Yahoo sube a los 250 megas y adopta DomainKeys

YahooHacía tiempo que no había novedades en la «guerra de los webmail» que comenzó GMail y que ha producido un efecto en cadena en el resto de sus competidoras. Dos de los puntos clave en la competición de estos servicios son sin duda la capacidad de almacenamiento y la detección del spam o correos no deseados. En ambos Yahoo anuncia novedades inminentes: por un lado las cuentas gratuitas de correo Yahoo pasarán de los 100 megas actuales a 250 megas y por otro adoptarán su propia tecnología DomainKeys para detectar el spam. Medios como CBC News señalan que la subida a los 250 megas se producirá hoy, aunque de momento no se ha hecho efectiva ni en Yahoo Estados Unidos ni en las cuentas «.es».
Con esta medida Yahoo se adelantaría a Hotmail que lleva meses proponiendo subidas a 250 megas sin acabar de hacerlas efectivas, salvo el caso de Hotmail Australia. Además anuncian mejoras en la funcionalidad de búsqueda en los correos, en clara señal a la potencia de GMail en este aspecto. Habrá que estar atentos a lo largo del día para confirmar ambas cosas.

En cuanto a DomainKeys ya hemos hablado mucho de él y de como poco a poco se está haciendo un hueco en detrimento de la propuesta de Microsoft Sender ID. La noticia la daban en Reuters. Curiosamente fue Google el primero en probar con GMail la tecnología DomainKeys a pesar de haber sido desarrollada por Yahoo. Con su uso por parte de Google y Yahoo podríamos empezar a considerar DomainKeys como el estándar de facto de la industria.

A Yahoo le queda aún un punto importante para acercarse a GMail y no es otro que la excelente interfaz del correo de Google (al margen de que habrá que analizar la potencia del nuevo buscador de Yahoo en el correo). Para ello Yahoo compró Oddpost, pero integrar ambas tecnologías lleva su tiempo. ¿llegarán a tiempo a la salida de GMail en abierto?.

Gmail prueba DomainKeys de Yahoo para luchar contra el spam

GMailGMail se ha revelado como uno de los mejores servicios de correo en la detección de spam, pero la gente de Google quiere ir un paso más allá y evitar que se utilicen direcciones GMail para el envío del spam. Es habitual en los spammers utilizar alguna técnica de pishing, es decir, que figure como remitente una dirección de un dominio diferente al utilizado realmente para enviar el correo con spam. Para luchar contra esta técnica y reducir el spam se han ido planteando distintas tecnologías. Entre ellas parecía que iba a conseguir ser declarada estándar Sender ID de Microsoft, pero finalmente fue rechazado por la oposición del software libre. Otra de las alternativas de las que hemos hablado con detalle es DomainKeys de Yahoo, que puede ser la elegida por GMail a tenor de lo mencionado en una lista del IETF referenciada por Slashdot y que indican que ya están haciendo pruebas con la misma. DomainKeys se basa en que cada servidor de correo SMTP que implemente este sistema de Yahoo deberá firmar con su clave privada los correos enviados por sus usuarios, de manera que el servidor que reciba los correos pueda contrastar que el correo proviene del servidor que aparece como emisor. Así para que realmente funcione necesita que los dos servidores (en este caso GMail y el receptor del correo) lo tengan implementado. Cuando al servidor receptor de correo le llegue un email con dirección remitente perteneciente a GMail comprobará que está firmado por el aútentico servidor de GMail (DomainKeys utiliza RSA). De esta manera DomainKeys es transparente al usuario.

En principio sólo son pruebas, no por ello esta tecnología de Yahoo sea la finalmente elegido por GMail. Tras el rechazo de SenderID, era de esperar que Google no fuese a salvar a la tecnología de Microsoft, aunque este movimiento es probable que abra el mismo debate respecto a DomainKeys desde el software libre.

Sender ID rechazado como tecnología antispam

MicrosoftDesde aquí hemos seguido la andadura de la llamada tecnología Sender ID de Microsoft desde su génesis. Esta Sender ID comenzó llamándose Caller ID y es un mecanismo para luchar contra el spam a modo de plug-in en el servidor de correo, que permitirá autenticar que el servidor del emisor del email es quien dice ser. Así se logra un método eficiente para rechazar correos emitidos por los motores SMTP de virus y gusanos y evitar la técnica del phishing utilizada por la mayoría de los spammers.

