A napokban tele volt a nemzetközi sajtó a Sender ID-ról szóló cikkekkel. Gyorsan nézzük meg, hogy mi is ez, és hogy mi a probléma vele. Sajnos közvetve érint minden Internetet aktívan használó (levelező) felhasználót és adminisztrátort is...
A SPAM (kéretlen levél) nagy probléma. A SPAMmerek újabban azzal a módszerrel küldenek kéretlen levelet, hogy meghamisítják a feladót, így gyakran előfordul, hogy az ember fia olyan levelet kap, amelyben saját magát felszólítja arra, hogy vegyen saját magától Penis Enlargement Set-et, mert az milyen jó... A hamisított feladóval jövő levelek kellemetlen helyzetbe hozhatják azt, akinek a nevében a levelet küldték, hiszen nem mindenki olyan képzett, hogy rájöjjön arra, hogy a levél tulajdonképpen nem attól származik, aki a feladó
mezőben szerepel.
A SPAM olyan probléma, amely rengeteg embert érint. A jelenlegi megoldások sajnos nem nyújtnak ellene kellő védelmet. Többen dolgoznak olyan megoldáson, amely hatékony védelmet nyújthat a SPAMok ellen. Jelenleg is több SPAM-ellenes technológiát leíró dokumentáció fekszik az IETF (Internet Engineering Task Force - az Internet megfelelő működéséért felelős szerverzet) előtt véleményezés céljából.
Az új technikák már nem a SPAM levelek tartalmát vizsgálják, sokkal inkább a küldőt authentikálják. Mivel a legtöbb SPAM hamisított email címről jön, fontos, hogy azonosítani tudjuk a küldő személyt. Erre jó a Sender ID.
Lássuk mit tettek ennek érdekében az elmúlt időkben, hogy jön a képbe a Microsoft, és mi az ami a szabad szoftveres fejlesztőket aggasztja:- 1998-ban Jim Miller egy levelet küldött Paul Vixie-nek, amelyben felvázolt egy egyszerű technikát, amellyel el lehet dobni a hamisított leveleket
- 2002-ben Vixie publikálta a Repudiating Mail-From protokoll munkáját, amely Miller ötletén alapult
- A Mail-From két újabb munkát inspirált: az egyik a Hadmut Danisch-féle "Reverse MX", a másik pedig a Gordon Fecyk-féle "Designated Mailer Protocol" (DMP)
- 2003-ban Meng Weng Wong felhasználva a Reverse MX és a DMP legjobb funkcióit megalkotta a Sender Policy Framework-öt (SPF), amely rövid időn belül a legnépszerűbb DNS-alapú anti-spam eszközzé vált
- Az átalakulás folytatódott, a Microsoft fogta a Caller ID névre hallgató javaslatát, beburkolta vele az SPF-et, hozzáadott egy harmadik specifikációt, a Submitter Optimization-t, és megszületett a Sender ID
A működés röviden: Az SPF / Sender ID használatához módosítani kell a DNS bejegyzéseket és a levelező szervereket (Mail Transfer Agent-eket - MTA). A DNS módosítás egy újabb bejegyzést (record) takar. A bejegyzés azonosítja az(oka)t a gépe(ke)t, amelyek jogosultak arra, hogy egy megadott domainben levelet küldjenek. Természetesen módosítani kell a levelező szervereket is (Sendmail, Postfix, Exim, stb.), hogy képesek legyenek kezelni ezt a bejegyzést, azaz képesek legyenek eldönteni, hogy a hozzájuk érkezett levél hamisított-e vagy sem. Magyarul, hogy a levél küldője jogosult-e arra, hogy a domainből levelet küldjön.
(c) Microsoft Corporation |
1.) A küldő elküldi a levelét a címzetthez
2.) A címzett mail szervere megkapja a mailt
3.) A címzett mail szervere ellenőrzi a küldő domain-jének SPF bejegyzését a DNS-ben
4.) A címzett mail szervere eldönti, hogy a küldő email szerverének IP címe azonos-e a DNS-ben bejegyzett és publikált IP címmel
A Microsoft a napokban kiadta a Sender ID új, jogdíj mentes licencét és egy FAQ-t. A licenc használatához egy szerződést kell aláírni a Microsoft-tal. Sajnos a licenc olyan, hogy kérdéses a kompatibilitása az Open Source Definition-nel, a Free Software Definition-nel, a Debian Free Software Guidelines-szal, és a GPL/LGPL licencekkel.
Eric Allman - a Sendmail Inc. vezérigazgatója - bejelentette, hogy a Sendmail jelenleg felfüggesztette a Sender ID implementálását. Ennek az oka az, hogy a Microsoft olyan licencet erőltet, amely elfogadhatatlan a szabad szoftveres fejlesztők számára. Ennek ellenére nem zárkóznak el az implementálásától:
| Sendmail, Inc. has worked with Microsoft to help them produce a patent license that will be acceptable for ourselves, the IETF, and the open source community at large. This message summarizes our position. The following discussion refers to the Royalty Free Sender ID Patent License (RFSIPL), dated 23 August. Harry has already posted it to the list, although it will take a few days to appear on the Microsoft Web site.
The executive summary is that we believe that the Sender ID technology is promising, and will hopefully be adopted. We believe that although not ideal, the RFSIPL and associated IP disclosures satisfy the IPR requirements of the IETF and are compatible with most major open source licenses. It would be extremely disappointing if this potentially useful technology to combat fraud and spam failed for reasons unrelated to its technological merits.
The revisions in the RFSIPL have clarified several important issues. Notably, it is now explicit that recipients of a Sender ID implementation who do not intend to redistribute the code do not need to get a patent license to use such an implementation. However, the license is not without restrictions. |
Richard Stallman is kifejtette véleményét a Sender ID-vel kapcsolatban az IETF levelezési listán:
| Microsoft's Sender-ID license is directly incompatible with free software, regardless of which free software license is used. Free software means users are free to run it, study and modify the source, and to redistribute it with or without changes. Free to do so means there is no requirement to ask or tell anyone that you are doing so.
The Microsoft license for Sender-ID directly forbids release of software with all these freedoms, so it is impossible for any program to be free software under Microsoft's regime.
I've been expecting to see something like this ever since Gates started talking about spam. This license is an example of Microsoft's strategy for killing off free software as an alternative to Windows. Microsoft first patents something, then incorporates it into a format or protocol, then tries to make it de rigueur while excluding those it wishes to exclude. In the absence of resistance, Microsoft has a good chance of imposing whatever standards it likes. Let us, therefore, resist it here and now. |
Egyelőre itt tart az ügy. A Microsoft ígéretet tett arra, hogy átdolgozza a licencet, közben Theo de Raadt már azon aggódik, hogy a Sendmail elképzelhető, hogy nem lesz annyira szabad, mint eddig (köszönhetően a licencnek).
Két lehetséges út látszik (abban az esetben, ha az IETF elfogadja a Microsoft javaslatát). Vagy implementálja egy szoftver a Sender ID-t, vagy nem. Ha igen, akkor el kell fogadnia a MS licencét, amely jelenleg több szakember szerint is inkompatibilis a szabad szoftveres licencekkel. A másik út, hogy nem implementálja, viszont akkor könnyen megeshet, hogy a használója pár éven belül már nem fog levelezni senkivel...
Hasznos linkek:
Sender ID Framework
New Email Sender ID license debate sure to continue
Email Sender ID: The hype and the reality
MS Releases License For Sender-ID
Trouble brewing in the land of smtp
Microsoft and Meng Wong to Merge Caller ID for E-Mail and SPF Anti-Spam Technology Proposals