La culpa del SPAM es de Google, Microsoft y Yahoo.
Tengo una teoría, y quisiera compartirla con ustedes hoy.
Primero voy a proponerle dos escenarios, que seguramente les sean familiares.
En el primer escenario, tenemos nuestro correo electrónico, en él a diario, te enfrentas al SPAM... y lo odias, lo detestas con todo tu ser. Incluso los afortunados que usan gmail y su buen filtro antispam. Pero estás cansado del viagra, del alargamiento peneano, de las «ofertas» y de los nigerianos y los rusos. Si usas internet habitualmente, debes de recibir entre 20 y 500 mensajes de spam a diario… y lo detestas.
En el segundo escenario, tenemos nuestro mensajero instantáneo. El «messenger». En este caso no recibimos mensajes de SPAM. Bueno, alguna vez habrás recibido un texto diciendo en un idioma/lenguaje/dialecto aleatorio, de tu país o de otro, que te dice «hey, bájate este archivo photos.zip que tiene un virus y yo sé que eres tonto y no te das cuenta que en realidad no soy tu amigo»
Te preguntarás, como yo, ¿por qué en el messenger no recibimos spam y en hotmail sí? ¿Por qué en gtalk no nos ofrecen viagra y en gmail sí? ¿Por qué yahoo messenger no tiene una carpeta «no deseado»? ¿Es acaso el messenger más seguro?
No. La respuesta es otra. En el messenger no recibimos SPAM porque es un protocolo (MSNP/Tweener) que tiene como requisito el envío de una «invitación». O sea que la primera vez que alguien nos quiere hablar, tiene que enviarnos una «invitación» que podremos aceptar o negar.
Mi teoría es que un sistema de invitaciones para el correo, reduciría el spam mundial a casi cero.
Entonces, recapitulando. Se me ocurrió pensar qué pasaría si el correo electrónico tuviera algo similar. Si para enviarme mails, primero tuvieras que mandarme una invitación muy breve que yo debiera aceptar o rechazar.
[ad#n3rirectangulo300x250]
La idea es que dicha invitación sea tan corta y tan «plana» que en ella no cupiera SPAM alguno. Se me ocurre que debiera tener dos campos solamente: «Nombre» y «de dónde te conozco». Una vez aceptada la invitación, cada vez que llegue un email desde esa cuenta queda en el servidor. Cualquier otro mail de remitente desconocido debería ser destruído directamente. El SPAM no merece una carpeta «no deseados», no merece ser enviado a mil destinatarios para ser borrados a los 30 días, ni siquiera merece ocupar kb del servidor.
Otras opciones menos drásticas podrían ser que el contenido del mail sea guardado «por las dudas» si queremos hecharle una mirada (es lo mismo que el caso actual de la carpeta «no deseados», a veces el asunto de algunos spams está tan bien pensado que nos engaña y creemos que puede ser real y lo miramos)
También podría haber un sistema de «confianza», algo que lleve esta estadística: «Juan Spammer de la fiesta de egresados» ha enviado invitaciones a _423_ personas y _415_ lo han rechazado«. Gmail debería eliminar directamente un mail idéntico que ha sido rechazado tantas veces.
¿Y por qué digo que la culpa es de Google, Microsoft y Yahoo?
Pues, porque si estos tres grandes implementaran un protocolo de mail «renovado», un SMTP «moderno», con estas características que propongo, en poco tiempo el resto del mundo los tendría que seguir. Si la solución está en tus manos y no lo resuelves, entonces eres culpable.
También porque considero que deberían hacer algo al respecto de las típicas quejas que solemos tener sobre este tema. Cosas que está mal que esperemos que el usuario «que no entiende de computadoras» las haga. Por ejemplo, los webmails deberían borrar por defecto la larga lista de direcciones que contienen los «forwards» cuando el usuario hace click en «reenviar». También deberían impedir por defecto que se pongan más de una dirección en el campo «Para» y mover el resto automáticamente al campo «CCO». Y luego, darte la opción de hacerlo «mal» si el caso lo amerita. Y ejemplos como esos hay varios, que deberían implementarse.
