Authenticatie van mail nieuwe tovertruc in anti-spamstrijd

Paardenmiddel

De groei van het aantal ongewenste reclameberichten zet zo sterk door dat de enkele maanden terug aangeschafte spamfilters in hun voegen kraken. Een nieuw, omstreden paardenmiddel moet daar verandering in brengen.

Dave Anderson, ceo van Sendmail: "Authenticatie van het afzendadres vormt een radicale breuk met de bestaande filtermethodes."

Authenticatievoorzieningen in het mailsysteem worden het nieuwe paardenmiddel tegen spam, meent Dave Anderson, ceo van Sendmail. Op het congres Email Management Europe, dat vorige week plaatsvond in Amsterdam, besprak hij de mogelijkheden om spam te bestrijden door geautoriseerde mailservers en versleutelingstechnieken in te voeren. Door voor ontvangst van een bericht te controleren of het verstuurd is vanaf een mailserver, die geautoriseerd is om mail van dat domein te versturen, kunnen berichten met een gefingeerd afzendadres geweigerd worden.

Radicale breuk

Volgens Anderson is dit een radicale breuk met de bestaande werkwijze, waarbij alle berichten geaccepteerd worden en er vervolgens aan de hand van spam-kenmerken uitgefilterd moeten worden. "De ontvanger krijgt nu de rekening doordat hij kosten en tijd kwijt is voor het filteren en het opslaan van spam. De kosten van spammers zijn alleen maar lager geworden door de recente samenwerking tussen virusschrijvers en spammers. De meerderheid van spam (80 procent) is nu afkomstig van gehackte breedband-pc's die tegen een geringe vergoeding spamrondes versturen."
Het zijn juist deze bulkzendingen die na de invoering van geautoriseerde mail niet meer door zullen komen, verwacht Anderson. Bij deze spamberichten wordt de domeinnaam gefingeerd. Zij vallen gelijk door de mand als in het domeinnaamsysteem gecontroleerd wordt of dat ip-adres mail van dat domein mag versturen. Is dat niet zo, dan wordt deze aan de poort geweigerd. Het Sender ID-plan, een combinatie van het Microsoft-voorstel Caller ID en het door Meng Wong ontwikkelde SPF, is een voorstel dat door Microsoft en Sendmail ondersteund wordt.
Volgens Anderson kost de implementatie van dit voorstel weinig moeite. Systeembeheerders moeten de ip-adressen van hun mailservers bij de domeinnaamregistratie publiceren. Daarnaast moeten zij programma-aanpassingen voor ondersteuning van het Sender ID-voorstel in hun mailsystemen aanbrengen, zodat zij binnenkomende berichten op een geautoriseerd afzendadres kunnen controleren. Sendmail, waarmee 60 procent van het

Sender ID geen standaard Het standaardisatie-orgaan Ietf (Internet engineering task force) heeft de behandeling van het Sender ID-voorstel in de Marid-werkgroep op 22 september laten vallen. Deze werkgroep moest een standaard opstellen voor de opname van autorisatie-informatie in het mta-record (message transfer agent) van het dns-systeem. Begin september begonnen vooraanstaande open source-leden als de Apache- en de Debian-werkgroep tegen Sender ID te ageren. Microsoft wilde zijn patentclaim op het pra-algoritme (purportedly responsible address), een onderdeel van het Sender ID-voorstel, niet opgeven. Daarnaast weigerde het concern zijn bijdrage aan Sender ID in open source-licentie vrij te geven. De Ietf heeft nu voorgesteld om alle breed gedragen voorstellen voor mail-autorisatie op hun werkbaarheid te testen.

wereldwijde elektronische berichtenverkeer rondgestuurd wordt, heeft eind augustus een versie van zijn software uitgebracht die Sender ID ondersteunt. Ook andere programma's gaan op dit moment op de schop.

Controversieel

Onomstreden is het Sender ID-voorstel niet. Microsoft heeft geweigerd om de technologie in open-broncodevorm vrij te geven. "Het heeft met deze begrijpelijke weigering een hoop weerstand opgeroepen bij de open source-gemeenschap. Ik weet uit contacten met Microsoft-medewerkers dat het concern teruggefloten is door zijn eigen juridische afdeling. Het vrijgeven van deze code zou rechtszaken kunnen opleveren, waarbij Microsoft beschuldigd wordt van schending van andermans patenten, puur om hier een slaatje uit te kunnen slaan. Het zegt alleen niets over de bedoelingen van het concern. Die zijn in dit geval goed. Weet wel dat ik dit zeg van één van Sendmails grootste concurrenten, die zich in het verleden niet altijd netjes gedragen heeft", zegt Anderson.
De invoering van authenticatie als nieuwe anti-spamtechniek zal door de controverse nauwelijks vertraging oplopen. Anderson verwacht dat de helft van al het mailverkeer in de Verenigde Staten eind dit jaar op legitieme afzendadressen gecontroleerd zal worden. Grootste klappers zullen de grote Amerikaanse isp's als AOL en Earthlink zijn, die op korte termijn berichten op authenticatie gaan controleren. AOL start volgens de laatste berichten met een variant van SPF. Microsoft Hotmail begint op 1 oktober met ondersteuning van Sender ID.
Daarnaast is er een minder beladen alternatief voor Sender ID. Yahoo heeft vorig jaar zijn Domain Keys-voorstel gelanceerd, dat de rechtmatige oorsprong van een bericht achterhaald middels versleuteling. In dit voorstel wordt een bericht voorzien van een willekeurig getal, aangemaakt door een cryptografische sleutel. De ontvanger van dit bericht kan in het domeinnaamsysteem aan de hand van de publieke sleutel controleren of het legitieme mail betreft. "Dit voorstel ligt in de open source-gemeenschap veel beter, omdat het in een vrije licentievorm is uitgegeven. Daarnaast kunnen organisaties hun eigen sleutels beheren. Dit hoeft niet centraal te gebeuren. Het maakt in principe niet uit met welke sleutels gewerkt wordt, zolang deze maar in het dns gepubliceerd en dus opvraagbaar zijn."
Anderson verwacht dat over negen maanden alleen nog maar geautoriseerde mailberichten doorgelaten zullen worden. Sendmail ondersteunt inmiddels alle breed gedragen voorstellen in zijn mta-software (message transfer agent). Europese organisaties, die nog niet zoveel spam krijgen als hun Amerikaanse en Aziatische collega's, zullen deze werkwijze snel overnemen, verwacht hij. Spammers zullen meer berichten uitsturen om hun inkomsten op peil te houden. De percentages spam in Europa zullen daardoor de komende maanden flink stijgen. Daarnaast drijven veel Europese bedrijven handel met de VS. Om hun communicatie overeind te houden zullen zij op autorisatie moeten overstappen als dat de facto-standaard wordt.< BR>