Uspěje recept Billa Gatese na spam nebo něco úplně jiného?

...nebo případně i poctivě

Tak se živím a má to svá pro i proti

Dnes sem v Delvite zahledl kradnuvsiho Alese Slabeho, cili na slovech pana Hlavenky cosi pravdiveho muze byt.

Mel jsi ho poslat do Carrefouru, tam maj lepsi ochranku :)

A co kdyz prejdou spammeri na jine formaty spamu nez TXT ci HTML? Tam uz to budou mit filtry podstatne slozitejsi (v nekterych pripadech prakticky nemozne) a navic se tim vyrazne zatizi cely system. AntiSpamy jsou jen docasne reseni, chce to zmenu systemu.

to je prece jednoduche, mail bez plaintextove casti neni mail

Ne? Ja je posilam celkem bezne. Krom toho to lze obejit vlozenim neskodneho textu - neco jako "Podivej se na prilohu"...

A jaky je problem analyzovat obsahy priloh ? To prece dnes dela kazdy Antivirus...
Aby to pro Spammera bylo zajimave, musi byt ona priloha snadno citelna. Antispamovy software muze delat klidne statistickou analyzu tech priloh, stejne jako dela analyzu textu... Pro Spammera neni zajimave, kdyz posle treba zasifrovany archiv - to by mu nikdo necetl...
Gatesovy navrhy - to neni nic jineho blaboly - naproste pitomosti, v jejichz pozadi je jeste neco jineho - MS by se rad zmocnil i elektronicke posty - zprznenim soucasneho standardu...
Bayesianske filtry funguji na SPAM velmi dobre - proc vymyslet drbanilevourukouzapravymuchem...
Pokud by se to melo resit skutecne systemove, bylo by treba doplnit SMTP protokol - ne tak, ze tam MS prida nejake sve nesmysly, ale tak, ze to bude vydano jako skutecny standard.

A jaky je problem analyzovat obsahy priloh ? To prece dnes dela kazdy Antivirus...
Aby to pro Spammera bylo zajimave, musi byt ona priloha snadno citelna. Antispamovy software muze delat klidne statistickou analyzu tech priloh, stejne jako dela analyzu textu... Pro Spammera neni zajimave, kdyz posle treba zasifrovany archiv - to by mu nikdo necetl...
Gatesovy navrhy - to neni nic jineho nez blaboly - naproste pitomosti, v jejichz pozadi je jeste neco jineho - MS by se rad zmocnil i elektronicke posty - zprznenim soucasneho standardu...
Bayesianske filtry funguji na SPAM velmi dobre - proc vymyslet drbanilevourukouzapravymuchem...
Pokud by se to melo resit skutecne systemove, bylo by treba doplnit SMTP protokol - ne tak, ze tam MS prida nejake sve nesmysly, ale tak, ze to bude vydano jako skutecny standard.

mily pane, vas antivir umi otevrit obrazek a podivat se jestli v nem neni napsano (rozumejte nakreselno) nejake slovo???

asi tezko ze? staci odeslat email, ve kterem bude vlozen obrazek jako priloha a cely text reklamy bude v obrazku (velikosti bych si hlavu nelamal, dnes mame jiz pomerne slusne algoritmy pro kompresy obrazovych dat)

a co treba zvukovy soubor?

vas anti spam software pak takovy email zahodit nesmi (nemuze vedet co v nem je) a vy si budete muset dat tu praci s promazavanim

antispam software je na nic, ja bych emaily zpoplatnil, treba 10h za kazdy (berte to tak, ze za sms platite 1kc a nikomu to nevadi) - to nikomu neublizi, ale spammer s tisicemi emaily denne se uz "zapoti"

myslenka zpoplatneni jen odmitnutych emailu je vcelku fajn

kdyz vam nekdo odmitne normalni email, ktery neni spam, tak uz mu vickrat nic neposlete a ten clovek ma smulu, odrizne tim sam sebe

bohuzel internet uz je prilis velky a ackoliv by potreboval totalni rekonstrukci sluzeb (nejen emaily, vylepsovat by se dalo leccos) prosadit se to bohuzel neda

To zpoplatneni ma par hacku - predne komu by se platilo a pak jak chcete osetrit, ze nebude nekdo vracet i postu, ktera neni spam, jen aby tratil odesilatel? Nehlede na to, jak chcete vymahat penize od nekoho, kdyz ani nevite, od koho spam skutecne pochazi (falesne adresy odesilatelu). To by tezko mohlo fungovat...

