SG.hu
A Spamellenes Technikai Szövetség ajánlásai a probléma kezelésére
A Yahoo!, a Microsoft, az EarthLink és az AOL a kéretlen hirdetéseket tartalmazó e-mailek által okozott problémák kezelésére szolgáló optimális módszerekre és technológiákra tett javaslatot.
A Spamellenes Technikai Szövetség (Anti-Spam Technical Alliance, ASTA) - amelynek tagjai közé tartozik a Yahoo!, a Microsoft, az EarthLink és az America Online - bemutatta a több mint egyéves együttműködés eredményét: a spam elleni küzdelmet szolgáló, az egész iparágnak szóló, optimális módszereket és technikai tanácsokat.
Az ASTA javaslatot tesz az internetszolgáltatók és az e-mailszolgáltatók által követendő szabályokra és eljárásokra, illetve azon az állami szervek, magánvállalatok és online marketingügynökségek által alkalmazandó módszerekre, amelyek nagy számú levelet szoktak küldeni. Az ajánlások elsősorban két fontos problémára koncentrálnak: segítséget kívánnak nyújtani az e-mailhamisítás problémájának leküzdéséhez azáltal, hogy az internetprotokollon (IP) és aláíráson alapuló megoldással kiküszöbölik a tartományhamisítást; illetve leírják azokat az optimális módszereket, amelyek segítségével az internetszolgáltatók és ügyfeleik megakadályozhatják, hogy kéretlen levelek forrásává váljanak.
Az ASTA 2003 áprilisában alakult, abból a célból, hogy az iparág fontos kockázatviselőit egységbe foglalva elősegítse olyan műszaki szabványok kialakítását, illetve olyan iparági irányelvek kidolgozását, amelyek megoldást nyújtanak a spam problémájára. "Az ASTA által javasolt megoldások jelentős előrelépést képviselnek a spam és a hamis e-mailek visszaszorítására szolgáló egységes és betartatható technológiák irányában" - mondta Brad Garlinghouse, a Yahoo! kommunikációs termékekért felelős alelnöke. "Egyértelműen megfogalmazott optimális módszereket és jószomszédsági szabályokat fektettünk le, amelyek egyszer s mindenkorra megváltoztatják játékszabályokat a spammerek számára."
"Úgy véljük, hogy a folyamatos innovációnak, illetve a kormányok és az iparág közötti nemzetközi együttműködésnek köszönhetően jó úton vagyunk, hogy megfordítsuk az eddigi tendenciákat - de az egész iparágon belül további változásokra van szükség ahhoz, hogy teljes egészében kezelni tudjuk a világ egyéni felhasználóinak és vállalkozásainak problémáit" - vélekedett Ryan Hamlin, a Microsoft spamellenes technológiai és stratégiai csoportjának igazgatója. "Az a célunk ezzel a javaslattal, hogy hozzájáruljunk az iparág egyértelmű szabályrendszerének kialakításához, tovább folytatódó közös munkánk részeként, amelynek célja, hogy felszámoljuk a spamen alapuló üzleti tevékenységet, és visszaadjuk felhasználóinknak az uralmat a postaládájuk felett."
"A mai bejelentés jelzi, hogy az iparágban megvan a szükséges elszántság ahhoz, hogy közös munkával a lehető legjobb műszaki szabványokat és módszereket dolgozzuk ki, amelyeket minden szolgáltató alkalmazhat a spam megfékezésére" - jelentette ki Linda Beck, az EarthLink ügyvezető alelnöke. "Az üzenetek eredetének megállapítására alkalmas új módszerek közös megfogalmazásával fellebbenthetjük a fátylat a spammerek kilétéről, és helyreállíthatjuk az e-mail becsületét. Nyilvános vitára és tesztekre buzdítunk mindenkit, hogy közelebb jussunk a szabványos műszaki megoldásokhoz."
