Hlavní navigace

Vítězství nad spamem: bude to Microsoft?

17. 3. 2004
Doba čtení: 7 minut

Sdílet

Na konci února vystoupil s vlastním návrhem a poměrně odvážnou vizí na řešení problému Bill Gates, šéf Microsoftu. Poprvé na ekonomickém fóru v Davosu, kdy nastínil základní obrysy plánu a za několik týdnů na konferenci RSA 2004 i s konkrétním návrhem implementace. V čem spočívá jeho nápad a má šanci na úspěch?

Popisovat na Lupě problematiku spamu a jeho tragické dopady na rozvoj a použitelnost Internetu je myslím „naštěstí“ zbytečné. Zatímco američtí i čeští zákonodárci přijímají zákony, které „závažným způsobem“ zasáhnou do činnosti spammerů, naše schránky jsou zahlcovány nevyžádanými návštěvníky ve stále větší míře. Po jedné kličce zákona totiž následuje několik jiných jako odpověď vynalézavých rozesílačů. Softwarové firmy se v tomto marném zápase soustředily hlavně na nabídku filtrů a jiných nástrojů, řešících spíše následek.

Gatesovo vystoupení na konferenci v Davosu bylo určeno spíše jako upozornění na cíl Microsoftu zapojit se do boje se spamem. Nebylo určeno ani tak IT profesionálům jako široké veřejnosti, čemuž odpovídalo i spíše marketingové provedení a obsah prezentace: rok 2006 má být podle jeho plánů mezníkem, za kterým již nebudeme chápat, s čím jsme si to do té doby vlastně lámali hlavu. Základní plán staví na třech pilířích: dokonalejší filtry na straně klientů (sama o sobě nepostačující složka, spíše doplněk strategie), přenesení nákladů spojených s rozesíláním emailů ze strany příjemce (čas, nutný pro kontrolu a vyřízení dopisů) na stranu odesílatele a dodatečná finanční penalizace odesílatele v případě, že příjemce označí jeho zprávu za nevyžádanou. Všechny možnosti jsou již známy a nějakou dobu jsou i zde na Lupě diskutovány, ostatně celý plán změny emailové ekonomiky navazuje na již starší projekt Microsoftu s názvem Penny Black.

Všechny tři varianty plánuje Microsoft prosazovat společně a v měřítku širší spolupráce se všemi subjekty na poli elektronické pošty. Na konferenci RSA 2004 pak pod názvem Coordinated Spam Reduction Initiative (CSRI) představil dodatečný postup, který by měl celkové množství spamu snížit. Jako jedna z jeho tří součástí je zde navržen princip jednoznačné identifikace odesílatele, tedy problém, který jako slabinu dosud vyčítali kritici hlavního Gatesova plánu. Pokud by totiž platilo, že příjemce emailu by mohl po odesílateli vyžadovat zaplacení určitého obnosu, jestliže by se mu jeho dopis nelíbil, nebyl by v současných podmínkách pro spamery problém vydávat se za jiného odesílatele tak, jak to provádějí již nyní. Náklady by tak převedli na jiný subjekt a problém spamu by zůstal.

Identifikace odesílatele (Caller ID) Microsoft přirovnává k identifikaci volajícího v sítích GSM. Samotný princip je však zcela jiný: vyžaduje od odesílatelů emailů zveřejňování IP adres serverů, používaných k rozesílání pošty z dané domény. Tyto seznamy budou uschovány v rámci Domain Name System (DNS) ve standardním tvaru souboru XML. Příjemce potom pro každý email ověří autenticitu domény tak, že porovná její IP adresu se seznamem IP adres pro tuto doménu v DNS. Nebude-li se ověřovaná IP adresa nacházet na seznamu,bude email považován za podvržený.