Platilo by se prijemci, pripadne by cast mohla jit poskytovateli sluzby. Odesilatel by moc netratil - korunu nebo mene za mail, coz je prece mene nez za dopis, telefonni hovor nebo SMS. Navic by si snad mel rozmyslet, zda prijemce bude chtit jeho e-mail nebo ne. Kdyz prijemce odmitne, s velkou pravdepodobnosti uz dalsi mail nedostane.

Vymahani je jednoduche: Castka by se platila predem (napr. z nejakeho uctu u providera) nebo by mail musel byt digitalne podepsany.

Uz vidim, jak bude velka cast lidi vracet velkou cast mejlu jen aby si trosku prividelala. Treba vyvolat velky flame na Zive, nechat si posilat odpovedi a pak je neprijmout...
A jak to chcete ziskavat z "bananovych" zemi - Afrika, Rusko...??? A hlavne to porad neresi problem s falesnymi adresami odesilatelu. To kdyz se nejaky spam bude tvarit, ze je ode me, tak budu platit ja? Moc chytre, opravdu... Neverim, ze by placeni fungovalo

Konference a jine automaticke zasilani by se dalo resit tak, ze by uzivatel nedostal zadny mail, dokud by odesilatele (napriklad Zive) nezaradil na svuj whitelist - tj. odesilatel by potom neplatil nic. Prijemce by si odesilatele overil podle digitalniho podpisu nebo podle adresy odesilajiciho SMTP serveru (coz take neni dokonale, ale urcite lepsi nez dnesni pouziti SMTP).

K falesnym adresam: Jak uz jsem psal, bud odesilatel zaplati jeste pred tim, nez vubec bude moci e-mail odeslat, nebo mail podepise svym certifikatem od duveryhodne CA, pak za nej bude mit prokazatelnou zodpovednost. Nejvetsi nevyhoda je podle me nutnost upravit SMTP protokol...

Predne si nedovedu predstavit, jak by se overovani na ruznych stupnich odrazilo na zetezi cele site a jednotlivych serveru. Jestli by to nebylo nakonec jeste narocnejsi, nez prenaseni spamu... Ale to neumim odhadnout. Spise me napadaji jine souvislosti - treba viry. Predstava, ze se nekomu nakazi pocitac, vir zacne generovat nahodne adresy a rozesilat se - vsude, kde ho neprijmou, ho vrati. A nebozak bude solit. A klidne desitky ci stovky tisic... No, mozna by to melo tu vyhodu, ze by lide prestaly nektere OS tolik pouzivat. Ale to nemeni nic na tom, ze placeni prinasi vice problemu, nez uzitku

Na spamu neni rozhodne nejhorsi zatez site, ale zatez uzivatelu...

ad vir - Samozrejme by pouzivani mailu byla stejna zodpovednost jako napriklad Internet banking, pouzivani modemu nebo pouzivani osobniho certifikatu...

Jestli se nepletu, tak casto uzivatele nemohou za deravost systemu a za to. Jak to souvisi se zodpovednosti? Z tohoto principu se primo nabizi logicky postup - Microsoft zavede placeni poplatku za maily, pak diky dire v jeho systemu budou milionove ztraty a lide je budou zalovat za nahradu skody. Zajimava myslenka. Jak by se asi Vilemovi Branovi libila?

Tak by spammeri posilali spam do konference (max by platili max 1 mejl). Kdyby za vsechny vracene mejly byl zase zodpovedny (a platil) puvodni odesilatel, tak by si windowsaci nechali proplacet mejly linuxaru a naopak a nakonec by nikdo neprispival.

A jak bych měl platit já? Když posílám e-mail z notebooku, tak e-mail odchází z notebooku na firemní SMTP server přes SMTP over SSL. Z firemního serveru odchází e-mail přímo na cílový SMTP server a pokud vzdálený server podporuje SSL, tak to jde rovněž šifrovaně.