Desde el principio las intenciones de Microsoft eran las de plantearlo como estándar para la industria por lo que lo enviaron a la IETF para su aprobación. En el proyecto intervino al principio Sendmail y por el camino se dió la convergencia de Caller Id con SPF de Pobox, motivo por el cual la tecnología resultante pasó a llamarse Sender ID. Sin embargo los propósitos de Microsoft no sólo no han cristalizado sino que prácticamente podríamos decir que Sender ID es una propuesta que nace muerta. De entrada desde el software libre se rechazó Sender ID, grupos como Apache o Debian advirtieron que no estaban dispuestos a adoptar la tecnología de Microsoft. ¿Los motivos? La licencia de Sender ID, aunque garantiza que no se exije ni se exigirán contraprestaciones económicas para licenciar el producto, es incompatible con la GPL al reservarse Microsoft la patente exclusiva, con lo que no podría haber implementaciones libres de Sender ID.

Pero eso no es todo, apenas una semana después, la IETF ha rechazado como estándar el mecanismo de Microsoft. Precisamente ha sido el hecho de guardarse la patente y que no pueda haber soluciones libres basados en Sender ID han sido las razones (vía News.com). Decisión importante y acertada en favor de los sistemas abiertos y de la interoperabilidad en un sector, el lado del servidor, inundado de productos libres (Apache, Mysql, distintas distribuciones libres de Linux, JBoss, Sendmail, etc…).

Pero muchas veces la industria va por un lado y los estándares por otro. Así a Microsoft le queda intentar vender su Sender ID a la mayor cantidad de proveedores de correo e intentar convertirlo en un estándar de facto. No obstante también este camino parece difícil, son ya muchos los actores importantes en la red que rechazan este extremo, el último ha sido AOL (vía InternetWeek), que prefiere quedarse con el anterior SPF.

Puestas así las cosas a Redmon le queda o luchar contra todos, y esta vez tiene todas las de perder, o donar su patente al software libre. Una pequeña victoria cuando todas las reglas, léase legislación norteamericana sobre patentes software, favorecían lo contrario.

El software libre frente a SenderId

Hay que reconocer a Microsoft como uno de los agentes que con más fuerza se enfrenta al spam. En la mayoría de las ocasiones la hemos visto actuar a su estilo, es decir en los juzgados, pero de un tiempo a esta parte ha centrado sus esfuerzos en desarrollar mejoras tecnológicas en la lucha frente al correo no deseado. Así, trabaja en un mecanismo basado en listas blancas para Hotmail y comenzó a plantear su CallerId como estándar en los servidores de correo. Para esta aventura consiguió un socio de lujo, Sendmail, desarrolladora del software que funciona en la mayoría de los servidores de correo actuales, existiendo versiones comerciales y libres de SendMail. De cara a asegurarse la aceptación como estándar, Microsoft negoció la convergencia de Caller Id con SPF de Pobox, propuesta anterior, dando lugar a Sender Id, actual objeto de discordia.

Para entender la dimensión de la polémica hay que tener en cuenta le importancia del software libre en el lado del servidor. Productos como Sendmail o Apache son líderes en sus sectores y la adopción de un estándar para erradicar el spam necesariamente habría de pasar por su implementación por parte de estos grupos. Pero el tema es que Microsoft ha patentado Sender Id. Eso sí, garantiza que no exije ni exigirá contraprestaciones económicas para licenciar Sender Id. Desde el punto de vista de la empresa de Redmon han hecho dos concesiones: han ofrecido su producto como estándar y le han aplicado una licencia por la que se garantiza que nunca podrán exigir dinero por licenciarla. Pero la patente es suya.

Y es en este punto donde empiezan los problemas. Como cuentan en eWeek, Sendmail ya ha realizado una primera implementación de [b»>Sender Id[/b»>, pero sin solicitar licencia a Microsoft, sino bajo licencia Sendmail Open source licence. En cambio, la ASF (Apache Software Foundation), ha rechazado que ninguno de sus proyectos implemente Sender ID, incluyendo con ello al cada vez más popular software antispam, SpamAssassin. La razón la encontramos en voces como la de Stallman, vía Newsforge, que señala la incompatibilidad de la licencia de SenderId con la GPL, con lo que no podría haber implementaciones libres de SenderId.

El movimiento de Microsoft no puede entenderse como desinteresado o neutro, sino como un nuevo intento para competir con el software libre acercándolo a su terreno. Mucho hemos hablado sobre las las patentes software, su efecto contra el software libre y el potencial uso que podría hacer Microsoft con ellas. No obstante, aunque la FSF se ve con malos ojos el movimiento, desde sus vecinos de la Open Source resaltan, en palabras de su presidente Eric Raymond, que las concesiones de Microsoft son una victoria.

