Hvordan kommer vi spam til livs?

1. juli 2008 kl. 09:3053
Sommerkonkurrence: Bill Gates lovede at spam som et problem ville være løst i 2006, men alligevel fyldes indbakker dagligt med uønskede reklame- og phishing-mails. Trumf Bill Gates og vind præmier i Version2's sommerkonkurrence.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Skriv dit bedste bud på, hvordan vi kommer spam til livs i debatten nedenunder. På baggrund af hvor innovative, kreative og fremsynede jeres indlæg er, udvælger redaktionen det bedste bud. I kan selvfølgelig også selv være med til at afgive jeres stemme i debatten om det bedste forslag ved at benytte afstemningsværktøjet på sitet.

Redaktionen udvælger hver uge det bedste forslag og belønner med et gavekort til Hjem-is.

53 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
1. juli 2008 kl. 11:45

Først skal vi bruge et system som kan tjekke om en mail faktisk kommer fra det domæne som den påstår at komme fra, det kan ske ved at en mail server gemmer tidspunkt og hash sum for en sendt mail. Den modtagende mail sever kan så henvende sig med samme information for at få mailen verificeret.

Dertil kan der også indføres en officiel spamrapportering fra modtagerserver til afsenderserver, som sendes i fald brugeren rapporterer mailen som spam. Samt en formodet spam rapportering som sendes hvis mailen ryger direkte i spam boksen. Begge dele for at gøre det lettere for afsender serveren at finde frem til brugere som misbruger servicen.

I en overgangsperiode må de mailservere som udfører afsendertjek så bare finde sig i at de ikke kan verificere al post.

Herefter kan mailservere så begynde at spamfiltrere på afsenderdomænet.

Ikke verificerbare mails kan som straf få en lidt lavere spam tærskel end verificerbare mails.

5
1. juli 2008 kl. 11:48

Jacob, det er allerede hvadd er gøres, men problemerne er der er så mange krav, og så mange latterlige ting der bliver indført at nettet's mail er begyndt at forsvinde, og ikke virke fordi alle de forskellige anti-spam systemer modarbejder hinanden.

Jeg har prøvet at sætte op en officiel mail server, det var et fuldtidsarbejde at spore hvorfor det ene domain ikke ville modtage mails, og hvorfor det andet bare lod mails forsvinde uden at rapportere hvorfor, selvom serveren havde akcepteret mailen for levering.

Den rigtige løsning er digtal signaturer.

13
1. juli 2008 kl. 12:53

Efter har kigge på en del tekniker, så er ikke så meget tilbage end at analysere indholdet - ellers skal man spærre for seriøse udbydere. Hvis der skal gøres mere for at forhindre det, er det udbydere af email-konti som skal gøre mere.

Men signering af afenderes findes allerede som "Domain keys" og SPF er også en meget anvendelig teknik til tjekke om en afsender er valid. En teknik, som jeg har haft gode erfaringer med, er greylisting, som fanger mange spam-emails, der kommer fra zombie-maskiner.

Men når de metoder er brugt, så kommer der stadig spam fra hotmail, yahoo, gmail og masser af de mindre webmail-udbydere. De har som udgangspunkt en valid email-adresse. Eller de registre masser af domainer eller email-adresser på en webhotel og så går de bare i gang med deres masseudsendelser ... Og hvis mangler arbejdskraft oprettelse af email-adresser så hyres de i lande som Nigeria....

8
1. juli 2008 kl. 12:31

Det tætteste på beskrivelsen jeg sådan lige kan finde er rDNS check, men det er jo lidt kluntet.

Men det er jo nok først og fremmest standardisering der mangler.

Det verdensomspændende centrale digitale signatur register har vist ret lange udsigter. Og uden registrering er en signatur intet værd i kampen mod spam, for en signatur kan man jo bare lave selv.