"Ez a bejelentés teljesen új fejezetet nyit a spam ellen minden internetfelhasználó érdekében folytatott harcban. A spam problémája az egész iparágat érinti, ezért az egész iparágat átfogó megoldást érdemel. Az optimális módszerek kialakításával jó úton vagyunk afelé, hogy megnyerjünk egy jelentős csatát a spammerek, a csalók és a hamisítók ellen" - nyilatkozta Matt Korn, az America Online hálózati és adatközponti üzemeltetésért felelős vezető alelnöke. "Ez a javaslat új irányt ad a spamellenes harcnak: lehetővé teszi a kívánatos levelek feladóinak azonosítását, amivel biztosítható leveleik gyors kézbesítése. Mostantól olyan költséghatékony technológiák tesztelésére és értékelésére fogunk koncentrálni, amellyel azonosíthatók a kívánatos levelek feladói, és visszaállítható a fogyasztóknak az e-mailbe vetett bizalma."
Az ASTA ajánlásai két fontos problémára koncentrálnak: segítséget kívánnak nyújtani az email-hamisítás problémájának megoldásához azáltal, hogy az IP-n és aláíráson alapuló megoldással kiküszöbölik a tartományhamisítást; illetve leírják azokat az optimális módszereket, amelyek segítségével az internetszolgáltatók és ügyfeleik megakadályozhatják, hogy kéretlen levelek forrásává váljanak. Felismervén, hogy a spamjárvány megfékezésének feltétele, hogy minden erre szolgáló technológiát és optimális módszert széles körben alkalmazzanak, az ASTA minden tagja megállapodott a következőkben:
Az e-mail címhamisítás problémájának megoldása
Napjaink levelezési infrastruktúrájának az az egyik legfontosabb problémája, hogy az üzenetek nem tartalmaznak kellő mennyiségű megbízható információt, amelyeknek alapján a címzett eldönthetné, hogy kívánatos üzenetet kapott-e, és megbízhatóan azonosíthatná a feladót. A spammerek visszaélnek ezzel, és általában elfedik üzeneteik eredetét úgy, hogy meghamisítják a feladó címét, valaki más tartománynevét használják. Ez az úgynevezett tartományhamisítás. Az e-mail eredetének azonosítása ugyan összetett probléma, mégis létezik két új ígéretes módszer, amelynek bevezetésével a szervezetek megalapozhatják a jövőbeli előrelépéseket, és elősegíthetik annak ellenőrzését, hogy az üzeneteknek az-e a feladója, aki fel van rajtuk tüntetve:
1. A feladó IP-cím alapján történő hitelesítése
Jelenleg az e-mail üzenetfejrészében egyetlen olyan jellemző van, amely megbízható: az e-mailt elküldő kiszolgáló IP-címe. Így az e-mail címzettje felhasználhatja az IP-címet a fejrészben található többi attribútum (például a feladó tartomány) azonosítására, amivel csökkenthető a napjainkat jellemző megtévesztő és hamis levelek áradata. Ez az ellenőrzési hurok megvalósítható a létező Tartománynévrendszer (DNS) infrastruktúra segítségével, illetve a fogadó e-mail rendszer néhány egyszerű módosítása árán.
2. A feladónak a tartalom aláírása alapján történő hitelesítése
Egy másik módja a feladó hitelesítésének a tartalomaláírás (Content Signing, CS) nevet viseli. A CS rendszerek nyilvános/személyes kulcspárok segítségével generálják a feladó azonosítására használt aláírásokat. A nyilvános kulcsok széles körben elérhetővé tehetők különféle kulcscsere-mechanizmusok, illetve címtárban vagy a DNS-ben történő közzététellel. A személyes kulcsokat a tartomány levelezőkiszolgálói őrzik biztonságban. Amikor egy felhasználó e-mailt küld, a levelezőkiszolgáló a tárolt személyes kulccsal digitális aláírást generál az üzenet számára. Amikor a címzett levelezőkiszolgálója megkapja a levelet, lekéri a feladó nyilvános kulcsát, és annak segítségével ellenőrzi az üzenet digitális aláírását. Ezzel mind a feladó azonossága, mind az üzenettörzs épsége ellenőrizhető (tehát az, hogy a kézbesítés során nem módosították-e a levél tartalmát).
