verture.net — left handed typing since 2001

Magnifying glass for search box

Spam og digitale signaturer 15.04.2004

FTC har vedtaget et lovforslag der gør det ulovligt at sende pornospam uden at gøre eksplicit opmærksom på at den indeholder seksuelt eksplicit materiale. Dette skal gøres ved dels at skrive det inde i mailen, som det allerførste, men også ved at tilføje en linie i mailens header.

Det lyder altsammen meget lovende. Det vil gøre det nemmere at filtrere grimme mails væk fra ens mailserver, og det vil gøre det nemmere for forældre at kontrollere hvilke mails deres børn har mulighed for at se.

Fejlen i forslaget ligger i, at det er endnu et foreslag der ikke rammer dem der muliggør spam, nemlig indehavere af relayservere (dvs. folk der tillader andre at bruge deres mailserver som afsendere af spam), I stedet lægger foreslaget reguleringen af fænomenet i hænderne på dem der sender mailene og de er da komplet ligeglade med om der er børn der læser deres pornospam.

Et alternativ kunne være, at udvikle en ny og bedre email-protokol. Sagen er, at det ikke er skidenemt at spore hvor en mail kommer fra med den mest udbredte protokol, SMTP-protokollen. Som navnet siger, så er den simpel, og det er også simpelt at forfalske afsenderinformationer, hvilket gør det sværere at spore afsenderen. Den dårlige side af foreslaget er, at det vil kræve enorme ressourcer at omlægge den allerede etablerede infrastruktur for mails til en anden og sikrere protokol samtidig med, at det stadig vil være muligt at sende mail med SMTP-protokollen. Med andre ord, en smuk tanke, men i realiteten højst usandsynlig pga. omkostningerne forbundet med at indføre det.

Et langt bedre forslag ville være at indføre digital signatur for at afsende emails. Det er der en spændende artikel om hos firstmonday. Og jeg kan lide ideen, men jeg ved ikke helt om jeg tør tro på den.

Som et første led i at overtale alle til at få en digital signatur, og signere deres mails med dem, så vil jeg henvise til Thawte, hvor man gratis kan få lavet en digital signatur. Hvis man samtidig bruger Apples Mail-program har macdevcenter en gennemgang af hvordan man får signaturen , og hvordan man får den til at spille med programmet.

Comments

Christian | web / 14:23 / 15th of april / 2004

Firstmonday-artiklen foreslår et system, hvor man kun kan modtage mails fra folk, man manuelt har indsat på en positivliste.

Du kan nemt implementere en løsning, der giver stort set samme funktionalitet, blot ved at tjekke afsenderadressen mod en positivliste i stedet for en digital signatur. Denne løsning kan godt nok nemt omgås, men eftersom en spammer normalt ikke ved noget om, hvem du har på din positivliste, vil løsningen nok afvise 99% af den spam, der bliver sendt til dig. Og du sparer dig den ulejlighed at få alle, der vil sende dig mails, til at signere deres mails (at få folk til at patche deres Windows er sin sag, så jeg tvivler på, det bliver meget nemmere at forklare dem, at de nu skal til at signere deres mails).

Personligt vil jeg ikke bryde mig om kun at kunne modtage mails fra folk, jeg selv har sat på en positivliste. Og jeg vil også mene, det var alt for bøvlet, hvis jeg skulle ringe til folk eller kontakte dem over en anden "sikker kanal", før jeg sender dem en mail for første gang.

Med andre ord tror jeg ikke, at der er ret mange, der vil hoppe på forslaget i Firstmonday-artiklen. Og de der gør, vil nok ikke få mails fra ret mange mennesker.

Mht. gratis digital signatur er TDC's signaturløsning også værd at nævne: http://privat.tdc.dk/digital/ Udover at kunne bruges til signering og kryptering af emails giver den også adgang til visse offentlige onlinetjenester.

Kristian | web | @ / 19:48 / 15th of april / 2004

Det bliver en kold dag i helvede før jeg skal have mig en StjæleDanmark-signatur.

Jonas | web / 19:59 / 15th of april / 2004

@Christian: Jeg giver dig ret i, at forslaget i Firstmonday ikke er sådan lige at implementere, da brugere, som du nævner, har svært nok ved at patche deres Windows. Selve Processen med at skulle tilføje folk til sin positivliste for at kunne modtage mails fra dem kunne jeg også forestille mig ville gøre emails mindre 'instant', og noget af emailens værdi som hurtigt kontaktmedie ville gå af fløjten. Det er en skam.

