Lösningar på SPAM problematiken.

[billion]

Hej!

 

Försökte lite tafatt komma igång med en diskussion

kring LÖSNINGAR på SPAM problematiken i juridik

avdelningen. Kanske fungerar det bättre här om jag

dessutom uttrycker mig lite klarare. Hur skall man

kunna tillhandahålla en stor tjänst med många

medlemmar utan att ge avkall på enkelhet i upplägg?

 

Hur skall man förhindra att någon i annans namn

registrerar och gör saker som skadar på olika sätt?

 

Jag är ute efter konkreta lösningar. Antingen tekniska

eller ekonomiska.

 

 

 

[ClaesT]

Kanske fungerar det bättre här om jag

dessutom uttrycker mig lite klarare. Hur skall man

kunna tillhandahålla en stor tjänst med många

medlemmar utan att ge avkall på enkelhet i upplägg?

 

Kan du förklara *ytterligare* något tydligare vad det handlar om så är det lättare att ge konkreta anti-spam-relaterade tips.

 

Hur skall man förhindra att någon i annans namn

registrerar och gör saker som skadar på olika sätt?

 

Om jag tolkar detta som att någon anmäler någon annan epostadress som intresserad av utskick (varpå denne person anmäler avsändaren för spamming och för avsändaren avstängd eller blockad) så finns det en teknisk metod att undvika det, nämligen opt-in/verifierad opt in: När en adress registreras som intresserad, skicka ETT mail, UTAN reklam, men med en framslumpad kod i, till den adressen. Be mottagaren bekräfta sitt intresse genom att svara på mailet eller klicka på en länk (som innehåller samma kod). Först om han gör det läggs adressen till i utskicksregistret. Mailet ska också gärna innehålla IP-nummer varifrån adressen registrerades samt exakt tid inkl zon.

 

Ta in i användarvillkoren att den som skickar spam stängs av och att ersättningen denne tjänat in skickas till någon anti-spam-tjänst i så fall (t ex Spamcon, som jag inte har något att göra med, eller Spamcop, som jag är betalande användare av). Poängen är att få omvärlden att tro att *vare* sig du eller någon affilliate kan tjäna några pengar på spamming. Det räcker alltså inte med att inte betala ut till den som spammat.

 

Ha en god relation till din ISP, håll denne informerad om vilka åtgärder du vidtar för att säkerställa att du inte förorsakar spam, t ex opt-in-rutinen enligt ovan.

 

Kan det vara relevant med att affiliates deponerar något belopp som återfås efter viss tid utan spam-problem? Jag vet inte om sådant förekommer alls och är affärsmässigt möjligt... men blotta möjligheten i användarvillkoren kan ge ett seriöst anti-spam-intryck. Undersök nya affiliates (om det är det det handlar om) så att de eller deras domäner inte har rapporterats för spamming tidigare, innan de accepteras.

 

Förklara dina regler mycket tydligt på ett ställe som är lätt att hitta från indexsidan, inkl engelsk text, så minskar effekten av eventuella "joe-jobb" (dvs falskt utpekande av någon som spammare).

 

Läs och agera på rapporter som kommer till adressen abuse@dindomän - snabbt och beslutsamt. Här gäller att "äta eller ätas" - om du ger en andra chans till någon som vållat rapporter är det inte säkert att andra ger dig samma "benefit-of-doubt"/"slack". Ett rykte som spammare kan snabbt göra ett domän-namn omöjligt att använda, så det gäller att undvika att FÅ den stämpeln för att undvika behovet av att byta namn/domän.

 

I extrema fall kan inte bara domän-namnet "förstöras" utan också namnet på personen bakom. En person med namnet "Ralsky" eller "Waggoner" får sina domäner blockade oavsett om de skulle vilja sluta använda spam för att tjäna pengar, de är "rökta" för all framtid (liksom Sanford Wallace, en legendarisk spammare som nu lagt av och som t.o.m. bytt namn. Många blockar fortfarande hans domän (liksom många blockar AGIS - en ökänd spamdomän för många många år sedan. Telia köpte deras IP-adresser, men de var oanvändvbara, de blockades av så många att all seriös användning var omöjlig). Men inga svenska spammare har arbetat sig upp till sådan ryktbarhet vad gäller sina personnamn - våra internetoperatörer är tillräckligt snabba att stoppa slikt folk redan som "rookies" ;-)

 

Så visst är det klokt att tänka till i förväg, som du gör. Återkom gärna med tydligare/fler frågor och/eller fördjupningsönskemål.

