Boj proti spamu principem z bitconů

[Ondřej Novák]

Ahoj, jen chci prodiskutovat takový nápad. Třeba už někoho napadl a třeba to někdo dávno implementuje.

Myšlenka boje proti spamu je založená na tom, že odesílatel musí spočítat nějakou obtížnou výpočetní úlohu, aby jeho e-mail byl přijat. S využitím znalostí okolo fungování bitcoinů mě jednoduše napadlo, že by se taková úloha mohla počítat podobně, jako když se doluje blok. Samozřejmě velmi zjednodušeně a s menší složitosti

Příklad: Odesílám zprávu A příjemci B. K výpočtu potřebuju spočítat dodatek C (jako řetězec), který odpovídá zadané složitosti k.

To číslo určuje, kolik bitů (nebo čtveřic?) zprava nějaké hashovací funkce (například SHA) provedené nad A+B+C musí být nastaveno na nulu.

Výpočet je tedy snadný, najít takový C, aby hash(A+B+C) = 000... kde nějaké K určuje počet počátečních nul.

Do protokolu SMTP by se to zapojilo snadno. Přibyla by nějaká položka mezi RPCT TO a DATA, kam by odesílatel zadal obsah řetězce C. SMTP server by provedl operaci hash(A+B+C) a zkontroloval by, že výsledný HASH opravdu odpovídá zadané složitosti. Pokud by neodpovídal, nebo by položka chyběla, odmítl by e-mail převzít a v chybové zprávě by sdělil, jak velkou složitost vyžaduje k přijetí e-mailu.

Nasazení mechanismu do existujících SMTP by byla složitější. Muselo by se to vyhlásit a musel by to nasadit velký poskytovatel (Google / Seznam, atd). Nejprve by se to nasadilo na IP z blacklistů a případně na způsob jak obejít greylisting. Následně by se tím bylo možné obcházet nějaká příliš přísná pravidla spamfiltru. Zároveň by se vydal nějaký plugin do existujícíh MX serverů,  které by to uměly počítat. Část zátěže by se dala přenést přímo na uživatele (počítat by to musel přímo klient, nebo webová stránka webmailu). Postupně by se to zavedlo jako virtuální platidlo za příjem zprávy (platí se spotřebovaným výkonem)

Co si o to myslíte?

[Reklama]

[Petr Krčmář]

Ano, už to někoho napadlo: Bitmessage

[student]

Stara myslienka, precitaj napr Pricing via Processing or Combatting Junk Mail, Cynthia Dwork, Moni Naor, Crypto '92

[Pavouk106]

Já o Bitcoinech vím kulový, ale nějak to celý nechápu... Takže tři otázky:

1. Odesílám email s obsahem A, příjemce je B, můj komp (poštovní server) k tomu spočte a přiloží C tak, aby vyšel nějaký "relativně konkrétní" HASH. Chápu dobře?

2. Příjemce (poštovní server) pak provede hash obsahu A, příjemce B a dodaného obsahu C a kouknul by, jestli vyšlo co mělo a pokud jo, není to spam?

3. A Spambot nebude moct spočítat C a poslat ho spolu se spam obsahem A příjemci B?

[j]

Uzasnej napad na DOS ... mas vubec predstavu, kolik mailu takovej mailserver zpracovava?

[Reklama]

[student]

Ano, už to někoho napadlo: Bitmessage

Ked som to pochopil dobre, tak mu ide o boj proti spamu. To bolo prezentovane uz skor v clanku, ktory som napisal. Dalsie info o pocitani dost podobnom tomu popisanemu je na http://www.hashcash.org/

[belzebub]

Uzasnej napad na DOS ... mas vubec predstavu, kolik mailu takovej mailserver zpracovava?

Slozitost je na strane klienta, overeni mailserverem by bylo mnohoradove snazsi.

Ja spis vidim problem v tom, ze toto reseni nefunguje, pouze spammerum lehce ztizi praci.

Aby tento system mohl v praxi fungovat, je nutne, aby i podprumerny pocitac byl schopen odeslat mail do maximalne nekolika sekund. Ja sam vnimam hranici, kdy me pomalost doruceni mailu zacne vadit, na cca 10 sekundach (typicky pri registraci na nejakem serveru, pripadne pri email-alertu z nagiosu apod.).
Takze pokud by spammer mohl poslat jeden spam-mail za 10 sekund, realne by mu to spamovani prilis neztizilo.
A pokud se podrzime analogie s BTC - spammer si poridi "ASIC-Miner" a spamuje jako drive.


