obrana proti spamu

Martin Postulka Martin.Postulka na cerge.cuni.cz
Středa Květen 2 10:20:26 CEST 2001 

Dan Ohnesorg wrote:

> Ono by stacilo, kdyby jsem neco posilal na tu adresu a tak overoval, ze
> vubec existuje. On prihlasil adresu, ktera ani neexistovala.

Casto to jiste staci, ale da se to snadno obejit. Byt spamerem, tak pro to
obetuju nejakou ucelove vytvorenou freemailovou adresu.

> V technickych
> konferencich celkem neni problem poslat zpatky dopis - jestli chcete byt
> clenem, poslete nam zpravu s cislem XXXX. Mailman to umi a mel jsem to
> zapnute, ale v "humanitnich" konferencich jsem mel vazne potize s tim, ze
> lide, kteri sotva umi mailovat to proste nezvladali. Tak jsem to vypnul.

Ja si ted nejsem uplne jist, ale pokud se dobre pamatuju, tuhle proceduru
Emwac pouziva, ale presto mi prostrednictvim jeho konferenci prislo tech
dalsich 12 inchu. :-)

> Kdybych tam udelal to, ze neco poslu a pockam nejaky cas, jestli se to
> nevrati, tak bych si asi take pomohl. Protoze to spamovani slo rychle, to
> bylo behem dvou minut hotove.

Casovou prodlevu jsem prave myslel tak, ze by prihlaseni zacalo platit az
po urcite karantenni dobe. Gramotny uzivatel by to vycetl z automatickeho
oznameni, negramotni nebo roztrziti by se trochu vztekali, ale jen omezeny
cas, pak by je to akceptovalo, ale robot by tomu, predpokladam, ani nerozumel,
ani by to nezkousel opakovane a se zpozdenim (leda by jeho autor tuhle fintu
predpokladal), protoze asi vetsinou sazi na moment prekvapeni. Krome toho
by ta avizovana karantena davala spravci legalni sanci udelat "okometrickou"
kontrolu a spamery (podezrele adresy) vyradit nebo si aspo pohlidat.


> > Dokud roboty nezvladnou Turinguv test mohlo by to byt v suchu. :-))
>
> V suchu budeme do to doby, dokud budeme mit jinou logiku prihlaseni nez
> prumerny listserver. Bohuzel unifikace je uz tak daleko, ze se stejnym
> zpusobem prihlasite do 50% ruznych listserveru. Vsechno zle je pro neco
> dobre.

Presne tak, tohle nebezpeci nam uz ale predvedl kurovec ve smrkovych monokulturach,
takze nic noveho pod sluncem. :-(
Ona nemusi byt ruzna logika prihlaseni, to by bylo vuci uzivateli trochu krute,
ale v ramci prihlasovaci procedury zaradit reakci, ktera se neda automatizovat.
Treba nejakou otazku z obecne znamych realii. V ceskych konferencich
dava samotna cestina prakticky nevycerpatelnou spoustu moznosti obrany
proti internacionalnimu spamu.
Momentalne by takova procedura byla nestandardni, ale i kdyby ji implementovalo
90% listserveru, nesnizovalo by to jeji ucinnost. Samozrejme za predpokladu,
ze by neexistoval vzorovy seznam "vhodnych" dotazu-odpovedi, ktery by spameri znali
jak sve boty a ze ktereho by pohodlni spravcove kopirovali doslova.

> Dalsi vec je, ze kdyz spammer zapremysli, tak kdyz bude cuchat po
> adresach a uvidi na strance nejake list-id: nebo neco takoveho, tak
> nescucne jen adresu z pole to, ale i z from:, tim padem vi, kdo smi
> prispivat.

To je principielne mnohem horsi, i kdyz jsem to zatim zneuzit nevidel.
Tomuhle by se dalo vyhnout asi jen ucinnou autentikaci odesilatele.
V podstate cekam, ze (z ruznych duvodu) k tomuhle vyvoj dospeje
(tedy jak -napred- ke zneuziti, tak -pozdeji- k autentikaci uzivatelu internetu)
a pokud k urychleni a vyhmatnuti slabych mist prispeje spam, tak diky za nej.
Souhlasim, ze vsechno zle je pro neco dobre. :-))


Martin Postulka

P.S. myslim, ze se tohle tema diskutovalo pred delsim casem v konferenci net na felk.cvut.cz

Další informace o konferenci Sendmail