| Title | Stop al Spam: No reinventemos la rueda, evolucionemos | |
| Date | Martes, 04 Mayo de 2004, 09:32h | |
| Author | fernand0 | |
| Topic | ||
| from the debates-espamosos dept. | ||
charlie- nos cuenta: «Hace mucho tiempo que se veía venir lo que podría ocurrir con el crecimiento exponencial del spam, cómo los usuarios intentamos protegernos, cómo se desarrollan herramientas y filtros heurísticos para ayudarnos, y cómo los spammers a su vez intentan burlar esos filtros modificando los mensajes para hacerlos más puñeteros aún. » Sigue abajo ...
Sigue:
"Pero me da la sensación de que es una guerra perdida mientras usemos apaños en vez de soluciones (para mí los filtros y lo de crearse cuentas temporales no son más que eso, apaños). Por ejemplo, algo a lo que vengo dándole vueltas, y que me suena razonable pero no veo que nadie proponga ponerlo en práctica masivamente. Veamos: una de las cosas que más vuelven locos a los usuarios profanos es que los remitentes y destinatarios de los mensajes no son confiables en absoluto (de hecho muchos gusanos y los propios spammers aprovechan esto para falsear sus correos masivos). Pero si tenemos un smtp y rfc822 que tiene este 'agujero' explotable en cuanto a falta de identificación válida de origen y destinatario, tambien está inventada ya la solución: tenemos la base de la firma electrónica, y con soporte en todas los clientes principales de correo, tanto con certificados+PKIs+S/MIME, como con PGP/GnuPG.
Supongamos que la firma electronica estuviese más implantada de lo que lo está. Te llega un nuevo mensaje: ¿está firmado? entonces es legítimo, y en el peor de los casos, si lo consideras spam, tienes al origen realmente identificado, para pedirle explicaciones. Tu cliente de correo verifica la firma y lo etiqueta como mensaje legítimo.
Si esperas recibir correo que consideras válido pero del que aún no tienes registrada su firma, tambien existen mecanismos para difundir la llave pública o validar el certificado, y añadirla a tu lista de firmas reconocidas (en el futuro siempre estarás a tiempo de tacharla si ese remite te "espamea"). Y si llega mensaje sin firmar, con firma no válida, o con firma en la lista negra, pasa al "cajón desastre" de correo pendiente de revisar, o directamente a la papelera.
Es mas, no seria difícil desarrollar mecanismos y evoluciones de los estándares actuales para que permitan verificar la firma ANTES de descargar siquiera el cuerpo del mensaje, evitando derrochar tiempo y dinero descargando correos que vas a descartar de todas formas.
Puede que haya algo que se me esté pasando, y seguro que aún se puede darle alguna vuelta de tuerca más a la idea, pero seguramente tendencias de este estilo podrían ser más efectivas a largo plazo que las defensas poco efectivas que se nos han ofrecido hasta ahora, tales como los mencionados filtros heurísticos, el reguero de cuentas 'basura' que todos terminamos creando (¿por docenas?) cada vez que necesitamos dar direcciones de correo por ahí pero no queremos sufrir las consecuencias de divulgarla, las cuentas de usar y tirar, la idea (creo que ineficaz y absurda) de Microsoft de cobrarnos por los correos, etc, etc. ¿Cómo lo ves?"
| Links |
printed from Barrapunto, Stop al Spam: No reinventemos la rueda, evolucionemos on 2018-06-15 15:20:11