HostNet -- nesse provedor eu confio.

O GLOBO - Informática Etc.
Carlos Alberto Teixeira

 Globo Online, onde você fica sabendo das coisas.

Artigo: 593 / Publicação: 2004-05-10

REPUTAÇÃO DE EMAIL - O promissor mercado da autenticação

Spam é praga, disso ninguém duvida. Particularmente vou me virando bem com o freeware ASK criado por Marco Paganini, mas os spammers não param de se aperfeiçoar. O grande culpado pelo desagradável fenômeno é justamente a própria tecnologia usada para enviar email: o protocolo SMTP, um arcabouço demasiado "crédulo" para funcionar no ambiente moral médio humano, onde mentira, falsificação e engodo não são fenômenos raros. Qualquer spammer mais habilidoso pode enviar mensagens a partir dum servidor na Indonésia, por exemplo, fingindo ser da Microsoft.com e não há quaisquer salvaguardas ou checagens que confirmem ou refutem o remetente. Segundo Kirill Popov, do EmailLabs, estudiosos já andaram dando muita cabeçada em busca duma solução para o problema. Tentaram de tudo, desde melhorar e reescrever o protocolo, até começar do zero e repensar todo o sistema de correio eletrônico. Obviamente, diante das lições aprendidas até hoje, a turma poderia elaborar uma solução bem mais robusta, mas simplesmente abandonar o sistema atual e adotar um novo seria uma tarefa insana. O jeito é construir mecanismos de autenticação em cima da infraestrutura atual.

Diversos sistemas de autenticação vêm surgindo e ainda estamos longe de chegar a um padrão, se é que um dia haverá algum universalmente aceito. Três sistemas despontam como sérios concorrentes: o Caller-ID for Email, da Microsoft; o SPF (Sender Policy Framework), da Pobox; e o DomainKeys, do Yahoo. O primeiro é uma solução patenteada pela MS e que usa linguagem XML para embutir uma identificação no servidor, certificando qualquer remetente. O SPF, por sua vez, é um projeto de software aberto e já foi adotado por grandões como AOL e Google e estará integrado à próxima versão do famoso filtro de conteúdo, o SpamAssassin. Quanto à solução do Yahoo, desenvolvida em parceria com a SendMail para ser também um sistema aberto, baseia-se em anexar uma chave criptografada a cada email enviado, que seria comparada às entradas de um banco de dados que conteria a outra metade da chave.

Soluções assim não diminuem o tráfego de spam na rede, mas ajudariam os provedores a separar o que presta do que não presta. A estratégia de falsificar cabeçalhos de mensagens, amplamente utilizada pelos spammers, iria perder bastante de sua eficácia, já que mensagens oriundas de servidores maculados seriam descartadas logo de cara. Isso teria a vantagem adicional de aliviar a trabalhosa tarefa de filtragem heurística de mensagens, que é feita também nos provedores. A brabeira é encontrar formas justas de classificar os servidores de origem das mensagens, atribuindo-lhes pesos de confiabilidade. Alguns métodos já estão em uso, sendo o primeiro deles as listas privadas de remetentes, vulgo whitelists e blacklists, listas brancas e negras, respectivamente. Elas são mantidas em cada provedor de acordo com critérios próprios e enriquecidas com o feedback dos próprios clientes do provedor, que deduram os spammers com o maior prazer. Uma variação desse método são as listas públicas, mantidas por voluntários e disponíveis a todos para consulta online, sendo mais utilizadas por pequenos provedores e empresas sem um setor interno específico dedicado à administração de correio eletrônico. Já existe um montão dessas listas públicas, é só escolher e mandar bala. Entre as mais famosas e confiáveis destacam-se: MAPS, Spamcop, Spamhaus e SPEWS.

Nesse contexto abre-se um promissor mercado, o dos serviços de reputação. Um dos mais famosos é o Bonded Sender Program, da IronPort, empresa que já tem nome no ramo graças ao seu famoso SenderBase. A empresa oferece a seus clientes um certificado garantido de que cada email enviado adere aos requisitos de privacidade da IronPort, que tem garantia de identidade e que está sujeito à mediação da firma em caso de conflito. Obviamente, paga-se por isso, e caro. Dessa forma, provedores e servidores clientes da IronPort podem acessar o banco de dados da empresa quando estiverem analisando cada mensagem recebida, para depois tratá-las adequadamente.

Outro serviço assim é o Habeas, reconhecido por diversas ferramentas antispam e por vários provedores. O selo de garantia do Habeas é marca registrada oficial, sacramentada pela legislação americana de trademarks. A marca Habeas pode ser licenciada a clientes que sigam à risca seus rígidos critérios de privacidade e segurança. Seu selo digital fica integrado ao cabeçalho de cada mensagem, facilitando a detecção feita através de sistemas de filtragem.

Com os spammers ficando mais e mais espertos, os provedores vão se cansando da chatice de filtrar emails e tenderão cada vez mais a passar a bola dessa responsabilidade para prestadores de serviço. Vai-se complicando cada vez mais a coisa, sem dúvida. E eles esquecem que sempre tem um gaiato mais inteligente, que aparece com um jeitinho novo de furar o esquema. O próprio Habeas, por exemplo, sofreu no início do ano um ataque feio, que deixou marcas em sua credibilidade. Um hacker bem preparado forjou a marca de garantia da empresa e saiu mandando email-junk aos montes, só que, desta vez, era spam certificado. Deixem-me rir...

Os links de hoje estão em catalisando.com/infoetc/20040510.htm

[ Voltar para índice 2004 ]

[ O Globo | Informática Etc. | coluna mais recente | enviar email
página pessoal C@T | assinar lista InfoEtc | assinar GoldenList do C@T ]


powered by FreeFind