 

[inlägget ändrat 2003-12-27 15:17:52 av Claes T]

[inlägget ändrat 2003-12-27 15:20:04 av Claes T]

 

PS

Och KÖP inga e-postadresser!! Det *finns* i praktiken inga opt-in-adressser att köpa. Jag kan låta mig överbevisas om detta, men det kommer inte bli lätt, jag vill se bekräftelsemailen och websidan där man har anmält sig i så fall, plus titta på och fråga runt lite om adresserna, som bör ha tillhörande IRL-namn. I så fall *kanske* jag kan tro på det, men alltså i praktiken: Nej, sådana register finsn inte att köpa. Bygg upp ditt eget register med verkligt opt-in istället, om det handlar om epost-marknadsföring. Det är en viktig punkt, hur kunde jag missa den i mitt ursprungsinlägg?! :-)

[inlägget ändrat 2003-12-27 15:27:15 av Claes T]

[billion]

Double opt-in verkar i mina ögon lite klumpigt och

jag har lite svårt att förstå varför man måste säga

ja två gånger. Vi lever ju trots allt i IT åldern.

Finns det ingen vits i att gå hårdare åt de som

anmäler andra precis som man gör i livet utanför

nätet? Alltså, sträva efter att hitta dom som begår

brott istället för att blint slå mot de som skickar

mycket mejl och har populära sajter?

 

Jag är väl medveten om att detta kan vara svårare

men tror ändå det finns en vits i att jaga de som

begår felet och inte de som drabbas av det?

 

Naturligtvis skall de som spammar medvetet straffas

och jag tror också att det är just de som ställer till

med de stora problemen. I varje fall är det min

erfarenhet.

 

Kan man inte tänka sig någon typ av porto som kommer

mottagare tillgodo?(1 öre per mejl) För de flesta

skulle det antagligen bli +/- 0. Naturligtvis skulle

hantering kosta en del...men det kanske det är värt i

förhållande till de kostnader och orättvisor spam

orsakar idag? Kanske är det tekniskt omöjligt och

inget som fungerar i praktiken?

 

Vad det gäller köpa adresser så finns ju möjligheten

att i ett eget system skicka ut mejl som skall

bekräftas. Kvarstår dock ett problem även om man

kräver detta. Bekräftelsemejlet kan alltid anses

vara spam....och det med rätta! Jag har ofta råkat

ut för att få bekräftelsemejl till nyhetsbrev jag

inte begärt...och är övertygad om att en del

använder detta som en metod att värva prenumeranter.

Det är alltid någon som säger ja för att det kan

vara intressant trots allt.

 

 

 

[ClaesT]

Double opt-in verkar i mina ögon lite klumpigt och

jag har lite svårt att förstå varför man måste säga

ja två gånger. Vi lever ju trots allt i IT åldern.

Just det, det gör vi. Och när du loggar in i ett system, använder du då dubbel log-in? Du talar ju dels om för systemet vem du är (användar-id, sannolikt känt för andra), dels verifierar du att du är du (lösenord, inte känt för andra). Dubbel log-in, eller hur!

När det gäller nyhetsbrev-anmälan talar du om vem du är genom att ange din epostadress (känd för andra), och genom att svara på den verifieringsbegäran som kommer talar du om att det verkligen är du (som är intresserad) och inte vemsomhelst som råkar ha kännedom om din epostadress, t ex en spammare.

 

Uttrycket "double opt-in" är myntat av personer/organisationer som har intresse av att få det låta onödigt mycket/besvärligt (nyckelordet är "onödigt") att göra Det Rätta , vilket gör att den som råkar använda det uttrycket drabbas av minuspoäng i mer rabiata anti-spammar-kretsar ofta utan att själv förstå varför. Men det ÄR alltså inte något "dubbelt" i opt-in, och det som spammare kallar (enkel) opt-in är i själva verket opt-out.