A vállalatok úgy vélik, hogy a tartalomaláírási technológiák - csakúgy, mint az IP alapú felhasználóhitelesítés - fontos összetevői a hosszú távú iparági megoldásnak. A technológiák bevezetési folyamata során az ASTA tagjai közlik majd tapasztalataikat, amely az iparág többi szereplőjétől kapott visszajelzésekkel együtt elő fogja segíteni a specifikáció tökéletesítését, melynek célja, hogy a lehető legjobb hosszú távú, az egész iparágat átfogó IP alapú hitelesítési megoldás legyen elérhető.
A csoport véleménye szerint a javaslat egy részének vagy egészének teljes körű bevezetésével, a legkorszerűbb spamszűrő technológiák alkalmazásával, a szabályokat durván megsértő elkövetők elleni peres eljárásokkal, a megfelelő törvények és egyéb rendszabályok meghozatalával csökkenthető a spammerek anyagi érdekeltsége, illetve felszámolhatók azok a belépési pontok, ahonnan továbbra is a kéretlen levelek össztüzével áraszthatnák el a felhasználókat. Az ASTA nagy várakozásokkal tekint a javaslat fogadtatása elé, azt kéri, hogy az iparág minden szegmense vegyen részt a javasolt megoldások és a hozzájuk kapcsolódó műszaki specifikációk hasznosságának és hatásosságának a kiértékelésében.
Küzdelem a spam ellen optimális módszerekkel
Az ASTA a javaslatban számos optimális módszert is megfogalmaz, amelyet szükség szerint tanácsos alkalmazniuk a szervezeteknek. A módszerek jelentős részét már most is alkalmazzák az e-mailt felelősséggel használó szervezetek, de szélesebb körű, globális alkalmazásra van szükség, mivel a módszerek foganatosításának kombinált hatása segítségével minimalizálhatók a spammerek lehetőségei. A javaslatokat be nem vezető szolgáltatók azt kockáztatják, hogy az internetfelhasználók az egész szolgáltatói közösséget illetően elvesztik bizalmukat az e-mail biztonságos és megbízható kézbesítése iránt.
Az ASTA javaslata konkrétan a következőket tartalmazza:
Internetszolgáltatóknak, postaláda-szolgáltatóknak és internetkapcsolatot biztosító szolgáltatóknak szóló ajánlások, például az alábbiak:
Zárják le vagy korlátozzák a 25-ös port használatát
Szabjanak meg gyakorisági korlátot a kimenő e-mail forgalomra vonatkozóan
Szabályozzák és ellenőrizzék a fiókok automatikus regisztrálását
Zárják le azokat az átirányítókat (redirector), amelyekkel vissza lehet élni
Zárjanak le minden nyitott továbbítót (relay)
Csak belső használatra konfigurálják a proxykat
Észleljék a sérült biztonságú számítógépeket (zombikat)
Tájékoztatással növeljék a meglévő eszközök használatát a felhasználók körében
Alakítsanak ki hatékony panaszbejelentő rendszereket
A nagy tömegben kívánatos e-mailt küldőknek szóló ajánlások, például az alábbiak:
Ne gyűjtsenek e-mail címeket az SMTP protokollal vagy más eszközzel (tehát ne alkalmazzanak automatikus módszereket az e-mail címek beszerzésére) a tulajdonos kifejezett hozzájárulása nélkül.
Regisztrálják az e-mail tartományukat a megbízható feladók listáinak szolgáltatóinál.
Mindig közöljék egyértelműen a címzettekkel, hogy miként mondhatják le a leveleket, illetve kérhetik törlésüket a címlistáról. Az ilyen kérésekre haladéktalanul reagáljanak.
