Vlákno názorů k článku DomainKeys - nová antispamová technologie od Dan Lukes - Netvrdil jsem, ze "rezim podle ISP" by nevyzadoval...

Netvrdil jsem, ze "rezim podle ISP" by nevyzadoval jakekoliv zmeny. I v tomto ohledu by si na sve prislo DNS, stejne jako v metode navrhovane. Jen bych misto zaznamu v domenach doprednych pouzival domeny reverzni. Tam by, pro konkretni IP byl docela obycejny a prosty zaznam, zda je konkretni IP opravnena odesilat postu. ISP by tak mohl "oznamit", ze, napriklad, jeho dialupove IP proste primo postu odesilat nemohou (a musi pro odchozi provoz pouzit jim provozovany SMTP server), zatimco jine ji odesilat mohou. A tam, kde by prislusna IP postu odesilat mohla - muzete take vzit v potaz "duveryhodnost" prislusne domeny - stejne jako v modelu navrhovanem. Jenze vezmete domenu reverzni, nikoli doprednou. Zjistit presneho ISP pak nepotrebuji - priblizna aproximace ISP je ten, kdo delegoval prislusnou reverzni zonu postaci. A pokud nestaci - v ramci stejneho zaznamu, kterym jsme rozeznavali, ktera IP ma moznost postu odesilat a ktera nikoliv muzeme mit i nejakou identifikaci "koncoveho zakaznika" (jednoznacnou v ramci jedne reverzni zony) - pro pripad, ze prideleny adresni prostor je tak maly, ze se v jednom prostoru setkava klientu vice. Pomoci takove identifikace lze adresy v ramci jednotlive reverzni zony dale libovolne seskupovat.

Reverzni domeny se zrizuji podstatne obtizneji nez domeny "dopredne". V ostatnich ohledech jsou problemy podobne - jestlize se jako firma chovam dobre, tak snad neprichazi v uvahu moznost, ze by z mych pocitacu (meho adresniho rozsahu) delal kdokoliv cokoliv spatneho, nemyslite ?

Fakt, ze dnes se SPAMy zhusta odesilaji z pocitacu napadenych virem ci trojskym konem je zhoubny pro obe varianty stejne. V takovem pripade odchazi mail se stejnymi identifikacnimi znaky ajko by ho skutecne odeslala ziva osoba u tohoto pocitace sedici. Takze vazny problem mame at uz si hlida odesilani posty MP nebo ISP ...

Celkove se snazim rict, ze problemu na Internetu se nezbavime, pokud ten, kdo nekomu zprostredkovava do teto site pristup, nema jakoukoliv odpovednost za to "koho k tomu pustil". Zacneme-li resit tento problem, pak zjistime, ze vytvoreny mechanismus lze pouzit i na ochranu proti odesilani nevyzadane posty. Soucasny navrh ale resi problem jen z izolovaneho pohledu prave te posty - a vytvoreny mechanismus nebude dobry k nicemu jinemu (navic si myslim, ze i k ochrane pred nevyzadanou postou je horsi - protoze proste vytvorit "novou" doprednou domenu je prilis snadne). I kdyz se takovy system nakrasne "rozjede", potreba onoho druheho reseni nezanikne a stejne se to, driv nebo pozdeji, bude muset resit take. Chapu ale, ze ISP, pro ktere kdokoliv, koho pripoji znamen proste jen "dalsi prachy" - a dokonce reklamni kampane lakaji klienty na hesla "pristup uplne kdokoliv, bez hesla" nemaji zadny zvlastni zajem na tom, aby se neco takoveho resilo a soucasne patrne tusi, ze pokud se nenajde nejake reseni toho nejzjevnejsiho dusledku jejich pristupu (coz je prave nevyzadana posta), pak by mohl tlak na to, aby veci nejak resili narust. A proto se mozna navrhy ubiraji tak vehementne smerem, ktery z toho jakoukoliv odpovednost ISP vynecha - jim zustanou ty prachy a moznost pripojit uplne kazdeho kdo zaplati, a problemy, ty at si resi nekdo jiny ...

Ad pocet domen - viz jina odpoved.

[Tise predpokladam, ze za IP odesilatele budete povazovat IP druheho konce SMTP.]

Neresite "kdo to je vlastne ten MP". A to je zasadni vec. MP je:

1) Uzivatel sam (firma, lide kteri maji soukromou domenu, skola atp.). V tom pripade je preci lepsi vlozit odpovednost na uzivatele nez na jeho ISP.

