Dette indlæg er alene udtryk for skribentens egen holdning.

Frimærker på email

13 kommentarer.  Hop til debatten
Blogindlæg10. december 2006 kl. 15:29
errorÆldre end 30 dage

Problemet med spam er kort og godt at det er gratis at sende en email.

Hvis det kostede spammeren noget at sende en email, så ville økonomien se helt anderledes ud og afhængig af prisen, ville en eller anden procentdel af spammerne finde noget mere profitabelt at tage sig til.

Men hvordan ser et frimærke til email ud og hvem skal udstede dem ?

På sin vis er min blog-kollega PTO allerede begyndt at opkræve porto for email til SSLUG: hvis ikke spammeren er villig til at holde styr på email'en i nogle minutter og huske at kalde op igen, så er det tydeligvis ikke vigtigt nok for afsenderen.

Artiklen fortsætter efter annoncen

Imidlertid har greylisting nogle ubehagelige egenskaber, ikke mindst at første email bliver systematisk forsinket, men også at den nødvendige database vokser sig enorm.

En anden betalingsform der har været oppe og vende er CPU-tid, "hvis du vil aflevere email til mig må du lige primtalsopløse det her tal: ".

Imidlertid er det nok en tvivlsom pris at opkræve, for den rammer store sites, som f.eks FreeBSD projektet, enormt hårdt, mens spammere blot skal skaffe sig flere bot'er for at kompensere.

Rigtige eller virtuelle penge er også en mulighed, men det kræver at en eller anden "bank" bliver involveret og det er ikke hensigtsmæssigt, hverken mht. pålidelighed, hastighed eller privacy.

Så er der forskellige kryptografiske tricks man kan bruge, men hvis de skal være bedre end primtalsfaktoreringen kræver de at en eller begge sidder skal vedligeholde en database, eller en problematisk central certificering af afsendere.

Og så er vi stort set tilbage ved greylisting, der i modsætning til kryptografiske tricks, penge eller primtalsfaktorering kan implementeres uden protokolændringer.

Og deri består nok det næststørste problem for antispam indsatsen: Ethvert tiltag der kræver ændringer i SMTP protokollen har en meget høj tæskel at klatre over, så høj at kun en definitiv løsning på spam-problemet kan gøre sig forhåbning om at klare den.

Det største problem er de store økonomiske interesser vi er oppe imod, primært, men desværre ikke kun, spammerne som tjener fedt på deres lille geschäft, men desværre også de mere eller mindre korrupte statsadministrationer der ser spammerne som en god valutakilde.

Samlet set kan vi konstatere at de akademiske idealer der førte til "frigørelsen fra postvæsnets tyrani" ikke skalerer til en uciviliseret brugerpopulation, eller om man vil, at kapitalismen virker i bedste velgående.

Så tillykke til PTO med hans greylisting, nyd det mens det virker.

Når det bliver for udbredt finder spammerne en vej udenom.

Det er deres job.

phk

13 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
15
14. december 2006 kl. 17:25

Der er jo ikke noget som gratis E-Mails - Det er en illusion at det er gratis at spamme.

Vi betaler alle for den infrastruktur der skal til for at sende alle de mails, og efter min mening burde vi tage den slags meget mere seriøst. Havner man på de "effektive" spamlister kan man lige så godt give op og få en ny mail addresse - Hvilket ikke er nogen lille ting, da man skal ind og skifte den alle de steder hvor man har brugt den for at tilmelde sig, som f.eks. her på stedet.

Der skal ikke nogen ny teknologi til - teknologien findes allerede. Erstat anonyme emails med positiv genkendelse af afsender, som f.eks. Microsoft har gjort i Messenger. Det afskaffer alt modtagelse af anonymt afsendte mails. Hvis folk vil på din liste af personer du modtager "mails" fra, så kan de anmode om det. Hvis man afviser, så smid dem i en sort liste, hvor de beskeder der sendes til en bliver slettet eller aldrig videresendt fra serveren.

Jeg vil ikke betale ekstra fordi nogen ikke kan finde ud af at bruge systemet på behørig vis - Så vil jeg hellere afskaffe muligheden for at misbruge systemet.

14
13. december 2006 kl. 20:20
  1. Hvor kan jeg læse mere om denne fantastiske dims?

