Ik snap het niet helemaal. Door de handtekening weet je toch waar de spam vandaan komt? Dan bijten de spammers zich dus in hun eigen vingers. Of zijn de digitale handtekeningen eigenlijk niets waard?

Digitale handtekeningen werkt toch niet, is zo te vervalsen.

Spamassassin werkt met een puntensysteem. Woorden als "viagra" geven bijvoorbeeld +0.5 punten. Er zijn nog veel
meer regels en die worden allemaal gechecked. Komt het aantal
boven een bepaalde waarde, dan wordt het als spam 'gemarkeerd'.

Een van de rules WAS dat een PGP signature negatieve score
toekende, waardoor de eindwaarde lager uitwam. Die regel is kennelijk verwijderd. Niet echt groots nieuws :)

Indien je alleen kijkt om te zien of daar een handtekening is heeft het geen zin, je moet kijken of de signature is goed en daarvoor heb je de persoons 'public key' nodig. Volgens mij doet de huidige spam filters alleen de eerste stap en niet de tweede.

Dus eigenlijk zouden spamfilters alle mail die digitaal getekend is, maar waarvoor geen public key bestaat, moeten verdenken.

Ik herinner me dat er op de openPGP mailing list eens is gesproken over de mogelijkheid voor spammers om aan publieke sleutels te komen, uit de publieke sleutel het e-mail adres te halen, en vervolgens versleutelde spam te versturen aan de ontvanger.

Een spam filter kan versleutelde tekst helemaal niet lezen, dus laat het die e-mail door.

[...]

The end of encrypted e-mail??

Het geeft sowieso aan dat spammers 'gewoon' criminelen zijn die er niet voor schromen elk middel aan te grijpen te misbruiken ten einde mensen hun troep hoe dan ook oneigenlijk door de strot te duwen.

Dat lijkt haast met geen goed fatsoen (meer) te bestrijden, lijkt er geen kruid tegen opgewassen.

Toch zal de spammer op enige wijze zulks publieke sleutel moeten zien te verkrijgen alvorens deze te misbruiken.

Spamfilters kunnen worden uitgerust met de 'sleutel' ten einde zich te kunnen vergewissen van de inhoud. Dit is natuurlijk een potentiele security-vulnerability indien gecentraliseerd. Aan de clientside zou dat tot een mogelijkheid kunnen behoren maar heeft het betreffende spam-bericht dan al de organisatie gepenetreerd.

Daarnaast kun je altijd de betreffende headers blijven controleren en de black- en/of whitelists aan de (SMTP) voordeur blijven hanteren waarbij een additionele proxy-detect tevens soelaas kan bieden.

Echte bestrijding van spam kan enkel op wettelijke basis. Voor dit onkruid moeten betere verdelgingsmiddelen worden ingezet, bewijst de dagelijkse praktijk.

Niet enkel gelimiteerd tot ons kikkerlandje.

Dat is niet perse waar. Een gecentraliseerde aanpak met e-mail versleuteling verschuift het probleem van de beveiliging van de werkplek naar de centrale server. In principe is zo'n centrale oplossing beter te beschermen.

Hoe dat werkt? Bijvoorbeeld door enkel e-mail te accepteren die getekend is met een publieke sleutel. Die sleutel moet dan vertrouwd zijn doordat
- de sleutel bekend is; of
- de sleutel getekend is door een vertrouwde CA; of
- de sleutel getekend is door een vertrouwde TI (trusted introducer/PGP web)

Geen spam. Wel e-mail beveiliging!

Ik blijf er moeite mee hebben (sommige) zaken te centraliseren, met enige gevallen ben ik geneigd tot spreiding van een mogelijk probleem. Immers komen er altijd vliegen op geconcentreerde zoetigheid af. Met de absoluut niet publieke (pgp) decodeersleutels op een systeem tegen spam maak je toch een soort "Jackpot" van onmeetbare waarde. Wanneer dat op welke wijze dan ook eens wordt ontvreemd of gepenetreerd heb je niet "gewoon een probleem" maar is direct de integriteit en betrouwbaarheid van de bestaande signed documenten volstrekt waardeloos, de hele integriteit van die afdeling of bedrijf.

Corrigeer mij wanneer ik het fout heb, graag zelfs. Het is wel zo dat je je bescherming dan op een punt kunt focusseren. Maar is dat gecentraliseerde punt dan niet eigenlijk juist (aanzienlijk)
meer kwetsbaar, dat juist alleen al daarom moet worden beschermd. Een bescherming waarvan je weet dat deze mogelijk nooit 100% waterdicht kan zijn.

Persoon vind ik de risiko's veel te groot ten opzichte van het doel: spambestreiding.

Mocht mij iets ontgaan, mag ik dat uiteraard graag vernemen.

Ik blijf zoals voornoemd erg veel moeite hebben met centrale opslag van unieke decodeersleutels. De laatste twee punten, klinken daarentegen heel reeel.
Het gaat niet zozeer over e-mail beveiliging, of zelfs privacy: het gaat om signed al of niet encrypted documenten. Digitaal getekend, juist als integriteits/echtheidswaarborg.

Deze opmerking klopt niet. Gesigneerde documenten blijven een geldige handtekening hebben, ook al wordt de sleutel later gestolen (of beter: ingetrokken). Dit probleem bestaat bij elke techniek waarbij van sleutelmateriaal gebruik wordt.

Overigens bestaat het probleem van centrale opslag ook in de vorm van het X.509 certificeringsformaat. Doordat in die standaard de geldigheid van een sleutel afhankelijk is van één "root" sleutel (die dus ook maar op één plek kan worden opgeslagen) is een "Jackpot" van onmeetbare waarde gecreëerd.