Корпорация намерена представить в виде открытого стандарта технологию аутентификации отправителя Caller ID
Джон Левайн: «Технология Caller ID схожа с другими средствами аутентификации отправителя, широко обсуждаемыми экспертами в области безопасности электронной почты»

В конце февраля на конференции RSA Conference в Сан-Франциско Microsoft представила спецификации технологии борьбы со спамом, получившей название Caller ID, — метода аутентификации отправителя, предполагающего проверку правильности адреса отправителя электронной почты. Свое предложение корпорация намерена оформить в виде открытого стандарта.

Методы аутентификации отправителя рассматриваются специалистами в области технологий электронной почты и поставщиками услуг Internet в качестве оружия, применяемого в борьбе со спамом. Пресс-служба компании Sendmail недавно объявила о намерении разработать и предоставить клиентам и сообществу разработчиков программ с открытым кодом технологию аутентификации отправителя, позволяющую бороться со спамом и вирусами, а также распознавать фальсифицированные электронные сообщения.

Sendmail встроит «механизмы выбора технологии аутентификации отправителя», как определяет их компания, в свое программное обеспечение с открытым кодом Mail Transfer Agent (MTA). В числе этих механизмов будет присутствовать и технология DomainKeys, предложенная корпорацией Yahoo. Кроме того, по словам представителей Sendmail, соответствующие предложения направлены Microsoft и другим крупным производителям.

В Microsoft подтвердили сообщение о том, что сотрудники корпорации работают над созданием модулей аутентификации отправителя электронной почты совместно со специалистами Sendmail.

«Технология Caller ID схожа с другими средствами аутентификации отправителя, широко обсуждаемыми ведущими поставщиками услуг Internet и экспертами в области безопасности электронной почты», — отметил Джон Левайн, сопредседатель независимой организации Antispam Research Group, входящей в состав ассоциации Internet Engineering Task Force. Во многом это похоже на технологию Sender Policy Framework (SPF), разработанную независимым исследователем антиспамовых стратегий Менгом Вонгом, создавшим службу переадресации электронной почты Pobox.com.

Вместо того чтобы анализировать, содержит ли сообщение спам, протокол SPF позволяет внести информацию о своих серверах электронной почты в особую запись, которая присоединяется к записи DNS и написана на специальном языке SPF. Другие домены Сети могут отбрасывать любые сообщения, если в них значится адрес отправления, относящийся к указанному домену, но при этом они посланы с какого-то другого сервера.

По мнению экспертов, технология Caller ID имеет как сильные, так и слабые стороны.

К последним относится, в частности, то, что почтовый сервер должен полностью загрузить все ненужные сообщения, прежде чем он примет решение их отвергнуть, что приводит к росту нагрузки на серверы. А загрузив сообщение, защитный механизм проверяет только IP-адрес отправителя, не обрабатывая содержательную часть письма различными фильтрами и другими средствами борьбы против спама.

Кроме того, внедрение и поддержка Caller ID требуют знания XML, что усложняет соответствующие процедуры, к тому же сведения, представленные в формате XML, не могут превышать ограничение в 512 байт, установленное для сообщений, которые выдаются в ответ на запрос DNS.

Согласно спецификациям DNS, в сообщениях, длина которых превышает установленный лимит, информация о DNS пересылается с использованием протокола TCP, а не UDP. Последнее технически возможно, но используется довольно редко. В результате в реализации Caller ID появляется некий элемент неопределенности.

«Эта возможность существует уже на протяжении 25 лет, но никогда не была востребована, — заметил Левайн. — Однако разработчики технологии могли бы придумать более удачный по сравнению с SPF способ определения действительного отправителя электронной почты, особенно если учесть, что адреса в конверте не обязательно должны соответствовать адресам в заголовке письма.

Доминирование Microsoft на рынке клиентских приложений электронной почты позволяет корпорации внедрять технологию аутентификации отправителя в небольших доменах Internet и в среде массовых пользователей Сети.

Левайн поддержал публикацию спецификаций Caller ID и решение Microsoft представить эту технологию в качестве открытого стандарта.

В конечном итоге технология Caller ID могла бы работать вместе с SPF, Domain Keys и другими средствами аутентификации отправителя.