Yahoo: nel 2004 la morte dello spam

Entro pochi mesi il portalone intende rendere disponibile sul canale open source una infrastruttura che vuole cambiare tutto nel modo in cui viene gestita la posta elettronica

Roma - Si chiama "Domain Keys" la risposta tecnologica che Yahoo! intende dare allo spam entro pochi mesi. Questo è infatti il nome di una piattaforma software open source che il portalone americano prevede di rendere pubblica non appena saranno messe a punto le sue funzionalità centrali.

L'idea fondamentale del software è quella di creare una sorta di certificazione volante delle email. Una architettura che inserisca nell'header dell'email inviata una chiave privata sicura. Il sistema che riceve l'email andrebbe poi a verificare se la corrispondente chiave pubblica sia associata al dominio di partenza attraverso il Domain Name System della rete. Se così non fosse, l'email verrebbe distrutta. Se invece la chiave pubblica è in grado di decifrare quella privata allora l'email passerebbe normalmente.

"Uno dei problemi centrali dello spam - ha spiegato un responsabile Yahoo! alla Reuters - è che noi non sappiamo da chi arriva, Yahoo non lo sa, né l'utente sa se veramente arriva da chi dice di arrivare. Quello che proponiamo è di reingegnerizzare il modo in cui lavora internet per quanto riguarda la posta elettronica".
Potrebbe una soluzione del genere fermare lo spam o, almeno, il grosso dello spam? Il dibattito è aperto, ma secondo Yahoo! si possono fare enormi passi in avanti anche se soltanto una percentuale dei grossi provider internet nel mondo adottasse una simile piattaforma.

Entusiasta, a quanto pare, uno esperto di spam, Andrew Barrett della SpamCon Foundation, secondo cui il sistema può funzionare e "il fatto che Yahoo, uno dei quattro più grandi operatori del settore, se ne occupi vuol dire che ci sono speranze: è un grande strumento che può essere utilizzato".

Uno dei punti a favore del sistema è il fatto che il suo rilascio sotto licenza aperta consentirà, a chiunque lo vorrà, di implementarlo e migliorarlo. Lo stesso Barrett ha tenuto a mettere in guardia, però, sul fatto che se una novità del genere verrà introdotta ciò avrà dei costi perché molto maggiore sarà l'impegno dei server che si occupano di gestire l'email. "Si tratta - ha affermato - di un buon approccio utile a chi lo vorrà implementare. Ma qualsiasi forma di soluzione crittografica richiederà l'impegno di ulteriori risorse di computing, e questo non sarà economico".
TAG: ricerca
68 Commenti alla Notizia Yahoo: nel 2004 la morte dello spam
Ordina
  • Ricevo ogni giorno circa 800 lettere di spam. lo spam italiano e' rarissimo e solo di qualche coglione che non sa che in italia esiste l'assenso preventivo per inviare e-mail.
    In usa la nuova legge prevede invece che l'assenso non sia preventivo e quindi lo spamming impera. PERCHE ' ?semplice, perche' con un bel piano ben congenato da BUSH E MICROSOFT si vuol portare il pubblico all'esasperazione e poi come salvatori della patria si VUOLE FAR PAGARE LE EMAIL CON UN FRANCOBOLLO e di chi e' questa bella idea ? DELLA MICROSOFT, parole del suo capo in una segreta riunione a Davos. Un affare da tanti tanti tanti soldini.
    non+autenticato
  • prigione ?????
    per aver spedito delle lettere ?????
    chi non e in grado di utilizzare i filtri si merita lo spam
    quindi
    non+autenticato
  • ad alcuni non serve rispondere..
    non+autenticato
  • > ad alcuni non serve rispondere..
    bhe se vuoi dire due parole intelligenti posso risponderti
    non+autenticato
  • perchè questo proliferare di nuovi sistemi per combattere un fenomeno che già potrebbe essere (se non sconfitto) pesantemente ridotto mediante la semplice applicazione di regole che già ci sono :

    1) Impossibilità di inviare mail da mail server che non abbiano una registrazione pubblica sui dns internet (quindi un host e una rev-dns). Quasi tutti i mail server lo possono controllare.

    2) Impossibilità di ricevere mail da server che NON siano listati nell'elenco MX associato al dominio mittente (il che implicherebbe la verifica dell'esistenza del dominio sputando immediatamente tutta la posta che arriva da domini fake)

    3) Divieto assoluto (come dovrebbe essere) di open relaying e servizio SMTP (per i provider che ospitano molti domini) solo sulla base di classi IP assegnate al proprio spazio o, per quelli che non offrono connettività, mediante autenticazione (lo so si può craccare però meglio che niente).