Ahora pueden suceder tres cosas: SenderId se queda en el camino, es adoptado incluso por proyectos de software libre como Sendmail como un plugin no libre o Microsoft lo libera. De momento nos encontramo en un callejón sin salida. Un cruce de caminos tanto para Microsoft y sus esfuerzos para competir con el software libre, como para las comunidades del software libre y del open source ¿divide y vencerás? y del interés de Sendmail por continuar en la cabeza de su mercado.

SPF y Caller-ID convergen como tecnología antispam

En los últimos días hamos asistido a un aluvión de propuestas para luchar contra el correo basura. Si bien SPF de Pobox existe desde hace tiempo, Yahoo propuso su DomainKeys y sin que pasara una semana Microsoft anunció Caller-ID, ambas propuestas emitidas al grupo MARID de la IETF, creado para elaborar una especificación que dotara al protocolo de envío de correo SMTP soporte la autentificación del emisor. Como vimos en la la presentación de ambos, Yahoo y DomainKeys proponen el uso de mecanismos de firma digital por los servidores de correo y Microsoft y Caller-ID el uso de un identificador universal de los servidores que se encontraría en las cabeceras de los mensajes. SPF se parece mucho a Caller-ID. Autentica el que dice ser emisor del correo con las IP de los servidores de los que dice proceder, es decir, si alguien me enviara un correo desde GMail, mi servidor de correo con SPF compararía la IP desde la que viene el mensaje con la de los servidores de GMail. En principio la idea no es mala, pero tiene dos «peros» importantes: no funciona bien con el reenvío de correos ni con los subdominios, además de no chequear las cabeceras del correo, sino digamos «el envoltorio».

Complementándose con Caller-ID son una solución más completa para el pishing o suplantación de identidades en los correos y de forma indirecta contra el spam. Lo más probable es que esto lastre las posibilidades de DomainKeys, pero es posible que la solución final adopte características de los tres.

Microsoft plantea como estándar contra el spam a Caller ID

Si hasta hace unos días podíamos hablar de la guerra contra el spam, ahora ya podemos hacerlo sobre la guerra por la guerra contra el spam. Así, durante esta semana, Yahoo propuso como estándar contra el spam su DomainKeys, envíandolo como propuesta a la IETF, ahora es Microsoft la que hace lo mismo, pero con su tecnología Caller ID. Al igual que DomainKeys, Caller ID trata de autenticar el servidor emisor del correo, de manera que el spammer no pueda atribuirse un servidor distinto al que realmente utiliza. Por tanto, se trataría de una tecnología perfecta contra el «pishing», el hacerse pasar por otro para engañar al receptor del correo, e indirectamente también contra el spam, en tanto en cuanto, se podría trazar con mucha precisión el origen del spam y de esta manera filtrar los servidores fuentes del mismo. Al contrario que la propuesta de Yahoo, en Caller ID no hay firma digital de los correos ni uso de clave pública. En Caller ID, los servidores de correo compartirán un identificador (no será a través de DNS como hasta ahora) que los distinga unívocamente, de manera que el servidor receptor pueda reconocer si el emisor es dicho servidor o cualquiera de los motores SMTP que incorporan los modernos gusanos y virus. De igual forma, los servidores detectados como fuente masiva de spam, podrán ser mucho más fácilmente filtrados por los administradores del resto.

¿Cuál propuesta sería más eficiente? Es difícil saberlo, ambas parten del mismo concepto siguiendo un camino diferente. ¿cuál tiene más posibilidades de imponerse en el mercado? Tanto Caller ID como DomainKeys se articulan como un plugin en el servidor de correo, de forma transparente al usuario y no habría problema alguno para que convivieran en el mismo. Ahora bien, parece muy complicado que los administradores de estos sistemas utilicen de forma redundante dos tecnologías que hacen lo mismo. Es más, hay una tercera alternativa llamada SPF, con cierta penetración en el mercado. News.com comenta el apoyo de AOL a SPF, pero AOL también afirma estar «testeando» Caller ID de Microsoft. Es más, Microsoft, según cuenta InfoWorld ya trabaja en una especificación que integre Caller ID y SPF.

Sea quien sea el que resulte vencedor, me llaman poderosamente la atención dos factores. Uno es el fracaso de la unión que sellaron tanto Yahoo como Microsoft y AOL para consensuar un estándar común en la lucha contra el spam. Otra, es la vía mediante la cual estos gigantes plantean la estandarización de una tecnología a adoptar por software de terceros que funciona en los servidores de correo. No se trata de esbozos ni trabajos abiertos al desarrollo, sino de estándares ya terminados que, eso sí, permiten ser implementados por cualquiera. En definitiva, el problema del año en Internet es el SPAM y, entiende uno, seguirá siéndolo por aquello del «divide y vencerás».

