Re: [FYI] CDU: Bundesregierung muss mehr tun im Kampf gegen Spam

[Kristian Koehntopp <kris@koehntopp.de>]

On Sat, Aug 16, 2003 at 12:48:33PM +0200, Kurt Jaeger wrote:
> > Ich kann mir nicht vorstellen, wie das laufen soll, ohne das meine
> > gesamten E-Mails neben meiner Mailbox noch einmal beim/vom Mailprovider
> > gespeichert, un der Inhalt a la Spamassassin gescreent wird. So eine Art
> > Carnivore zur Spam-Bekaempfung?
> 
> > Was ist, wenn ich den ganzen Kram als Nutzer gar nicht will,
> > sondern lieber selbst eigene Mittel einsetze?
> 
> Dann besorg Dir eine static-IP, verzeichne sie
> in der RIPE-DB und setze darauf einen final-MX.
> 
> Dann bist Du Dein eigener "ISP" und wer sich ueber Dich
> beschweren moechte, kann Dich direkt erreichen. Und Dein
> ISP muss dann nicht aktiv werden und nichts weiter
> erfassen/filtern/whatever.

Das ist auf so vielen Ebenen Unfug, daß ich kaum damit anfangen
kann, das als Idee auseinanderzunehmen.

So you get Spam. Warum?

Weil Dein Rechner Mail von unbekannten Kommunikationspartnern
annimmt.

Was willst Du dagegen tun?

Alle Kommunikation aufzeichnen, damit ich ex post die
unerwünschten Kommunikationspartner dafür belangen kann.

Warum ist das eine Scheißidee (tm)?

Siehe erster Absatz im Quote oben - es fallen Tonnen von
Verkehrsdaten an, die niemand wirklich nützen.

Was soll ich stattdessen tun?

Ein Mailsystem etablieren, das bereits auf der SMTP Ebene das
einspeisende System und den einspeisenden User (optional) mit
einer digitalen Signatur authentisiert und das außerdem mit der
Signatur auch eine signierte Prüfsumme über den Inhalt der Mail
sowie ein time_t des Absendedatums sowie eine Nonce (etwa die
Message-Id) transportiert.  Die Signatur kann als CN ein
beliebig starkes Nym enthalten.

Wie nutzt mir das gegen Spam?

Ich kann auf der Empfängerseite schon im SMTP Dialog
feststellen, von welchem einspeisenden System oder einspeisenden
Absender die Nachricht kommt, und ob die Nachricht noch integer
ist und ob sie frisch ist.

Ich kann dann in meinem MTA oder MUA eine Policy festlegen, und
zwar unter Umständen schon in der Transportphase, die festlegt,
wie mit der Mail zu verfahren ist. Ich kann unsignierte Mail
ablehnen, annehmen und konventionell behandeln. Ich kann
signierte Mail auf der Basis des CN des Systems oder des CN des
Absenders annehmen oder ablehnen, in Priority oder Junkordner
filen und ggf. sonstwie automatisiert vorverarbeiten.

Was hat das mit STARTTLS zu tun?

Nix.

STARTTLS ist ein (eher schlechter) Versuch,
Transportvertraulichkeit auf Linkebene in SMTP einzuführen.

Das System oben hat nix mit Vertraulichkeit zu tun, sondern eher
mit Zurechenbarkeit.

Es ist als EHLO-Extension realisierbar, und mit existierendem
SMTP kompatibel.

Wenn jemand von Euch das jetzt als Patent anmelden will, will
ich aber einen Anteil...

Kristian

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de