Takze toto reseni vytvori komplikace v prechodu na nove smtp servery, zvysi spotrebe proudu, snizi vydrz zarizeni na baterie, zpomali beznou emailovou komunikaci a spammerum nijak neublizi.

[Pavouk106]

belzebub mi to vysvětlil (ačkoliv na mě přímo nereagoval).

Takže spammer by to měl těžší kvůli tomu, že by potřeboval velký výkon na rozeslání spousty emailů v krátkém čase. Nijak jinak.

Co by na ten Tvuj nápad řekla třeba taková Alza, která odesílá (dle serveru Root.cz) až 50 000 objednávek denně? Tj. 50 000 emailů potvrzujících objednávku a dalších 50 000 emailů z předchozího dne o expedici/vyzvednutí objednávky. 100 000 emailů za 24 hodin, to je víc než jeden za sekundu. Asi by neměli radost z Tvýho nápadu...

To už bych viděl cestu v šifrování emailů. Nemám email jak rozšifrovat (tj. přečíst) = nezajímá mě. Otázka by byla, co s emailama od lidí, který si mě někde našli a chtěj se mě na něco zeptat (nemám jejich klíč = spadnou do spamu).

[rincewind 7a]

Zasadny problem vidim v tom, ze nie je spammer ako spammer. Vy hadzete vsetkych do jedneho vreca, kym hromadne posielanie mailov ludom, ktori sa dobrovolne prihlasili na ich odber je uplne v poriadku. Navyse riesit spamm na urovni spammera je ako riesit bankove lupeze na urovni lupica.

[Peter]

Toto riešenie sa vynorí každú chvíľu. Zaujímalo by ma či niekto vypátra pôvodného vynálezcu. Už v roku 2004 provokoval Bill Gates že elektronické poštové známky založené na zložitých výpočtoch eliminujú SPAM. http://news.bbc.co.uk/2/hi/technology/3426367.stm

Kongress ho poslal kade ľahšie, a neskôr z toho ťažil napríklad google keď nasadil captcha na skenovanie kníh.

[Ivan]

Takze pokud by spammer mohl poslat jeden spam-mail za 10 sekund, realne by mu to spamovani prilis neztizilo.
A pokud se podrzime analogie s BTC - spammer si poridi "ASIC-Miner" a spamuje jako drive.

Hackuty PC v univerzitni siti dokaze rozeslat okolo 10000 spamu za hodinu. Spameri nepouzivaji vlastni servery
ale botnety. Navrhovane reseni by nejspise snizilo objem spamu odesilaneho ze zombie pocitacu - otazka je jestli by uzitek  prevazil "transformacni" naklady.

[student]

Zasadny problem vidim v tom, ze nie je spammer ako spammer. Vy hadzete vsetkych do jedneho vreca, kym hromadne posielanie mailov ludom, ktori sa dobrovolne prihlasili na ich odber je uplne v poriadku. Navyse riesit spamm na urovni spammera je ako riesit bankove lupeze na urovni lupica.

+1, ja posielam nieco cez milion mailov za 5 hodin a toto by mi robilo dost velke problemy.

[ondrej novak neprihlasen]

Ono je mozne si hrat se slozitosti. Pokud alza rozesila nejake emaily, pak to dela z nejake farmy, ktera ma vesmes stejne IP adresy. Takovee emaily by nemusely mit velkou slozitost. naopak emaily poslane primo z outlooka by mohly mit vetsi slozitost nez webmaily jejiz garantem by byl poskytovatel. Hash s vyssi slozitosti napriklad projde i mx serverem vyzadujici nizsi slozitost.

Dale maily prichazejici z ip adres ktere nejsou tak casto oznaceny za spam mohou byt prijimany s nizsi slozitosti nez emaily z uplne neznamych adres. Da se to postavit podobne jako greylisting. V soucasnem systemu mam moznost jen blacklistovat IP adresu. Ja ale nechci, ja treba chci, aby email dosel, ale mohu vyzadovat od odesilatele vyssi slozitost, jelikost je znam, ze casto rozesila spam.

Vyuzit se to da ruzne

[ondrej novak neprihlasen]

Beru namitku pro ruzne potvrzovaci a jine emaily, na druhou stranu to dneska lze resit primo vypoctem v prohlizeci. Co treba vnimam pozitivne, tak by to vytvorilo tlak konecne presunout newslettery a dalsi reklamni materialy na systemy RSS/ATOM.

[Lol Phirae]

Co si o to myslíte?

Opět jste nezklamal...