    Questo nuovo sistema se lo spammer si riesce ad inserire nel mail server di un utente ignaro può mandare tutte le mail che vuole che il mail server che gli appiccica sopra la sua bella chiave di certificazione e .... voilà .... non è cambiato una cippa.

    Ed infine una bella LAR internazionale. Ecchecavolo.


    ==================================
    Modificato dall'autore il 09/12/2003 22.21.28
    Anlan
    1327
  • Per le parti che ho capito del tuo topic, concordo pienamente.
    non+autenticato
  • 1) chi li aggiorna tutti i server del mondo? non tutti accetteranno... si cancella le email dei servers che non si aggiornano?
    2) sono d'accordo.. cmq bisogna aggiornare il server.. se il server mail lo supportasse lo aggiornereiCon la lingua fuori
    3) e chi controlla?
    ciaoOcchiolino
    non+autenticato

  • > 1) Impossibilità di inviare mail da mail
    > server che non abbiano una registrazione
    > pubblica sui dns internet (quindi un host e
    > una rev-dns). Quasi tutti i mail server lo
    > possono controllare.

    Alcuni lo fanno. Una la risoluzione inversa esiste comunque molto spesso anche per i blocchi di ip dial-up, non ho capito cosa intendi con "host". Non risolve quasi nulla. Prova dare un'occhiata ai record DNS registrati da una spamhaus.

    > 2) Impossibilità di ricevere mail da server
    > che NON siano listati nell'elenco MX
    > associato al dominio mittente (il che
    > implicherebbe la verifica dell'esistenza del
    > dominio sputando immediatamente tutta la
    > posta che arriva da domini fake)

    I domini fake vengono bloccati ormai da buona parte dei sever. Non capisco perchè mai la posta dovrebbe arrivare solo dai MX del dominio mittente. Per la maggior parte dei provider, infatti, non avviene.

    > 3) Divieto assoluto (come dovrebbe essere)
    > di open relaying e servizio SMTP (per i
    > provider che ospitano molti domini) solo
    > sulla base di classi IP assegnate al proprio
    > spazio o, per quelli che non offrono
    > connettività, mediante autenticazione (lo so
    > si può craccare però meglio che niente).

    Non ho capito un cazzo. Riformula. Se intendi che la posta non dovrebbe arrivare da tutti gli IP di un blocco, le blacklist per i blocchi assegnati al dialup esistono già da tempo.

    > Questo nuovo sistema se lo spammer si riesce
    > ad inserire nel mail server di un utente
    > ignaro può mandare tutte le mail che vuole
    > che il mail server che gli appiccica sopra
    > la sua bella chiave di certificazione e ....
    > voilà .... non è cambiato una cippa.

    Il tuo sistema è già implementato, e non verrebbe sostituito da quello "nuovo".
    non+autenticato
  • Salve,

    Personalmente penso che il problema dei costi
    potrebbe essere drasticamente ridotto tramite una
    struttura di gestione delle chiavi tramite webservices.

    Penso, infatti, che una infrastruttura di questo tipo,
    magari distribuita su più server, possa funzionare in
    modo eccellente senza costi eccessivi per nessuno.

    Saluti,

    Andrea Raimondi
    non+autenticato

  • - Scritto da: Anonimo
    > Salve,
    >
    > Personalmente penso che il problema dei costi
    > potrebbe essere drasticamente ridotto
    > tramite una
    > struttura di gestione delle chiavi tramite
    > webservices.

    Devono essere immuni ai DDOS altimenti non se ne fa nulla.

    > Penso, infatti, che una infrastruttura di
    > questo tipo,
    > magari distribuita su più server, possa
    > funzionare in
    > modo eccellente senza costi eccessivi per
    > nessuno.

    Il problema sara chi gestisce le chiavi? ovvero chi ne gestisce il business?Con la lingua fuori

    Comunque per gestire l'enorme mole di email tra virus e spam attraverso antivirus e antispam abbiamo dovuto necessariamente aumentare il parco macchine e quindi ci sono state delle spese, ma se si trova un modo per rendere non conveniente fare spam, almeno ai livelli attuali, il numero delle email tendera' a diminuire e questo puo' compensare, in termini di banda passante libera, il costo dell'hardware

    > Saluti,
    >
    > Andrea Raimondi
    non+autenticato
  • Sui DDos siamo d'accordo, ma anche le SBL oggi
    hanno questo problema e non mi pare che ci siano
    eccessive lamentele.

    Per quanto riguarda le chiavi, esse potrebbero
    essere gestite dal provider, il quale farà poi
    riferimenti a qualche CA. A questo punto,
    sarà il "provider" a certificare all'esterno le emails,
    mentre all'interno le verificherà egli stesso.

    In caso di problemi, l'utente spammato si rivolgerà al
    provider "spammatore", il quale a sua volta si rifarà
    sullo spammer.