Yahoo propone su DomainKeys como estándar anti-spam

Yahoo ha presentado de forma oficial su tecnología Domainkeys, una arquitectura para luchar contre el spam, que Yahoo propone como estándar y cuya documentación ya ha remitido a la IETF para que sea reconocida como tal. La idea fundamental que hay detrás de Domainkeys es la de autenticación de servidores de correo entre sí mediante un mecanismo de clave pública. Cada servidor de correo SMTP que implemente este sistema de Yahoo deberá firmar con su clave privada los correos enviados por sus usuarios, de manera que el servidor que reciba los correos pueda contrastar que el correo proviene del servidor que aparece como emisor. De esta manera, para que Domainkeys sea efectivo, ha de ser adoptado por los dos servidores de correo, siendo todo el proceso transparente al usuario. Así el mecanismo ingeniado por Yahoo precisa ser adoptado por el software que actúa como servidor en los servicios de correo (sendmail, qmail) y el hacer público en DNS la clave pública (la generación del par clave pública/clave privada queda en el terreno de los administradores del servidor). DomainKeys utiliza RSA y al usar los DNS para acceder a las claves de los servidores, no precisa de una autoridad certificadora, como ocurre con la firma digital. Resumidamente podemos decir que el invento de Yahoo consiste en contrastar que la información recibida en la cabecera SMTP From: domain de un correo es auténtica.

Ante esta tecnología que Yahoo propone como estándar, cabe preguntarse dos cosas: sí seré efectiva en la lucha contra el spam y qué efectos adicionales tiene. Ante la primera, hay que señalar que Domainkeys autentica a nivel de servidor y no de usuario. Impide de forma directa que alguien declare en un correo que proviene del servidor «error500.net» si no proviene realmente de él. Eso de entrada es un avanze contra el denominado pishing, técnica de fraude por Internet que consiste en falsear la identidad de una institución de confianza para obtener datos e información del usuario. Contra el spam puede ayudar de forma indirecta y sólo si el sistema se adopta de forma generalizada, ya que permite trazar los servidores desde lo que realmente se envía el spam. No obstante habría que tener precaución en las políticas en torno a este mecanismo, ya que al ser a nivel de servidor y no de usuario, que haya spammers que utilicen el mismo servidor SMTP, llevaría a que este fuese señalado, perjudicando a los usuarios no spammers.

Ante la segunda pregunta, sobre si Domainkeys tendrá otros efectos, pues bien, de acabar implantándose por los servidores más importantes, aquellos otros que no lo adopten verían rechazados sus envíos a los primeros. Al publicarlo Yahoo como estándar no hay, en principio, ninguna dificultad para que los programas servidores de correo no lo añadan.

En todo esto queda por ver la reacción de Microsoft. La propuesta de Microsoft era el llamado CallerID, que prepara junto a SendMail. Además para Hotmail trabaja en un mecanismo de listas blancas junto a IronPort. Parece poco probable que apuesten por una tecnología de Yahoo por muy estándar que sea, los próximos días caerá alguna noticia de los de Redmon, si no, al tiempo.

Microsoft, IronPort y las listas blancas para luchar contra el spam en Hotmail

Microsoft ha anunciado (ver InfoWorld) la adopción de la tecnología de la empresa Ironport para luchar contra el spam en sus servicios de correo Hotmail y MSN. Ironport proveerá de su Bonded Sender, programa de certificación de correos electrónicos basado en «listas blancas», es decir, listados de remitentes que han acreditado su identidad al sistema mediante la obtención del correspondiente certificado. A partir de ahora las empresas que deseen enviar su publicidad a correos Hotmail tendrán que adquirir el certificado de Microsoft e IronPort (hay que pagar una consigna por ello) y suscribir un conjunto de «buenas prácticas» en el envío de publicidad por Internet.