Ahora tratemos entre todos de «falsear la teoría»:
1. Puede que en vez de 100 correos de spam por día, recibamos 100 invitaciones conteniendo nombres populares y lugares «te conozco de» altamente probables, como «Juan de la fiesta de anoche», «María de la playa» o «Carlos de tu trabajo». Sería tan poco práctico, tan poco eficiente, tan poca gente caería en la trampa, que dejaría de ser un método atractivo para el spammer. Bastaría con que la gente acostumbre ser más detallista, y bastaría con incluír el apellido: «Juan Krospov de la fiesta en Kool’s», «María Gorgori de la playa de MDQ a las 5pm», «Carlos de Burger King sucursal almagro».
2. se podría escribir spam en esos campos, como algunos hacen en los comentarios de los blogs. Tampoco, la idea es que sean campos cortos, de 20 caracteres, formato texto plano, si se quiere flintrando arrobas, barras, httpes, puntos, etc. Sólo letras y números.
3. Podrían dedicarse a infectar computadoras, como «el virus del messenger». De todas formas, el alcance se reduciría significativamente, porque tu spam sólo llegaría a tus 20 contactos, y de estos a los 5 que caigan en el truco creyendo que eres tú y que se infecten. No sirve para mandar miles de correos de spam.
4. Si crackean el sistema sería el caos. Si, sería lo que tenemos ahora. Y tendrías que crackear a 3 grandes, enormes, colosales empresas de Internet.
5. Entonces ¿cómo hago spam, digo, cómo va a conocer la gente mi producto? Los interesados podrían subscribirse a listas de correo orientadas a la publicidad de productos de forma personalizada. Lo cual sería un gran negocio si, por ejemplo, lo implementara uno de estos grandes; más razones para implementarlo. También podría configurarse distintos niveles de «seguridad», aceptando temporalmente invitaciones que contengan una palabra determinada o cosas por el estilo.
6. ¿y si uno de los grandes se pone terco y no lo implementa? Creeme, eso no pasará. Si dos de ellos lo implementan, el otro lo hará y también los pequeños.
7. «nombre y de donde te conozco» es lo mismo que «nombre y asunto», no cambia nada lo que ya hay. No. Es más fácil engañar a alguien combinando un nombre inventado y un asunto atractivo, que combinar lugar y nombre para que alguien «caiga» en la trampa. Y aunque en «lugar» escriban «buy viiiaaagrra» a la larga fracasarían porque en número de engaños sería muchísimo menor. Y de todas formas, es mejor para la red y para los servidores transmitir y almacenar mil frases de 20 caracteres que mil mails completos de spam. El spammer podría mandar mil invitaciones, pero sólo mandaría pocos mensajes de spam efectivos, de esos 1000, caerían en la trampa unos pocos. Si el servidor no acepta el contenido del mail hasta que la invitación sea aceptada, el spam carece de sentido. La idea es que mi servidor no te reciba el mail (y sus KBs) hasta que no confirme la invitación. Esta idea beneficia más a la red y los servidores que a los usuarios.
8. Es molesto tener que andar mandando invitaciones. Para el usuario, podría ser automático y transparente: tú escribes el mail y lo mandas, si mi servidor no te reconoce, le pide al tuyo que envíe una invitación «por defecto» y no le recibe el mail y te lo rebota. Cuando yo acepte la invitación, mi servidor te informa que te acepté y te pide le vuelvas a enviar el mail. O sea que yo veo el mail al exacto mismo tiempo que antes.
9. ¿Y si tengo que mandarle un mail a mil personas tengo que mandar mil invitaciones? Si. O puedes autoaceptar las invitaciones de esos mil tú.
10. Tengo un spammer que me manda siempre mails con el mismo contenido, pero con Nombre y Asunto aleatorios ¿Cómo bloquear eso? Aunque sea dificil de bloquear, a la larga hacer eso no serviría de nada. Y todavía beneficiaría a servidores y a la red.
11. Los spammers falsifican los mails para que aparezca que te lo envió alguien que no lo hizo, suplantan la identidad de otros ¿pasaría lo mismo con las invitaciones? No. Los servidores podrían preguntarse entre sí si A tiene una invitación pendiente a B y en caso contrario, eliminarlo directamente. También podría haber listas de «popularidad», no sólo de dominios (los spammer podrían usar dominios populares como «hotmail» para enviar spam) sino también de servidores.
12. No se me ocurre otra por ahora, los invito a dejarme en los comentarios, objeciones y críticas que piensen ustedes. ¿Es una idea interesante o una pelotudez del tamaño de un elefante?
