Wapens in de oorlog tegen spam

'Opt-in' volstaat niet in de strijd tegen spam, en spamfilters hebben onbedoelde bijwerkingen, meent Mark Plowman. Een van de maatregelen die hij voorstaat is om alle mail-servers zo te configureren dat ze geen e-mail accepteren van 'open relays' en 'open proxies'.

Open relay en open proxy Een 'mail relay' is een server op internet, die e-mail verwerkt. Computers die niet direct zelf e-mail versturen naar de ontvanger, kunnen een mail relay gebruiken die de e-mail verder verstuurt. Een 'open relay' maakt het voor alle computers op internet mogelijk om deze te gebruiken voor het versturen van e-mail en niet alleen voor die van de eigen gebruikers. 'Open proxies' moeten niet verward worden met 'open smtp relays'. Ze hebben vier karakteristieken die ze bijzonder geschikt maken voor spammers en hackers/crackers: Ze staan netwerkverbindingen toe tussen wie dan ook, waar ook vandaan, op willekeurige poorten en met willekeurige netwerkprotocollen. 'Open proxy servers' stellen individuele boosdoeners in staat aanvallen te ondernemen en verkeer te genereren vanaf een veelvoud van provider-bronnen tegelijkertijd, en verzwaren daarmee het proces om spam te blokkeren of een aanval af te weren via een firewall. Verbindingen die gemaakt zijn via 'open proxies', zijn vaak niet toe te rekenen aan een afzender, omdat de 'open proxy servers' gewoonlijk geen logbestand bijhouden. Als ze dat wel doen zijn de betreffende bestanden niet toegankelijk voor degenen die een netwerkincident onderzoeken. In tegenstelling tot spam die via een 'open smtp relay' wordt verstuurd kan spam via een 'open proxy server' zo geconstrueerd worden dat ze een willekeurige 'Received:' header hebben. Daarmee is het zo goed als onmogelijk spam te herleiden tot de echte bron. En om het nog erger te maken stelt een 'open proxy server' gebruikers in staat om het lokaal filteren van verbindingen te omzeilen. RR

Ik vond nooit dat ik zoveel van 'spam' afwist, maar na het lezen van de Discussiepagina in Computable van vorige week ('Spam: dumpen of doorsturen?' en 'Verzender betaalt') realiseer ik me dat ik er op zijn minst meer over weet dan de beide auteurs op die pagina.
Ik ben 'postmaster' van twee domeinen, die van mijn werkgever (zo'n vijftig e-mail-adressen) en het domein van mijn gezin (vier e-mail-adressen). We krijgen de gebruikelijke hoeveelheid spam.
Het is wellicht nuttig om eerst een paar karakteristieken van e-mail de revue te laten passeren. E-mail is een 'oude' applicatie, sommige van de rfc's (requests for comment, bedoeld om commentaar en reacties uit te lokken op ontwikkelvoorstellen, red.) werden al in 1977 neergeschreven. E-mail werd opgezet in een tijd dat vertrouwen vanzelfsprekend was, maar is eenvoudig te vervalsen. E-mail zal nooit veilig worden, ondanks alle prijzenswaardige voorstellen daartoe in de rfc's. Het enige dat je vertrouwen kunt is het ip-adres van een gesprekspartner in een smtp-verbinding (simple mail transfer protocol; 7-bits ascii-code voor e-mail, daterend uit 1982, red.). E-mail wordt soms bijzonder slecht beheerd, maar is van vitaal belang voor veel individuen en organisaties.

