy pak je snadné a nezpochybnitelné ověření skutečného odesílatele emailu. To v CSRI zajišťuje koncept tzv. Sender ID, založený na zveřejňování IP adres serverů, používaných k rozesílání pošty z dané domény. Seznamy IP adres by měly být uloženy v rámci systému DNS a být k dispozici k ověření příjemcem, že IP adresa domény, ze které údajně email pochází, je platná a shodná s adresou podle tohoto kontrolního seznamu. V opačném případě bude email považován za podvržený. Prvotní koncept vychází z návrhu Meng Weng Wonga, provozovatele free-mailu Pobox.com, se kterým se Microsoft dohodl na spolupráci při vývoji svého Sender ID.

Řekni kdo jsi, a já ti řeknu, kolik zaplatíš

Specifikace Sender ID je na první pohled jednoduchá, avšak rychle se setkala s námitkami, zdůrazňujícími její obtížné praktické provedení. Asi nejčastější otázkou bylo, jak do tohoto systému bez poškození jeho funkčnosti zapracovat fakt obrovského počtu „domácích“ a menších SMTP serverů, užívaných k řídké, avšak často hromadné elektronické korespondenci. Microsoft pro tento účel navrhnul úpravu pravidel RFC tak, aby byla zdrojová doména každého emailu jednoznačně identifikována novými poli Sender, From a Resent-From v hlavičkách emailů.

Již původní návrh přitom připouštěl jako slabé místo, vhodné k širšímu posouzení, důvěryhodnost těchto nových hlaviček pro koncové poštovní klienty, kteří se při jejich posuzování budou muset spolehnout na názor serverů v komunikaci předcházejících. Jako druhá pojistka pak pro rozlišení spamerů a individuálních oprávněných rozesílatelů hromadných zpráv má podle CSRI sloužit certifikace pod dohledem nezávislé emailové autority. Certifikáty potom samozřejmě musí brát v potaz jak poštovní klienti, tak servery na cestě. Certifikáty by byly placené, což by spamerům zvýšilo náklady nad (podle představ autorů plánu CSRI) únosnou mez. Jednotliví oprávnění rozesílatelé by za certifikaci platili strojovým časem svého počítače – při odesílání většího množství zpráv by poštovní klient musel vyřešit netriviální početní úlohu, která by z časového hlediska měla znemožnit efektivní rozesílání spamu.

Z již takto stručně načrtnutých kontur plánu CSRI je zřejmé, že k jeho provedení bude nutná spolupráce širokého spektra subjektů, činných v síti Internet, a to jak komerčních (poskytovatelů přístupu, konektivity, poštovních serverů), tak nezávislých organizací, dohlížejících na dodržování standardů. Microsoft sice již v době oznámení své antispamové iniciativy proklamoval podporu více než padesáti významných společností, avšak někteří z důležitých hráčů především ze světa open source dávali od počátku najevo určitou zdrženlivost v jednoznačné podpoře pro nápad z dílny Microsoftu. Střet světa „otevřeného“ software s „tradičním“ se v tomto případě projevil začátkem září. Seskupení vývojářů pod hlavičkou Apache Software Foundation (ASF), tvůrci známého web serveru Apache, totiž ve svém otevřeném dopise pro pracovní skupinu MARID IETF (MTA Authorization Records in DNS, Internet Engineering Task Force), dohlížející na vývoj identifikace emailů v systému DNS, uvedlo, že z licenčních důvodů nemůže implementovat principy pro Sender ID do svých produktů. Neuběhlo ani pár dnů a se stejným stanoviskem přišel projekt Debian, vyvíjející operační systémy na bázi otevřeného softwaru.

Otevřený software je proti svému uzavření

Podle Debianu vyšli jeho představitelé z prohlášení ASF, avšak údajně došli ke stejným závěrům nezávisle na mínění druhých. Klíčový spor podle obou open source organizací spočívá v celkovém licenčním paradigmatu, které Microsoft u technologií pro Sender ID prosazuje. Licence, kterou nabízí pro implementátory Sender ID, je totiž založena na „closed source“ obvyklém předpokladu, že produkt bude užívat koncový uživatel, který bude mít omezená práva, co se distribuce produktu týče. Jak však v analýze pro ASF napsal Larry Rosen, poradce Open Source Initiative, „Open source licence zaručují, že kdokoliv získá software pod jejich ochranou, je může sám či sama dál šířit jako distributor. Tato svoboda se zároveň přenáší i na sub-licence.“ Jinými slovy, open source organizace se obávají, že Microsoft získá s širší implementací Sender ID do struktury Internetu moc nad jeho dalším rozvojem i současným provozem. „Jsme (…) přesvědčeni, že žádná společnost by neměla vlastnit práva na klíčovou internetovou infrastrukturu,“ stojí v prohlášení Debianu.