  2. Hvis det bare er en dongle som sættes imellem tastatur og keyboard, hvad forhindrer mig da i at loop'e data igennem til "signering"? Derudover, hvis spammerne har råd til at hyre folk til at udfylde HIPs, så kunne de nok også finde midlerne til manuel indtastning af selve spammailen - som vel iøvrigt sagtens kan sendes til mange afsendere?

  3. Hvad er det for en "kode" som dette sikre tastatur indeholder? Hvordan tilknyttes det de data som indtastes? Hvad forhindrer spammerne i at generere tilfældige koder?

13
13. december 2006 kl. 11:42

Har du overhovedet overvejet, hvor mange gode og velfungerende tjenester, der vil holde op med at fungere, hvis e-mails kun kan udsendes af fysiske personer?

11
12. december 2006 kl. 11:48

Du glemmer at ikke alle whistleblowers har brug for at kontakte nogen i den anden ende af byen.

I takt med at mønttelefoner forsvinder og brevmængden bliver mindre vil disse kanaler blive mindre og mindre attraktive og mere og mere mistænkelige at anvende.

Og jeg understreger lige igen: Ingen Whistleblower vil stoppe fordi han skal købe et frimærke til sit brev eller email, men størstedelen af spammerne vil.

Overvej hvad din postkasse ville blive fyldt med hvis addresserede breve var gratis at sende...

Poul-Henning

10
12. december 2006 kl. 11:25

Du har stadig ikke forklaret, hvorfor de gammeldags metoder med at ringe fra en mønttelefon, eller et gammelsdags brev sendt fra den anden ende af byen ikke skulle være tilstrækkeligt for at whistleblowers kan fløjte.

Du skal jo ikke være blind for, at pressen, revisionsfirmaer, politiet, eller hvem man nu kan fløjte til, har meget større tiltro til en, de kan sætte et ansigt og navn på - også når de er nødt til at holde disse informationer hemmelige.

9
12. december 2006 kl. 10:51

Karsten,

Indtil nu har anonymitet i Danmark virket på den måde at retten kunne sætte den ud af kraft hvis der var juridisk grund til det.

Derfor er brevhemmeligheden ikke absolut, f.eks bliver alle brevforsendelser, så vidt jeg er orienteret, optaget på microfilm, primært så postvæsnet kan opkræve dummebøder, men sekundært så politiet, med en dommerkendelse, kan få oplyst hvor et givent brev eller en given pakke kom ind i post danmarks system.

Tilsvarende pålægger "terrorlovene" internet udbydere at logge informationer så emails på lignende vis kan spores.

Men privatpersoner imellem og så længe danmarks love ikke overtrædes, er brevhemmeligheden opretholdt.

Rent socialt er der brug for anonymitet, du får ikke folk til at afsløre embedsmisbrug, narkohandel eller offentlige skandaler hvis de ikke kan gøre det anonymt.

Stort set alle de eksempler du nævner på misbrug er strafbare og derfor kunne politiet gå efter sagen, hvis de var bemandet til det.

Selvfølgelig skal whistleblowers kunne fløjte og de skal kunne gøre det på en måde der ikke bringer deres ve og vel i fare. Hvis de fløjter falsk skal deres motiver naturligvis efterforskes, men som oftest er den slags anmeldelser resultat af så store sjælekvaler at der er gevinst hver gang.

Prøv at lægge mærke til hvor tit Ingeniøren beskytter sine kilder til afsløringer om sjusk, slendrian og kreativ bogføring.

Poul-Henning

9
12. december 2006 kl. 09:43

Spam er desværre en alt for effektiv markedsføringsmekanisme. I størrelsesordenen 5% af alle brugere skulle købe på baggrund af spam. På ACM Conference on Electronic Commerce i 2004 var der også en artikel hvor forfatterne regner ud at det er kost-effektivt at have personer ansat til at sidde og håndtere HIPs (indtaste de hersens slørede tekster men ser rundt omkring).

8
12. december 2006 kl. 09:43

Poul-Henning,

Jeg er ikke så sikker på, at fordelene ved at tillade annonyme E-mail opvejer ulemperne. Vi har problemer med skoleelever, der bliver mobbet vha. SMS, og de andre elektroniske medier børn bruger nu til dags. Der er også voksne, der misbruger muligheden for at telefonere annonymt, dels til chikane, dels som stønnere, og endelig til at injurere andre.

