Bill Gates: technikák a kéretlen levelek felszámolására

Az RSA konferencián megtartott előadásában Bill Gates, a Microsoft elnöke és vezető szoftvertervezője részletesen bemutatta a spam felszámolására irányuló terveket és az ezzel kapcsolatos technológiai javaslatokat. Szólt a vállalat Koordinált Spamellenes Kezdeményezéséről (Coordinated Spam Reduction Initiative, CSRI), valamint az ˝e-mail küldőazonosító˝ kialakításához szükséges műszaki specifikációról.˝Felhasználóink panaszainak sorában a spam foglalja el az első helyet, a Microsoft ezért számos fronton végez innovációs tevékenységet ennek felszámolása érdekében.˝ – közölte Gates – ˝Hitünk szerint az ´e-mail küldőazonosító´ és a Koordinált Spamellenes Kezdeményezés hozzájárul a kéretlen levelek küldésére épülő vállalkozások gazdasági ellehetetlenítéséhez, a spammerek tevékenységének beszüntetéséhez.˝

A CSRI, a Microsoft hosszú távú – az iparág egészét érintő – terve a spam technológiai eszközökkel történő hathatós visszaszorítására. Három olyan javaslaton alapul, amely jobb szűrésre ad módot:
• lehetővé kell tenni az e-mail feladójának kétséget kizáró azonosítását, a hívóazonosító módszerével
• lehetővé kell tenni a nagy tömegű e-mailt küldők számára, hogy jelezzék: betartják az elvárható levelezési szabályokat
• működőképes alternatívákat kell felkínálni a kevesebb levelet küldők számára, hogy megkülönböztethetővé tegyék magukat a spammerektől

˝E-mail küldőazonosító˝

A létező spamszűrők az e-mail feladója alapján döntik el, hogy kéretlen-e az adott levél. Nincs azonban jelenleg garancia arra nézve, hogy a levél valóban attól származik, aki feladóként fel van benne tüntetve. Egyre inkább terjed a ˝spoofing˝, vagyis az e-mail feladójának meghamisítása, mert a kéretlen levelek feladói viszonylag egyszerűen kijátszhatják a szűrőket. Ez a módszer biztonsági kockázatot is jelenthet, ha e-mailben terjedő vírusok küldésére használják.

A Microsoft azért készítette el az e-mail küldőazonosítóra vonatkozó javaslatát, hogy segítséget nyújtson a hamis tartomány feltüntetésének megakadályozásához, valamint a spamszűrők hatékonyságnak fokozásához. Ennek érdekében megállapíthatóvá kell tenni az üzenetet feladó tartományt – lényegében úgy, ahogyan a telefonok hívóazonosítójának köszönhetően megjelenik a hívó fél telefonszáma.

A javaslat három lépésben tervezi megvalósítani a feladó azonosítását:
• az e-mailt küldő kisebb vagy nagyobb szervezetek közzéteszik kimenő e-mail kiszolgálóik IP-címét a DNS (tartománynév) rendszerben, az ˝e-mail küldőazonosító˝ specifikációjában előírt formátumban
• a fogadó e-mail rendszerek minden üzenetet megvizsgálnak, hogy megállapítsák, milyen tartományból valónak állítja magát az üzenet (azaz hogy milyen internetes tartomány van feltüntetve az üzenetben feladóként)
• a fogadó e-mail rendszerek lekérdezik a DNS-ből az állítólagos feladó tartomány kimenő e-mail kiszolgálóinak IP-címeit; ezután ellenőrzik, hogy szerepel-e a listán az az IP-cím amelyről a levél érkezett; ha nem, akkor az üzenetet nagy valószínűséggel hamis címről adták fel

Előrehaladott állapotban vannak a Microsoft arra vonatkozó tervei, hogy próbaüzemben bevezesse az e-mail küldőazonosítót a Hotmail szolgáltatás részeként. A Hotmail mától kezdve közzéteszi kimenő IP-címeit, és a nyár elejétől kezdve ellenőrizni fogja a bejövő IP-címeket. A vállalat ezenkívül más cégek (az Amazon.com, a Brightmail és a Sendmail) segítségét is igénybe veszi a javasolt módszer teszteléséhez.

