Oenig skräppostbekämpning

2005-09-15

Skräppost bekämpas efter konstens alla regler. Vissa lösningar är riktigt lyckade, men flertalet lösningar finns det betydligt mer att önska av. Fokuseringen är nästan uteslutande att ge den egna organisationen, mottagaren, en sådan dräglig miljö som möjligt utan att för den skull hindra att den önskade mailen når fram.

Ytterliggare en dimension i detta är att addera de krav som ställs på offentlig sektor, främst med sikte på förvaltningslagen, tryckfrihetsförordningen och arkivlagen. Statskontorets ansats till vägledning i spambekämpning har rätat ut många frågetecken, men samtidigt har den bidragit till att antalet tolkningar i ämnet är desamma som innan vägledningen presenterades.

Gemensamt för de flesta lösningar är att man i många fall helt har glömt bort avsändaren. Hur vet avsändaren att ett mail nått mottagarens mailserver? Hur vet avsändaren om ett mail gallrats bort? Man kan tycka att det är självklart att man löser detta inom ramen för SMTP-dialogen, men sanningen är tyvärr numera en helt annan. Idag kan ett mail traditionsenligt accepteras med “250 OK” men lydelsen är inte längre att mottagaren, eller den part som mottagaren delegerat ansvaret till, har accepterat det inkomna mailet och tagit ansvar för detta. Det kan lika gärna betyda att ditt mail inte tagits emot.

Vart är vi på väg? Vi har börjat göra avkall på etablerade standards i vår desperata jakt på framför allt virus och skräppost. Detta trots att vi inte behöver våldföra oss på etablerade standards för att erhålla ett förträffligt skydd. Tvärtom kan de etablerade standarderna för DNS, SMTP, MIME mfl bidra till att förbättra skyddet utan att påverka önskad mail.

Ett accepterat mail med “250 OK” måste återfå sin betydelse. Alla kontroller av ett inkommet brev måste ske innan ett mail accepteras. Om ett mail avvisas bör det självfallet framgå varför brevet avvisas och hur man går till väga om man anser att mailet felaktigt avvisats. På så sätt bidrar man till att inte ytterliggare mail genereras och avsändare blir klart informerad att ett mail inte nått fram. För en myndighet är det här den självklara myndighetsgränsen, eller som det ibland benämns “nått den funktion för automatiserad behandling som myndigheten har anvisat som mottagningsställe”.

Slutligen är det hög tid att man bestämmer sig för vad som menas med ett textmeddelande i prop 2002/03:62 (förarbetet till ändringen av §5 i förvaltningslagen). Allt fler menar att det går att tolka så att en myndighet bara behöver acceptera mail formaterade såsom MIME Content-Type=text/plain. En sådan tolkning skulle bespara ansenliga mängder av skattekronor då näst intill all skräppost har en annan formatering. En sådan tolkning skulle givetvis på sikt innebära att även den privata sektorn kan dra samma slutsatser och därmed göra samma stora besparingar.

© 2005 Thomas Nilsson, Certezza AB