 

Alltså, sträva efter att hitta dom som begår

brott istället för att blint slå mot de som skickar

mycket mejl

*Mängden* mail har ingen betydelse. Det finns företag som skickar mängder med massmail utan att bli betraktade som spammare, det avgörande är om adresserna lämnats till den som skickar mailen av deras rättmätiga innehavare=den som får mailen. Och med korrekta rutiner (dvs verifierad opt-in, eller opt-in helt enkelt) minimeras effekten av att någon lämnar någon annans e-adress.

 

Kan man inte tänka sig någon typ av porto som kommer

mottagare tillgodo?(1 öre per mejl)...Kanske är det tekniskt omöjligt och inget som fungerar i praktiken?

Med dagens mailprotokoll är det omöjligt eller i vart fall svårt, även om et förekommer en del försök i kombination med challenge/respons-system. Men jag vill ha betydligt mer än 1 öre för varje obeställt massutskickat epostmeddelande jag får, medan jag definitivt inte vill att t ex Bugtraq eller EuroCAUCE eller Naturmagasinet ska få betala för varje mail de skickar mig... så då är lösningen att bara massposta beställda mail den tillsvidare bästa lösningen.

 

Vad det gäller köpa adresser så finns ju möjligheten

att i ett eget system skicka ut mejl som skall

bekräftas. Kvarstår dock ett problem även om man

kräver detta. Bekräftelsemejlet kan alltid anses

vara spam....och det med rätta!

Just det.

 

Jag har ofta råkat ut för att få bekräftelsemejl till nyhetsbrev jag inte begärt...och är övertygad om att en del använder detta som en metod att värva prenumeranter.

just det, det är därför bekräftelsebrevet inte får innehålla något marknadsföringsmaterial alls, bara namnet på nyhetsbrevet, kanske frekvens på utskicken och från vilken adress de skickas, samt IP-nummer och tid då adressen lämnades på websidan.... Har ett mail den karaktären och det inte kommer några påminnelser om det så rapporterar jag det inte som spam.

 

Verifierad opt-in är alltså ett skydd för såväl mottagare som avsändare. Jag var med om en situation där kända anti-spammares adresser anmäldes en i taget under ett par veckors tid med lite olika intervall (samtidigt var det en hel del "normala" intresseanmälningar som kom in också). När månadens utskick gjorde bröt helvetet loss.... och rapportörerna angav inte till vilka adresser utskicket kommit (för att undvika att den förmodade spammaren bara skulle "listwash"-a rapportörens adress men fortsätta spamma). Alltså blev det likadant nästa månad.... slutet blev att kampanjen las ner och epostlistan skrotades, inklusive alla legitima adresser. Hade de haft en säker rutin enligt ovan hade detta inte kunnat inträffa. (De hade i och för sig kunnat förklara situationen i ett särskilt utskick och bett alla som ville vara kvar att svara om de gjorde detta i samråd med sin internetoperatör, men bedömde det vara för stort besvär....) Så: Opt-in rulez :-) - alldels oavsett EU-direktiv, svensk lag och "I Can Spam"-acter som ju allal tillåter opt-out under vissa förhållanden. Allt som är lagligt är inte klokt att pröva.)

 

[Lars2W2]

Den här tråden hanterar det jag vill kalla gränslandet mellan legitima massutskick och det jag kallar Spam.

 

Det jag, och de flesta ned mig, ser i inboxen är uteslutande Spam, och inget som skrivs i tråden skulle ha den minsta verkan mot Spam: de utskick om penis- och bröstförstoringar, Viagra, Ensamma Tonåringar och kreditåterställningar vi dagligen har i inboxen. Varför?

 

Till att börja med, är avsändaradresserna rena skämten och inte ens teoretiskt möjliga med domäner som inte finns mm. Hur gör man opt-out där?

 

Sen visar det sig att mailen för det mesta har gått via kidnappade, ovetande, datorer, stulna internetkonton och/eller ISP-s som hellre blundar och tar betalt.

