Re: [FYI] CDU: Bundesregierung muss mehr tun im Kampf gegen Spam

[Kristian Koehntopp <kris@koehntopp.de>]

On Sat, Aug 16, 2003 at 04:37:17PM +0200, Florian Weimer wrote:
> Kristian Koehntopp <kris@koehntopp.de> writes:
> > Ein Mailsystem etablieren, das bereits auf der SMTP Ebene das
> > einspeisende System und den einspeisenden User (optional) mit
> > einer digitalen Signatur authentisiert [...]
> 
> Es wird die benötigte PKI nie geben. Die gegenwärtige SSL-Server-PKI
> dürfte Angriffen von Spammern nicht standhalten, die geplante für
> S-BGP wird es sicherlich nicht tun (denn die Registrierung wird
> bereits heute schon ausgehebelt).

Ich habe nachgezählt und komme in meiner eigenen Kommunikation
auf etwa 2*10^3 bis 1*10^4 "Silber"-Kommunikationspartner
(Leute, die mir schreiben und von denen ich lesen möchte, denen
ich aber so gut wie niemals schreibe), auf etwa 2*10^2-1*10^3
"Gold"-Kommunikationspartner (Leute, die mir schreiben und denen
ich auch öfter mal schreibe) und auf etwa 2*10^-1*10^2
"Platin"-Kommunikationspartner (Leute, mit denen ich ständig in
Verbindung stehe).

Ich brauche für die Platin-Kommunikation also zunächst einmal
gar keine PKI, sondern kann das noch selber managen. Zugleich
ist der Nutzen eingeschränkt, denn diese Leute finde ich auch
ohne Digitale Signaturen aus dem Müllstrom heraus.

Wenn ich von Platin auf Gold ausweiten will, brauche ich
ziemlich sicher eine PKI, um das zu managen. Hier hat das
Signieren zum ersten Mal einen Nutzen, denn ich kann so nicht
nur meinen eigenen Müllstrom sinnvoll sortieren lassen, sondern
zugleich meine Goldliste an meine Goldpartner publizieren -
sobald das transitiv wird und ich einen Level2 oder
Level3-Cutoff vornehme, bekomme ich eine Clusterstruktur in der
Kommunikation.

Es bilden sich Blasen von Leuten, die "einander kennen oder über
einen oder zwei Mittelsmänner einander vertrauen". Das ist genau
der für die Sortierung gewünschte Effekt
(http://slashdot.org/~kris/friends populieren und dann in
http://slashdot.org/users.pl?op=editcomm einstellen: Threshold
4, Friend +2, Fan +2, Foe 0, Freak 0, Friend of Friend
+1. Das macht genau den gewünschten Effekt heute schon für die
Ebene "ein Mittelsmann").

Welche Anforderungen an eine solche PKI hätte ich?

Damit das Funktioniert, braucht die PKI nicht stärker zu sein
als die Authentizität, die /. schon heute bietet.

Es muß leidlich schwer sein, einen fremden Namen zu benutzen
(Niemand soll als http://slashdot.org/~kris auftreten können
außer mir, Schutzwert etwa EUR 100, aber Forderung, daß diese
EUR 100 für jeden zu kapernden Namen aufgebracht werden müssen).

Es ist für den Betreiber deutlich einfacher, wenn die Bestellung
eines neuen Namens beim Benutzer Aufwand erzeugt (Der Benutzer
muß für einen neuen Namen eine Aufwand von ca. EUR 1 treiben,
aber Forderung, daß diese EUR 1 für jeden neuen Namen
aufgebracht werden müssen).

Die resultierende PKI muß meine Gold-Kommunikation absichern
können, außerdem muß sie die Publikation meiner Gold-Liste an
meine Gold-Partner und nur diese erlauben. Ich muß die
Gold-Listen meiner Goldpartner importieren können und ihnen in
meinem Client eine Gewichtung zuweisen können.


Wenn Du so etwas gebaut kriegst, hast Du Spam weitgehend erlegt.

> > Ich kann dann in meinem MTA oder MUA eine Policy festlegen, und
> > zwar unter Umständen schon in der Transportphase, die festlegt,
> > wie mit der Mail zu verfahren ist.
> 
> Das kannst Du auch heute schon mit IP-Adressen machen.

IP-Adressen sind kein persistentes Merkmal einer
Absenderidentität. Mein Schema basiert im wesentlichen darauf,
daß Absenderidentäten persistent sind.


Wenn Du die Anforderungen durchliest; mit den Eigenschaften von
Microsoft Passport vergleichst; mitbekommen hast, das Microsoft
Outlook Express und damit IMAP-Support einstellen will;
feststellst, daß Microsoft stattdessen Mail über Webservices
pushen will; Microsoft versprochen hat, den Kampf gegen Spam zu
intensivieren;

dann sollte Dir recht schnell klar sein, daß man das auch ohne
PKI hinbekommt, wenn man Microsoft ist und Passport hat. Es
sollte Dir auch klar sein, daß Microsoft genau das in einigen
Jahren (ich schätze 2 Jahre) präsentieren wird und daß das das
Killerfeature für Mailanwendungen überhaupt sein wird.

Kristian

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de