2) ISP (@quick.cz atp.). Zde je model ekvivalentni.

3) Freemail, placeny mail. Pres ne se moc opravdu hromadnych mailu neposila, nebot to neni prilis sikovne. V pripade placenych mailu je MP ve zhruba stejnem postaveni jako ISP.

Ted bych rozebral technicke detaily. Predne - jak urcite ISP? Rekl bych ze sitovych rozsahu v RIPE. Nabizi se otazka, jestli opravdu jsou informace ke vsem adresam pres RIPE dostupne a jestli je RIPE na takovou zatez vubec stavena.

Dovoluji si tvrdit, ze blokovani (nebo znevyhodnovani) podle IP rozsahu ma podstatne vetsi negativni dusledky na "poctive obcany". Pokud se jako firma chovam "dobre", mam nejakou domenu a alespon trochu si hlidam sit/zamestnance, je silne nepravdepodobne, ze by moje domena ziskala spatnou povest. Ve vami uvedenem modelu ale staci, aby nejaky zakaznik na stejnem adresnim rozsahu zacal posilat spam a mam problem.

ISP ho sice treba zablokuje (i kdyz to taky nebude hned a rozhodne to bude ex post), ale muj rozsah ziskal spatnou povest. (I kdyz tomu by se dalo nejspis branit duslednym delegovanim rozsahu na kazdou firmu zvlast...) A to nemluvim o pripadu, kdy ziskam rozsah "po nekom"...

Dale premitam, co s celym systemem udela fakt, ze spameri pro odesilani hodne casto vyuzivaji vyhackovanych cizich pocitacu.

Slovo "zamrzi" je pravdepodobne velmi presnym odrazem toho, jak bude opatreni ucinne. Opatreni, ktere SPAMery "zamrzely" tu uz bylo spousta. A nektere z nich dokonce dokazaly *kratkodobe* mnozstvi SPAMu snizit ...

Samozrejme, ze za soucasnych podminek novych domen vznika mene nez novych email-adres. Neni zdaleka potreba vytvaret pro kazdy dopis novou domenu. Neni ale jakykoliv duvod se domnivat, ze pocet zrizovanych domen prudce nevzroste, pokud to nezacne byt v novem prostredi potreba.

Ja nepopiram, ze jakekoliv prijate opatreni nebude mit nejake vysledky. Jen si myslim, ze se to vzalo z nejakeho spatneho konce.

SPAMer odesilajici dopis ma od nekoho IP konektivitu (rikejmemu ISP) a (pokud se system prosadi) je jednoznacne, od koho "ziskal" emailovou adresu (rikejme mu Mailbox Provider). Muzeme hodnotit "serioznost" ISP - podle toho, jak caste je posilani SPAMu z jejich siti, nebo "serioznost" MP, podle toho, jak casto je odesilan SPAM z "jejich domeny". Z nejakeho, me neznameho, duvodu se ale veri, ze vlozit odpovednost na ISP za to, komu poskytuje IP konektivitu je nemozne, zatimco vlozit odpovednost na MP za to, komu poskytuje mailbox je "ta prava cesta". Zatimco "blokovani siti" - proto, ze z jejich IP jsou podnikany utoky se povazuje za nevhodne (protoze by se to dotklo nevinnych), vyhodnocovani serioznosti emailove domeny se znovy povazuje za "pravou cestu".

Jinymi slovy - z meho pohledu je ISP jedna komercni organizace se vztahem ke SPAMerovi a MP druha. Je v zasade naprosto jedno, na kterou z nich budeme tlacit, aby si v radach svych klientu udelala poradek. Jedno, az na jeden detail - v pripade, ze budeme tlacit na tu prvni, nemusime se omezit jen na reseni problemu s emailem. Presto se jako "prave reseni" prosazuje natlak na organizaci druhou, coz podle me nema zadne vyhody - jen nevyhody. Proc, to me tedy opravdu nenapada ...

Upresneni: Ten pomer mel byt domen/mailu pro "korektni" (ne-spamove) ucely.

ze jednak novych domen vznika mene, nez novych e-mail adres

Ano, dnes tolik nových domén nevzniká. Proč ale předpokládáte, že po zavedení vámi prosazovaného systému to tak zůstane? Zkuste si, máte-li možnost, prohlédnout nějaké typické tři roky staré spamy a nějaké dnešní. Určitě si všimnete, že jsou tam velmi podstatné rozdíly, které jsou důsledkem nasazení různých antispamových řešení. Proč si myslíte, že na vaše řešení spammeři reagovat nebudou?

