질문-응답 스팸 필터링

챌린지-응답(또는 C/R) 시스템은 수신 전자우편의 (알림) 발신인에게 챌린지와 함께 자동으로 회신을 보내는 스팸 필터의 일종이다. 원래 스탠 웨더비에 의해 1997년에 설계되었으며, 이메일 검증이라고 불렸다. 이 회신에서, 보고된^[a] 발신인은 원본 메시지의 전달을 보장하기 위한 어떤 조치를 수행하도록 요청받으며, 그렇지 않으면 전달되지 않을 것이다. 일반적으로 한 번 수행하는 작업은 비교적 적은 노력이 필요하지만 많은 횟수로 수행하는 데는 큰 노력이 필요하다. 이것은 효과적으로 스팸 발송자를 걸러낸다. 챌린지-응답 시스템은 알려지지 않은 송신자에게만 과제를 전송하면 된다. 이전에 도전적인 작업을 수행한 적이 있거나 이전에 전자우편을 보낸 사람은 자동으로 화이트리스트에 추가된다.

챌린지 대응 시스템의 과제

C/R 시스템은 합법적인 송신자에게 쉽게 이행될 수 있는 도전과 스팸 발송자에게 용이하지 않은 도전을 제공하려고 시도한다. 합법적인 송신자와 스팸 발송자가 다른 두 가지 특성을 이용하여 이 목표를 달성한다.

합법적인 송신자는 유효한 반송 주소를 가지고 있는 반면 스팸 발송자는 대개 반송 주소를 위조한다. 이것은 대부분의 스팸 발송자들이 도전을 받지 못하게 되어, 그들이 필요한 어떤 조치도 자동으로 실패하게 된다는 것을 의미한다.
스팸 발송자는 이메일을 대량으로 보내고 많은 수의 도전적인 행동을 해야 하는 반면, 합법적인 발송인은 새로운 이메일 접촉 때마다 최대 한 번에 수행해야 한다.

아래는 이러한 차이를 이용하거나 이용하기 위해 사용할 수 있는 과제의 예들이다.

단순히 도전적인 메시지에 (수정되지 않은) 답장을 보내는 것.
웹 URL을 포함하는 챌린지. 도전에 응답하기 위해 적절한 웹 검색 도구에 로드할 수 있으므로 링크를 클릭하기만 하면 도전에 응답할 수 있다.
회신에 특수 문자열 또는 암호 코드를 포함하여 회신 방법에 대한 자연어 지침을 읽어야 하는 과제. 예를 들어, 날짜 문자열(예: 'Thu 1월 12일 08:45:44 2012')을 해당 타임스탬프(1326379544)로 변환하는 경우. 다른 튜링 테스트 방법에는 간단한 문제 또는 텍스트 또는 수신인에 대한 간단한 질문에 대한 답변이 포함된다.
시스템은 자동차 대응이 매우 어려운, 또는 심지어 해결되지 않은 인공지능 문제를 만들어내려고 시도할 수 있다. 한 가지 예(많은 웹 사이트에서도 발견됨)는 "CAPtCHA" 테스트로, 발신인은 단어나 구가 포함된 이미지를 보고 텍스트로 해당 단어나 구문을 사용하여 응답해야 한다.

오늘날 C/R 시스템은 스팸 발송자들이 도전에 (자동으로) 반응하는 것을 귀찮게 할 정도로 널리 사용되지 않는다. 따라서, 일반적으로 C/R 시스템은 스팸 발송자가 그러한 자동 응답자를 구축한다면 더 복잡해질 수 있는 단순한 도전에 의존한다.

C/R 시스템에 대한 권장 사항

C/R 시스템은 이상적으로 다음을 수행해야 한다.

사용자가 대기열의 메시지를 보고 작업할 수 있도록 허용.
다음 요구 사항 및 권장 사항 준수 RFC 3834.^[1]
"태그된" 주소를 만들거나 또는 두 가지 중 하나에 배치된 암호 코드를 허용하는 것을 포함하여 ^[2]브래드 템플턴이 유지한 원칙의 세부 목록을 준수하십시오. Subject: 머리글 또는 메시지 본문 - 어떤 것이든 도전받지 않고 메시지를 받아들일 수 있도록 한다. 예를 들어, TMDA 시스템은 다음을 허용하는 "태그된" 주소를 생성할 수 있다.
- 특정 주소에서 보낸 우편물
- 특정 "필수"가 들어 있는 메일
- 온라인 주문과 관련된 서신을 허용하기 위해 미리 정해진 기간 내에 발송되는 메일. 그러나 이후 만료되어 향후 마케팅 전자우편을 허용하지 않는 메일.

다음과 같은 경우에만 문제가 전송되는 경우 위조 이메일 주소로 문제를 보내는 문제를 줄일 수 있다.