Spamfilter geen Haarlemmerolie

Ik wil graag een aantal punten uit de genoemde artikelen aanstippen. Frank Snijdewint vergeet een van de meest cruciale aspecten van 'opt-in' te vermelden. Het is niet voldoende om 'opt-in' te moeten aangeven; het is daarentegen belangrijk dat alvorens een e-mail-adres wordt toegevoegd aan de mailinglijst, er eerst een e-mail naar dat betreffende adres wordt gestuurd ter bevestiging. Die mail bevat bovendien een soort eenmalige en unieke 'cookie'. Pas als dat cookie door de geadresseerde wordt teruggestuurd, zou het betreffende e-mailadres aan de mailinglijst mogen worden toegevoegd. Mensen uit de wereld van de 'direct mailing' noemen dit geloof ik een 'double opt-in' lijst.
Als je dit niet doet, kan iemand anders een kwaadaardige vervalsing van 'opt-in' verzoeken vervaardigen, die van de geadresseerde lijken te komen. Die komen vervolgens terecht op tal van (ongewenste) mailinglijsten. Het gevolg: de geadresseerde blijft e-mail van die lijsten ontvangen, totdat hij er met succes in geslaagd is een 'opt-out' te krijgen van al die mailinglijsten.
Als je dit wel correct doet en iemand anders vervaardigt om kwaadaardige redenen een 'opt-in' verzoek op jouw naam naar een groot aantal mailinglijsten, dan zal de geadresseerde overspoeld worden met verzoeken tot bevestiging. Maar daar blijft het bij: door die verzoeken simpelweg te negeren, komt de geadresseerde op geen enkele van de mailinglijsten terecht en zal hij derhalve geen enkele e-mail van zo'n lijst ontvangen.
Snijdewint geef een aantal valide tips om spam te voorkomen: nooit antwoorden, jezelf nooit van de lijst laten verwijderen, wees selectief met je e-mail-adres en gebruik 'spamcop'. Het door hem aanbevolen gebruik van 'sneak-mail' is echter niet erg realistisch, zeker niet in een zakelijke omgeving, en legt de verantwoordelijkheid en overlast bij de verkeerde persoon. De spammer moet de dupe worden, niet het onschuldige slachtoffer.
Spamfilters zijn ook niet van gevaar ontbloot. Het is zeker geen Haarlemmerolie. Jazeker, ze werken en verwijderen spam. Maar daarbij hebben ze een hoop onbedoelde bijwerkingen; ze verwijderen soms ook niet-spam-berichten, wat de verkopers van dat soort filters ook mogen beweren.
Als Frank Snijdewint 'elektronische oplossingen' begint te suggereren voor het spam-probleem, wordt het gebrek aan praktische kennis bij hem pas echt zichtbaar. Het probleem is zeker niet een gebrek aan regelgeving. Als alle spammers en systeembeheerders zich zouden houden aan de bestaande rfc's, zou het spam-probleem een stuk kleiner zijn. Maar veel beheerders laten dat na uit luiheid of onwetendheid, en spammers doen dat al zeker niet omdat dat volstrekt niet in hun belang is. Je hebt evenveel kans op succes bij het verplicht stellen van het labellen van spam, als op het veilig maken van e-mail. Je kunt spam niet onder mandaat stellen.

Vijf miljoen adressen voor 39 dollar Ter indicatie hoe urgent het spam-probleem aan het worden is: In de redactie-mailbus troffen we vorige week een commercieel mailtje aan waarin vijf miljoen verse 'opt-in' e-mail adressen werden aangeboden voor het overzichtelijke bedrag van 39 dollar. Mailtje retourneren, naam en mailadres invullen, creditcard gegevens opgeven en klaar is de transactie. Een retourmail geeft instructies voor het downloaden van de vijf miljoen adressen. Betaling geschiedt via een 'beveiligde server'. Het mail-adres lijkt uit Italië te komen. Maar ja ... RR

Deel van het probleem met spam is juist dat deze komt van sites die buiten je wettelijke jurisdictie liggen. Het is praktisch niet mogelijk enige vorm van juridische stappen te ondernemen tegen een spammer uit China, Korea of Brazilië, om maar eens een paar landen te noemen die favoriet zijn bij spammers waar ik veel last van heb. Vandaar dat een wettelijke verplichting (onder welke jurisdictie?) om spam te labellen totaal zinloos is; het doet de onschuldige betalen, niet de schuldige.

