Menekülés a közösségi oldalakra

Nap mint nap olvashatunk újabb és újabb ötletekről, melyek segítségével a leleményes spamküldők igyekeznek kihasználni az internet adta lehetőségeket és a nem megfelelő törvényi szabályozást, és reklámüzeneteiket etikátlan módon próbálják eljuttatni több millió felhasználóhoz. A legutóbb közzé tett hírek arról számolnak be, hogy a kéretlen levelek mindössze egyetlen linket tartalmaznak, mely az egyik ismertebb keresőoldalra mutat (pléldául Google vagy Yahoo). A gyanútlan böngésző az ilyen linkre kattintva (click fraud) persze nem a keresőoldal találati listáját kapja, hanem váratlanul a spam által hirdetett oldalon találja magát, vagy letölt valamit.

A spammerek találékonyságának, úgy tűnik, semmi nem szab határt, és ez valószínűleg így is marad addig, amíg van motiváció (megrendelő). Ravaszabbnál ravaszabb módszereket használnak majd az üzenetek célba juttatására, sőt a spameket, ahogy az ma már tapasztalható, nem kizárólag levelek formájában terjesztik, hanem létezik a fórumokat, blogkommenteket szennyező, de akár a chatfelületeken, messenger alkalmazások útján érkező spam is.

Napjainkban azonban még mindig e-mailként kapjuk a legtöbb spamet, és már-már ott tartunk, hogy száz levél között jó, ha két valódi üzenetet találunk. Az e-mail rendszer ugyanúgy működik, mint az otthoni postaláda: bárki dobhat bele levelet. Önmagában ezzel még nincs is probléma, hiszen a postaláda azért van, hogy oda levelek érkezzenek. A kérdés csupán az, hogy hol a határ a számunkra értékes információt közvetítő üzenetek és a teljesen érdektelen szórólapok és katalógusok tömkelege között, melyek mindennap elárasztják levélszekrényünket.

Az otthoni postaláda és az e-mail fiók különbsége mindössze abban rejlik, hogy az első esetében a postásnak kell odajönnie, és az üzenet eljuttatása sok pénzbe kerül a feladónak; a második esetben pedig egyetlen e-mail (vagy több százmillió) elküldése ugyanannyiba kerül, akár a szomszéd utcába, akár a világ másik felére kell eljuttatni. Ne feledkezzünk meg arról sem, hogy a világ másik felén biztosak lehetünk abban, hogy senki nem próbál majd minket fülön csípni.

Mit tegyünk, hogy a naponta érkező számtalan spamet elkerüljük, és megspóroljuk a takarításra fordított időt és bosszúságot? Hogyan kerüljük el a spamek által okozott hálózati és számítástechnikai erőforrások pazarlását? Ezek a kérdések jelentik az elektronikus levelezés jelenlegi legnagyobb kihívását, de sajnos igazán jó megoldások egyelőre nem születtek.

Elvben lehetőségünk lenne egy teljesen új protokoll használatára, leváltva ezzel a régi SMTP szabványt. Ez azonban csak nagyon nehezen (vagy egyáltalán nem) kivitelezhető. Amint ugyanis áttértünk az új protokollra, többé nem tudunk kommunikálni azokkal, akik még a régi módszert használják. A zökkenőmentes kommunikáció garantálásához átjárókra lenne szükség, melyek felkutatására majd a spammerek is szakosodnak. Könnyű belátni, hogy ez az út nem járható. A másik lehetőség a jelenleg használt protokollok bővítése, amire több próbálkozás is született (például a SenderID, illetve a Sender Policy Framework), de megfelelő egyezség hiányában ezek nem lettek igazán életképesek.

A legjobb megoldás minden bizonnyal az lenne, ha valahogy el lehetne dönteni, hogy az adott üzenetet ember, vagy robot küldte. A másik fél autentikálása megfelelő lehet, de kérdés, hogyan? Esetleg az OpenID kibővítésével? Talán egy harmadik személy, szervezet segítségével? Mi van akkor, ha vírus fertőzi meg a gépemet, és a levelezőm segítségével a tudtomon kívül küldök el leveleket?

Egy biztos: a spamküldők és -fogadók között kialakult harc addig fog tartani, amíg az iparág képviselői képesek nem lesznek megegyezni, és egy igazán jó megoldást kidolgozni. Ez meglehetősen sürgető probléma, hiszen tovább csökken az internetezők e-mailekbe vetett bizalma, ami a már bevett, trükkös e-mail azonosítók használata, az e-mail címek eltitkolása vagy átmeneti címek létrehozása mellett egyre inkább a közösségi oldalakon keresztül történő kommunikáció irányába vezet, ahol lehetőség van az üzenet feladójának egyértelműen azonosítására.

A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.