Barrapunto

Filtros con procmail y lista blanca de remitentes aceptados está aparentemente muy bien, y así lo hacía yo desde hace tiempo. Pero siempre hay un "pero". Tal como comenté arriba, por el diseño de SMTP, el remitente no es confiable, y se me han colado con frecuencia muchos correos basura generados por gusanos usurpando la identidad de personas que conozco (y que el gusano les ha invadido su pc robando mi dirección de su agenda).

En casos como ése, tan frecuentes por desgracia hoy en día, no te puedes basar en el remite, sino en la *autenticidad* del remitente, que sea él/ella realmente y no un intruso usurpando su identidad.

Tenía también filtros basados en dominios concretos con los que me relaciono habitualmente, pero tampoco son útiles porque los spammers usan direcciones aleatorias con todos los dominios que se les antojen, y se repetía el problema.

Conclusión? En vez de listas blancas/negras según remitente conocido o no, listas según firma reconocida como válida o no. Y un spammer, salvo que además de spammer sea pirata de certificados y llaves cifradas, por ahí no se cuela, se ponga como se ponga (o acepto su firma previamente registrada, o le mando a la carpeta secundaria o a la papelera ipso facto). Y si me llegase un mail firmado y certificado que en realidad es puro spam, puedo ir tanto contra el remitente que lo firmó, como subsidiariamente contra la autoridad certificadora como responsable por emitir certificados de uso descontrolado (sería su obligación controlar las condiciones en que se emiten/renuevan sus certificados y los requisitos para obtenerlos, para que esto no suceda).

Y esto se puede montar tanto a base de certificados y PKI's centralizadas, como con llaves de pares de uso privado, tipo GPG/PGP, que puedas generar y firmar en tu entorno personal, pudiendo configurar tu cliente de correo para que acepte tanto firmas certificadas por organizaciones y corporaciones de confianza, como por tu propio anillo privado de claves reconocidas.

Al menos intento imaginarme un escenario de este estilo como única opción realmente implacable contra los spammers (no sé si infalible pero sí mucho más robusta que lo que tenemos ahora). ¿Problema? que no puedo hacerlo porque apenas una ínfima parte de lo que recibo viene firmado, y en el resto me quedo sin forma de identificar al remitente, y tengo que tener "fe" y creer que es quien dice ser, y descargar su mensaje, abrirlo, y llevarme el chasco de que era solo spam basura.

Menudo dilema...