Roskapostin määrä romahti

Roskapostin määrä on alkuvuoden 2011 aikana romahtanut lukemiin, joissa se ei ole ollut vuosiin. Syynä on ilmeisesti Rustock-nimisen botnetin koordinoitu alasajo. Uutinen aiheesta esimerkiksi täällä.

Sama ilmiö on nähtävissä Helsingin yliopistolla, tosin pudotus taisi alkaa jo vuoden 2010 puolella:

Mistä tunnet sä kalasteluviestin?

Yliopistolle lähetetyt, melko tarkkaan kohdennetut kalasteluviestit ovat nykyisin hyvin tavallisia. Kerran jopa Webmailin etusivun ulkoasu oli kopioitu erehdyttävän aidon näköisesti. Tietojärjestelmien haltijat ovat välillä helisemässä, kun huijaussivustot alkavat näyttää aidommilta kuin aidot.

Taitavinkin kalastelijan tarvitsee kuitenkin jonkun syötin, jotta pyydykseen tarttuminen olisi edes mahdollista. Syöttinä käytetään tyypillisimmin sähköpostiviestiä. Sähköpostissa uhkaillaan, että tunnus on menossa vanhaksi, postilaatikon koko on ylittymässä tai että passiiviset tunnukset suljetaan. Kerro meille tunnuksesi ja salasanasi, jos haluat että ei suljetakaan tai haluat anoa armoa. Joskus jopa pyydettiin tunnuksia, salasanoja ja lisäksi saittia, jolle ne käy. Eiköhän näihinkin joku aina vastaa, vaikka syötit haisevat kauas.

Tietysti yliopisto saattaa myös oikeasti ilmoittaa esimerkiksi tunnuksen vanhenemisesta. Aidot viestit on kuitenkin melko helppo erottaa väärennetyistä. Mutta mistä ne oikein erottaa? Ainakin viesti on huijausta,

  • jos käyttäjää pyydetään kirjoittamaan salasanansa. Oikea ylläpito ei koskaan tarvitse tai pyydä käyttäjän tunnusta ja salasanaa. Ylläpidolla on ylläpitotehtäviin omat ja erilliset ylläpitotunnukset. Käyttäjätunnusta saatetaan toki joskus kysyä, koska se on se tieto, joka yksilöi käyttäjän järjestelmässä, mutta salasanaa voi kysyä vain huijarit (ja joskus amatöörimikrotuki). Ei saa kertoa.
  • jos vastaus “yliopiston ylläpidon lähettämään” viestiin pyydetään lähettämään yliopiston ulkopuoliseen osoitteeseen. Jos kuviteltaisiin, että ylläpito kysyisi käyttäjiltä jotain sähköpostitse, vastausta ei varmaankaan haluttaisi ainakaan mihinkään ulkopuoliseen osoitteeseen. Ulkopuolisen sähköpostiosoitteen tunnistaa siitä, että sen loppuosa on jotain muuta kuin @helsinki.fi.
  • jos vastauslinkki osoittaa yliopiston ulkopuolelle. Mikäli käyttäjiltä kysyttäisiin jotain, vastaukset todennäköisesti haluttaisiin sähköiselle lomakkeelle. Yliopistolla on kuitenkin oma Elomake-palvelu, joten on aika epäilyttävää, jos lomake on jossain muualla, varsinkin ulkomailla.
  • jos viestin kieli on luokattoman huonoa tai pelkkää englantia. Yliopiston henkilöstöstä ja opiskelijoista suuri osa on suomenkielisiä ja suomi on virallinen kieli, joten pelkkää englantia ei yleensä käytetä. Suomi on onneksi pieni kielialue ja vaikea kieli, joten suomea taitamattomien huijarien konekäännökset ovat yleensä lähinnä kauhistuttavia. Poikkeuksiakin voi toki löytyä.