메시지 헤더가 올바르게 구성됨
연결된 도메인이 있는 IP 주소에서 메시지가 전송됨
서버가 인사말 시험을 통과했다.
서버가 그레이리스트링 테스트를 통과했다.
원본 IP 주소가 신뢰할 수 있는 블랙리스트에서 찾을 수 없음
보낸 사람의 이메일 주소는 SPF와 DKIM과 같은 기술을 사용한 이메일 인증 테스트에 실패하지 않았다.

비평

C/R 시스템을 비판하는 사람들은 전자 메일 방어로서의 그것의 합법성과 유용성에 대해 몇 가지 문제를 제기해 왔다.^[3] 메일링 리스트 관리자, 휴가 프로그램 및 메일 서버의 바운스 메시지를 포함하여 전자 메일에 자동 응답하는 모든 프로그램과 관련된 문제들이 많다.

위조된 전자 메일 주소로 전송되는 문제

스팸 발송자는 존재하지 않는 가짜 주소를 발송인 주소로 사용할 수 있다(단, 다음 주소에서). From: 필드)는 전자우편 헤더에 있지만 위조된 기존의 발신인 주소(유효하지만 이 사용자의 동의 없이 임의의 사용자의 주소)를 사용할 수 있다. 예를 들어 콜백 검증이 스팸을 탐지하는 데 더 많이 사용된다면 후자는 점점 더 흔해질 것이다. 위조된 발신인 주소로 메시지에 도전하는 C/R 시스템은 주소가 위조된 사람에게 새로운 메시지로 도전을 보낼 것이다. 이렇게 하면 전자 메일 백스캐터가 생성되어 스팸을 받았을 사람에게서 주소가 위조되고 수신 시스템에 의해 다른 UBE(미요청 대량 메일)와 동일하게 취급되어 메일 서버의 블랙리스트 작성이나 DNSBL 상장으로 이어질 수 있다. 게다가 위조된 발신자가 도전의 유효성을 확인하기로 결정하면 C/R 사용자는 어쨌든 스팸을 수신하고 위조된 발신자 주소는 화이트리스트가 된다.

분명히 바람직하지 않은 부작용이지만, 만약 스팸에서 위조 주소로 사용된 이메일 주소를 가진 사람들이 직접 C/R 시스템을 실행한다면, 이 문제는 존재하지 않을 것이다. 이 경우, C/R 사용자 중 한 명이 어떤 형태로든 반송 주소 서명(Bounce Address Tag Validation 등)을 구현하여 문제가 해결되도록 해야 한다. 또한, 만약 SPF나 DKIM과 같은 시스템이 보편화된다면, 위조 발송인 주소는 C/R 시스템에 도달하기 전에 이들 시스템에 의해 인식될 것이다.

C/R 시스템을 속여서 스팸 릴레이가 되는 경우도 있다. 유용하게 쓰이기 위해, 도전하는 메시지의 일부는 일반적으로 도전 메시지에 포함되어 있다. 스팸 발송자는 시스템을 사용하여 C/R에 발송한다는 사실을 알고, "스팸 페이로드"가 질문 메시지에 포함된 메시지의 일부에 포함되도록 메시지를 설계할 수 있다. 이 경우 위조된 송신자는 스팸의 실제 수신자가 되고, C/R 시스템은 자신도 모르게 중계자가 된다.

사회문제

C/R 시스템에 의해 보호되는 일반적인 전자 메일 주소를 배포하면 해당 주소로 메일을 발송하는 사용자에게 문제가 발생한다. 일부 C/R 비평가들은 사람들에게 당신의 이메일 주소를 준 다음 그들이 당신에게 메일을 보내기 전에 도전 과제에 답하도록 요구하는 것을 무례하다고 생각한다.^[3]

C/R 시스템을 옹호하는 사람들은 부수적인 도전의 '부담'을 훨씬 능가하며, 이메일 발송자에게 어떤 종류의 부담을 주지 않고는 스팸에 대한 최종 해결책이 결코 없을 것이라고 주장한다. 그들은 C/R 시스템의 사용이 널리 확산될수록, C/R 시스템의 이해와 수용과 감상을 더 많이 받는다고 생각한다. 스네일 메일과 유사하게, 발신자는 우표를 지불할 준비가 되어 있고, 발신자는 발신 전화와 유사하게 지불할 준비가 되어 있다.

메일링 목록 또는 기타 자동 메일러와의 상호 작용

일부 C/R 시스템은 메일링 목록 소프트웨어와 좋지 않은 상호작용을 한다. 메일링 리스트에 가입한 사람이 C/R 소프트웨어를 사용하기 시작하는 경우, 메일링 리스트의 포스터는 챌린지 메시지로 직면할 수 있다. 온라인 쇼핑 시스템의 주문 확인, 청구 명세서 및 배송 통지는 보통 자동화된 시스템을 통해 전송된다. 이러한 시스템으로 전송되는 전자 메일 문제는 손실될 수 있으며, 이러한 시스템에 의해 전송되는 합법적인 메일이 C/R 시스템 사용자에게 전달되지 않을 수 있다.

