Cisco en Yahoo! willen hun spamoplossing als standaard
Als het aan Cisco en Yahoo! ligt wordt hun DomainKeys Identified Mail (DKIM) specificatie de standaard voor het bestrijden van spam. Beide bedrijven hebben samen met ontwikkelaars PGP en Sendmail hun oplossing aan de Internet Engineering Task Force (IETF) aangeboden. Bij DKIM, dat afhankelijk is van "public key cryptografie, wordt een digitale handtekening aan uitgaande e-mail toegevoegd, waardoor de ontvanger kan controleren of een e-mail ook daadwerkelijk vandaan komt waar hij beweert vandaan te komen. Via DKIM moet het makkelijker worden om spam en phishing e-mails met gespoofte e-mailadressen te onderscheppen. De specificatie combineert twee eerdere oplossingen, namelijk de DomainKeys technologie van Yahoo! en Cisco's Internet Identified Mail system.
In de specificatie wordt domein eigenaren opgeroepen om een paar van publieke en private cryptografische sleutels te maken. De publieke sleutel wordt gepubliceerd in het DNS record, terwijl de private sleutel op een mailserver die DKIM ondersteunt wordt opgeslagen. Elk uitgaande bericht wordt dan gesigneerd, waarbij de handtekening in de e-mailheader wordt opgeslagen. Eind juli neemt de IETF het DKIM voorstel in behandeling. (Silicon)
spammers ervan om hun DNS op dezelfde wijze uit te rusten? Niets.
Sterker nog, het verleden heeft geleerd dat mail met dergelijke checks
eerder spam is dan gewone mail.
Laten we logisch kijken, er zijn al veel patches/updates
gemaakt/in het leven geroepen om spam zo veel mogelijk terug
te dringen.
Niemand wil overstappen op een ander mechanisme. Dus blijven
we zitten met de oude standaard die niet ontworpen is met
het oog op veiligheid.
Om het probleem echt op te lossen, moeten we van het huidige
SMTP protocol af en wat anders gaan gebruiken.
Echter geen enkel bedrijf/organisatie heeft zin om de grote
stap te maken, aangezien het een erg groot risico is.
Ander probleem is dat als er toch iets gemaakt wordt wat wel
werkbaar is, er compatibiliteit gegarandeerd moet worden met
het oude (SMTP) systeem. Daarnaast moet je een hoop
geintreseerden achter je hebben staan die dat concept ook in
hun producten verwerken.
Ander punt is dat tegenwoordig nog bijna niemand gebruik
maakt van certificaten. In groupwise, Notes en linux
oplossingen kunnen diverse mogelijkheden worden gebruikt.
Hetzelfde zal ook het geval zijn met Microsoft's producten,
dit weet ik echter niet zeker aangezien ik daar niet mee werk.
Met een geldig certificaat kan al een hoop op een makkelijke
manier worden gefilterd. maar als de mogelijkheden niet
gebruikt worden, dan houdt het gewoon op.
Willen we gewoon van de zooi af, is de oplossing simpel
(niet gezegd dat de uitvoering of het bedenken ervan simpel
is), SMTP bedankten voor de trouwe dienst en een ander
protocol in het leven roepen. Als dat protocol in een RFC
Bekend gemaakt wordt en er wordt gezorgt dat er geen patent
ellende opzit, kon dat zeker wel een goede oplossing worden.
Sarindor
kt worden, dan houdt het gewoon op.
Willen we gewoon van de zooi af, is de oplossing simpel
(niet gezegd dat de uitvoering of het bedenken ervan simpel
is), SMTP bedankten voor de trouwe dienst en een ander
protocol in het leven roepen. Als dat protocol in een RFC
Bekend gemaakt wordt en er wordt gezorgt dat er geen patent
ellende opzit, kon dat zeker wel een goede oplossing worden.
Sarindor
Kun je uitleggen waarom er een ander protocol nodig is? Hoe voorkomt
een nieuw protocol spam?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