ASF ve svém vyjádření také uvedlo, že svoje námitky předneslo pracovní skupině IETF již počátkem března, avšak od té doby nebylo v diskusi s Microsoftem dosaženo žádného pokroku. Ještě před prohlášením Debianu však ani ASF nebylo ve své kritice osamocené. Výtky jiných společností, komentátorů a analytiků směřovaly k absenci seriózní debaty ohledně práv na duševní vlastnictví u jednotlivých částí projektu CSRI, zejména ohledně existence patentů, které Microsoft pro Sender ID uplatňuje. Ve své analýze Larry Rosen například uvádí, že za určitých podmínek může nastat situace, kdy vývojář, který by chtěl distribuovat svůj produkt s podporou Sender ID, bude muset za tímto účelem kontaktovat Microsoft, který tak získá přehled o záměrech svých konkurentů.

Podle Microsoftu však odmítnutí ASF a Debianu neznamená pro antispamový plán žádné větší ohrožení, neboť jeho podporu vyjádřilo velké množství klíčových firem a institucí. Podmínky Microsoftu již přijala řada jiných open source organizací. Ředitel Open Source Initiative Eric Raymond například prohlásil, že licence je přijatelná, neboť od uživatelů produktů nevyžaduje žádné platby ani vyjádření souhlasu s užíváním produktu. Stejně tak společnost Sendmail již vydala pod svlastní open source licencí poštovní filtr, podporující Sender ID.

IETF MARID, dohlížející na vývoj a schvalování technologií pro autentizaci na úrovni DNS systému, odmítl aktuální rozepři okolo Sender ID komentovat s poukazem na citlivou povahu zájmů zúčastněných stran. Neshody ohledně licencí však bezesporu zbrzdí postup se zaváděním Sender ID, což může vadit zejména Microsoftu, který toto řešení silně propaguje a na svých konferencích již od jara letošního roku přesvědčuje ke spolupráci vedoucí poskytovatele internetových služeb.

A co na to spameři?

Potíže se zaváděním Sender ID však pro Microsoft nezpůsobují jen open source organizace, ale i samotní spameři. Nedávná studie společnosti CipherTrust, Inc., zabývající se emailovou bezpečností, ukázala, že se tito internetoví škudci velmi rychle naučili systém Sender ID používat pro „maškarádu“ v podobě úspěšné autentifikace. Pouhých pět procent ze dvou milionů emailů, které CipherTrust zprostředkovávala svým zákazníkům mezi květnem a červencem letošního roku, bylo odesláno z domén, které zveřejnily platný seznam oprávněných adres podle specifikace Sender ID. To by ještě nebylo tak překvapivé vzhledem ke krátkému času, který od zahájení implementace Sender ID uběhl, zajímavější zjištění však představuje fakt, že z oněch pěti procent pochází více emailů od spamerů než od legitimních odesílatelů.

Tento úkaz zřejmě spočívá v tom, že spameři byli v adopci nového systému rychlejší a používají Sender ID jako nástroj pro snadný průchod antispamovými filtry. To se může zdát jako fakt, potrzující neschopnost Sender ID vypořádat se se spamem, avšak ani tento závěr nemusí být nutně oprávněný. Jak upozorňuje autor původního konceptu Meng Weng Wong, není primárním cílem Sender ID zastavit spam, jako spíš připravit pro tento cíl podmínky. Spolehlivá autentifikace je výchozím předpokladem k ukončení možnosti podvržení skutečné adresy odesílatele (source-address spoofing), nástroje k vymýcení spamu budou stavět až na úspěšném fungování Sender ID.

Fakt, že spameři se naučili systém Sender ID využívat, tak nemusí být nutně špatným signálem. Vše však závisí na úspěšné implementaci nejen Sender ID, ale zejména dalších kroků, jako je přijetí certifikačního systému. I zde pravděpodobně nastanou rozpory mezi open source pojetím standardů a jejich šířením a konzervativně zaměřeného pohledu Microsoftu, avšak byla by škoda nechat kvůli nim celý systém „rozdělaný“ tak, že nakonec nebude sloužit nikomu – spameři by se naučili jeho díry využívat a legitimním rozesílatelům by jen znepříjemnil život. To však již závisí jen na pružnosti a ochotě se přizpůsobit u obou stran.

Anketa

Hodlá podle vás Microsoft prostřednictvím Sender ID získat kontrolu nad částí Internetu?

Našli jste v článku chybu?

24. 9. 2004 10:13

Jakub Moc (neregistrovaný)
Hura...

http://news.zdnet.com/2100-1009_22-5380029.html?tag=zdfd.newsfeed





22. 9. 2004 16:24

Dan Lukes (neregistrovaný)
Nejenze je to rychlejsi - ale, hlavne, je to spolehlivejsi. Spojeni v lokalni siti funguje pravdepodobneji nez spojeni na velkou vzdalenost. A prave tohle vyreseno neni. Respektive je - proste se s tim nepocita. V zasade vas chteji donutit pouzivat nejaky ten vzdaleny SMTP server. Tim by se lokalni ISP hladce zbavil moralni odpovednosti za to, co delate z jeho site a vesele by mohl, bez neklidneho spani, jen inkasovat penize. Naopak, ti co se snazi ve sve siti nejaky poradek udrzet a nedovolik k…
DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání