Re: im2000 kritik, was Re: wiki?

clemensF <ino-waiting(at)gmx.net> wrote:
> > Oliver Fromme:
>
> > Die beiden »Minuspunkte« für Spammer sind keine. Ein Groß-
> > teil des Spams, der durch meine Filter schlägt, kommt über
> > »legale« Wege von identifizierbaren Absendern. Die sind
> > keineswegs auf »illegale Wege« angewiesen.
>
> aber da muessen sie ja erstmal hinkommen!

Ja, das tun sie ja auch. Was sollte sie hindern?

> du meinst doch relays oder
> mailinglisten oder gefaelschte absender?

Nein, nichts dergleichen. Ganz regulärer Mailversand.

> > 1. Nicht durchsetzbar -- klar. Damit es in der beabsich-
> > tigten Weise wirkt, müßte weltweit SMTP abgeschafft werden.
>
> na dann wart mal ab, bis die naechsten 100 millionen windoof user ans netz
> gehen.

Was für einen Unterschied macht das?

> dann schwitzt du nachbessernd ueber deinen forms und scripten, und

Nö, warum sollte ich.

> > 2. Technisch unpraktikabel. Wie hat man sich das vorzu-
> > stellen, wenn alle Relays abgeschafft werden? Was wird aus
> > den klassischen Store-and-Forward-Netzen (ja, es gibt sie
> > noch!)? Das Internet ist halt nicht das einzige Netz.
>
> die wird es sicher weiter geben, bloss nicht im email bereich.

Wenn Du das glaubst, dann ist Dir nicht klar, wovon die Re-
de ist. E-Mail ist das primäre Medium dieser Netze.

> sieh dir
> doch mal IMAP an, das ist doch schon so aehnlich, wenn auch am falschen
> ende, und kann fast schon so benutzt werden.

IMAP ist ein MUA-Protokoll, kein MTA-Protokoll.

> > Anderes Beispiel: Ich bekomme eine E-Mail von einem Brief-
> > freund in Timbuktu, Burkina Faso oder Nowosibirsk. Die
>
> dein brieffreund? na dann kennst du den ja schon, und schaltest auf
> "automatic retreival"

Wo soll ich das anschalten? Auf meinem Notebook? Das laß
ich doch nicht die ganze Nacht durchlaufen.

Und im »richtigen Leben« kennt man eben nicht immer den
Absender. In vielen Fällen wäre das sogar eher die Aus-
nahme. Man denke zum Beispiel an Support-Centers.

> > Und wie soll die Authentisierung funktionieren? Woher weiß
>
> wie funktioniert sie denn jetzt? mit passwoertern und schluesseln. kein
> unterschied zu IM2000.

Wenn ich einen ISP verwende, passiert sie nur zwischen mir
und meinem ISP. Bei »IM2000« muß ich mich mit tausenden
von unbekannten ISPs herumärgern. Die müssen alle meinen
Public-Key bekommen -- und woher wohl? Soll ich den per
E-Mail hinschicken? :-]

Wenn ich keinen ISP verwende, sondern meinen eigenen Mail-
server betreibe, brauche ich jetzt keinerlei Authentisie-
rung (abgesehen von den lokalen Account-Mechanismen). Die
E-Mails sind einfach »da«.

> > der Mail-Server eines x-beliebigen ISPs irgendwo auf der
> > Welt, für wen eine Mail bestimmt ist, und wie authentisiert
> > sich der Client? Wie willst Du Man-in-the-middle-Attacks
> > und Replay-Attacks verhindern? Schlüsselaustausch? Das
> > möchte ich sehen, bei tausenden von Mailservern und Millio-
> > nen von Mail-Benutzern.
>
> das kann _nur_ so funktionieren!

Wird es aber nicht. Jeder, der einen Mail-Server betreibt,
soll potentiell die Schlüssel von Millionen von Usern vor-
rätig halten? Eine irreale Vorstellung. Und wie gesagt,
wie soll der Schlüsselaustausch in der Praxis funktionieren?

> wie denn sonst? was willst du denn
> machen, wenn du taeglich 1000 spams in deiner mailbox hast? deine mailbox
> verhauen?

