Psihoza SPAM-ului – Ep.4

Discutam în articolul precedent al seriei principalele măsuri de combatere a SPAM-ului și am văzut că niciuna din ele nu rezolvă problema definitiv, o dată pentru totdeauna. Ele reușesc doar să reducă (în cazul fericit – până la un nivel neglijabil) cantitatea de SPAM care răzbate până în inbox-ul nostru.

Probabil ești și tu de acord cu mine că e cel puțin dezamăgitor faptul că de atâta amar de ani de când omenirea are e-mail nu s-a putut găsi o soluție pentru stârpirea răului din rădăcină, o soluție care să ne facă să uităm definitiv ce înseamnă SPAM-ul. Ei bine, nu s-a putut. De ce? Din motive de compatibilitate, trimiterea mailul în internet se face și azi în mare măsură în baza aceluiași protocol SMTP dat în exploatare cu vreo 30 de ani în urmă.

În anul 2010 putem spune cu mâna pe inimă că SMTP este un protocol arhaic. La vremea proiectării lui se urmărea ca SMTP să asigure livrarea cu succes a mesajelor – asta reprezenta pe atunci un pas uriaș înainte, însă acum SMTP este o relicvă încă vie, este un protocol absolut naiv din punctul de vedere al securității. Neexistând pe atunci experiența pe care o avem azi în materie de trimitere de e-mail, nu s-au luat deloc măsuri care să asigure identificarea corectă a expeditorului mesajelor. Cu alte cuvinte SMTP permite celui care trimite un mesaj falsificarea fără prea mari eforturi a adresei de mail care apare ca fiind a expeditorului mesajului. Așa se face că toate mesajele SPAM care ne parvin apar că ar veni de la niște utilizatori cu adrese de mail care nu există în realitate, sau chiar adrese de mail ale altor utilizatori nevinovați, care nu au fost implicați în niciun fel în trimiterea mesajelor SPAM. Dar adresa expeditorului nu este singurul element ușor falsificabil pentru că în situația asta sunt aproape toate informațiile din antetul (header-ul) unui mesaj. Serverul SMTP pe care se află căsuța destinatarului poate, în schimb, stabili cu certitudine adresa IP a calculatorului de la care vine mesajul, asta nu se poate falsifica. Adresă IP pe care o raportează la RBL-uri, de unde rezultă tot mecanismul descris în articolul precedent.

Ar trebui să existe un mecanism care să împiedice acceptarea la destinație mesajelor venind de la adrese de mail falsificate, însă asta e mai ușor de zis decât de făcut.

Sigur că există modalități de a trimite mail în care, pe baza unor metode criptografice (semnarea digitală a mesajelor), să poată fi stabilită cu certitudine identitatea expeditorului mesajului. Numai că este total nepractică obligarea TUTUROR utilizatorilor din internet să folosească astfel de procedee pentru trimiterea de mail, prea complicate și prea costisitoare pentru majoritatea oamenilor. Spun asta pentru că stabilirea identității utilizatorului presupune eliberarea unui certificat digital emis de o organizație având o anumită autoritate (un fel de notar electronic), eliberare care în general nu este gratuită, ci costă o anumită sumă de bani. Treaba asta va fi posibilă în epoca încă destul de îndepărtată în care nu vom putea intra pe internet decât după ce ne identificăm în baza unei cărți de identitate digitale eliberate de organele statului. Dacă vreți voi, cartea asta de identitate digitală poate fi și un cip implantat sub piele, că tot e la modă subiectul.

O soluție mai ușor de implementat și aproape la fel de sigură este semnarea electronică a mesajelor e-mail nu de către utilizatorul care trimite mailul ci de către serverul SMTP ce preia mesajul de la utilizator spre a-l livra către destinație. O astfel de soluție este DKIM (DomainKeys Identified Mail) și este deja pusă în aplicare de mai mulți furnizori de servicii e-mail. Dacă ești utilizator GMail sau Yahoo Mail atunci toate mesajele pe care le trimiți poartă și o semnătură DKIM pe baza căreia la destinație se poate verifica dacă mesajul e original sau nu.

O altă soluție care nu implică metode criptografice este introducerea unui mecanism prin care la destinație să se poată verifica dacă serverul de mail de unde a venit un oarecare mesaj ce are trecută la expeditor adresa utilizator@domeniulmeu.com este îndreptățit să trimită mesaje de la utilizatori care au căsuțe de mail pe domeniul domeniulmeu.com. Verificarea se realizează prin intermediul sistemului DNS (Domain Name System) și se numește SPF (Sender Policy Framework).

Numai că nici DKIM, nici SPF nu sunt implementate la scară globală, încă mai sunt multe servere care nu au auzit de așa ceva și trimit mail bine-mersi în continuare.

Și, da, trimiterea mesajelor SPAM este ilegală. Chiar și în România. În legea 365/2002 privind comerțul electronic la art. 6 alineatul 1 zice clar că mesajele cu caracter comercial pot fi trimise numai cu acceptul explicit al destinatarului:

Efectuarea de comunicări comerciale prin poşta electronică este interzisă, cu excepţia cazului în care destinatarul şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.

Mai multe detalii privind implicațiile legislative pot fi aflate aici.

Dar evident că nu dormim mult mai liniștiți știind că ne apără legea. Brațul legii este prea puțin eficient în cazurile astea. De ce? Pentru că autorii sunt greu de identificat din cauza naturii complexe a procedeului prin care SPAM-ul se trimite, majoritatea etapelor fiind total în afara controlului care poate fi exercitat de autorități. Poate dacă am avea și în România un regim asemănător cu cel chinez și s-ar institui sisteme stricte de cenzură și control în internetul românesc, aplicarea legii s-ar face cu mai mult succes (în cazul spammerilor din România, care oricum sunt absolut minoritari pentru că SPAM-ul greu vine de afară). Dar eu zic că libertatea de care ne bucurăm pe Internet compensează cu vârf și îndesat neajunsurile de a mai fi loviți ocazional cu câte un mesaj de SPAM care mai trece uneori de sistemele de protecție. Cine nu-i de acord să ridice mâna (ca să-i punem cătușele :P )

Totuși, se pare că există și ceva cazuri de SPAM soluționate cu succes de sistemul legal din România. Dau numai două exemple:

http://www.internative.ro/2008/03/11/prima-amenda-pentru-spam-in-romania/
http://mvcom.ro/Vodafone-amenda-pentru-spam.aspx

Mă opresc aici cu seria despre SPAM, fără pretenția că am tratat subiectul exhaustiv, dar sunt convinsă că ceva lumină s-a mai făcut în jurul subiectului. :)

Share on Facebook
Share on LinkedIn

Publicat în: Glosar

Etichete:

Despre autor: Este fetiţa trupei, cea guralivă şi amuzantă; ne place s-o buzărim de câte ori avem ocazia ca s-o ofticăm, dar nu ne iese întotdeauna pentru că din nefericire ține la glumă. Atenție, deși e fată nu trebuie subestimată pentru că este deţinătoarea unor cunoştinţe solide de IT pe care ştie să le pună în ecuație ca să obțină ce vrea.

RSSComentarii (0)

URL trackback

Comentează




Dacă vrei să apară o poză la comentariul tău, fă-ți rost de un Gravatar.