 

Och ett standardknep för varje spammare är att lägga till en liten länk som handlar om att "klick here to be removed from list" i utskicken just för att få bekräftat att 'Här har vi en skarp adress, grabbar'.

 

Opt-out=Spam-in...

 

Dom som nu ägnar sig åt legitima massutskick får bara inte blunda för sånt här genom att låtsas som det inte finns, vilket verkar vara fallet här. Det slutar bara med att ni kommer med i smeten och hamnar på diverse Blacklists. Och då har något hamnat i fläkten för er, som det heter...

 

[billion]

Lars2W2,

 

Blundar inte....kan jag lova. Får dagligen runt 1000 spam mejl och ett fåtal nyhetsbrev.

 

Jag håller med dig om att double opt-in(eller verifierad opt-in) inte har någon verkan mot de som spammar...för de gör det ändå. Min frågeställning är kanske dubbel.

 

1) Hur kommer vi åt spam?? Ge gärna konkreta förslag.

 

2) Är double opt-in enda sättet att driva en webbtjänst eller nyhetsbrev? Finns det något annat sätt??

 

Många tjänster kräver ju inte bekräftelse och är helt öppna för missbruk, Eforum tex.

 

[fhe]

1) Hur kommer vi åt spam?? Ge gärna konkreta förslag.

Tills någon tröttnat och hittat på ett mail2 som börjar från början istället för att vara ett patchverk av tillägg till ett smtp som uppfanns när problemet inte fanns så tror jag inte det går att göra mycket mer än att aktivt jobba med bra serverbaserade spamfilter (SA), svartlistor med öppna reläer och riktigt tuff hållning mot de som hjälper till att göra det möjligt. Eftersom det inte är rimligt att kräva hög kompetens av J Random User som har fått dator i julklapp så tycker jag att det mycket väl att ansvaret kan ligga på den som äger en IP-range, även om det tyvärr kan medföra trista komplikationer för den som betalar några hundra i månaden för sitt bredband.

Jag kan inte påstå att jag gillar hur t.ex Bredbandsbolaget och Chello spärrat utgående smtp annat än från deras egna smtp-servers (bredbandsbolagets spärr har av någon anledning inte drabbat mig än) men jag tror det är betydligt bättre än att försöka få Mormor Birgitta att installera virusskydd och personlig brandvägg så att hennes dator inte blir ett spamrelä när hennes barnbarn varit där och kört Kazaa.

 

Är double opt-in enda sättet att driva en webbtjänst eller nyhetsbrev? Finns det något annat sätt??

Det finns gott om andra sätt men det är få sätt som är så enkla att implementera och så smärtfria för den som signar upp sig på en tjänst.

 

En förenkling (för alla parter) vore någon form av "MS Passport"-grej där man bara behövde bekräfta att man är den man utger sig för att vara en gång och därefter har man fullt förtroende att signa på alla anslutna webbtjänster eller nyhetsbrev.

 

En dylik förenkling skulle som jag ser det dock ha ett par nackdelar. För det första finns det sådana som jag som gärna använder olika adresser för olika listor och sajter, det gör det lättare att bara skrota en adress om en lista eller företag skulle läcka min adress till spamare. För det andra finns det ett rätt stort motstånd både från stat och individer att bygga sådana superregister som denna Passport-liknande grej kunde vara. Tänk om någon kom över det, det vore ju underbart att inte bara ha mailadresser till tänkbara spamoffer utan också ålder, kön, intresseområden, vilka mailinglistor och webbsajter användaren är registrerad på osv.

 

Problemen är naturligtvis inte olösliga men för min del så tycker jag "motringning" med autentiseringskod för aktivering är ett lysande system för websajter och listor. Inte minst för att man ju därmed får en automatisk kontroll av om adressen fungerar och slipper en massa bounces om nån stackare signat på med blaha@www.hotmail.com (mot bättre vetande).

[inlägget ändrat 2003-12-27 21:44:04 av fhe]

[fhe]

Kanske fungerar det bättre här om jag

dessutom uttrycker mig lite klarare. Hur skall man

kunna tillhandahålla en stor tjänst med många

medlemmar utan att ge avkall på enkelhet i upplägg?