Jeg kan ikke se, fordelene ved at en whistleblower kan fløjte, er store nok til at opveje ulemberne ved misbrug af annonym elektronisk kommunikation. Husk at en whistleblower stadig kan henvende sig direkte til aviser eller f.eks. firmaets revissionsselskab, hvis der er tale om en virksomhed, der er på afveje.

7
11. december 2006 kl. 22:11

Men jeg er uenig med det stort set på alle punkter.

Problemet ER prisen, en spammer kan sende en million emails per time, uden at det koster ham noget som helst.

Derfor er det nok hvis blot en idiot ud af en million modtagere falder i fælden og betaler en tier. Det er 10 kroners ren profit.

Hvis spammeren skulle betale en øre per email han sender, så er det 10.000 kroner han skal af med og så skal han have 1000 idioter per million spam mails før det løber rundt. Og så mange er der trods alt ikke (håber jeg).

Dine betragtninger om signaturer mv. tilskriver jeg at du kun kender til edbsystemer hvor brugeren er gidsel. I ordentlige systemer gør computeren ikke noget brugeren ikke har bedt om, eller som et minimum godkendt.

Men du har ret i, at det meste spam afsendes, med falsk "From:" felt fra sådanne computere der er blevet kompromiteret af "mal-ware".

Men det er vigtigt at forstå at problemet er ikke hvad mal-ware'en foretager sig når den har overtaget kontrollen, men at den kunne overtage kontrollen til at begynde med.

Det skyldes en kombination af kommerciel grådighed og teknisk inkompetence som, og her er jeg helt enig med dig, burde straffes efter straffeloven på linie med andre ting der bringer andres ve og vel i fare.

At man skulle kunne låse input til tastaturet er ren drømmetænkning fra din side.

Poul-Henning

4
11. december 2006 kl. 15:53

Den synsvinkel, at det er "for billigt" at sende (anonyme) e-mails har jeg ikke dyrket før nu. Det lyder som et rigtigt overordnet perspektiv.

3
11. december 2006 kl. 08:48

Nu har man muligheder for at henvende sig annonymt til pressen på andre måder end gennem E-mail. F.eks. gennem taletidskort.

Endelig så kan systemer med signering af E-mails udemærket kombineres med E-mails uden signatur. Man kan komme E-mails med og uden signatur i hver sin en postkasse, og man kan lade signerede E-mails passere uden at udsætte dem for spamfiltre.

Med al den logning af internet trafikken og anden elektronisk kommunikation, der foregår i Danmark, er jeg heller ikke sikker på, at jeg turde bruge E-mails, hvis jeg ville forsøge mig som whistleblower.

2
10. december 2006 kl. 19:37

Jeg ønsker ikke at alle emails skal tvinges til at være signerede.

Nogle af den nyere tids største skandaler var ikke blevet afsløret hvis det ikke var muligt at sende en anonym email.

Poul-Henning

1
10. december 2006 kl. 16:58

Det er ikke rigtigt, der behøver være store centrale registre for at bruge signering. Man har en central myndighed, der udsteder en digital signatur til nye brugere og danner et certifikat, der indeholde public key på brugeren og dennes E-mail addresse og udløbsdato på certifikatet. Certifikatet signeres af den centrale myndighed. Når man sender E-mailen, får modtageren certifikatet fra ens mail-server, kontrollerer at certifikatet er signeret af den centrale myndighed og kontrolere på grundlag af public key i E-mailen, at afsender er den han giver sig ud for. Det gør det dyrt at sende og modtage E-mails, men ikke at videretransmitere dem. Det er stadig nødvendigt at have en database over kompromiterede certifikater, men forhåbentlig er den ikke så stor som en database over alle E-mail-addresser.

Problemet er nærmere, at både Microsoft og Cisco er ude efter at score markedet for signerede E-mails. De håber tilsyneladende begge at kunne opbygge et nyt monopol.

Samtidigt er der masser og masser af mennesker, der ikke har det mindste lyst til at skifte deres 5 år gamle PC ud, bare fordi nogen gerne vil indføre en ny E-mail-standard. Det vil også koste penge at få en signatur. Der er jo nogen, der skal kontrollere, at man er den, man giver sig ud for.

Men bare folk dog ville søge for, at deres maskiner ikke var så lette at gøre til zombier.