Berta Sándor

Új spamellenes megoldás

Hivatalosan is támogatja a DomainKeys Identified Mail (DKIM) nevű technológiát az Internet Engineering Task Force (IETF) nevű szervezet.

A spamlevelek elleni hatékonyabb harcot lehetővé tévő megoldást a Yahoo, a Cisco, a Sendmail és a PGP közösen fejlesztették ki. A titok egyszerű: a technológia a digitális titkosított aláírásokra épül, így mindenki azonnal megtudhatja, hogy a neki címzett e-mail spam-e vagy sem? Az elektronikus leveleket a küldő szerver látja el automatikusan digitális titkosított aláírással. A fogadó szerver ezt vizsgálja meg, úgy hogy összehasonlítja a küldő szervertől kapott információkkal. Amennyiben az adatok egyeznek, akkor minden rendben van, de ha bármilyen eltérés van, akkor a küldemény kéretlen reklámlevélnek minősül.

Amennyiben egy e-mailnél hamis a feladó címe vagy neve, akkor a rendszer szintén azonnal megakadályozza a kézbesítést. Az egész folyamatból a felhasználók gyakorlatilag semmit sem vesznek észre. A Yahoo, a Cisco, a Sendmail és a PGP szakemberei szerint ez a megoldás jóval nagyobb biztonságot jelent az internetezők számára, mint a jelenleg alkalmazott szűrők és más technikák. Előny, hogy nincs szükség például az egyes levelek további vizsgálatára, vagyis az e-mailek tartalma nem fontos. A DKIM-re épülő technológia eddig teljesen biztonságos, egyetlen hátránya, hogy mind a küldő, mind a fogadó szervernek ugyanezzel az eljárást kell felhasználnia.

Az IETF támogatása nagyon sokat jelent a programnak. "A technológiánk globális elterjedése előtt tornyosuló akadályok jelentősen kisebbek lettek, de nem szűntek meg teljesen" - közölte Mark Delany, a fejlesztésben részt vevő szakemberek egyike.

"A DKIM egy jó technika, azonban kétlem, hogy hosszútávon megoldja a spamproblémát és távol tartaná a spammereket" - mondta szkeptikusan ugyanakkor Hens Freitag, a Sophos számítástechnikai biztonsági cég szóvivője.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • noss #10
    mivel jobb ez a SenderID-nél?
  • lokoto #9
    Még azt is megkockáztatom, hogy a titkos kulcsot a DNS-ben fogják publikálni, így bármelyik zombi bármelyik spam domain nevében könnyedén tud levelet küldeni :-)
  • lokoto #8
    Pontosan, arról nem is beszélve, hogy [email protected]ól is ugyanúgy lehet szépen aláírt spamet küldeni. Mely domainek lesznek spam domainek, melyek nem?

    Mennyivel jobb nekem, hogy hiteles a spam feladója, minthogy nem?
    Semmivel, mert a hiteles leveleket a továbbiakban is kell spam szűrni, ergo a szerverek terhelése csak nő a rengeteg nyilvános kulcsú kriptográfiai műveletből kifolyólag (a zombi gépeknek is meg lehet mondani a spammelésre használt domain titkos kulcsát, senkit nem fog érdekelni a titkossága).

    Kinek jó ez?
    - domain regisztrátoroknak
    - CPU és kripto kártya gyártóknak
    - Yahoo-nak és társainak egy kis ingyen reklám

    Mit nyertünk? Túl sokat nem, max 2 hét szusszanást, amit ki kell használni arra, hogy beruházzunk erősebb hardverbe.
    Ezt a pénzt és energiát inkább normálisabb törvény alkotására és végrehajtására lehetne fordítani.

    Az SPF szerintem is több okból kifolyólag jobb:
    - nincs nyilvános kulcsú titkosítás (erőforrások)
    - tényleg korlátozott, hogy egy domain levelei honnan indulhatnak (ennek a kitrükközése talán nehezebb, a DNS rendszert remélhetőleg nem omlasztják össze a sok zombi címét bejegyezve)
    Problémák nyilván itt is vannak, de ez talán kicsit hosszabb távú perspektíva.