Wirksame Filter benutzen.

> > Bei »IM2000« wäre das noch erheblich einfacher: Der Spam-
> > mer muß nur noch eine einzige Kopie der E-Mail bei seinem
> > ISP (oder bei sich selbst) vorrätig halten, und tonnenwei-
> > se Benachrichtigungen verschicken, die ja nur klein sind.
> > Und dann einfach auf die Leute warten, die den Spam abho-
> > len.
>
> und, tun sie das? die leute werden doch auch nicht doofer, bloss weil du's
> hier schreibst.

Das habe ich nicht geschrieben. Wenn ich etwas als doof be-
zeichnen würde, dann dieses unsinnige »Designstudie«.

> nach kurzer zeit faellt zumindest dem ISP auf, dass ein
> erheblich kleinerer prozentsatz von leuten die notifications honorieren und
> den kram abholen.

Und wenn der ISP unter Kontrolle des Spammers steht, oder
zumindest Spammer-freundlich ist? Soll ich dann diesen
ISP ganz ignorieren? Das würde auch dazu führen, daß ich
keine normalen Mails mehr von dort bekommen würde. Gleiches
Problem wie heute.

Es würde vermutlich sogar dazu führen, daß der Versand von
Werbe-Mails eher geduldet wird als heute, schließlich wäre
er ja resourcenschonender.

> > Es kommt noch besser: Da der Spammer die Kontrolle über
> > seinen Mailserver hat, und da er bei einer Mail-Abfrage
> > weiß, wer die Mail abholt (die Clients müssen sich ja ir-
> > gendwie authentisieren), kann er jede E-Mail dynamisch
> > individualisieren, z.B. mit eigener Anrede und Subject
> > versehen. (Bei den heutigen Massenmails, die per SMTP über
> > Relays dupliziert werden, ist das nicht möglich.) Das er-
> > öffnet den Spammern völlig neue Möglichkeiten.
>
> nee. wenn ueberhaupt, muss er das vorher wissen, weil er ja die
> notifications irgendwie ueberzeugend ausfuellen muss.

Wieso ausfüllen, was steht denn da alles drin? Da wird ja
kaum viel drinstehen können, sonst kann er den ganzen Spam
ja schon in die Notification schreiben.

Wobei mir einfällt: Was hindert den Spammer daran, den
Spam schon in der Notification zu verschicken, z.B. in einer
1000-Zeichen Subject-Zeile? Ein Subject muß ja zwangsläufig
in der Notification drinsein.

> bzw, er weiss vorher
> nicht mehr ueber den empfaenger

Er hat die E-Mail-Adresse, das genügt schon für viele
Spielchen.

> und wie soll er unterscheiden, ob eine adresse tot ist oder einfach nicht
> mehr antwortet oder auf urlaub ist?

Er wird ja wohl eine Fehlermeldung bekommen müssen, wenn die
Notification eine ungültige Zieladresse erreicht hat. Wie
will man als Absender sonst wissen, ob sie angekommen ist?

> mit dem heutigen system ganz einfach: er wertet die bounces und auto-
> replies aus. in im2000 kann er lange warten, und mehr auch nicht.

Willst Du damit sagen, daß es in »IM2000« kein Error-
management gibt? Dann ist es eh unbrauchbar.

> > Und es geht noch weiter: Da der Spammer weiß, wer den Spam
> > abgeholt hat, weiß er sofort, welche Mail-Adressen auf je-
> > den Fall gültig sind. Mehr noch: Er kann anhand des (mög-
> > licherweise unfreiwilligen) Feed-backs Benutzerprofile er-
> > stellen. [...]
>
> also, um das mal klar zustellen: im notification verkehr stehen keine
> "profile". nicht mal namen. wozu denn auch?

Aber Adressen, die Personen zugeordnet werden können. Das
genügt völlig, um Verhaltensprofile zu erstellen.

Gruß
   Olli

PS: Hmm, vielleicht besser nach -chat umleiten, da wäre es
evtl. weniger off-topic als hier, glaube ich. :-)

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message