Ne küldjenek érvénytelen vagy hamis fejrészt tartalmazó e-mailt.
Ne küldjenek és ne használjanak olyan e-mailt, amely a feladó vagy a válaszcím fejrészmezőben érvénytelen vagy nem létező tartománynevet tartalmaz.
Ne alkalmazzanak semmilyen eljárást, amely elrejti vagy elfedi a tömeges e-mail valódi forrását, illetve átviteli útvonalát.
Ne használják külső fél internetes tartománynevét, illetve ne engedjék meg, hogy a leveleket engedély nélkül egy külső fél berendezése továbbítsa.
Ne küldjenek olyan e-mailt, amelynek tárgysora vagy tartalma hamis vagy félrevezető információkat tartalmaz.
Figyeljék a címzettek levelezőkiszolgálóitól kapott SMTP-válaszokat. Haladéktalanul töröljenek minden olyan e-mailcímet, amelyre a fogadó levelezőkiszolgáló 55x kódú SMTP-hibaüzenettel válaszol (Például "a felhasználó nem létezik").
Az egyéni felhasználóknak szóló ajánlások, például az alábbiak:
A PC-kre szükség szerint telepítsenek tűzfalat.
Víruskereső szoftverekkel és más szűrőeszközökkel észleljék a bejövő vírusokat, ártalmas szoftvereket és egyéb káros vagy gyanús programkódot.
Használják a spamszűrő technológiákat, és az egyéni igényeiknek megfelelően állítsák be a védelmi szintet.
A Spamellenes Technikai Szövetség (Anti-Spam Technical Alliance, ASTA) - amelynek tagjai közé tartozik a Yahoo!, a Microsoft, az EarthLink és az America Online - bemutatta a több mint egyéves együttműködés eredményét: a spam elleni küzdelmet szolgáló, az egész iparágnak szóló, optimális módszereket és technikai tanácsokat.
Az ASTA javaslatot tesz az internetszolgáltatók és az e-mailszolgáltatók által követendő szabályokra és eljárásokra, illetve azon az állami szervek, magánvállalatok és online marketingügynökségek által alkalmazandó módszerekre, amelyek nagy számú levelet szoktak küldeni. Az ajánlások elsősorban két fontos problémára koncentrálnak: segítséget kívánnak nyújtani az e-mailhamisítás problémájának leküzdéséhez azáltal, hogy az internetprotokollon (IP) és aláíráson alapuló megoldással kiküszöbölik a tartományhamisítást; illetve leírják azokat az optimális módszereket, amelyek segítségével az internetszolgáltatók és ügyfeleik megakadályozhatják, hogy kéretlen levelek forrásává váljanak.
Az ASTA 2003 áprilisában alakult, abból a célból, hogy az iparág fontos kockázatviselőit egységbe foglalva elősegítse olyan műszaki szabványok kialakítását, illetve olyan iparági irányelvek kidolgozását, amelyek megoldást nyújtanak a spam problémájára. "Az ASTA által javasolt megoldások jelentős előrelépést képviselnek a spam és a hamis e-mailek visszaszorítására szolgáló egységes és betartatható technológiák irányában" - mondta Brad Garlinghouse, a Yahoo! kommunikációs termékekért felelős alelnöke. "Egyértelműen megfogalmazott optimális módszereket és jószomszédsági szabályokat fektettünk le, amelyek egyszer s mindenkorra megváltoztatják játékszabályokat a spammerek számára."
"Úgy véljük, hogy a folyamatos innovációnak, illetve a kormányok és az iparág közötti nemzetközi együttműködésnek köszönhetően jó úton vagyunk, hogy megfordítsuk az eddigi tendenciákat - de az egész iparágon belül további változásokra van szükség ahhoz, hogy teljes egészében kezelni tudjuk a világ egyéni felhasználóinak és vállalkozásainak problémáit" - vélekedett Ryan Hamlin, a Microsoft spamellenes technológiai és stratégiai csoportjának igazgatója. "Az a célunk ezzel a javaslattal, hogy hozzájáruljunk az iparág egyértelmű szabályrendszerének kialakításához, tovább folytatódó közös munkánk részeként, amelynek célja, hogy felszámoljuk a spamen alapuló üzleti tevékenységet, és visszaadjuk felhasználóinknak az uralmat a postaládájuk felett."
