דו"ח: מאגר נגד דואר זבל פשוט אינו רעיון מוצלח

בדו"ח שפירסמה ה-FTC, קובעת רשות המסחר הפדרלית, כי הפתרון הטוב ביותר למלחמה בזבלנים הוא אימוץ תקן אחיד לאימות כתובות דואר אלקטרוני, ואילו רשימת "אל תשלחו לי דואר" רק תגביר את הספאם

מאגר מידע של כתובות דואר אלקטרוני הכוללת את כל המשתמשים שלא מעוניינים לקבל דואר זבל אינו רעיון מוצלח, מכיוון שהמאגר עשוי לייצר עוד ספאם מצד זבלנים במקום לצמצם את התופעה, כך קובעת ה-FTC (רשות המסחר הפדרלית) בדו"ח שפורסם השבוע, והתקבל פה אחד בקרב כל חבריה.

 

ה-FTC אישרה ותמכה בעבר ביצירת רשימת Do Not Call, המאפשרת לצרכנים להוסיף את פרטיהם לרשימה ובכך למנוע ממרבית שיחות הטלמרקטינג בארה"ב, מלהגיע אליהם. 

 

אולם, בעוד חברות הטלמרקטינג הטלפוניות מצייתות לכללי הרשימה, הזבלנים, שכבר כעת מפרים חוקים נגד הטעיה הצרכנים, צפויים להתייחס לרשימה חדשה, המיועדת לדואר אלקטרוני, בצורה הפוכה, ולעשות שימוש לרעה בכתובות הדואר האלקטרוני שיכללו בה, סבור טימוטי מוריס, יו"ר ה-FTC. "רישום ארצי היה פתרון מצוין בכל הנוגע לשיחות טלפון בלתי רצויות. כרגע, זהו לא פתרון מתאים לדואר זבל", הוא אמר.

 

"הרשימה אינה פתרון מושלם, אך היא הפתרון הטוב ביותר שיש לנו כרגע כדי להילחם בבעית הספאם ההולכת ומחריפה. לאור החלטתה הנחושה של הרשות, נחפש חלופות חקיקתיות", הגיב צ'ארלס שומר, סנטור דמוקרטי מניו יורק.

 

הספאם ימשיך לזרום

 

הקונגרס האמריקני הורה ל-FTC לבחון את נושא רשימת ה-Do Not Spam בחודש דצמבר 2003, בעת אישור חוק האנטי ספאם הלאומי הראשון בארה"ב. 

 

לדברי מוריס, גם אם ה-FTC הייתה מסכימה להקים רשימה כזו, תהליך פיתוחה ייארך שנים. "הצרכנים ימשיכו לקבל דואר זבל גם אם תהיה רשימה וגם אם לא", הוא טען. על פי נתוניה של חברת סינון הדואר Postini, דואר זבל מהווה כיום כ-83% מכל תעבורת הדואר ברשת.

 

אחת הבעיות היא, כי זבלנים מנצלים מחשבים וכתובות IP של משתמשים תמימים על מנת לשלוח מהם ספאם, ללא ידיעת המשתמש. שיטה זו, המכונה spoofing, מקשה מאוד על איתורם. לפיכך, כל נסיון אכיפה של הרשימה, יהיה בלתי אפשרי ללא אפשרות אימות של כתובת הדואר, הסביר מוריס.

 

הפתרון: תקן לאימות

 

החלופה שהציעה ה-FTC במסגרת הדו"ח היתה כי חברות פרטיות, ביניהן ספקי אינטרנט, משווקים, ספקי דואר אלקטרוני ויצרניות תוכנה, ישתפו פעולה ביצירת תקן אחיד לאימות כתובות דואר אלקטרוני, שימנעו מזבלנים לטששט את עקבותיהם ולהתחמק מרשויות אכיפת החוק כמו גם מתוכנות סינון ספאם.

 

גופים צרכניים ועסקיים שונים שיבחו את החלטת ה-FTC, ובמיוחד את רצונה לקדם סטנדריזציה בתחום האימות. מוריס מסר כי ה-FTC תכנס בסתיו ועידה, שתבחן טכניקות לאימות זהות. אולם אם הטכניקות הללו לא יאומצו בצורה נרחבת בסקטור הפרטי, הממשל עשוי למצוא עצמו מחויב, בעל כורחו, לקבוע תקנים משלו.

 

הבעיה: תקנים שונים

 

יאהו! פיתחה שיטה לאימות כתובות דואר אלקטרוני, והגישה אותה לאישור ה- Internet Engineering Task Force, גוף תקינה באינטרנט. התקן שמציעה החברה, DomainKeys, יתבסס על מנגנון אימות זהות, שיטמיע חתימה דיגיטלית בהודעות יוצאות, שתהיה תואמת לחתימה השמורה בשרת ה-DNS ממנו היא נשלחה.

 

לטכניקה של מיקרוסופט קוראים Caller ID והיא עובדת בצורה דומה אך שונה. החתימה הדיגיטלית מחוברת לכתובת IP של השרת השולח. גם בסכמה הזאת משתמשים בזוג מפתחות, פרטי (להצפין את הכתובת) וציבורי (לפתוח את ההצפנה), וגם מיקרוסופט רוצה שכל ספקי השירות באינטרנט יתמכו במנגנון האימות ויסרבו להעביר הודעות שמקורן מפוקפק. בשתי הסכמות חובת ההזדהות היא על השרת השולח ולא על משתמשי הקצה. כאשר מדובר בארגון המנהל עצמאית את הדואר שלו, מנהל המערכת ידאג לכל התהליכים של רישום DNS של המפתח הציבורי ולהצפנה אוטומטית של החתימה בכל הדואר היוצא.

  

עבור משתמשים פרטיים וארגונים קטנים, ספק הגישה לאינטרנט צריך לעשות זאת ולכן גם מיקרוסופט וגם Yahoo כבר התחילו לנהל מגעים עם ספקי אינטרנט גדולים כדי להבטיח את תמיכתם. ספקי אינטרנט יוכלו לבדוק את החתימה בהודעות נכנסות, לוודא כי מדובר אכן בהודעה שנשלחה משם המתחם המופיע בשורת ה-From, ולחסום את ההודעות שאינן תואמות. התהליך יהיה שקוף למשתמש, ואמור להתרחש בשרתי הספק ולא במחשבי הגולשים.