Nieuwe techniek smoort spam in de kiem

Eén van die kenmerken is, dat spam in de regel afkomstig is van computers die slechts één poort open hebben staan: de e-mailpoort. Een voor legitieme doeleinden gebruikte pc heeft altijd meer dan een communicatiepoort open staan. Ook de afstand tussen zender en ontvanger is een bruikbare indicator: spam reist in het algemeen over grotere afstanden dan legitieme mail. Het Autonome Systeem-nummer dat aan de mail hangt, houdt ook een waarschuwing in. Elk onafhankelijk beheerd deelnetwerk op internet krijgt zo’n nummer. Spam blijkt in een groot deel van de gevallen met een handjevol AS-nummers getooid te zijn.

Deze indicatoren zijn door de wetenschappers gecombineerd in een detectiesysteem dat luistert naar de naam SNARE, voor Spatio-temporal Network-level Automatic Reputation Engine. SNARE identificeert 70 procent van de spam, waarbij slechts 0,3 procent ten onrechte als spam wordt gezien. Dat is volgens de onderzoekers vergelijkbaar met bestaande spamfilters. Grote voordeel van SNARE is echter, dat spam met SNARE al aan de poort geweigerd wordt. Het hoeft dus niet verwerkt en opgeslagen te worden, en ook niet bewaard volgens de wettelijke regels die bewaartermijnen stellen aan ontvangen mail. Bovendien kan de efficiëntie in het afvangen van spam vergroot worden door de resterende mail alsnog door een traditioneel spamfilter te laten controleren.

Critici zijn wat minder juichend. Ze hebben wel bewondering voor het feit dat de wetenschappers spam met zo weinig informatie behoorlijk accuraat weten te identificeren. Maar ze verwachten dat spammers de identificatiemethode makkelijk weten te foppen, zodra ze inzicht hebben in de werking van het onderliggende algoritme.

Het is nog onduidelijk of er een algemeen beschikbare versie van SNARE komt. Wel werken bij de ontwikkeling betrokken wetenschappers nu bij Yahoo aan verbetering van diens spamfilter. Ook Cisco zou interesse hebben getoond.