Ale omezi. Budou muset neustale menit domenu, coz sice neni neprekonatelna prekazka, ale zamrzi. A hlavne, takova nova domena nebude moc duveryhodna, takze je podstatne pravdepodobnejsi, ze mail od ni bude vyhodnocen jako spam. Oproti osobnim klicum ma klic na domenu vyhodu v tom, ze jednak novych domen vznika mene, nez novych e-mail adres a hlavne kdyz budu delat povest "po domene", tak podstatne drive ziskam statisticky vyznamny vzorek mailu. Coz ma oboji za nasledek zmenseni problemu novych poctivych domen.

A dalsi plus je, ze zatimco dnes nelze z mailovych hlavicek rici, ze ktere domeny/stroje mail pochazi, u mailu takto podepsaneho to mozne je.

Ad paranoia: Troufam si tvrdit, ze moznost byt nedohledatelne anonymnim odesilatelem bude +/- stejna jako dnes. Pouze nektere [naivni] zpusoby budou jeste o neco jednodussi na vytrasovani (viz predchozi odstavec).

Protoze bud' bude ziskani podpisu levne a pak to SPAMery prakticky nijak neomezi, nebo bude drahe a pak to proste znemozni elektronicky komunikovat spouste lidem v chudsich castech sveta. No, a jak tu kdosi poznamenal, navrhovany system vlastne je obdoba podpisu - pricemz klicove je "vlastneni domeny". No, a domeny a jejich hostovani bud' bude lacine nebo drahe. Se zbytkem uvahy, viz zacatek tohoto prispevku. BTW, domeny i jejich hostovani jsou velmi lacine ...

Navrhovany system totiz nesmeruje primarne k omezeni SPAMu, ale k omezeni moznosti padelat adresu odesilatele (a vubec, k omezeni moznosti byt nedohledatelne anonymnim odesilatelem). Byt paranoidni, tak me asi napadne, ze tlak ve skutecnosti vychazi z uplne jine motivace, nez je omezeni SPAMu a z ve skutecnosti uplne jinych mist, nez z tech, ze kterych se vychazet zda. Ale tvrzeni, ze jde o snizeni poctu SPAMU je pomerne dobre kryti. A navic je mozne, ze snizeni poctu SPAMu bude skutecne jeden z vedlejsich ucinku zavedeni takoveho systemu ...

Vime. Protoze je to nesmysl a spam by to nijak vyznamne neomezilo.

Ja bych videl problem v nekolika vecech:

1) Velka cast lidi svoje maily podepisovat proste nepotrebuje
2) Lide, kteri by treba podepis vyuzili narazi na to, ze adresat neumi podpis overit
3) Pokud vim, zatim neexistuje framework s nejakou opravdu jednoduchou instalaci / konfiguraci (vcetne distribuce klicu)
4) Cela vec (jako i skoro cely zbytek pocitacove bezpecnosti) je pro obycejne uzivatele proste prilis slozita, takze se ji nezabyvaji

chapu, ze se podepisuje cela domena, ale docela by me zajimalo, proc se el. podpis u normalnich lidi tak neujal, zatim sem to videl jenom u par "geeku", ze svoje mejly podepisuji.

Ale tohle JE elektronicky podpis ;-) Jen se nepodepisuje konkretni osoba, ale domena.

Standard na elektronicky podpis jako takovy jednak uz +/- pouzitelny existuje (PGP). Ale domnivam se, ze nejvetsi brzdou zde je nutnost menit konfiguraci a uzivatelsky SW u kazdeho uzivatele.

U DomainKeys staci mit SMTP server, ktery je podporuje, samotne vygenerovani klice a vystaveni do DNS je pomerne trivialni.

mozna je uzky profil rychlost linky a ne vypocetni vykon nutny pro podepsani zprav

(certifikat pro elektronicky podpis neni drahy a vystavi ho mnoho certifikacnich autorit)

nevite nekdo proc se nikdo nesnazi protlacit elektronicke podpisy, kteryma by sel spam slusne omezit? (to nemluvim o pridane hodnote...)