12
1. juli 2008 kl. 12:51

Det verdensomspændende centrale digitale signatur register har vist ret lange udsigter. Og uden registrering er en signatur intet værd i kampen mod spam, for en signatur kan man jo bare lave selv.

Det kræver kun, at nogle få af de store udbydere går sammen og indfører det, f.eks. Gmail, Hotmail og AOL - så skal de andre nok følge efter. Og med Microsoft bag MSN og Hotmail skal klient-siden nok også følge med. Det kræver bare, at man kan overbevise dem om at bruge en åben standard, som de ikke selv har kontrol over.

Det er klart, at der er et problem med at verificere identiteten på de personer, der opretter en digital signatur, især i lande uden den omfattende personregistrering, som vi har i Danmark. Men det kan vel løses ved at binde signaturen til en fysisk internetforbindelse.

17
1. juli 2008 kl. 13:16

Læs overskriften og tænk :)

Der er for mange halvstuderede løsninger som baserer sig på specialtilfælde.

RFC 2821 specificerer i udpræget detaljeringsgrad hvordan to mailerere udveksler mails.

Når folk så vælger at forlange reverse lookup laver man en opstramning i forhold til rfc - hvilket betyder at man hægter folk af som ikke kan kontrollere deres servers reversemap. altså tilfælde hvor dns host og udbyder er forskellige foretagener - noget den almindelige spam modtager intet ved noget om.

Til gengæld ses det ofte at selv større foretagender sjusker med deres "ehlo" statement hvor der skal stå et fqdn - som skal kunne slås op i FORWARD dns for at se at IP fra initiator MATCHER.

Strammes der op på mailere og systemadministratorers egne fortolkninger af rfc 2821 ville i omegnen af 80-90 procent af AL SPAM blive klippet på connection tidspunktet alene - alene på formen.

Der er imidlertid mail klienter der ikke overholder rfc 2821 og ikke afleverer fqdn i forbindelse med smtp transport - her kan for eksempel nævnes outlook - som i ehlo statement kun afleverer hostname - så her skal der osse pudses lidt.

og eftersom det for eksempel kan lade sig gøre at sende smtp mail med outlook har vi her et systematisk spam hul - som vil gøre at man ikke vil kunne bruge outlook som smtp agent uden at have en reduceret policy i henhold til rfc 2821 !

så LÆS RFC 2821 og græd over at den ikke anvendes fuldt ud.

19
1. juli 2008 kl. 13:32

17 kommentarer og alle prøver at løse det teknisk. Dette er indtil videre ikke gået specielt godt, så jeg tror ikke det er vejen frem. Jeg gider ihvertfald ikke sidde og løse en opgave for at sende en mail.

En løsning der virkede ret godt for mig: Spærre for kina. Jeg kender ikke nogen i kina og hvis jeg gør, må de jo bruge gmail eller noget andet.

Og generelt: Gøre det ulovligt at spamme(allerede i danmark) OG spærre for mails i lande som ikke gør noget ved spam.

Ja ja, jeg ved godt det er totalt dikatatur-metode, men det virker :-)

25
1. juli 2008 kl. 14:20

Problemet med at løse spamproblemet minder på sin vis meget om problemet med at indføre IPv6. Vi har en eksisterende standard, der ikke længere er tilstrækkelig, men der mangler momentum for at komme over på en ny standard.

I begge tilfælde vil folk ikke skifte til den nye standard netop fordi kun få bruger den, en noget rekursiv problemstilling.

Nogen nævner en "digitale signatur". Konkrete implementationer af denne løsningsmodel er SPF og DomainKeys, begge systemer til at forhindre spoofede afsenderadresser.

SPF har den store fordel at det kan indføres uden at lave ændringer i mail-softwaren (undtagen spamfiltrene, som selvfølgelig skal checke SPF; men det gør de i vid udstræking allerede), mens DomainKeys kræver at afsenderen eller dennes ISP signerer alle e-mails. SPF giver tilgengæld problemer med SMTP forwarding.