Ajánlások a nagy mennyiségű jogszerű levelet küldő cégeknek

Nem minden kereskedelmi célú e-mail minősül levélszemétnek. Számos előírásosan működő vállalat, köztük bankok, brókercégek és biztosítótársaságok e-mailben tartanak kapcsolatot ügyfeleikkel, és így tájékoztatnak szolgáltatásaikról. A légitársaságokhoz, a sajtóvállalatokhoz és a sokféle online kereskedelmi szolgáltatóhoz hasonló más szervezetek is teljes joggal küldhetnek e-mailt ügyfeleiknek. Napjainkban azonban a vállalkozások nem tudják a spammerektől könnyen megkülönböztethetővé tenni magukat.

A Microsoft a CSRI javaslatban felvázolta, hogy szerinte milyen magatartási szabályokat kellene kialakítani a kereskedelmi célú e-mailt küldő szervezetek számára, hasonlóan az elektronikus adatvédelem területén ténykedő szervezetek, többek között a TRUSTe hozzájárulásával kialakított magatartási szabályokhoz. A Microsoft úgy véli, hogy amint közmegegyezés születik a szabályokról, független elektromos levelezési megbízhatósági hatóságokat (independent e-mail trust authority, IETA) kell felállítani, amelyek figyelemmel követik, hogy a nagy mennyiségű levelet kiküldő szervezetek betartják-e a szabályokat, és ha igen, ezt tanúsítják.

A Microsoft nézete szerint megbízhatósági listák, illetve digitális tanúsítványok révén mind a szűrőszoftverek, mind a végfelhasználók számára könnyen felismerhetővé kell tenni azokat a szervezetekek, amelyek az IETA tanúsításával bizonyíthatóan betartják a helyes levélküldés magatartási szabályait. A tanúsítvány meglétét, illetve a megbízható feladók listáján való szereplést a spamszűrők meggyőző bizonyítéknak tekinthetik arra nézve, hogy a feladó nem spammer, így a technológia jobban meg tudja különböztetni a jogszerű leveleket a kéretlenektől.

Alternatívák a kisebb tömegű levelet küldő szervezetek számára

A kisebb szervezeteknek más, olcsó módszerekre van szükségük ahhoz, hogy elkerülhessék leveleik kéretlennek minősítését, mivel a levelezési szabályzat betartása szükségképpen sokba fog kerülni. A Microsoft azt javasolja a probléma megoldására, hogy a tanúsítással nem rendelkező szervezetek pénz helyett számítógépes feldolgozási ciklusokkal fizessenek.

A spammerek annyira kis válaszarányt tudnak elérni, hogy naponta több millió levelet kell kiküldeniük ahhoz, hogy nyereségesek lehessenek. Így számítógépeik csak a másodperc törtrészét fordítják egy-egy üzenet feldolgozására. A spammerek gazdasági modellje működésképtelenül drágává válik, hogy ha akár csak öt vagy tíz másodpercet is rá kell szánniuk az egyes üzenetek feldolgozására. A kevesebb levelet küldő szervezeteknél viszont általában bőséggel áll rendelkezésre számítástechnikai kapacitás. Bár nincs rá pénzük, hogy tanúsítást szerezzenek, rászánhatnak pár másodpercet minden üzenetre. A Microsoft kidolgozta azt a módszert, amellyel a tanúsítással nem rendelkező feladók igazolhatják, hogy ráfordítottak pár másodperc feldolgozási időt minden üzenetre. A spamszűrők így fel tudják ismerni, hogy a feladó nem spammer, mert olyan magatartásról tett tanúbizonyságot, amely meghiúsítaná egy spammer üzletvitelét.

A Microsoft a jövőben is jelentős összegeket fog áldozni a spamellenes kutatási és fejlesztési tevékenységekre, hogy újszerű technológiai módszerek állhassanak rendelkezésre a spam problémakörének megoldására a világ minden felhasználója számára. Ha a szereplők tágabb körét tekintjük, a Microsoftnak az a meggyőződése, hogy a kéretlen levelek kérdéskörére csak összehangolt erőfeszítéssel adható kielégítő válasz. Ebben a korszerű technológián kívül az iparági önszabályozásra, a felhasználók tájékoztatására, a jó törvénykezésre és a törvénysértő spammerek elleni célzott bűnüldözési és igazságszolgáltatási fellépésre is komoly szerep hárul. A vállalat továbbra is kötelességének tartja, hogy a felhasználókkal, a partnereivel, az egész iparággal, az állami és a bűnüldözési szervekkel kialakított nemzetközi együttműködés révén hozzájáruljon a spam felszámolásához.