    Non ci vedo nulla di male in questo.

    Ciao,

    Andrea Raimondi
    non+autenticato

  • - Scritto da: Anonimo
    > Sui DDos siamo d'accordo, ma anche le SBL
    > oggi
    > hanno questo problema e non mi pare che ci
    > siano
    > eccessive lamentele.

    Infatti i siti che offrono le SBL stanno chiudendoDeluso

    >
    > Per quanto riguarda le chiavi, esse
    > potrebbero
    > essere gestite dal provider, il quale farà
    > poi
    > riferimenti a qualche CA. A questo punto,
    > sarà il "provider" a certificare all'esterno
    > le emails,
    > mentre all'interno le verificherà egli
    > stesso.

    Ci deve essere un ente che certifichera' le chiavi come accade per il protocollo https e quello chiede 100 Euro all'anno per ogni dominio quindi... vai col business.

    > In caso di problemi, l'utente spammato si
    > rivolgerà al
    > provider "spammatore", il quale a sua volta
    > si rifarà
    > sullo spammer.

    Altre spese in piu'.

    > Non ci vedo nulla di male in questo.

    Neanchio ci vedo nulla di male solo che la cosa non sara' indolore per il portafogli.Triste

    > Ciao,
    >
    > Andrea Raimondi
    non+autenticato

  • - Scritto da: Anonimo
    > Ci deve essere un ente che certifichera' le
    > chiavi come accade per il protocollo https e
    > quello chiede 100 Euro all'anno per ogni
    > dominio quindi... vai col business.

    In realtà l'ente certificatore non è necessario neppure per https. Ma purtroppo la professione di webmaster è stata spacciata per un'alternativa meno faticosa alla miniera..
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Ci deve essere un ente che certifichera'
    > le
    > > chiavi come accade per il protocollo
    > https e
    > > quello chiede 100 Euro all'anno per ogni
    > > dominio quindi... vai col business.
    >
    > In realtà l'ente certificatore non è
    > necessario neppure per https.

    Tecnicamente no, ma se si vuole evitare che appai quella bella scritta sull'exploder "Questo sito non e' attendibile ecc..." e' meglio farla.

    > Ma purtroppo
    > la professione di webmaster è stata
    > spacciata per un'alternativa meno faticosa
    > alla miniera..

    Dipende da quanto furbo e'... ci sono certi webmastella che riescono a piazzare per un sacco di euro siti fatti con tre tabelle 2 foto jpg sgranate e quattro righe di testoA bocca aperta

    Chiaramente questo non ha nulla a che fare con la professionalita'Deluso
    non+autenticato
  • > Per quanto riguarda le chiavi, esse
    > potrebbero
    > essere gestite dal provider, il quale farà
    > poi
    > riferimenti a qualche CA. A questo punto,
    > sarà il "provider" a certificare all'esterno
    > le emails,
    > mentre all'interno le verificherà egli
    > stesso.

    Naaaaa, secondo me siete fuori strada.
    Credo che il meccanismo sia diverso (vado per presunzione di conoscenza ovviamente).

    Secondo me fanno così:
    Quando spediscono una mail generano una coppia chiave pubblica/chiave privata. Aggiungono due header: il primo con l'hash della firma digitale, il secondo con un indirizzo da cui recuperare la chiave pubblica (ad esempio http://key.yahoo.com/asjdbondosandoak). Ok?

    Bene. Il ricevente non fa altro che leggere il link della chiave pubblica. Fa un get sul server mittente e ottiene la chiave pubblica per quella singola mail. Verifica la firma. Se la verifica è passata la mail è buona il server di posta procede con applicare le policy del caso (consegnarla all'utente, marcarla come verificata, ecc ecc)

    Dopotutto è un semplice meccanismo di scambio autenticato tra server di posta, che non richiede UN certificatore in quanto ogni mail ha una coppia di chiavi nuove.

    E' il ricevente stesso che, eventualmente, può escludere tutte le mail provenienti da uno specifico dominio (controlla l'header suddetto) o chi non supporta questo sistema.

    E' un'ipotesi ma mi sembra che il discorso fili.
    non+autenticato

  • > E' il ricevente stesso che, eventualmente,
    > può escludere tutte le mail provenienti da
    > uno specifico dominio (controlla l'header
    > suddetto) o chi non supporta questo sistema.
    >
    > E' un'ipotesi ma mi sembra che il discorso
    > fili.

    Humm senza un organismo che controlli la distribuzione delle chiavi chiunque puo' generarsi le sue chiavi, spammare, generarsi altre chiavi spammare ecc...

