SPAM v podstatě přežívá jedině kvůli lidské hlouposti a lenosti, jako ostatně spousta dalších nešvarů. Řešení je několik, ale už dobrých 10 let se nikdo nesnaží situaci zlepšit. Vyvíjejí se stále lepší algoritmy pro detekci a filtrování SPAMu. Filtrování ale zcela zbytečně spotřebuje enormní výpočetní výkon, který by se dal vynaložit účelněji.
Řešení číslo 1: Zcela jiný protokol, založený na autorizaci.
XMPP (Jabber) je příkladem takového protokolu. Aby si dva lidé mohli psát, musí si vzájemně udělit autorizaci. Bez ní to zkrátka nejde. Že by vás někdo otravoval opakovanými žádostmi o autorizaci? Nikoliv, to nejde. Jedním kliknutím ho zablokujete. Otravuje vás pokaždé z jiného účtu? Žádný problém! Můžete totiž klidně zablokovat příslušný Jabber server a selektivně povolit jen kamarády, kteří u něj shodou okolností mají účet. (Navíc by musel být server tak hloupý, aby hromadné vytváření účtů a odesílání neobvyklého počtu žádostí dovolil.) Odesilatel i adresát jsou zde jasně definované entity podléhající autentifikaci. Zprávu neznámého původu lze těžko vytvořit, natož doručit.
Jenže tohle nejde, protože asi těžko přesvědčíte celý svět, aby současné protokoly, jakkoliv fosilní, špatné a nepřipravené na dnešní dobu, mávnutím kouzelného proutku prostě nahradil. Je to asi jako s IPv6. Existuje od roku 1995. Jenže ruku na srdce: Máte k němu přístup doma? Když si domlouváte služby s operátorem, ptáte se na IPv6? Já na obě otázky odpovídám ANO, nicméně mám obavy, že 99% populace netuší, o čem je řeč.
Řešení číslo 2: DKIM.
Znamenitá technologie, která by prakticky znemožnila zfalšovat adresu serveru, odkud zpráva pochází. Server, který odesilatele "zná" a jeho chování nepovažuje za podezřelé, se za jeho zprávy zaručí DKIM podpisem, který server příjemce ověří pomocí klíče staženého přes DNSSEC. Když podpis nesedí, zpráva je evidentně podvrh a lze ji zahodit...
...a právě v tom je kámen úrazu. Tak co, vytváří váš mail server DKIM podpisy? A ověřuje je? Trvá na jejich platnosti? Mé odpovědi jsou ANO, ANO, NE. Právě ta třetí odpověď je problém, kvůli kterému tu SPAM stále ještě je. Jenže co s tím??? 90% zpráv přijde buď bez DKIM podpisu, nebo s neplatným DKIM podpisem, což je někdy způsobeno špatnou implementací, jindy zmrzačením zprávy někde po cestě, například přidáním antivirové hlášky na konec. Takže ani tohle zatím pořádně nejde.
Řešení číslo 3: Osobní certifikáty a povinné podepisování zpráv.
Toto je nejjednodušší řešení. Stáhnete si napřed veřejný klíč příjemce. Za jeho veřejný klíč (i za autenticiu klíče během přenosu z webu) ručí důvěryhodné certifikační autority. Pak mu můžete napsat podle libosti. On si bezpečným způsobem opatří váš veřejný klíč, zprávu ověří a tím pádem je téměř jisté, že nejde o SPAM. Spammer by totiž nutně musel odhalit svoji identitu, což rozhodně nebude chtít udělat. Důvěryhodná autorita je při ověřování totožnosti vždy extrémně důsledná a je prakticky nemožné si opatřit falešný certifikát. No a pokud certifikát nepochází od důvěryhodné autority, zpráva se prostě zahodí. Tentýž osud potká nepodepsané zprávy. Další výhodou je, že mechanismus asymetrické kryptografie se dá použít zároveň i k zašifrování zprávy. Tím se odstraní další velká nevýhoda mailu.
Tolik pohádka. A co praxe? Opět tu mám sérii otázek. Máte osobní certifikát od důvěryhodné autority? Podepisujete každou vaši odchozí zprávu? (Používáte šifrování s každým příjemcem, který ho podporuje?) Mé odpovědi jsou třikrát ANO, pochopitelně. Nicméně 99% zpráv, které dostávám, je bez podpisu! Tudíž ani podle tohoto jednoduchého kritéria se filtrovat nedá. To bych potom de facto nepřijímal žádné zprávy.
Stačilo by *jedno* (kterékoliv) z výše uvedených řešení a SPAM by zkrátka neměl šanci existovat. Lidé jsou ale zoufale líní. Pořád používají neefektivní, nekvalitní a zpravidla nebezpečné webmaily místo pořádného mailového klienta. O nějakém zabezpečení mnohdy netuší vůbec nic. Zato rádi a často hartusí nad SPAMem, který svým laxním přístupem v podstatě nepřímo podporují.
Zatím se nenašel nikdo, kdo by měl zároveň vliv a odvahu postavit se problému čelem. Takovou iniciativu by musela podporovat obrovská spousta autorit (a teď nemyslím ty certifikační), od akademického prostředí přes největší světové IT společnosti až po politickou reprezentaci vyspělých zemí. Zatím bylo všeho všudy schváleno několik zákonů o „nevyžádaných obchodních sděleních“, nad kterými se spammeři můžou potrhat smíchy. Účinné opatření by muselo spamování *technicky* znemožnit. Nevymahatelné zákony neřeší vůbec nic.