Aunque no dejará de haber quien vea esto como una manera de obtener más ingresos a través del servicio gratuito que es Hotmail y de legalizar algunas formas de spam o correo no deseado por parte de Microsoft, lo cierto es que dependerá de lo que se exija a los emisores como «buenas prácticas». Si el inscribirse en Bonded Sender exige que la empresa anunciante incluya en sus correos un enlace para no recibir más propaganda y en el sistema es posible para el usuario designar como spam correo publicitario no solicitado, de manera que tras un mínimo de designaciones el emisor quede fuera de las «listas blancas» de emisores fiables, entonces podríamos estar ante un mecanismo efectivo y, sobre todo, libre de los «falsos positivos» detectados por muchos filtros antispam. La consigna sólo se la cobrarían en caso de que una compañía que hubiese adquirido la certificación se saltara estas buenas prácticas. Ironport añade que la actividad de las empresas será monitorizada por TrustE, organización independiente de ella y Microsoft.

En definitiva, habrá que conocer en mayor profundidad este nuevo «impuesto a los spammers» de Microsoft, que abre así otro camino a su lucha particular contra el spam, tras aquello del caller-id que inició con SendMail. Ahora que Google amenaza con su GMail la existencia del resto de servicios de correo por web, no es de extrañar algún golpe de efecto de Microsoft para reforzar Hotmail.

Demanda a spammers por no alargarle el pene

Leer el spam en muchas ocasiones puede resultar entretenido (el daño económico y las molestias que ocasiona desde luego que no), refleja todo un mundo de posibilidades tentadoras. Así trabajaría desde casa haciéndome rico, poseería varios títulos universitarios sin ir a clase y por supuesto, el clásico del spam: tendría un largo pene. Jeffery Norton era un californiano al que esta idea le sedujo y presto compró una medicina milagrosa que le había llegado mediante esta publicidad no solicitada. Pero, cosas de la vida, el ung

Redmond, tenemos un problema.

Doscientos correos diarios infectados. No es que llegue spam o que en un arrebato de locura me haya suscrito a la lista de correo sobre la boda del príncipe y Letizia Ortiz, nada de eso. Se trata de los efectos que el gusano MyDoom está teniendo sobre mi cuenta y que mi proveedor de correo comparte con llenados de buzones y sobrecarga en el sistema. Y no sólo eso, la cantidad de recursos consumidos por MyDoom supera con creces lo ofertado como recompensa si se captura a los autores.

Eso no es todo. Al navegador más utilizado, Internet Explorer, se le ha encontrado un nuevo agujero de seguridad. Unido a los que ya tenía, lo convierten en la mejor arma de nuestros enemigos, la pléyade de crackers que está deseando tentarnos con páginas y descargas que, lejos de dar lo que prometen, esconden virus y dialers con los que arruinarnos el sistema, espiarnos o conseguir que conectemos a través de un 806, generándoles ping?es beneficios.

El problema así presentado, podría interpretarse como la inseguridad de Internet o la necesidad de un mayor control sobre los contenidos y mecanismos que en ella operan. Pero la realidad no es esa. Se trata de la inseguridad de ciertos productos y tecnologías cuya utilización generalizada ha desembocado en que la red sea más noticia por sus peligros para los usuarios que por las posibilidades que ofrece. ?y de quién son esos productos? Microsoft, sede en Redmon, desarrolla muchos de ellos.

Nunca había estado el gigante tan débil. Ciudades y países enteros se plantean migrar el software de sus administraciones a software libre, LongHorn, su próximo sistema opeartivo, se retrasa y en la red, Explorer y OutLook son un homenaje a los fallos en seguridad. En este último aspecto, la transición sin trumas está cada vez más fácil, gracias a la magnífica evolución del navegador Mozilla; en el tema del sistema operativo, ya no es tan sencillo. Aún lejos de la aceptación por el gran público, Linux en el escritorio se plantea como uno de los debates tecnológicos más interesantes del 2004.

Dejando esos debates para mejor ocasión y volviendo al tema de la seguridad, Microsoft ha perdido el norte. Sus últimas recomendaciones ante los continuos problemas de seguridad llegan al extremo de recomendar no hacer clic en los enlaces. Uno, que en su vida ha leído numerosas estupideces y majaderías, se sigue quedando de piedra ante la caradura de semejante recomendación. Viene a ser el equivalente a que un fabricante de coches solicitara conducir por línea recta si su vehículo tuviese fallos en los mecanismos de dirección.

Muchas veces se afirma que la tecnología Windows es la más atacada por los hackers y crackers, detalle cierto, todo sea dicho. Pero eso no debe valer como excusa si se quiere ser el líder de software para Internet y el sistema más utilizado del mundo. Microsoft necesita mejorar de forma urgente en seguridad si no quiere asistir a una fuga de usuarios, los más avanzados y que arrastarán al resto, los primeros. Tiemblo ante la idea de que sus productos sean adoptados por la industria del móvil.