  • ProClub #7
    Ja és hogy még folytassam a monológomat, ha egy PC megfertőződik egy vírussal és az a felhasználó levelezőprogramját használja küldésre, akkor olyan szépen alá lesznek írva a levelek a felhasználó nevével, hogy ihaj.
  • ProClub #6
    Egyébként most nézem, hogy ez tényleg csak akkor jó, ha a fejlécek nem változnak, szóval legfeljebb két szerver között használatos. Az olyan szolgáltatók, mint a t-online, akik több szerveren keresztül routolják a leveleket, a legvégén kell szignózzák az üzenetet és a fogadó oldalon is a legelső szervernél kell föloldani...
  • ProClub #5
    Egy részről gratulálok, de nem fog menni, mert van egy csomó ingyenes levélszolgáltató akik nem fognak szignatúrákat gyártani. Szerintem, értelmesebb a Sender Policy Framework, amit én is használok.

    Ami a kétkulcsos titkosítást illeti, az úgy néz ki hogy van egy C függvény és egy D függvény. Úgy vannak megkonstruálva, hogy amit a C függvénnyel bekódolsz, azt csak a D-vel tudod kikódolni és fordítva.

    Az RSA algoritmus ennél tovább megy, méghozzá annyiban hogy nem csak titkosításra, hanem aláírásra is jó. Tehát a kulcs nyilvános felével holt biztosan tudod ellenőrizni, hogy a privát felével írták-e alá vagy sem.

    Ha pl egy SSH kódolt kapcsolatot akarsz egy szerver fele nyitni, akkor az a szerver elsődleges domain nevéhez kapcsolt kulccsal megy. Ami pedig a példában magyarázott DNS rekordot illeti, a SAJÁT domained DNS rekordját az elsődleges nameserver-ben tudod nyesztetni. Ha osztott domainen vagy... akkor így jártál.
  • Caro #4
    ""a küldő aláirja és a fogadó szerver megvizsgálja, de milyen referencia alapján?"
    Kiszedi a public keyt a megfelelo DNS rekordbol: link."
    Épp ezzel szívok jelenleg, sehol nem találok hozzá normális leírást :)
    Egyébként oda ssh public key-t is fel lehet tenni?
  • eax #3
    "a küldő aláirja és a fogadó szerver megvizsgálja, de milyen referencia alapján?"
    Kiszedi a public keyt a megfelelo DNS rekordbol: link.

    "egy server látja el aláirással és az uton mi törénhet vele?"
    Modosithatjak (ill. igy mar nem, mert ala van irva).

    "avagy itt arról van szó, hogy a zombiPCk nem rendelkeznek
    ezzel az aláirással?"

    A zombi pc-k nem rendelkeznek azzal a privat kulccsal, aminek a publikus parja az altaluk hazudott From mezoben levo email cim DNS-eben van, tehat nem tudnak jo alairast generalni.
    Persze ha van a spammernek sajat domainje, akkor "az ellen nem ved", de azt egy kicsit egyszerubb blokkolni.
  • Vorpal #2
    Na most megmondom őszintén - ezt az aláirás dolgot nemértem :
    a küldő aláirja és a fogadó szerver megvizsgálja, de milyen referencia alapján?

    A PGP nél a a privát kulcs alapján készül el az aláirás, és a publikus alapján
    ellenőrzi a kliens gépe - de mindez megegyezés alapján müködik, neked kell
    szemrevételezned az aláirást és/vagy estleg nem megbizni abban.

    Itt egy server látja el aláirással és az uton mi törénhet vele? semmi
    gyakorlatilag - avagy itt arról van szó, hogy a zombiPCk nem rendelkeznek
    ezzel az aláirással? és a fogadó szerver ezzel azonositja, hogy nem autentikus
    helyről származik? - erről kicsit tisztábban fogalmazhatnátok.
  • Divergencia #1
    hajrá