K podpoře svého nápadu jej hodlá Microsoft prosazovat jako otevřený standard a již navázal spolupráci s několika organizacemi, zapojenými do řešení problému se spamem. Příkladem může být společnost Sendmail, Amazon nebo Brightmail. Kromě toho ovšem Microsoft začal s testováním Caller ID u své služby Hotmail, kde již ověřuje odchozí IP adresy a od léta plánuje i kontrolu příchozích IP adres.

Nápad je to jednoduchý a potenciálně poměrně účinný: ve spojení s blacklisty může nešvar falešných odesílatelů rázně potlačit. Spamer si samozřejmě může zaregistrovat vlastní doménu a tu použít na několik sérií spamu, pak však začne stále více adresátů jeho zdroj odmítat a jemu nezbude než se přesunout na dosud „nevytěženou“ doménu. Pořizování stále nových domén a IP adres je však náklad, který spammeři dosud v takové míře neznají, takže vše bude záležet na velikosti jejich zisků. Budou-li stále výděleční natolik, aby se jim přesunování na nové domény vyplatilo, spam bude mizet pomaleji, než by se očekávalo. Zisky spamerů jsou však věc ne příliš zdokumentovaná, takže nezbývá než čekat a sledovat vývoj po nasazení systému Caller ID v praxi. Vše samozřejmě také záleží na míře ochoty spolupráce ostatních subjektů, zainteresovaných v emailovém a internetovém provozu, nastíněný princip však není tak zásadně obtížný k implementaci, aby někomu z nich činil potíže.

Problémy s identifikací u zpráv, odeslaných z mobilních zařízení, mailing-listy, přeposílači (forwarding) či u emailů, generovaných webovými službami by měly vyřešit změny emailového systému, resp. úpravy pravidel daných RFC. Jde zejména o přidání polí Sender, From nebo Resent-From (v závislosti na typu scénáře) do hlaviček emailů tak, aby vždy bylo možné jednoznačně identifikovat doménu odpovědnou za odeslání zprávy. Některé z těchto nových činností by měly provádět emailové klienty, jiné poštovní servery, každopádně je zřejmé, že jejich zavedení si vyžádá čas a podrobnější diskusi v široké komunitě vývojářů a správců prvků emailového systému. Ta se teprve rozbíhá (Microsoft k ní vybídl na svých stránkách technické specifikace Caller ID), takže výraznější reakce a podněty můžeme ještě očekávat. Nejzajímavější „boj“ se bude zřejmě odehrávat kolem problematiky důvěryhodnosti hlaviček Sender, From aj. u koncových klientů, kteří se budou muset spolehnout na důvěryhodnost serverů v komunikaci předcházejících.

Druhá součást CSRI se zabývá stanovením optimálního postupu pro oprávněné odesílatele hromadných zpráv. Ten si Microsoft představuje jako zavedení pevných pravidel, nad jejichž dodržováním bude bdít nezávislá emailová autorita (IETA), která bude provádět certifikace odesílatelů. Na certifikát by pak měly brát ohled jak emailové klienty, tak filtrovací software nasazený u ISP (podle původního, souběžného antispamového plánu Microsoftu jsou filtry jedním z důležitých, i když nikoliv postačujících složek systému boje proti spamu). Samotná pravidla pak Microsoft doporučuje převzít od specifikace společnosti TRUSTe pro oblast elektronického soukromí. Držení certifikátu či alternativně prezence na seznamu důvěryhodných serverů by mělo filtrovacímu softwaru či klientovi stačit k tomu, aby důvěřoval v nespamerskou povahu odesílatele.

Zde se přímo nabízí otázka, nakolik by se lišila náročnost implementace identifikace odesílajícího, pokud by byla provedena prostřednictvím již ověřené metody elektronického podpisu. Podpis by zde sloužil jako jednoznačné určení původce, místo IETA by zaujaly certifikační autority, jaké již dnes u e-podpisu fungují (např. Verisign). Ověřování cesty emailu složitým stopováním hlaviček a problematika autenticity polí Sender apod. u koncových klientů by tím odpadla, protože podpis v emailu by přímo ukazoval na odesílatele. Navíc by nebylo nutné zasahovat do infrastruktury systému v podobě modifikace RFC.