Maatregelen tegen spam

K.E. van Zanten probeert -getuige zijn artikel- alles net zo te doen in cyberspace als in het echte leven. Helaas voor hem: zo zit cyberspace niet elkaar. Het werkt totaal anders. E-mail wordt niet van land tot land doorgegeven via postondernemingen, zoals met de ouderwetse 'papieren' post geschiedt. Hij arriveert stomweg in jouw server vanaf een andere server. Het is daarom onmogelijk een mechanisme te bedenken dat de geadresseerde betrouwbaar en snel informeert of de verzender 'betaald' heeft voor de mail die bij de geadresseerde arriveert; wederom betaalt de onschuldige en gaat de schuldige vrijuit.
Als we een begin willen maken met het reduceren van de impact van spam, moeten we een aantal dingen doen.
Allereerst moeten we het responspercentage op spam-advertenties nog lager maken dan nu al het geval is. We zouden campagnes moeten beginnen om de volgende boodschap te verspreiden: "Koop nooit iets dat aangeprezen wordt via spam-advertenties."
Verder moeten de kosten van het versturen van spam worden verhoogd. Spammers gebruiken gewoonlijk 'open relays' en 'open proxies' om hun spam af te leveren (zie kader). Op deze manier hoeven ze niet te betalen voor de bandbreedte en opslagcapaciteit die hun spam opslokt. We zouden campagnes moeten starten om het bewustzijn van systeembeheerders te vergroten (in het bedrijfsleven, maar ook particulieren met een breedbandaansluiting) van de schade die zij kunnen aanrichten aan andere onschuldige partijen door hun open systemen niet te sluiten. We zouden alle mail-servers zo moeten configureren dat ze geen e-mail accepteren van 'open relays' en 'open proxies'. Dat zal de spammer dwingen zijn eigen systeem op te zetten en zijn eigen bandbreedte en verbindingen in te kopen. Daarmee worden de kosten van de spammer opgejaagd en krijgen we de beschikking over ip-adressen waarvan we in het vervolg e-mail kunnen weigeren aan te pakken.
Daarnaast moeten we de kans verkleinen op het ontvangen van spam. We zouden geen enkele e-mail meer moeten accepteren van isp's (of landen) die spammers tolereren. Ik realiseer me dat dit een controversieel voorstel is. De onschuldigen (de klanten-te-goeder-trouw van een spam-vriendelijke isp of een dito land) zullen te lijden krijgen (omdat hun e-mail niet langer geaccepteerd wordt door andere sites) van hun keus voor een 'foute' isp. Door echter druk uit te oefenen op de isp's ('als je toestaat dat spammers jouw systemen gebruiken, zul je de inkomsten kwijtraken van je andere klanten') kunnen we de spammers geleidelijk uitknijpen.

Meer begrip

In de praktijk betekent dat, dat mensen die mailservers beheren zullen moeten begrijpen hoe e-mail werkt; wat je kunt doen en wat niet, en hoe je kunt verzekeren dat je systeem niet gebruikt wordt als 'open relay' of 'open proxy'.
Ook moeten zij weten hoe je systeem zo geconfigureerd kan worden dat het geen e-mail accepteert van 'open relays' en 'open proxies', en moeten ze wellicht zelfs geen e-mail accepteren van bepaalde isp's en landen.
Spam zal ongetwijfeld doorgaan, maar tezamen kunnen beheerders en wetgevers beginnen het tij te keren. Als ze maar weten wat ze kunnen doen en wat niet.
Ik zou willen afsluiten met een citaat van Wietse Venema, de auteur van onder meer 'TCP wrappers', 'Satan' en de veilige mail server 'Postfix': Junk mail is war. Rfc's do not apply.
 
Vertaling: René Rippen

 
Mark Plowman, Postmaster Hexapole Automatisering