Vidíte někde v této cestě providera? Jak by mi to účtoval? Ani se nemůže podívat, komu to posílám...

Taky jsem pro zpoplatneni e-mailu!!! Bude se to platit na me konto, souhlasite?

Za predpokladu ze z toho budes odvadet dane me tak ano.

Ale to je jiz prece bezna praxe - spam, kde neni nic jineho nez obrazek...Po chvilce trenovani takove maily Mozilla pomerne spolehlive filtruje.
Pravidlo muze byt velmi jednoduche - pokud je v tele zpravy pouze obrazek, mail bude zahozen (umisten do "Junk") - normalni odesilatel zpravidla takove maily neposila.

Tak jsem asi nenormalni odesilatel A zaroven rada z tech, se kterymi si dopisuji... Ale na to je preci jednoducha obrana - v tele zpravy daji spammeri treba text "Podivej se do prilohy"...

Ne vzdy muze mit sanci antispam prilohu precist. Predne by musel umet cist velke mnozstvi formatu, protoze pro spammery je v soucasnosti zajimave, i kdyz se k pripadnemu citateli dostane alespon nejake procento spamu. Nehlede na to, ze i toto lze osetrit - napriklad poslou obrazek ci PDF, kde bude text jako bitmapa, nebo jeste lepe pisma prevedene do krivek - pro citatele nepoznatelne, ale pro nejaky antispam necitelne...

Jojo, uz mi prislo par spamu ve forme obrazku, HTML s vlozenym obrazkem (ktery se tahal z nejakeho xx.yy.zz.ww serveru, cili to jde dobre odblokovat, ale i tak jiste meli ze zacatku pekny prehled o tom, kolik lidi (a odkud) si to precetlo), pripadne jako multipart/related, a v textove (HTML) casti bylo nahazeno nekolik citatu z databaze... na necem takovem si spamfilter vylame zoubky raz dva...

Obrazek, ktery se zpetne taha odnekud je vice mene jasny. Ale neosetrite tim, pokud bude primo obsazen jako priloha v mejlu.

Je dusledne pouzivaji certifikatu. Kdo bude odhalen jako spammer tomu jej CA zablokuje. A nebylo by treba toho tolik menit.

Nicmene nehcapu kdo si muze spamem vydelavat, copak ty hovadiny nekdo cte ?

Na spamu se dá vydělávat různě :)

Malá nápověda - kdo vydělává na stále nově se objevujících virech ??

Digitalni certifikat pro kazdy emailovy ucet + blacklisty.

ta varianta o placeni, kdyz prijemce odmitne email, .... zajimave ...

komu ty penize pujdou? Microsoftu?  

Odmitnes-li prichozi e-mail (tj. oznacis-li ho jako nevyzadany), penize pujdou tobe. Tak zni filosofie. Jenze by me zajimalo, jak ochrani lidi, kteri budou kazdy e-mail oznacovat jako nevyzadany, aby meli na rohliky s maslem

Tomas

a jak se budou resit emailove konfery?

Něak...celý to je kravina...

Pekny clanok, dobre sa cita, pochvala 

Pane Hlavenko,
vase clanky maji vzdy hlavu, patu, obsah i formu. Jen dve upozorneni:
"že největší softwarová firma světa budu asi uvádět "
"Návrh tedy zní zkomplikovan "
jinak diky, zajimave

hmm mno me prijde lepsi utnout spamerum prijmy za spam nez spam - nekdo preci musi platit za tu reklamu ve spamu a to uz se nejak postihnout da. Nejky ucetni reseni by mi prislo lepsi nez technicky

ma poklona zase jednou pekny clanek, dokonce i vtipny

Bohuzel se mi zda ze z Gatese je uz jenom businessman ktery nema moc paru o technicke pozadi. Ani jednu z tech metod nelze jednoduse realizovat.

ad 1) jak kontrolovat? Tak se proste zada falesny existujici odesilatel... Nebo proste mailserver bude nastaveny na to ze identitu potvrdi vzdy. Overeni odesilatele musi byt nezavisle. To lze snad jedine pres certifikaty, to ale zase zrusi tu nadhernou vyhodu mailu, ze to muze mit kazdy a nic ho to nestoji.

