Teknologistrid svekker kamp mot spam

IETF må velge mellom ulike standardforslag fra ledende aktører som Microsoft, Yahoo og AOL.

IETF må velge mellom ulike standardforslag fra ledende aktører som Microsoft, Yahoo og AOL.

Det går mot at Internet Engineering Task Force (IETF), et internasjonalt standardiseringsorgan som ikke akkurat er kjent for å handle raskt, vil bli forelagt tre ulike forslag til teknologi for å redusere spamplagen. Ingen av de foreslåtte ordningene kan bli spesielt effektiv dersom de ikke gjøres enerådende. Alle krever endringer i det internasjonale domenenavnsystemet.

I februar skisserte Microsoft sitt forslag, kalt «Caller ID for E-mail». I forrige uke ble forslaget nærmere presisert, og Microsoft bekreftet at det ville bli lagt fram for IETF med det første.

Et tilsvarende forslag fra Yahoo!, kalt «DomainKeys», ble lagt fram for IETF tirsdag.

Den store amerikanske internettilbyderen AOL er i ferd med å teste en ordning de selv har utviklet, kalt «Sender Permitted From» eller SPF.

Den samtidige utviklingen av innbyrdes konkurrerende forslag kommer trass i offentlige løfter om å samordne kampen mot spam. Aktørene selv prøver å dempe inntrykket av kaos.

I en erklæring gitt nylig fra AOL heter det for eksempel at selskapet vil teste andre forslag, blant dem Microsofts Caller ID. En talsperson for Microsoft sa til ZDNet før helgen at Yahoo-forslaget DomainKeys kan oppfattes som et supplement for Caller ID eller SPF.

Ut fra foreliggende beskrivelser virker det som om Caller ID fra Microsoft og SPF fra AOL bygger på noenlunde like prinsipper.

Hovedhensikten med Caller ID er å utvide domenenavnsystemet DNS med en ordning som gjør det enkelt å avsløre forsøk på å gi e-post falske avsenderadresser. Det vil ramme både spam om e-postutsendte virus og ormer. Caller ID krever at alle som sender e-post, registrerer IP-adressene til utgående e-postservere i DNS-systemet i et eget format. Servere som mottar e-post slår opp i DNS-databasen for å sjekke at IP-adresse og oppgitt avsenderdomene stemmer overens. Ved uoverensstemmelse er det klart at avsenderdomenet er forfalsket og at e-posten kan avvises.

DomainKeys-forslaget fra Yahoo! går noe lenger, og griper følgelig dypere inn i DNS. DomainKeys bruker digitale signaturer til å autentisere avsender, garantere at e-postmeldingen ikke er blitt endret underveis, og til å spore e-post. Det knyttes en mengde nøkkelpar til hver e-postserver. De offentlige nøklene lagres i DNS-systemet, mens de private gjøres tilgjengelig for utgående e-post fra serverne. Når en autorisert bruker sender e-post gjennom serveren, brukes den private nøkkelen til å generere et digitalt signatur av meldingen. Signaturen sendes sammen med meldingen. Mottakerserveren sjekker signaturen ved å hente avsenderserverens offentlige nøkkel fra DNS-databasen. Hvis signaturen er korrekt, kan e-posten gjøres tilgjengelig for mottakeren etter nærmere bestemte regler.

Til TechNewsWorld sier Gartner-analytiker Maurene Caplan Grey at det er uheldig at de tre forslagene fremmes og tas i bruk samtidig, siden det legger et grunnlag for vedvarende forvirring.

– Det er sannsynlig at hvert av forslagene vinner sine tilhengere, og da blir det mer forvirring fordi vi vil oppleve et spagettinettverk som programmer som skal sjekke avsendere, sier hun.

Hun mener det ville være en fordel om IETF kunne velsigne én bestemt løsning, men peker samtidig på at organisasjonen er kjent for å være svært treg i å utforme enhetlige standarder.

Gartner-analytikeren legger til at en helhetlig tilnærming til kampen mot spam krever at man ikke bare autentiserer avsendere, men også er i stand til å vite om en gitt avsender er kjent for å sende ut spam. Forutsetningen for både Caller ID, SPF og DomainKeys er at spammere forfalsker avsenderadresser. Ordningene stopper ikke spammere som lar være å forfalske avsenderadressene. Caplan Grey mener virksom antispamteknologi må inneholde både avsenderautentisering og direkte identifisering av spammere.

Til toppen