Hi all.
I just sent the below message to Spiegel Online, probably the biggest and
most read German general news site (which does have a special "Internet"
section), in the hope that they are willing to write a follow-up article
on the SPF/Sender-ID issue.
Perhaps one of the German speaking community members could translate my
message into English, or at least write a quick English summary, for the
benefit of the whole community? (Whoever does it, please raise your voice
before starting so duplicate work can be avoided.)
If you're interested in reading the German articles I referred to without
having to buy them (0.50€ each), look here:
http://julian.io.link-m.de/spf/#articles
Julian.
-----Original Message-----
From: Julian Mehnle [mailto:julian(_at_)mehnle(_dot_)net]
Sent: Saturday, 26. March, 2005 03:05
To: spiegel_online(_at_)spiegel(_dot_)de
Cc: frank_patalong(_at_)spiegel(_dot_)de
Subject: Ihre Artikel zu Spam/Absenderfälschung
(Authentifizierungstechnologien "Sender-ID"/"SPF")
Sehr geehrte Spiegel-Online/Netzwelt-Redaktion,
Sie haben in den vergangenen Monaten im Ressort Netzwelt zwei Artikel
veröffentlicht, die sich mit dem Thema Spam und Absenderfälschung beschäf-
tigen:
* Bill Gates: Kurswechsel im Kampf gegen Spam (29. Juni 2004)
http://www.spiegel.de/netzwelt/technologie/0,1518,306341,00.html
* Internet-Sicherheit: AOL setzt auf die Code-Karte (21. September 2004)
http://www.spiegel.de/netzwelt/technologie/0,1518,319053,00.html
Im ersten Artikel berichteten Sie über die Authentifizierungstechnologie
"Sender-ID" von Microsoft, welche auf dem Vorgänger "Caller-ID" basiert,
und über die Standardisierungsbemühungen im Rahmen des Internet-Standar-
disierungsgremiums IETF.
Im zweiten Artikel berichten Sie, dass AOL und andere Unternehmen "sich
nicht der von Microsoft propagierten 'Sender ID'-Initiative anschließen
[werden], die Microsoft zum Patent angemeldet hatte", und dass AOL
"künftig eine 'freie Technik' nutzen [wolle] - sprich: eine patentfreie,
für die keine Lizenzgebühren zu zahlen wären. An einem solchen System
[arbeite] auch die IETF".
Im Folgenden möchte ich einige Ergänzungen anbringen, sowie die weitere
Entwicklung bis zur Gegenwart kurz umreißen.
Als Mitorganisator des SPF-Projekts[1] möchte ich Sie darauf hinweisen,
dass Microsofts "Sender-ID"-Technologie nicht nur auf dem Microsoft-
eigenen "Caller-ID" basiert, sondern sogar zu einem größeren Teil auf der
freien Technologie "SPF" ("Sender Policy Framework"), auf die sich AOL
auch in Ihrem zweiten Artikel bezieht. SPF basiert wiederum auf einigen
vorangegangenen Ideen verschiedener Internet-Technikexperten, existiert
aber im Wesentlichen in seiner jetzigen Form seit 2003.
Wie im ersten Ihrer Artikel schon angedeutet, ermöglichen diese Techno-
logien Domainbesitzern, für jede Domain eine Liste von Rechnern zu
veröffentlichen, die diese Domain in E-Mails als Absenderadresse verwenden
dürfen. Diese Liste (sog. Sender-Policy) kann dann von E-Mail-Empfängern
verwendet werden, um Adressfälschungen zu erkennen. Zwischen 2003 und
heute wurden für über 750.000 Domains derartige Sender-Policies veröffent-
licht, die dem SPF-Verfahren entsprechen.
In der zweiten Hälfte des letzten Jahres gab es nun in der Tat einen mehr-
monatigen Versuch, sich im Rahmen der IETF auf Basis der verschiedenen,
"konkurrierenden" Vorschläge (u.a. SPF, Caller-ID, und später Sender-ID)
im Schnellverfahren auf einen gemeinsamen Standard zu einigen. Zunächst
lief alles (mit Einverständnis des SPF-Projekts) auf den stark auf SPF
aufbauenden Microsoft-Vorschlag Sender-ID zu, bis bekannt wurde, dass
Microsoft einige der über SPF hinausgehenden Elemente seines Vorschlags
zum Patent angemeldet hatte.
Nach erheblichen Uneinigkeiten innerhalb der zuständigen IETF-Arbeits-
gruppe (namens "MARID") darüber, ob ein derart zentraler Anti-Spam- und
E-Mail-Authentifizierungsstandard patentiert sein dürfe, wurde das
Verfahren schließlich abgebrochen und die Arbeitsgruppe aufgelöst.
Seitdem versucht Microsoft, sein Sender-ID-Verfahren alleine durchzusetzen
und hat es erneut zur Prüfung bei der IETF eingereicht. Auch das SPF-
Projekt hat sein freies (unpatentiertes) Verfahren regulär bei der IETF
eingereicht. Wohl da Sender-ID konzeptionell wesentlich auf SPF aufbaut,
hat Microsoft sich nun die Freiheit genommen, auf die vielen bereits
veröffentlichten SPF-Sender-Policies zurück zu greifen, obwohl das
aufgrund leichter Unterschiede in den Verfahren technisch unsauber ist.
Allerdings versucht Microsoft nicht nur, SPF _technisch_ zu vereinnahmen,
sondern auch marketingtechnisch. U.a. wird auf der Microsofts Website[2]
und in einer jungen Presseerklärung[3] der Eindruck erweckt, SPF sei
nichts weiter als ein integraler Bestandteil von Sender-ID, und die
750.000 veröffentlichten SPF-Sender-Policies gehörten effektiv zu
Sender-ID. Das SPF-Projekt wiederspricht dieser Darstellung nachdrück-
lich[4].
Vielleicht möchten Sie nun die Gelegenheit ergreifen, in einem weiteren
Artikel den Sachverhalt etwas näher zu recherchieren und die bisherige
Entwicklung und die aktuelle Situation zu beleuchten. Für Rückfragen
stehe ich Ihnen natürlich gern zur Verfügung.
Mit freundlichen Grüßen,
Julian Mehnle.
Verweise:
1. http://spf.pobox.com, http://spf.mehnle.net
2. http://www.microsoft.com/mscorp/safety/technologies/senderid/technology.mspx
3. http://www.microsoft.com/presspass/press/2005/mar05/03-02SIDFPR.asp
4. http://spf.mehnle.net/Press_Release/2005-03-23.de