אין תשובה קלה לספאם

האמת צריכה להאמר: הזבלנים מצויים תמיד צעד אחד לפני האנשים שנלחמים בהם, שצריכים לרוץ כדי להישאר במקום, כמו ב"אליסה בארץ הפלאות". שלוש תוכנות אנטי ספאם מגינות על המחשב שלי: אחת על השרת, השניה פועלת כתוסף לאאוטלוק והשלישית מנסה לתפוס את מי שחמק מהשתיים הראשונות.

ובכל זאת, הספאם הופך לבעיה מספר אחת שלנו, ומרבית הדואר שמגיע לתיבת הדואר הנכנס הוא זבל בצורה זו או אחרת. ומה שמדאיג יותר מכל הוא, שאחוז הספאם הכולל וירוסים הולך וגדל. 

מה כל כך קשה?

מה הקושי הגדול הכרוך בחסימת דואר זבל? הרבה קוראים שולחים לי מבחר פתרונות שלדעתם מצליחים לעצור את המגפה. יש כאלה שמדברים על חוק CAN-SPAM האמריקני, שמספק תשתית חוקית לרדיפת מפיצי הזבל אבל לא מציע שום פתרון טכני שיאפשר איתור השולחים או עצירת הדואר שלהם ברשת הציבורית.

אחרים מאמינים כי "רשימות לבנות" (Whitelist) יעשו את העבודה, אבל זה פתרון רק למי שלא צריך לקבל דואר מזרים ומעוניין להתכתב רק עם מכרים. עיתונאים כמוני, וחברות שמחכות לדואר מלקוחות, לא יכולים לקבל את הגישה הזאת. קורא אחד סיפר על התוכנה שהוא פיתח. היא מזהה מילים גסות או גזעניות וקוצצת את הזבל לחצי. ומה עם החצי השני? זו כבר בעיה של אחרים. וחוץ מזה, מפיצי הספאם מכניסים בכוונה שגיאות כתיב כדי לסדר את המסננים הפשוטים האלה.

גולשים אחרים מציעים לבדוק אי התאמות בין הנושא לתוכן ההודעה. כמעט כל תוכנות האנטי ספאם עושות זאת ובכל אופן הזבל ממשיך לחדור. ההצעה האגרסיבית ביותר היא לתקוף את הספאמרים בספאם נגדי. קיבלתם דואר זבל ממישהו? תוכנת נקמה תציף אותו בהודעות חוזרות עד שהשרת שלו יקרוס. זה סוג של DoS באצטלה של אביר לבן - ואני חושש שהוא יביא יותר נזק מתועלת. השולחים הרי מתחזים לעיתים קרובות מאחורי כתובות לגיטימיות גנובות והתוצאה של הנקמה היא, שמשתמש תמים ישא בעונש.

מי יגבה את הכסף?

אז מה הפתרון לטווח הארוך? זו שאלה שכל העוסקים בענף שואלים את עצמם וקשה להגיד שיש תשובות טובות. רוב הפתרונות "המכובדים" מכילים מרכיב של תשלום כספי. זה יכול להיות "מס בולים אלקטרוניים", תשלום זעיר לקרן ציבורית כנגד כל משלוח דואר כפי שמציעים ביל גייטס (מיקרוסופט) וג'והן תומפסון (סימנטק), או "שטר ערבות" כפי שעושות IronPort ו-Vanquish. הבעיות עם כל השיטות האלה הן רבות. מי יגבה את הכסף ואיך? מי יקבל אותו ולאיזו מטרה? מה הדין ב-SPAM חוצה גבולות?

חוקי הסחר הבינלאומיים לא מתייחסים לנושא, כמובן, וכמה מדינות מתפתחות כבר גילו, שמתן מחסה ליוזמות אינטרנט מפוקפקות יכול להיות ענף כלכלי ריווחי. (איגוד הסחר העולמי אסר לאחרונה על ממשלת ארה"ב לחסום את חופש הפעולה של אתרי הימורים שבסיסם באיים הקריביים). וכל פתרון רק מזמין את כל הבירוקרטיות בעולם להניח את ידן על התחום האחרון שנשאר בלתי מפוקח וחופשי ממס ומדרישות רישוי.

דרוש שינוי מהותי

נדרש שינוי מהותי בתשתית הדואר. הפתרונות שיכולים לעבוד - בלי לשפוך את התינוק עם המים -מבוססים על שינוי הפרוטוקולים עליהם מבוססת העברת הדואר באינטרנט. באופן כללי פתרונות אלה מחברים בין אותנטיקציה לבין פרוטוקול SMTP, בצורה זו או אחרת. כל דבר דואר אלקטרוני, לפי גישה זו, יכיל אלמנט זיהוי השולח שלא ניתן לחיקוי וזיוף. הבעיות עם הגישה הן שתיים:

1. מי יכתיב את הסטנדרט לאותנטיקציה?

2. מי ישלם עבור השדרוג של שרתי הדואר?

יש מספר סכמות אותנטיקציה המבטיחות רמה סבירה של ביטחון כי הדואר מגיע ממי שחתום עליו. הפופולריות ביותר נקראת Sender Policy Framework והיא מחברת בין הזיהוי לבין שירות ה-DNS, כך שהשרת הוא זה שיאשר את האותנטיות של השולח. הצעה יותר מרחיקת לכת קושרת את הזיהוי עם הצפנת PKI (מפתח ציבורי), הצעה הנקראת DNS Security Extensions, וזוכה לתמיכה של Yahoo.

הצעה שלישית מדברת על פרוטוקול דואר חדש, AMPT, הכולל אימות כחלק בלתי נפרד מהניתוב על ידי שימוש בתעודות דיגיטליות. לכל ההצעות האלה יש מכנה משותף אחד - שינוי תשתיתי שצריך להקיף מיליוני שרתים ומאות מיליוני תוכנות לקוח. אני לא רואה איך שינוי כזה יתרחש בזמן קצר, במיוחד לאור העובדה שאחוזים ניכרים בציבור אפילו לא התעוררו לזהות את הסכנה. בינתיים אנו רואים שיפורים קטנים בתוכנות החסימה - ושינויים גדולים בטכנולוגיות ההפצה. זה קרב בו למתגוננים יש סיכוי קטן להקדים את התוקפים - ואני לא רואה איך זה משתנה בעתיד הקרוב.