ad 2) To je fajn metoda, ale v praxi si to dost dobre nedovedu predstavit. Ono to totiz musi byt kontolovatelne, takze napriklad prijimajici server se musi dotazat vysilajiciho serveru na nejaky ten vysledek vypoctu ktery sam zada. To by vyzadovalo dost zasadni zmenu komunikace. Provozavatele SMTP se tomu budou branit zuby nehty, protoze to pro ne bude ohromna investice do noveho zeleza.

ad 3) no tohle je uplna chujovina, plati stejne problemy jako pri 1) a jeste navic je tu problem vymahani a transferu plateb.

slusna metoda by byla kombinace 2) a 3), tzn. kdyz prijemce oznaci spravu za spam, odesilajici SMTP je potrestano nejakym vypoctem Tedy ne pri kazdem odeslanem mailu, ale jenom u spamu. Bohuzel tohle je v praxi uz uplne nerealizovatelne.

Tolik teorie. Bohuzel mam i predstavu jak to dopadne. MS vyhodi novou verzi outlooku, ve ktere pribude vedle slozky Inbox slozka Mitchmatch, do ktere se budou radit vsechny nepodepsane maily. Ty ktere budou certifikovane, tzn. budou podlehat nejake metode boje proti spamu, budou chodit do inboxu rovnou. Osobne si myslim ze cesta pro garantovanou postu vede pres certifikaty a el. podpis. Idealni by bylo pouzit metodu PGP, ale to je bohuzel nedostatecne bezpecne pro prumyslove pouziti...

PGP, ale to je bohuzel nedostatecne bezpecne pro prumyslove pouziti...??

Ja som myslel ze PGP je to najlepsie co momentalne je. Co take sa zmenilo?

Neda sa zarabat na certifikatoch.

Vtipné a přesné. Největší problém PGP je, že nepotřebuje CA Druhý největší problém je, že se blbě školí uživatelé, protože musí vědět. Narozdíl od CA, kdy víš, že tohle je podepsané a spousta vůbec netuší kým a co to znamená.

A třetí problém je, že je to super pro šifrování, ale díky neexistenci verifikovaných certifikátů je to na nic pro autentizaci (hlavně pro "nepopiratelnost").

Ad 1) Kontrolovat to samozrejme jde a to myslim 100%ne. V kazdem e-mailu je v hlavicce Message-ID: napr. 002801c3ab14$a1ec9490$3787d4a2@joude a to je vztazeno tusim k serveru ktery to odeslal do internetu a taky k odesilateli. Pokud to k polozce From nebude pasovat => podvrzeny email. Opravte me jestli se pletu.

Nejjednodussi je shodnout se na postihu firem, ktery tak nabizi zbozi - vzdycky tam je nakej kontakt kde se to da koupit - odsoudit a zavrit az zcernaj - proste valit statisicove pokuty s rychou splatnosti, pokud nezaplati zabavit majetek firmy pripadne osobni majetek podnikatelu. Par takovych soudnich procesu by s nima udelal kratkej proces. Uz by si to malokdo dovolil spamovat. A pokud by to delala naka reklamni agentura bez vedomi firmy tak zrusit soudne misto firmy agenturu - jednoduchy. U nas s nasi rychlosti soudu asi tezko realizovatelny, ale vetsina spamu mi stejne chodi z USA - jejich slavny levny leky a viagru si muzou strcit nekam.

Jen jsem cekal, kdy se doctu o sekani rukou . Zitra hacknu nejaky server s poslu z nej tisice spamu propagujicich vasi firmu. Doufam, ze vas vsechny zavrou . Nebo v tomto pripade nepostihovat? Takze vsechny pochybne firmy co dnes posilaji spam ho budou zitra posilat tak, ze reditel necha neco vyhackovat a nedokaze nikdo nic.
Podobny problem je s klaisckymi letaky na ulicich. Koukal byste jak se reditele dotcenych firem zlobi, kdyz se dozvi, ze jim nekdo ukradl letaky a vylepil je tam kde nemel

Stačí jen toto:

1. ověřrování odesílatele a cesty průchodem každeho emailoveho uzlu...