C/R 시스템을 옹호하는 사람들은 C/R 시스템 뒤에 있는 최종 사용자가 다음과 같은 간단한 일을 할 경우 이러한 문제에 대한 해결책이 존재한다고 주장한다.

메일링 목록 주소를 구독하는 즉시 수동으로 화이트리스트를 작성하십시오. 참고: 많은 전자 메일 그룹의 경우, 새 구성원은 "환영" 전자 메일을 수신한 후에야 그룹의 주소를 알 수 있으므로, 이 권장 사항을 사용할 수 없게 된다.
C/R 시스템에서 자동으로 인식되고 지워질 수 있는 위의 메일 목록이나 자동 메일러에는 '태그된 이메일 주소'를 사용하십시오.
C/R 시스템이 자동 메일러로부터 예상된 메시지를 보관하는 경우 메시지 큐를 수동으로 검사하고 C/R 프로세스를 재정의하십시오.

잘못된 긍정

C/R 옹호자들은 그러한 시스템이 요청되지 않은 대량 전자 메일을 자동으로 필터링하는 다른 시스템보다 잘못된 긍정의 비율이 낮다고 주장한다.^{[citation needed]}

비평가들은 C/R 시스템의 일반적인 사용자들이 여전히 정기적으로 그들의 도전 메일을 검토할 필요가 있다고 주장한다. 비거품 메일이나 발신자가 도전에 응답하지 않은 요청된 대량 메일을 찾는다.^{[citation needed]} 이 문제는 뉴스레터, 트랜잭션 메시지 및 기타 요청된 대량 전자 메일에서 특히 두드러지는데, 이러한 발송인은 보통 메일에 대한 도전을 확인하지 않기 때문이다. 그러나 문제가 된 대량 이메일을 요청했다면 C/R 사용자는 이를 화이트리스트에 추가했을 것으로 예상할 수 있다. 대량 전자 메일이 요청되지 않은 경우, 정의상 스팸이며^{[citation needed]}, C/R 시스템에 의해 필터링된다.

구현

태그 지정된 메시지 배달 에이전트
채널 e-메일 <- 회신을 원할 뿐, 실제로 사용자가 인간인지 확인하려 하지 않는다(즉, 합법적인 e-메일을 사용하지 않고 값비싼 처리를 요구하지 않는 스팸 발송자를 제거한다).
IBM이 개발한 FairUCE^[4]("미요청 상업용 전자우편의 공정한 사용")는 일련의 캐시된 DNS 검색을 사용하여 메일을 배달하는 클라이언트의 도메인 이름과 IP 주소를 연결하는 관계를 찾으려고 노력했다. 관계가 발견될 수 있는 경우, FairUCE는 수신인의 화이트리스트와 블랙리스트 및 도메인의 평판을 확인하여 사용자에게 허용, 거부, 평판에 대한 도전 또는 화이트리스트/블랙리스트 옵션 세트를 제공할 것인지 여부를 결정하였다. 2010년 현재, 이 프로젝트는 "퇴직된" 기술로 등록되어 있다.

메모들

^ #위조 이메일 주소로 전송되는 문제를 참조하십시오.

참조

^ RFC 3834: 전자우편 자동응답 권장사항
^ Templeton, Brad. "Proper principles for Challenge/Response anti-spam systems". Retrieved 13 June 2014.
^ ^a ^b Schryver, Vernon. "Challenge/Response systems considered harmful". Retrieved 13 June 2014.
^ "Legacy Communities - IBM Community".

외부 링크

SpamHelp Challenge/Response Services 질문/Response 필터링 서비스 공급자 목록
2007년 3월 22일 월스트리트 저널의 월트 모스버그가 스팸 필터로는 충분하지 않을 때
챌린지-응답이 왜 나쁜 아이디어인가 2006년 7월
챌린지-응답 시스템을 통해 문제 해결 2006년 2월
2003년 12월 29일 유해하다고 간주되는 질문-응답 안티스팸 시스템
존 레빈: 2003년 5월 스팸만큼 유해한 챌린지 대응 시스템
2003년 5월 챌린지-응답에 대한 도전적 대응
당면 과제에 대해 알아야 할 사항 – 응답 스팸 필터 2003

[1] #위조 이메일 주소로 전송되는 문제를 참조하십시오.

[2] RFC 3834: 전자우편 자동응답 권장사항

[3] Templeton, Brad. "Proper principles for Challenge/Response anti-spam systems". Retrieved 13 June 2014.

[Schryver-4] Schryver, Vernon. "Challenge/Response systems considered harmful". Retrieved 13 June 2014.

[5] "Legacy Communities - IBM Community".

[a]

[1]

[2]

[3]

[4]

Search