Zim
No estoy de acuerdo, te cuento mi opinión:
Para comenzar, por messenger sí podés recibir spam. En el de MSN es más difícil, y es fácil de evitar. Pero si usaste ICQ o AIM alguna vez, habrás visto publicidad más de una vez. Ni hablar de los bots que te empiezan a hablar como una persona hasta que se cuelgan con algún planteo complicado.
Lo que vos mencionás de «invitaciones» ya existe, y son las «listas blancas». En algunas empresas lo usan. El administrador puede definir «dominios seguros» (por ejemplo, todo lo que sea @laempresa.com es válido automáticamente), y luego para otras direcciones sucede lo siguiente: alguien manda un mail por primera vez, y el sistema lo detecta; entonces le envía como «respuesta» un aviso de que tiene que validar su mail; con tan solo responder ese mail queda validado. Los usuarios además pueden manejar una lista negra (direcciones bloqueadas).
Lo que vos decís de nombre y «de dónde te conozco» también existe. De hecho, de eso tratan las firmas digitales! Si querés estar seguro de quién es quién, podrías usarlas y no habría problemas. Vos lo dijiste: si la solución está en tus manos y no la resuelves eres culpable. Ahí está tu posibilidad, conseguí una firma digital (no tienen costo, sólo tendrías que conseguir a alguien «piola» para que la firme y te de autenticidad).
El item 3 todos sabemos que no es cierto. No podemos negar que los virus «de messenger» se expanden con rapidez y de forma bastante efectiva. El spam podría proliferar sin problemas así, y también con cuentas validadas.
Esto, por cierto, me lleva a otro punto importante: no se puede dejar la validación/autenticidad en manos de la fuente. Si yo soy uno de los «chicos malos» no me voy a preocupar por un bonito sistema de «seguridad» como este sino que, mas bien, voy a intentar pasarlo por encima. Es decir, voy a enviar el mensaje sin ese dato, o con alguna vuelta extraña para que parezca de alguien conocido, o tomando la identidad de alguien que conozcas o podrías conocer. Por eso es fundamental que existan comprobaciones en el servidor de mail, en el lugar a donde llegan mensajes para vos. Así los puede filtrar tu servidor como vos querés.
Estos filtros funcionan muy eficazmente, y no buscan patrones simples/estáticos en los mensajes como pareces sugerir en el punto 10. Al contrario, están preparados para identificar esos mensajes aleatorios.
No se cómo funcionan específicamente los filtros de los principales servicios públicos de mail (Hotmail, Yahoo, GMail, etc), apenas tengo una leve idea de algunos aspectos de GMail. Lo que sí te puedo contar es que hay filtros que trabajan con «karma». Por ejemplo, si un mensaje tiene muchos links, supongamos que gana 2 puntos de karma. Si tiene la palabra que hace referencia a una pastillita que aparece mucho entre el spam, otros 5 puntos. Si el nombre de la persona que lo envía no está en un diccionario de nombres, 1 punto. Y así con un montón de aspectos. Al final, de acuerdo a la suma de esos puntos, se determina si es bueno o malo (los que pasan el umbral de N puntos, son marcados como spam).
Pero, al menos en GMail, hay sistemas que se adaptan a lo que recibe cada usuario. Supongamos que tenemos una farmacia, y tenemos que contratar a nuestro proveedor de la famosa pastillita… en cuanto nos envíe la lista de precios probablemente iría sin escalas directo a la carpeta de spam! Pero una vez que marcamos que ese mensaje no es spam, esos mails van a aparecer entre los buenos y, a la vez, el servidor va a seguir filtrando otros mails que sí son spam.
Acerca del «caos» que sería que alguien entre en alguno de los principales servidores: hay una diferencia entre caos organizado (internet) y un hecho caótico (sacar de esquema un servidor repentinamente, o liberar datos).
Tu idea no es mala, pero no se podría aplicar en un contexto real, porque hay gente con malas intenciones que va a ir en contra de eso. Me parece que apuntas mucho a hacer las cosas «desde un principio», que es excelente, pero en la práctica no se puede porque necesitamos un control más directo sobre la información.
Finalmente, como información adicional, el Windows Live Messenger no usa el protocolo que mencionas (a ese te referís con messenger, supongo). Casi todos los mensajeros actuales usan protocolos basados en XMPP (quizás te suene más Jabber). En el caso puntual del WLM, Wikipedia dice que usa el .NET Messenger Service (que tiene algo de Jabber).
Alejandro
Concuerdo con Zim, me ahorró el trabajo de escribir un respuesta tan larga 😀
Sebas
Ya hubieron varias ideas con respecto a este tema. Por ejemplo, como cuando se quiso cobrar un mínimo porcentaje al que envía un e-mail con el fin de desalentar a los spammers. Yo nunca lo ví implementado…
Rodolfo Augsburger (Collide)
¿Que pasaría si quieres registrarte en una pagina al estilo de Facebook, foro, lo que sea?
Aun que seria bueno que aparezca una solicitud como la que tu dices, pero que diga: ¿Acepta registrarse en FORO BLABLABLA? aprietas si y ya envia algun codigo a la pagina para autorizar (o ejecuta la pagina directa de autorización sin que la ejecutemos nosotros) pero bueno esa es otra idea posible.
Sobre las invitaciones creo que seria muy denso, pero no es mala idea …. Y mas si implementamos la que yo pienso.
Supongamos que alguno de esas tres empresas de correo importantes crea un sistema en el que recopile los email de tus contactos de facebook, msn, hotmail, yahoo, aim, twitter y todas las red populares en la que seguro algun amigo nuestro debe estar registrado. Esto seria posible obviamente con la autorización de cada empresa para que permita acceder a sus datos.
Seria una propuesta interesante, ademas de que tambien haya algun codigo secreto que se envie por SMTP para autentificar un correo enviado desde la plataforma de GMail, Hotmail, Yahoo para asi filtrar menos correos de spam (supongo que ya estara implementado)
No se una simple opinión.
V
Parte de lo que referís en tu post está en esto:
http://en.wikipedia.org/wiki/DomainKeys
o
http://es.wikipedia.org/wiki/DomainKeys
.-
Mandy
Para el spam no hay como assp funciona tanto en linux como en windows despues de instalarlo bajo el porcentaje de spam mas del 99.9%
ejner69
Si bien, no concuerdo totalmente con tu opinion, me agrada la idea sobre el rediseño de los protocolos SMTP para evitar spam…
Lo que debiesen hacer es capturar el correo del smpamer y (por decirlo así) bloquear todos los mensajes que envié… Claro, la desventaja es que el tipo se crearia otro…
Pero en fin…
Saludos!
Zim
ejner69, el problema es que con un sistema así no podrías prever los ataques. Actualmente se bloquea el spam usando técnicas avanzadas y heurística. La idea es frenarlo antes de que llegue a la bandeja de entrada…
Marco
Yo soy spammer, y vivo de eso, por lo cual es un trabajo más dentro las posibilidades del medio.
lamentablemente seguiran recibiendo más y más spam, ya que nada podra bloquear nuestras técnicas de envio.
Feliz Navidad…jo, jo, jo……….
Zim
No alimenten al troll!
Diabolo
Una vez aceptada la invitación, cada vez que llegue un email desde esa cuenta queda en el servidor. Cualquier otro mail de remitente desconocido debería ser destruído directamente. El SPAM no merece una carpeta “no deseados”, no merece ser enviado a mil destinatarios para ser borrados a los 30 días, ni siquiera merece ocupar kb del servidor.
En mi caso recibo muchos mails por días de desconocidos por cuestiones laborales, con este sistema yo perdería una importante fuente de contactos. Por el lado comercial no lo veo tan fiable.» autor: Diabolo
N3RI
todas las propuestas de modificación, obviamente, serían configurables. En tu caso lo desactivás y listo.
O mejor aún, podrías darle a tus desconocidos la dirección diabolo+comercial@gmail.com para que te contacten por primera vez.» autor: N3RI
Pepe
DomainKeys es bastante eficiente, es una evolución de SPF, y ha sido implementada por dos de ellos, y no por el tercero. Además, se trata de una solución que se basa en que TODOS los proveedores mundiales de correo lo utilicen. Y no todos la utilizan.
Has creado un escenario muy bonito, pero sólo eres un idealista que no tiene ni idea de este mercado.
En cualquier caso, sigue intentándolo. Gente como tú es importante en este mundo 😉
N3RI
aunque haya opciones actualmente parecidas a esta idea, lo importante es que lo implementen las 3 grandes empresas de webmail. De nada sirve que lo haga un usuario cada 20 millones. En cambio, si lo hacen ellas podría ser un fuerte golpe contra el spam.
Daneel
Parecería que lo que planteás es que el mail sea más como facebook.