2. dusledna kontrola uzlů a postihy

3. podpora v zákonech jednotlivých států a celků (ČR, EU,...)

Bye.

Ačkoli zakladatel Microsoftu nepřišel s výrazně novou myšlenkou, jsou analytici spíše skeptičtí.

--> Samozrejme, ze jsou analytici skepticti, protoze MS neprisel s novou myslenkou.

SMTP je nepochybně zastaralý a málo vyhovující protokol

To prosim rika nejaka autorita (shodla se na tom nejaka IETF WG nebo to je citat nekoho z IAB) nebo je to nazor autora? Myslim, ze SMTP vyhovuje presne tomu, pro co byl staven. Napriklad TCP/IP je jeste starsi nez SMTP ...

Take by to chtelo napsat, cemu je malo vyhovujici.

Skoro by se clovek nadal, ze podobne clanky nemaji za potrebi pouzivat FUDu, ale jak je videt, obcas se autor neudrzi.

Jednim z bolesti je napr. absence jakekoli autorizace. Proto to nektere servery resi tim, ze vyzaduji autorizovanou POP3 komunikaci pred samotnou SMTP komunikaci

suhlasim, bol som dost sokovany ked som zistil ako lahko mozte cez smtp poslat fake mail a ze spamovacie softwary ani nejdu cez smtp servery ale mailuju napriamo

Každou chvíly slýchám jakej je nedostatek IP adres, takže TCP/IP je zastaralý, ale kdy se k nám dostane IPv6? Zatim to tomu moc nejde. Když se porozhlídnu po serverech, který takhle už komunikujou moc jich neni. Nainstalovat podporu na každý PC (si nejsem jist jestli to neni podchycený) by bylo taky hodně náročný, ale byl by to aspoň dobrej job:) Ani jedno z nabízených (Gatesových) řešení je nereálný. Leda, že by uživatele donutil používat něaký svoje standardy a outlook a bůh ví co ještě. Někde jsem četl větu "Bůh nám pomáhej až microsoft vynalezne produkt." a sem se to docela hodí. Byl by to naprostej chaoz. Kdyby to lidi začaly používat, veškerý emailový konference, mailový servery, mailový klienti by na to taky musely přejít a pošta by šla do kytek.

IPv6 uz podporuje nekolik siti/provideru ale neni dostatek vyhovujicich zarizeni. Ta moznost pro kazdeho mit plne statickou IP adresu je super (nebo i nekolik).

Mimochodem - je pravda, ze vetsinou mam k clankum p. Hlavenky mnoho vyhrad. Ale musim uznat, ze tento se povedl. Nabizi misto k polemice, uvadi zdroje... Ze by blyskani na lepsi casy?  Jen tak dal

Ja si myslim ze by to islo vyriesit velmi lahko. Prva vec by bola znemoznit posielanie milionov emailov za hodinu. Ono to musi ist cez nejakeho providera a ten to musi mat v logoch. Vysada posielania mass emailov by bola len tym ktori si to zaplatia. Obycajny uzivatel urcite neposle tisice a miliony emailov za hodinu. Toto robi urcite za ucelom zisku a nech za to plati.

Dokonca aj keby to robili z nejakeho smtp open relay servera vzdy ako uzivatel sa prihlasuje na port 25. Ked cez jednu pripojku idu statisice emailov tak to v nejakych logoch musi byt - urcite u internet providera. Cize kazdy provider ktory by chcel posielat spusty emailov do internetu by mal za to platit. Neboli by to velke sumy ja si myslim tak do 5000 dolarov mesacne. Taka ciastka nepolozi velke firmy ktore maju velky traffic lebo maju vela uzivatelov a tie emaily su odovodnene. Male firmy nemaju taky traffic a tak by platili omnoho menej alebo nic. Len to vhodne odstupnovat. Zaviselo by to od poctu emailov co poslu.

Toto cele by ale polozilo spamerov lebo vynosnost by nebola ani zdaleka taka vynosna v porovnani s nakladmi.