Fejlkonfiguerede systemer er også med til at hæmme udbredelsen af fx SPF.

Jeg har selv udsendt mails til omtrent 500 mennesker på en mailingliste, hvor een mail blev fanget i et spamfilter, pga. en SPF fejlkonfiguration fra min side. De resterende mails gik igennem. Havde den 500'ne e-mail-adresse ikke været på listen, ville min SPF konfiguration sandsynligvis have indeholdt fejl den dag idag.

Det er på grund af folk som mig at store internetudbydere ikke tør benytte SPF til at filtrere mails. :-)

Men hvis vi nu antog at SPF blev indført globalt, og al ikke-SPF-verificeret mail blev smidt væk. Vi ved nu at vores spam kommer fra evil.example.com, og et hurtigt check afslører at dette domæne er amerikansk-ejet. Hvad nu? USA har sin CAN-SPAM lov, men hvor går du, som dansker, hen med din klage?

Hvad hvis domænet er kinesisk-ejet?

Det nytter ikke at blokke .cn-domæner, hvis afsenderen har et .com-domæne. Man kunne argumentere for at .com er underlagt amerikansk ret, og burde kunne lukkes, hvis brugen strider med CAN-SPAM, men domæners retsstillinger er en hel anden, og ganske betændt debat.

Se fx http://thespamdiaries.blogspot.com/2008/03/dont-register-or-host-your-domain-in-us.html

Det støreste problem er i virkeligheden at der mangler international lovgivining på området. Der er bl.a. stor uenighed om hvad spam er: Amerikansk ret tillader opt-out mailing-lister, dansk ret tillader kun opt-in.

21
1. juli 2008 kl. 13:37

Alle mails bør sendes forbi Lene Espersen så hun kan screen dem for spam. Det er en total win-win situation for vi slipper for spam og Lene kommer til at lave noget hun kan finde ud af (en powershopper som hende kan med garanti skilne falsk reklame fra the-real-thing). Samtidigt så får hun så travlt at hun ikke har tid til at lave yderligere ulykker her i landet.

18
1. juli 2008 kl. 13:28

Spam eksisterer kun fordi det er en god forretning. Hvis ingen nogensinde købte noget, som de blev tilbudt i en spam-mail, eller fulgte reklamebetalte links på sider henvist fra spam, så ville spam forsvinde på grund af manglende forretningsgrundlag.

Men som P.T. Barnum (måske) sagde: "There is a sucker born every minute", så det kommer til at tage tid. Det sker nok først når alle brugere af Internettet er nogle, der har brugt det siden de var børn, og dermed lærer om nettets faldgruber, inden de kan bruge penge på det. De fleste, der ryger i spamfælder, er nok "noobs".

Men det vil også hjælpe en del med international lovgivning på området. Det er stort set umuligt at straffe en afsender fra udlandet, selv om spam er illegalt i det land, hvortil det bliver sendt. Og loven skal formuleres sådan, at man kan straffe firmaer, der kan påvises at have deres primære indtjening gennem spam, selv om man ikke kan vise, at det rent faktisk er dem, der har sendt det.

15
1. juli 2008 kl. 13:02

Kasper,

Du mener vel ikke seriøst at man kun skal have mulighed for at sende mails fra en adresse?

Men hvem mener du skal registrere og verificere signaturer?

Og hvorfor er det smartere at skulle verificere en signatur hos signaturregistraren end at verificere en mail hos afsenderserveren?

38
1. juli 2008 kl. 19:21

@Jacob

Det er derfor jeg skriver at protokollen skal omarbejdes, det er mailserverne som skal kontrollere om afsenderen findes i det domæne han sender fra og om serveren han sender fra rent faktisk er hans server. Det er to simple opslag som ville blokere ca. 70% af al spam men de kræver at det er indarbejdet i serverne, det er en simpel verificering af mail-headeren.

