Spam een groot security probleem?

Een spammer zal nooit of te nimmer zijn eigen emailadres gebruiken. Iedereen heeft wel ergens een account op een forum of een blog. Als dat forum niet goed beveiligd is dan is je emailadres dus snel gevonden. Een oplossing zou zijn om een emailadres aan een numeriek adres te verbinden. Alleen je eigen computer beschikt over het juiste nummer.

Ik vind van wel. Veel spam bevat malicious code die geactiveerd word zodra je een mailtje opent. Door potentiele interressante informatie in dat mailtje te zetten is de kans om dat mailtje te openen dan ook erg groot. De Anna Kournikova mails liggen velen nog vers in het geheugen.

Maar wat is nou spam?

Alle email die je ongevraagd krijgt en waar je niet op zit te wachten is Spam. Dat is dus heel duidelijk. Maar nu zend je achterneef een mailtje met daarin een leuke mop, of ppt. Je zit er niet op te wachten, en vaak vind je hem nog niet leuk ook nog. Is dat dan ook Spam?

Nou word het al moeilijker. Ja, dat is spam. Maar als je de afzender een mailtje stuurt waarin je te kennen geeft dat je er niet op zit te wachten, dan is het opeens geen spam meer. De zogenaamde OPT out.

In deze post probeer ik wat meer te vertellen over Spam, Opt-out en Opt-inn. Maar ook een potentiele oplossing  om nu eindelijk eens van die spam af te komen.

Spam is alle mail die je ongevraagd krijgt, en waar je niet vanaf komt. Als je je ergens op een website aanmeld en een nieuwsbrief ontvangt, dan zit er een opt-out in. Dat betekent dat in iedere mail een link verwerkt zit waarin je kunt aangeven dat je de mail niet meer wilt.

Met de aanmelding doe je dus een Opt-inn, en met de link in de mail een Opt-out. De meeste webmasters houden zich daar dan ook netjes aan. Ik ken maar een enkel bedrijf waarvan ik nog steeds partnermail krijg die ik NIET wil. Ik heb al vaak op de opt-out link geklikt, maar Lycos blijft maar partnermail sturen.

Goede betrouwbare webmasters werken dus met Opt-inn ( ja, ik wil je mail ontvangen) en Opt-out ( nee, ik wil je mails niet meer).

De meeste, zeg maar gerust alle, spam heeft geen Opt-inn en geen Opt-out. Je kunt je nergens aanmelden, en ook nergens afmelden. Dat is dus niet goed. Je email adres krijgen ze wel op een andere manier.

Via forums, websites, inloggen op websites, slordig omgaan met je emailadres etc. Bijna iedereen heeft wel ergens een account op een forum of een blog. Als dat forum niet goed beveiligd is dan is je emailadres dus snel gevonden. Om nu eens te kijken hoe snel mijn emailadressen gevonden kunnen worden heb ik een wordpress blog en een PHPBB forum live gezet waarbij ik de security standaard ingevuld heb. Vervolgens via Yahoo een aantal gratis email adressen aangemaakt. Deze adressen bestonden dus nog niet. En dan lekker aanmelden op mijn eigen forum.

Het duurde maar liefst 5 uur voordat ik een eerste spam mail kreeg op een emailadres. Deze kwam van het PHPBB forum. Na 24 uur had ik op het fictieve adres 195 emails gekregen.

De blogs op Wordpress bracht zelfs een schok teweeg. Binnen een uur was mijn emailadres gevonden, en na 24 uur had ik in totaal een respectabel aanbod van 8362 mails ontvangen.

Betekent dit dat ik dus maar niet meer op blogs en forums moet inschrijven? Nee, dat zeker niet. Er zijn betere opties om te voorkomen dat je email adres helemaal platgespamd word. Als je bijvoorbeeld veel op forums zit, maak dan een emailadres aan bij Yahoo, Gmail, of andere gratis providers, en gebruik dat. Ik heb al sinds jaar en dag meerdere Yahoo adressen, die ik vaak gebruik, maar die ik nooit lees. Vraag mij ook niet om het betreffende wachtwoord, want dat ben ik allang kwijt. Lezen doe ik ze niet, dus ben ik daar ook niet rouwig om. Ik krijg dus ook niet veel spam op mijn emailadressen die ik wel gebruik.

Veel bedrijven zijn bezig met spam preventie om te filteren op spam. Zij maken gebruik van technieken die filteren op woorden, extensies, en nog veel meer. Maar dat is allemaal gebaseerd op het principe: eerst krijgen voordat ze beschermen. Ze lopen dus iedere keer achter de feiten aan.

Toch is er een techniek die het voor spammers onmogelijk maakt om spam te versturen.

Een spammer zal nooit of te nimmer zijn eigen emailadres gebruiken. Dat is een wetenschap waar je iets mee kunt. Een oplossing zou zijn om een emailadres aan een numeriek adres te verbinden. Alleen je eigen computer beschikt over het juiste nummer. Op DNS niveau kan er bijgehouden worden welk nummer bij een email adres behoort. Krijg je dan een email waarvan het nummer niet bij het adres behoort, dan is het zeker spam. Dus weg ermee.

Het nummer kan als een certificaat op je pc en aan je internet browser gekoppeld worden. Het kan zelfs als additioneel adres meegegeven worden aan je emails. Alleen jij weet je nummer. Verstuur je je nummer, dan word het door je browser gehashd ( encryptiemethode). De hash is dan bekend op dns niveau.

In een kleine groep mensen hebben we deze techniek getest. Met Gmail accounts speciaal hiervoor aangemaakt, en een add-on voor de Firefox browser. Alle email die gelezen werd of verstuurd werd, werd via de Mozilla browser gelezen. In de add-on zat een publieke encryptie key. Alle email die verstuurd werd was door gebruik te maken van een Google API voorzien van een nummer. Alle emailadressen werden veel over het internet verspreid. Alle mail die niet voorzien was van een nummer werd in een speciale folder gedumpd.

De score was exact 100%. geen enkele spammail haalde de inbox. Zelfs de neiuwste spam technieken werden eruit gefilterd. Geen nummer, dus weg ermee. Als dit nou op grote schaal werd doorontwikkeld, dan waren we voor een lange tijd van de spam verlost.

Uiteindelijk zullen spammers wel weer een methode vinden, maar dan kan er gekozen worden voor een random techniek. Je nummer verandert nadat je je email verstuurt. Ik ken in ieder geval een groep mensen die al ettelijke maanden een spamvrij Gmail account hebben en daar veelvuldig gebruik van maken.

Met vriendelijke groet

Erik Westhovens