Re: εντελώς OFF TOPIC: A method for exchanging email that can't be exploited by Spamers

[Nick Demou]

Την 14/4/2006, Christos Ricudis <ricudis at komodino.itc.auth.gr> έγραψε:
> Nick Demou wrote:
> > Η πλήρης έκδοση του κειμένου είναι εδώ:
> >
> > http://www.enlogic.gr/other/sharpmail/sharpmail.html
> >
>
> H idea tou default blacklisting einai palia.
> To fundamental problhma ths einai to ekshs :
> Shmera exeis 10 legitimate mails thn mera, kai 5000 spam.
> Meta to deployment aytou tou pragmatos 8a exeis 5 legitimate mails th
> mera, 5 legitimate whitelisting requests, kai 5000 SPAM whitelisting
> requests. Epishs, etsi pws exeis periorisei to periexomeno twn
> whitelisting requests, ka8istas ADYNATH th xrhsh enos bayesian filter
> gia na ksexwrizeis ta legitimate whitelisting requests apo ta spam
> whitelisting requests, opote 8a prepei na psakseis na breis ta 5
> legitimate mesa sta 5005.  Moreover, bazeis ena poly sobaro burden ston
> receipient tou mynhmatos : na briskei kai na kanei accept ta
> whitelisting requests PRIN dextei ena mail, xwris kan na einai sigouros
> gia to an o sender einai legitimate h oxi.

ευτηχώς βρήκα το χρόνο να ξεθάψω τις περσινές μου σημειώσεις και όντως
υπάρχει καθαρός τρόπος να μην έχουμε  5000 SPAM whitelisting requests
στο inbox μας. Από ότι φένεται μάλλιστα θα έχουμε 0.

Αυτό το πετυχένουμε με δύο τρόπους. Καθένας λειτουργεί ανεξάρτητα. O
συνδιασμός είναι τέτοιος που δεν μπορείς να τους παρακάμπτεις και τους
δύο τόσο συχνά και σε τόσο πολούς αποδέκτες ταυτόχρονα ώστε πραγματικά
να κάνεις οτιδήποτε περισότερο από περιστασιακό και μικρού βεληνεκούς
spamming. Οπότε οι επαγγελματίες, οι οποίοι είναι οι μόνοι που έχουν
τα σχετικά μέσα, δεν θα ασχοληθούν (low return of investment).

1ος Τρόπος
===========

για να στέλνεις emails πρέπει να έχεις ένα email account. Για κάθε
account διατηρούνται κάποιες βασικές πληροφορίες [προσοχή στην
παθητική φωνή*]:

[1] account name                    = ndemou#sharpmail.org
[2] public key                      = F55D6A392E...
[3] accepted whitelisting requests  =  72
[4] rejected -------->>-----------  =   2
[5] pending  -------->>-----------  =   7
[6] zombie   -------->>-----------  =   3
(a pending request that is not answered after 4 days is marked as a
"zombie" whitelisting request)


Tην δυνατότητα να έχεις N pending Whitelisting requests την αποκτάς με
"κόπο και ιδρώτα". Δηλαδή πρέπει να περάσεις μια δοκιμασία για να
αποκτήσεις τα πρώτα 50 W/L requests. Πρέπει να πετύχεις >=50% accepted
requests και <=20% rejected requests ΚΑΙ να  ξαναπεράσεις την
δοκιμασία για να αποκτήσεις άλλα 100 (κοκ αλλά με maximum το 200)** Τα
νούμερα φυσικά είναι ενδεικτικά.

Παράδειγμα δοκιμασίας: ένα computational chalenge που απαιτεί 1/2 ώρα
για να ολοκληρωθεί σε ένα PC στα 2.5GHz ΚΑΙ επίσης η αναγνώριση μιας
χειρόγραφής φράσης σαν αυτή:


Ακόμα και αν περνάς την δοκιμασία και ακόμα και αν βρίσκεις δήθεν
φίλους που σε κάνουν accept πολύ σύντομα θα γράψεις ένα αξίολογο score
στο rejected requests που αρκεί για να μην σε ξαναδεχτεί κανένας MUA.

Υπάρχουν κι άλλες καλές ιδέες για δοκιμασίες και φυσικά μπορούμε να
τις υοθετούμε όποτε η τεχνολογία που έχουν στα χέρια τους οι spamers
εξελήσεται αρκετά ώστε να ξεπερνά τις τρέχουσες (δεδομένου ότι αυτό θα
γίνεται αρκετά σπάνια).


2ο Τρόπος
==========

Σε αυτό έχω αναφερθεί στην κυρίως περιγραφή (τελευταία παράγραφός) και
συνίστατε σε μία chalenge-response φάση επικοινωνίας πριν την αποδοχή
του whitelisting request. Ο αποδέκτης για παράδειγμα γράφει με το
mouse μια φράση σαν την προηγούμενη και καθε αποστολέας που θέλει να
στείλει whitelisting request θα πρέπει πρώτα να απαντήσει κάνοντας
type την φράση που βλέπει. Και φυσικά και εδώ μπορει να προστεθεί και
ένα computational chalenge όσο "βαρύ" όσο επιθυμεί ο αποδέκτης.

________
* αν μπορούσαμε να έχουμε κάποιους servers με ειδηκό ρόλο (κεντρικούς
servers) η φράση "Για κάθε account διατηρούνται κάποιες βασικές
πληροφορίες" θα ήταν απλή και στην υλοποίηση εκτός από απλή στην
διατύπωση. Στην πράξη όμως κάτι τέτοιο είναι λίγο δύσκολο γιατί αν
υποθέσουμε ότι αρχίζει ο κόσμος να προτιμά το sharpmail αυτοί οι λίγοι
servers θα δεχτούν ένα εξοντοτικό DoS attack. Εδώ είναι που θέλουμε
πραγματικά πολύ έξυπνη σχεδίαση για να έχουμε και distributed και
ανθεκτική σε καταστροφές αλλά και αξιόπιστη πληροφορία. Και παρόλο που
είμαι σίγουρος ότι κάτι τέτοιο μπορεί να σχεδιαστεί (είπαμε είμαι
αισιόδοξος εκ φύσεως) δεν είμαι απόλυτα σίγουρος ότι θα είναι αρκετά
γρήγορο (γιατί ίσως χρειαστεί ένα σωρό internet peers να ανταλάξουν
ένα σωρό μυνήματα...). Oπότε ίσως το sharpmail να είναι αργό :-(.

** αν είσαι δάσκαλος στο ανοικτό πανεπιστήμιο με 300 μαθητές και θες
να στήλεις την εργασία τους άμεσα τότε πραγματίκα έπρεπε να φτιάξεις
μια mailing list (οπότε οι μαθητές σου είναι υπέυθυνοι να περάσουν το
public key της λίστας στον MUA τους).