Jag tycker du blandar lite äpplen och päron, det du frågar efter är ju i huvudsak en lösning på hur man minimerar risken för missbruk i största allmänhet (t.ex 100-talet blaj-inlägg i ett diskussionsforum). Det är ju vanligtvis ett helt annat problem än spam och och kräver därmed helt andra lösningar än just spam.

 

[Lars2W2]

1) Hur kommer vi åt spam?? Ge gärna konkreta förslag.

 

Min tanke är att man renoverar det allt för öppna och hjälpsamma internet mail-protokollet och genomför ett system med verifering av avsändare. Jag har sett ideer och förslag om detta skulle kunna gå till (alltså inte min egen) här och där, men kan just nu förstås inte hitta några länkar.

 

"verified email adresses" i Google ger ren skräckläsning, om än informativ. På sitt sätt. Om man säger..

 

[billion]

Ja, det blev inte så tydligt...men orsaken kanske

ändå är densamma? Anonyma användare som spammar

antingen i forum eller via email..eller på annat sätt.

Men får ladda ned något man inte vill ha eller begärt helt enkelt.

 

[ClaesT]

Jag håller med dig om att double opt-in(eller verifierad opt-in) inte har någon verkan mot de som spammar...för de gör det ändå.

Det är mycket riktigt en separat frågeställning hur man undviker att skicka spam (eller vad som uppfattas som spam), och en helt annan hur man slipper att få spam. Den här tråden hamndlar väl som sagt om det förstnämnda. För att göra en kort avstickare mot andra hållet är t ex K9 eller SpamPal bra, i kombination med DNSbl på mailservern, i första mot Spamhaus SBL och CBL (som från årsskiftet tillhandahålls från Spamhaus också den, som "XBL" - ej att förväxla med den nu nedlagda extremt aggressiva blocklistan XBL). Med dessa klarar man sig undan mycket skräp och i stort sett inga legitima mail blockas (vad gäller Spamhaus-listorna alltså). Om man dessutom använder sin epostadress försiktigt/klokt så....

 

1) Hur kommer vi åt spam?? Ge gärna konkreta förslag.

Utbildning/information, DNSblocklistor, bojkott av internetoperatörer, företag och länder som är spamtoleranta, spam-filterprogram. Bättre lagstiftning/klokare politiker. Uppmuntra internetoperatörernas insatser mot spam, såväl inkommande som utgående. Använd - och propagera för användning av - uppdaterade virusskydd och brandväggar, för "spam-spridare" (fjärrstyrda mailservrar) sprids och installeras numera via virus hos intet ont anande bredbandskunder, som om det inte räckte med alla öppna reläer i Korea o Kina...Var det tillräckligt konkret?

 

2) Är double opt-in enda sättet att driva en webbtjänst eller nyhetsbrev? Finns det något annat sätt??

Man kan chansa också. Det går förmodligen ett tag. Alternativet är att lita på de som anmäler adresser/skaffar sig websidesutrymme hos dig. Det finns väl inte så många illvilliga personer på internet? Och de illvilliga har väl ingen anledning att ge sig på just dig? Så visst finns det alternativ. Man behöver inte heller låsa sin bil när man lämnar den, apropå det. Det är försvinnade få personer som stjäl bilar, och varför skulle de stjäla just din? (From 4:e meningen i detta stycke var jag naturligtvis sarkastisk - bäst att vara övertydlig på den punkten även om jag inte *tror* någon kan uppfatta det annorlunda).

 

 

[Glenn Larsson]

Vi hade en liknande tråd här på Eforum för nån dag sedan, kan inte hitta tråden, tror den var i "öppet forum" eller "Skräppost" där någon hade skrivit ett papper om problemet.

 

Nån som hittar den? Det stod en del lösningar i den.

 

Mvh

G

 

[Lars2W2]

Moderatorn för "Nätverket -Säkerhet och övervakning" borde väl ha flyttat den tråden hit?

//eforum.idg.se/viewmsg.asp?EntriesId=532403

 

[Glenn Larsson]

Tack, höll på att söka ihjäl mig )