Přečetl jsem celou diskusi a přiznám se, že trochu nerozumím, v čem je problém.
Asi před rokem mě spamy začaly obtěžovat, proto jsem nastavil na mailserveru ověřování proti databázi open-relay (např. dnsbl.sorbs.net, relays.ordb.org, cbl.abuseat.org...). Protože prakticky veškerý spam je rozesílán přes open relay servery (spameři mají z čeho vybírat, jen těch registrovaných jsou ve světě desetitisíce), dosáhlo se tímto jednoduchým opatřením redukce spamu cca 95 - 99%.
Tyhle databáze jsou prozatím zdarma, ale nebránil bych se ani rozumnému polatku. Jestliže někdy přece jen nějaký spam projde, "prásknu" ho té databázi (viz třeba www.spamcop.net) - zabere to asi půl minuty a je to slušnost, když už ty služby využívám.
Horší problém než spam jsou nyní zprávy antivirů, kterými jsou vybavovány SMTP servery. V určitých obdobích mám box zaplaven zprávami typu "Váš mail pro XXX nebylo možné doručit, protože antivir YYY našel virus.. " (samozřejmě že to nebyl mail ode mne, ale falešná adresa odesílatele), nebo "Antivir YYY odebral z mailu určeného Vám přílohu, protože .. virus..". Zatímco spam je rozpoznatelný, na tohle nemám obranu (nemohu odmítat maily, které mají v textu "virus"). Znáte někdo nějakou metodu, jak na to??? Zdá se dokonce, že některé SMTP antiviry mají rozesílání těchto 3.14čovin nastaveno jako default kvůli self promotion - nikdy tam totiž nechybí údaj, který že antivir mi udělal tuhle medvědí službu.
Taky se tu moc nepsalo o tom, že NIKDE nesmím zveřejnit mailovou adresu tak, aby byla čitelná kombajnem. Dobrá metoda je na www dát místo textu OBRÁZEK.
Samozřejmě plně souhlasím s tím, že SMTP je dnes už archaismus, jeho následník musí mít minimálně alespoň spolehlivou autentizaci odesílatele.
Hacek je v tom, ze v soucasnosti neexistuje zadny celosvetovy system jak prokazat "identitu" (to je ta autentizace, po ktere volate). A ani jakykoliv prakticky realizovatelny napad jak ji (celosvetove) zajistit v budoucnosti.
Neměl jsem na mysli přímo osobní identitu. Jde o to, že dnešní RFC2821 je velmi volný - v podstatě je nastaven tak, aby maximálně ulehčoval odesílání i relaying (viz např. VRFY, který např. na požadavek VRFY Joe by měl snaživě vyjmenovat svoje lokální mailové adresy, ve kterých se vyskytuje Joe, ...). V době kdy vznikal nikdo na spam ani nepomyslel, všechny servery byly "open relay" a provoz inetu neřídily zákony, ale etiketa.
Asi by to šlo vylepšit taky jen s dnešními možnostmi - některé (asi všechny?) servery lze nastavit tak, že nepřijmou mail, když nesouhlasí IP klienta a jméno v HELO s RDNS. Problém je v tom, že to NENÍ POVINNÉ. Nakonec open relay taky žádné RFC nezakazuje, pokud vím (opravte mě jestli se mýlím). Není stanoven závazný postup, jak rozpoznat vlastního klienta, kterému mohu posílat jeho maily ven. Ano, samozřejmě, filtruje se to třeba přes rozsah IP nebo tím, že se napřed musím autentizovat pro POP3, aby se se mnou SMTP vůbec bavil, ale NENÍ TO POVINNÉ.
Kodifikace striktních podmínek pro SMTP by umožnila spolehlivě lokalizovat zdroj spamu minimálně do úrovně providera, s možností postihu typu "když nepomůže pokuta, bez milosti uříznout".
Provider by si už snadno svoje ovečky ohlídal úplně stejně, jako to dnes dělá s neplatiči: neplatíš - uříznout.
Tímto způsobem by se nedala ošetřit pouze anonymní konta zdarma. Tam by ale nebyl problém stanovit rozumné kvóty (např. 100 mailů denně), které obyčejného uživatele nijak neomezí, ale spamer ztratí zájem (musí posílat stovky tisíc až miliony).
ČLÁNKY DO MAILU