På den anden side kan jeg godt lide, at folk der er associeret med en man har godkendt bliver tilføjet ens positivliste automatisk. Det kræver dog kun et enkelt dårligt æble før man mister tilliden til den metode, men jeg synes stadig det lyder fornuftigt.

TDCs signaturløsning har vist stadig en del børnesygdomme bl.a. med at virke på andet en Windows, eller er det mig der er helt bagude med nyhederne på den front?

@Kristian: Hvis de kan lave noget der virker for mig uden at jeg behøver at købe en anden computer, så er det fint med mig.

Andreas | web / 6:37 / 16th of april / 2004

Er det ikke TDC's signatur jeg bruger til at rette i mine Told & Skat informationer? I så fald virker den fint nok for mig (i IE naturligvis).

Told & Skats interface kunne jeg godt tænke mig at lave om på.

Jeg har ikke prøvet at bruge TDCs løsning til e-mails - det virker nok ikke med min e-mail klient alligevel. :o)

Christian | web / 13:19 / 17th of april / 2004

TDC's signatur virker fint for mig i Mozilla Thunderbird 0.5 under såvel Windows som Linux. Jeg har dog hørt om folk, der har haft bøvl med det.

Helt i starten da TDC lancerede deres digitale signatur, var der en masse brok, fordi folk troede, at signaturen kun ville kunne bruges under Windows. TDC tilbyder godt nok en særlig løsning kun for Windows-brugere, men de tilbyder også en løsning baseret på samme teknologi som fx Thawtes e-mail-certifikater. Denne type certifikater er bredt understøttet på tværs af platforme.

dave | web / 14:53 / 17th of april / 2004

Problemet med digitale signaturer er, som jeg ser det, at det er klientbaseret. Dvs. at Hr. og Fru. Hakkeboef skal selv finde ud af at signere deres e-post beskeder. Dette tror jeg ikke paa at man kan faa dem til, idet de simpelthen ikke aner hvad pokker det er eller hvordan det fungerer.

Alternativt kan klienterne selv goere det helt automatisk. Problemet her er saa, naar Hr. og Fru Hakkeboef sender en digitalt signeret e-post besked til Tante Hakkeboef i Indokina, som bruger en e-post klient der ikke understoetter den digitale signatur. Hvis Hr. og Fru Hakkeboefs e-post klient ogsaa har krypteret e-post beskeden, saa er Tante Hakkeboef uden held.

IMHO mener jeg, at den bedste loesning vil vaere at udvikle en efterfoelger til SMTP protokollen, som er kompatibel med de nuvaerende protokoller for mails, men som tager hoejde for sikkerhed og problemet med spam.

Naturligvis vil saadan en protokol skulle blive indfoert loebende rundt om paa Internettet, ligesom IPv6, og det vil tage aar foer den vil virke ordenligt.

At lovgive sig ud af spam vil IMHO ikke hjaelpe en dyt. Spammere er uden moralske skrupler, og er fuldstaendig ligeglade. Maaske man burde lovgive imod aabne relaeer i stedet for.

Jonas | web / 19:59 / 19th of april / 2004

@Christian: så har jeg også bestilt en signatur fra TDC, og det glæder mig at høre at der ikke er nogle problemer med den, sådan lige umiddelbart i hvertfald.

@Dave: Jeg vil helt klart også tale varmere for en efterfølger til SMTP-protokollen, ligesom IPv6, men du udpeger jo allerede problemerne ved det. Det tager tid, og der vil være problemer forbundet med det, både økonomiske og organisatoriske. For det første, hvilken efterfølger skal man lægge sig fast på? Jeg kender ikke til området selv, så jeg ved ikke om der arbejdes på at lave en ny postprotokol, som kan sådan noget. Gør du?

At lovgive mod åbne relæer lyder også som en fin idé, men igen, så længe man bruger SMTP er det vist rimelig svært at pinpointe et givent åbent relæ. Sådan har jeg forstået det i hvert fald.

› Bio (sort of)

Bio pictureverture.net is the personal website of me, Jonas Voss, and this is my blog. I've lived in Dublin, Ireland from 2005-10, currently live in London, and was born and fully customized in Copenhagen, Denmark. I write about anything that comes to mind. Really.
You can send me an email › if that's how you roll.

Disclaimer: I speak for myself, not my employer. srsly. || This work is licensed under a Creative Commons by-nc-sa License.