"A mai bejelentés jelzi, hogy az iparágban megvan a szükséges elszántság ahhoz, hogy közös munkával a lehető legjobb műszaki szabványokat és módszereket dolgozzuk ki, amelyeket minden szolgáltató alkalmazhat a spam megfékezésére" - jelentette ki Linda Beck, az EarthLink ügyvezető alelnöke. "Az üzenetek eredetének megállapítására alkalmas új módszerek közös megfogalmazásával fellebbenthetjük a fátylat a spammerek kilétéről, és helyreállíthatjuk az e-mail becsületét. Nyilvános vitára és tesztekre buzdítunk mindenkit, hogy közelebb jussunk a szabványos műszaki megoldásokhoz."
"Ez a bejelentés teljesen új fejezetet nyit a spam ellen minden internetfelhasználó érdekében folytatott harcban. A spam problémája az egész iparágat érinti, ezért az egész iparágat átfogó megoldást érdemel. Az optimális módszerek kialakításával jó úton vagyunk afelé, hogy megnyerjünk egy jelentős csatát a spammerek, a csalók és a hamisítók ellen" - nyilatkozta Matt Korn, az America Online hálózati és adatközponti üzemeltetésért felelős vezető alelnöke. "Ez a javaslat új irányt ad a spamellenes harcnak: lehetővé teszi a kívánatos levelek feladóinak azonosítását, amivel biztosítható leveleik gyors kézbesítése. Mostantól olyan költséghatékony technológiák tesztelésére és értékelésére fogunk koncentrálni, amellyel azonosíthatók a kívánatos levelek feladói, és visszaállítható a fogyasztóknak az e-mailbe vetett bizalma."
Az ASTA ajánlásainak összefoglalása
Az ASTA ajánlásai két fontos problémára koncentrálnak: segítséget kívánnak nyújtani az email-hamisítás problémájának megoldásához azáltal, hogy az IP-n és aláíráson alapuló megoldással kiküszöbölik a tartományhamisítást; illetve leírják azokat az optimális módszereket, amelyek segítségével az internetszolgáltatók és ügyfeleik megakadályozhatják, hogy kéretlen levelek forrásává váljanak. Felismervén, hogy a spamjárvány megfékezésének feltétele, hogy minden erre szolgáló technológiát és optimális módszert széles körben alkalmazzanak, az ASTA minden tagja megállapodott a következőkben:
Az e-mail címhamisítás problémájának megoldása
Napjaink levelezési infrastruktúrájának az az egyik legfontosabb problémája, hogy az üzenetek nem tartalmaznak kellő mennyiségű megbízható információt, amelyeknek alapján a címzett eldönthetné, hogy kívánatos üzenetet kapott-e, és megbízhatóan azonosíthatná a feladót. A spammerek visszaélnek ezzel, és általában elfedik üzeneteik eredetét úgy, hogy meghamisítják a feladó címét, valaki más tartománynevét használják. Ez az úgynevezett tartományhamisítás. Az e-mail eredetének azonosítása ugyan összetett probléma, mégis létezik két új ígéretes módszer, amelynek bevezetésével a szervezetek megalapozhatják a jövőbeli előrelépéseket, és elősegíthetik annak ellenőrzését, hogy az üzeneteknek az-e a feladója, aki fel van rajtuk tüntetve:
1. A feladó IP-cím alapján történő hitelesítése
Jelenleg az e-mail üzenetfejrészében egyetlen olyan jellemző van, amely megbízható: az e-mailt elküldő kiszolgáló IP-címe. Így az e-mail címzettje felhasználhatja az IP-címet a fejrészben található többi attribútum (például a feladó tartomány) azonosítására, amivel csökkenthető a napjainkat jellemző megtévesztő és hamis levelek áradata. Ez az ellenőrzési hurok megvalósítható a létező Tartománynévrendszer (DNS) infrastruktúra segítségével, illetve a fogadó e-mail rendszer néhány egyszerű módosítása árán.