Vedle subjektů certifikovaných pro odesílaní hromadných zpráv se samozřejmě také bude vyskytovat velké množství menších organizací vyžadujících nepravidelné rozesílání většího množství emailů legitimního charakteru. Protože získání certifikace a dodržování jejích pravidel by bylo podle Microsoftu pro ně příliš nákladné, počítá CSRI i s alternativním postupem pro tyto případy. Nepravidelní hromadní rozesílatelé by za certifikát neplatili penězi, ale výpočetním časem svých serverů. Při odeslání každé zprávy by procesor musel vyřešit blíže nespecifikovaný jednoduchý výpočet, který by zdržel proces odeslání o několik vteřin. Microsoft předpokládá, že ekonomický model spamerů by podobné zdržení vážně narušilo a při počtu milionů zpráv denně by se jim přestal vyplácet (zatímco malé organizace zpravidla disponují dostatečným volným výpočetním potenciálem). K ověření, zda odesílatel skutečně věnoval určitý čas řešení úlohy, prý Microsoft disponuje dostatečně kvalitní metodou.

Platba procesorovým časem je zajímavý nápad (i když ne poprvé zmiňovaný), skýtá však některé rysy řešení, které znepříjemní práci běžným uživatelům a spamerům ponechá místa k úniku. Je například poměrně snadné si představit situaci, kdy si některá společnost pořídí farmu výkonných strojů a bude nabízet služby k odesílání hromadných emailů bez většího ověřování jejich účelu. Aby byla podobná investice nevýhodná, musel by být „odesílací“ rébus natolik složitý, že by zase znemožnil posílání většího počtu zpráv menším organizacím. Vybalancovat optimální náročnost úlohy tak, aby byla drahá pro spamery (rozesílání letáků do poštovních schránek také není zadarmo, a přesto se inzerentům vyplácí) a levná pro oprávněné rozesílatele, nebude v současných podmínkách značné hardwarové rozmanitosti uživatelů jednoduché. Na druhou stranu, pokud by se takový poměr podařilo najít a prosadit, mohl by se takto vynucený počítací čas věnovat užitečným účelům, jako jsou třeba distribuované vědecké výpočty, hledání léků apod. Znovu se však nabízí varianta elektronického podpisu – i podepsání zprávy určitý procesorový čas zabere.

Jak se bude celý plán vyvíjet, je těžké odhadovat. Caller ID vyžaduje změnu infrastruktury a proti tomu se nejspíš postaví část odborníků, hájících volnou podobu internetové komunikace skrz neupravovaný a stále účinný protokol SMTP. Za úvahu by rozhodně stálo větší rozšíření elektronického podpisu doprovázené lepším stanovením pravidel pro výměnu zpráv mezi organizacemi. Microsoft je navíc v pozici snadného terče, protože jediný přichází s propracovanějším návrhem. Různí komentátoři upozorňují, že bude muset výjimečně postupovat v široké koalici všech zúčastněných subjektů, používat své návrhy jako otevřené standardy a naslouchat připomínkám. K tiskové zprávě Microsoftu o CSRI se už také vyjádřila konzultantská společnost Gartner, podle které tato metoda nepřispěje do roku 2006 k výraznější redukci spamu, navíc očekává, že v druhé polovině příštího roku začnou být společnosti s nevyhovující podporou prvků plánu vytlačovány z trhu.

Pomůže podle vás CSRI zatočit se spamem?

Autor článku

Autor je ředitelem médií vydavatelství Internet Info. V letech 2005 - 2008 působil jako šéfredaktor serveru Lupa.cz. Vystudoval Fakultu informatiky MU a Fakultu sociálních věd UK. Online komunikaci se věnuje i na svém blogu www.alesmiklik.cz.