    I provider potranno individuare e bloccare quella chiave ma ormai sara' troppo tardi perche' dovranno comunque ripulire i loro server dallo spamSorpresa
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > E' il ricevente stesso che, eventualmente,
    > > può escludere tutte le mail provenienti da
    > > uno specifico dominio (controlla l'header
    > > suddetto) o chi non supporta questo
    > sistema.
    > >
    > > E' un'ipotesi ma mi sembra che il discorso
    > > fili.
    >
    > Humm senza un organismo che controlli la
    > distribuzione delle chiavi chiunque puo'
    > generarsi le sue chiavi, spammare, generarsi
    > altre chiavi spammare ecc...
    >
    > I provider potranno individuare e bloccare
    > quella chiave ma ormai sara' troppo tardi
    > perche' dovranno comunque ripulire i loro
    > server dallo spamSorpresa

    Falso. Il server Bob spedisce una mail al server Alice.
    Genera una coppia di chiavi pubblica-privata. Firma la mail e appende negli header della mail la firma e un link a se stesso per ottenere la chiave pubblica. Elimina la chiave privata e rende pubblica al link suddetto la chiave pubblica per quella mail. Poi spedisce la mail ad Alice in modo classico.

    Alice riceve la mail. Alice supporta il sistema antispam. Vede l'header con la firma. Ottiene la chiave pubblica con un get a Bob seguendo il link riportato nell'header della mail. Alice verifica la firma e procede secondo le proprie policy

    Non è necessario un certificatore, perchè:
    a) la chiave pubblica la può conservare per un certo periodo di tempo chi spedisce, in un server sotto il proprio dominio dns
    b) la chiave pubblica non può essere falsata per quanto detto in a)
    c) la sola firma non richiede scambio di chiavi tra mittente e destinatario. Il mittente si può arrangiare.
    non+autenticato
  • > Falso. ?A bocca aperta
    > Non è necessario un certificatore, perchè:
    > a) la chiave pubblica la può conservare per
    > un certo periodo di tempo chi spedisce, in
    > un server sotto il proprio dominio dns
    > b) la chiave pubblica non può essere falsata
    > per quanto detto in a)
    > c) la sola firma non richiede scambio di
    > chiavi tra mittente e destinatario. Il
    > mittente si può arrangiare.

    d) Qualsiasi spammer puo' continuare ad inviare il suo spam.. firmatoA bocca aperta
    al massimo avra' la seccatura di cambiare nome di dominio ogni tanto.

    e) se il server e' momentaneamente irraggiungibile o lento l'email viene cancellata?
    non+autenticato
  • >   d) Qualsiasi spammer puo' continuare ad
    > inviare il suo spam.. firmatoA bocca aperta
    > al massimo avra' la seccatura di cambiare
    > nome di dominio ogni tanto.

    Certamente. Ma si sposta la responsabilità dell'individuazione degli spammer sul provider, che sarà rintracciabile.

    Se un provider non sa bloccare gli spammer, penso si potrà chiedere al server ricevente di bannarlo.

    >   e) se il server e' momentaneamente
    > irraggiungibile o lento l'email viene
    > cancellata?

    boh....

    Noi si ipotizza
    non+autenticato
  • perche nessun programma (di largo uso)
    non permette di far passare la posta SOLO delle persone che ho in rubrica (come opzione )?
    secondo me sarebbe utilissimo, alla fine se ci si abitua (come per un numero di cellulare ) prima a chiederlo e poi a usarlo ... si risolverebbero molti problemi (non tutti lo so )
    inoltre si potrebbero tenere 2 email una personale (solo per chi gia in rubrica) una pubblica (con cui entrare in contatto e aggiungere magari nuove persone in rubrica per la prima email.
    Spero di aver dato una buona idea

    se ne esiste gia qualcuno per favore segnalatemelo
    non+autenticato

  • - Scritto da: Anonimo
    > perche nessun programma (di largo uso)
    > non permette di far passare la posta SOLO
    > delle persone che ho in rubrica (come
    > opzione )?
    > secondo me sarebbe utilissimo, alla fine se
    > ci si abitua (come per un numero di
    > cellulare ) prima a chiederlo e poi a usarlo
    > ... si risolverebbero molti problemi (non
    > tutti lo so )
    > inoltre si potrebbero tenere 2 email una
    > personale (solo per chi gia in rubrica) una
    > pubblica (con cui entrare in contatto e
    > aggiungere magari nuove persone in rubrica
    > per la prima email.
    > Spero di aver dato una buona idea
    >
    > se ne esiste gia qualcuno per favore
    > segnalatemelo

    Su Mail di OSX si può attivare la regola che limita la ricezione delle mail solo a quelle provenienti da indirizzi in rubrica. Però mi sembra strano che non ci sia qualcosa di simile nei client per Windoze....cerca meglio....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)