2. A feladónak a tartalom aláírása alapján történő hitelesítése
Egy másik módja a feladó hitelesítésének a tartalomaláírás (Content Signing, CS) nevet viseli. A CS rendszerek nyilvános/személyes kulcspárok segítségével generálják a feladó azonosítására használt aláírásokat. A nyilvános kulcsok széles körben elérhetővé tehetők különféle kulcscsere-mechanizmusok, illetve címtárban vagy a DNS-ben történő közzététellel. A személyes kulcsokat a tartomány levelezőkiszolgálói őrzik biztonságban. Amikor egy felhasználó e-mailt küld, a levelezőkiszolgáló a tárolt személyes kulccsal digitális aláírást generál az üzenet számára. Amikor a címzett levelezőkiszolgálója megkapja a levelet, lekéri a feladó nyilvános kulcsát, és annak segítségével ellenőrzi az üzenet digitális aláírását. Ezzel mind a feladó azonossága, mind az üzenettörzs épsége ellenőrizhető (tehát az, hogy a kézbesítés során nem módosították-e a levél tartalmát).
A vállalatok úgy vélik, hogy a tartalomaláírási technológiák - csakúgy, mint az IP alapú felhasználóhitelesítés - fontos összetevői a hosszú távú iparági megoldásnak. A technológiák bevezetési folyamata során az ASTA tagjai közlik majd tapasztalataikat, amely az iparág többi szereplőjétől kapott visszajelzésekkel együtt elő fogja segíteni a specifikáció tökéletesítését, melynek célja, hogy a lehető legjobb hosszú távú, az egész iparágat átfogó IP alapú hitelesítési megoldás legyen elérhető.
A csoport véleménye szerint a javaslat egy részének vagy egészének teljes körű bevezetésével, a legkorszerűbb spamszűrő technológiák alkalmazásával, a szabályokat durván megsértő elkövetők elleni peres eljárásokkal, a megfelelő törvények és egyéb rendszabályok meghozatalával csökkenthető a spammerek anyagi érdekeltsége, illetve felszámolhatók azok a belépési pontok, ahonnan továbbra is a kéretlen levelek össztüzével áraszthatnák el a felhasználókat. Az ASTA nagy várakozásokkal tekint a javaslat fogadtatása elé, azt kéri, hogy az iparág minden szegmense vegyen részt a javasolt megoldások és a hozzájuk kapcsolódó műszaki specifikációk hasznosságának és hatásosságának a kiértékelésében.
Küzdelem a spam ellen optimális módszerekkel
Az ASTA a javaslatban számos optimális módszert is megfogalmaz, amelyet szükség szerint tanácsos alkalmazniuk a szervezeteknek. A módszerek jelentős részét már most is alkalmazzák az e-mailt felelősséggel használó szervezetek, de szélesebb körű, globális alkalmazásra van szükség, mivel a módszerek foganatosításának kombinált hatása segítségével minimalizálhatók a spammerek lehetőségei. A javaslatokat be nem vezető szolgáltatók azt kockáztatják, hogy az internetfelhasználók az egész szolgáltatói közösséget illetően elvesztik bizalmukat az e-mail biztonságos és megbízható kézbesítése iránt.
Az ASTA javaslata konkrétan a következőket tartalmazza:
Internetszolgáltatóknak, postaláda-szolgáltatóknak és internetkapcsolatot biztosító szolgáltatóknak szóló ajánlások, például az alábbiak:
A nagy tömegben kívánatos e-mailt küldőknek szóló ajánlások, például az alábbiak:
Az egyéni felhasználóknak szóló ajánlások, például az alábbiak:
