Challenge Response Systeem

De strijd tegen spam: challenge response systemen

In de strijd tegen spam kunt u werken met een spamfilter om spam te scheiden van uw 'echte' post, maar een relatief nieuw systeem is het zogenaamde challenge-response-systeem. Anti-spam software die op deze manier werkt, beschouwt elk binnenkomend mailtje bij voorbaat als spam totdat het tegendeel bewezen is. Fabrikanten zeggen dat het 100% waterdicht is. Dat is wat rooskleurig. Er kleven ook nadelen aan dit systeem.

Wat is challenge-response?

Een challenge-response-systeem is een vorm van authenticatie. Het idee achter het challenge-response-systeem kent u al van internetbankieren. De bank laat u een code zien (de challenge) die u op een apparaatje van uw bank moet intikken. Dit apparaatje geeft vervolgens een code terug die u weer terugzendt aan de bank (de response). De bank weet dan dat u inderdaad degene bent die u zegt te zijn.


Traditioneel spamfilter

Veel mensen hebben een conventioneel spamfilter op hun computer. Dit spamfilter gaat bij elk binnenkomend mailtje na of het om spam gaat of niet. Dat doet het filter aan de hand van diverse criteria. Het nagaan van kenmerkende woorden in de e-mail is de bekendste vorm van filtering, bijvoorbeeld 'erectie' en 'Viagra'. U kunt als gebruiker het spamfilter laten leren van zijn fouten, bijvoorbeeld door regelmatig aan te geven dat een mail die het filter heeft onderschept toch geen spam was of andersom. Het filter wordt hierdoor intelligenter en gaat steeds beter zijn werk doen. Een bekend voorbeeld van een goed en gratis spamfilter is SPAMfighter.

Challenge-response-systeem

Een spamfilter op basis van het challenge-response-systeem doet zijn werk heel anders. Een cr-systeem verklaart elk mailtje van een onbekende bij voorbaat tot spam totdat het tegendeel bewezen is. Het cr-systeem stuurt meteen een bericht terug naar de onbekende afzender met daarin een plaatje met schots en scheef geplaatste cijfers en letters (de challenge). Pas als de afzender de code goed overtypt en terugstuurt (de response) zal het cr-systeem de afzender als betrouwbaar registreren en voortaan e-mail van deze persoon doorlaten. Het gebruik van dergelijke plaatjes voor authenticatie noemt men Human Interaction Proof (HIP).

Human Interaction Proof Voorbeelden van Human Interaction Proof (HIP), een authenticatietechniek die ook gebruikt wordt op websites, bijvoorbeeld bij het aanmaken van een account, het aanmelden van een hyperlink of het achterlaten van een bericht in een gastenboek.

De gedachte achter deze manier van authenticatie door een cr-systeem is dat iemand die spam verstuurt dergelijke plaatjes niet zal overtypen en terugsturen. Sterker, vaak wordt spam verzonden via zogenaamde spamrobots en die kunnen dit soort plaatjes niet zomaar lezen. In principe hoeft uw relatie maar één keer zo'n challenge te beantwoorden. Is dat eenmaal gebeurt dan zal het cr-systeem mail van uw relatie voortaan doorlaten.

Bij een cr-systeem kunt u meestal zelf een 'witlijst' aanleggen van relaties (lees: e- mailadressen) die u bij voorbaat vertrouwt. Daarbij kunt u ook volstaan met alleen het gedeelte na het apenstaartje. Ofwel, alle mail vanaf bijvoorbeeld @uwprovider.nl wordt dan door het cr-systeem bij voorbaat vertrouwd en doorgelaten. Dat is vooral handig bij nieuwsbrieven. Die worden vaak automatisch verzonden door computers. Deze computers zouden niets kunnen met een challenge die ze van uw cr-systeem terug zouden krijgen.

Iets mooier dan de realiteit

Hoewel het cr-principe een interessante techniek is die zich hopelijk verder zal ontwikkelen, kleven er ook wel bezwaren aan.


CONCLUSIE

In de strijd tegen spam zijn cr-systemen absoluut een interessant wapen. Er kleven echter ook bezwaren aan die iedereen voor zichzelf moet beoordelen. Verder zit er kwaliteitsverschil tussen het ene en het andere cr-systeem. Geen enkele fabrikant kan volhouden dat het 100% waterdicht is. Alleen al het feit dat spammers hun technieken voortdurend verbeteren geeft aan dat elk type spamfilter, ook het cr-systeem per definitie achter de feiten aan loopt. 100% waterdicht is onmogelijk.

Is uw interesse gewekt? U kunt verschillende cr-systemen gratis testen:

XToMe:           www.xtome.com/nl/site.htm (Nederlandstalig en gratis voor privé-gebruik)
emailAI:          www.spamresearchcenter.com (Gratis - Engelstalig)
Spam Arrest:  www.spamarrest.com/tryit/ (30 dagen probeerversie - Engelstalig)


Bronnen:

- vorige.nrc.nl/krant/article1567119.ece/Het_laatste_idee_tegen_spam
- linuxmafia.com/faq/Mail/challenge-response.html
- molensky.com/antispam
- www.pcmweb.nl


Meer informatie:

- Een overzicht van de gangbare methoden in de spambestrijding (PDF-document)
- vorige.nrc.nl/krant/article1567117.ece/Mail_versturen_Dat_is_dan_tien_seconden
- email.about.com/cs/spamgeneral/a/challenge_resp.htm