Krypteringen er blevet en nødvendighed men ja det er rigtigt at det er spammeren vil kunne køre SSL. og btw. ja jeg ved at der allerede nu findes en smtp over ssl.

20
1. juli 2008 kl. 13:35

Du mener vel ikke seriøst at man kun skal have mulighed for at sende mails fra en adresse?</p>
<p>Men hvem mener du skal registrere og verificere signaturer?</p>
<p>Og hvorfor er det smartere at skulle verificere en signatur hos signaturregistraren end at verificere en mail hos afsenderserveren?

Nej, jeg mener ikke at man kun må få lov til at sende fra een adresse. Man kan jo bruge den samme signatur på flere adresser, så længe signaturen er gyldig burde det ikke betyde noget. Men signaturen behøver jo ikke at være udstedt af en central myndighed et eller andet sted, den kan også komme fra toplevel-administratoren eller endda fra domæne-registranten. Så skal man bare vedtage nogle sanktionsmuligheder for de signaturudbydere, som ikke varetager deres ansvar godt nok.

10
1. juli 2008 kl. 12:47

Ligesom med blogs oa.: Løs en Captcha før mailen bliver sendt.

Rettet: Stavefejl.

7
1. juli 2008 kl. 12:07

Lav i hvert email header en linje som viser sansyndeligheden at mailen indeholder spam. Tillad enhver server til at ændre den linje efter behov. For eksempel: Jeg sender en email fra min GMAIL konto til en Hotmail konto. Gmail ved at jeg har været medlem i mere end 6 måneder og sender < 10 mails om dagen. Så de siger:"SPAMPROBABILITY=5%". Hotmail kan se på IP adressen at mailen faktisk kommer fra Gmail og Gmail står noteret som "at stole på". Men i mailen snakker jeg om min nye Rolex, så de beslutter sig at lægge 10 % til. Der står nu "SPAMPROBABILITY=15%". Endbrugeren læser sin mail via Outlook og han har et simpelt macro som siger "smidt alt over 85% ud, medmindre afsenderen står i min adressebog. Fidusen her er at bruge mere oplysninger: alle de oplysninger som afsenderens ISP / mailserver har, modtagerens heuristiske spam-scanner, og i sidste end modtagerens adressebog. Langsomt opbygger vi et "web of trust", uden at ødelægge kompatibiliteten med gamle software.

9
1. juli 2008 kl. 12:43

Så skal du bare lige registrere IP for et par millioner mailservere og få dem til at registrere din IP når du sætter en mailserver op. Samt holde øje med hvilke af disse millioner servere som udsender spam. No problemo.

Men altså helt generelt så er problemet jo ikke i særligt høj grad mails sendt mellem Hotmail og Gmail, for de rydder begge to rimeligt pænt op i deres brugere. Problemet er at skille alle de små mailservere fra botnet mailere som sender spam.

1
1. juli 2008 kl. 11:40

Gør det til et krav, at al email bliver signeret med en digital signatur, ellers vil det blive nægtet modtagelse. Signaturen skal selvfølgelig være gratis og administreret gennem ICANN el.lign. organisation. På den måde ved man altid, hvem der har sendt den pågældende spam-mail, og det vil nok afskrække de fleste. Så har vi selvfølgelig bare problemet med orme, der sender via uskyldige menneskers e-mail konto, det må vi så løse ad anden vej :-)

2
1. juli 2008 kl. 11:44

problemet med orme løses meget nemt ved brug af krypto tokens, og krav om fysisk aktioner.

Men En ordenligt digtal signatur lavet på den rigtige måde, og en lille tilføjelse af en header i emailen, som indeholder en header fingerprint, betyder man kan afvise mailen før den overhovedet modtages, dette vil spare megen båndbredde.

4
1. juli 2008 kl. 11:45

Det skulle være en signeret header fingerprint, ikke bare en header fingerprint.