Aina kun syötät millä tahansa www-sivulla tunnuksesi ja salasanasi, varmista, että sivu on luotettu. Luotetulla sivulla osoite alkaa https-etuliitteellä (S niinkuin SSL) ja selaimen alareunassa on yleensä lukko, jota klikkaamalla saa sivuston varmentajasta tietoa. Mikäli sivu ei ole SSL-suojattu tai sen varmentajaan ei voi luottaa, tunnuksia ei ainakaan saa antaa. On kuitenkin hyvä muistaa, että myös huijaussivusto voi olla SSL-suojattu.

Trend Micro ja Hotmail tukkanuottasilla

Muutama käyttäjä on huomannut, etteivät kaikki viestit tule perille Hotmailista yliopistolle, vaan palautuvat virheilmoituksen kera lähettäjälle. Virheilmoituksen oleellinen osuus on tämä:

Mail  from 65.55.90.12 blocked using Trend Micro RBL+. Please see
http://www.mail-abuse.com/cgi-bin/lookup?ip_address=65.55.90.12

IP-osoite vaihtelee, mutta linkin takaa pääsee (toistaiseksi?) tutustumaan lähemmin siihen, miksi viesti on estetty. Syynä on osoitteiden kautta lähetetyt virusviestit.

Nyt kuitenkin tiedetään, että kyse on Hotmailin postipalvelimista. Niiden kautta kulkee valtava määrä legitiimiä postia. Postinkulku katkeaa, jos organisaatio käyttää kyseistä estolistaa. Helsingin yliopisto käyttää.

Yritin kommunikoida Trend Micron kanssa. Luulin ensin keskustelevani automaatin kanssa, kun se vain toisteli:

Hotmail needs to fix the spamming issue before we remove their IP from the list. After they have stopped the spam activity, we will verify on our end and only then we can remove it from our list.

Vastasin aika tylysti, että Trend Micro on pian pois mustalistabisneksestä, jos jatkavat kyseisenlaista, vääriä positiivisia aiheuttavaa politiikkaa. Sain paluupostissa kieltämättä vakuuttavia lukuja siitä, kuinka paljon spämmiä/viruksia kyseisistä osoitteista tulvii.

Mikä on ko. listausten legitimiteetti? Listauskriteerit epäilemättä täyttyvät, mutta toisaalta vääriä positiivisia tulee. Pitääkö Trend Micron pysyä kovana ja pitää listaus voimassa, kunnes spämmiä ei tule? Minkälaiset mahdollisuudet Hotmaililla on estää aina uusia viruksia ennen kuin ne edes tunnistuvat kaikkialla, vaikka siellä olisi kymmeniä saksikäsiä katkomassa yhteyksiä saastuneisiin paikkoihin? Pitäisikö Trend Micron tarkastaa politiikkaansa tai tehdä Hotmail-poikkeus?

Nyt joka tapauksessa mustat listat ohitetaan Helsingin yliopistossa kyseisellä osoitealueella eli viestit tulevat meille läpi. Tämä ratkaisu auttaa kuitenkin vain Helsingin yliopistolle postia lähettäviä Hotmail-käyttäjiä ja heidän viestintäkumppaneitaan, ja toisaalta se kaivaa maata Trend Micron jalkojen alta.

Yhtä kaikki, minun tehtäväni on taata viestien mahdollisimman häiriötön kulku, eikä spämmiestojen kanssa voi alkaa politikoida liiaksi.

Sen kuitenkin sanon, ettei Hotmailkaan ole tätä hoitanut kovin tyylillä. Trend Micro on ilmeisesti yrittänyt olla yhteydessä Hotmail-ylläpitoon, joka arvatenkin pitää itseään niin isona ja merkittävänä toimijana, ettei heidän tarvitse edes välittää, tiedä häntä. Hotmailin käyttäjät saavat rahoilleen ansaitsemaansa vastinetta. Palvelu on maksuton.

SpamAssassinin 2010-bugi

Aivan kuten vuosituhannen vaihtuminen aikanaan, myös vuosikymmenen vaihtuminen voi aiheuttaa ongelmia. SpamAssassin toivotti hyvää 2010-lukua käyttäjilleen merkitsemällä suuren osan tarkastamistaan viestestä roskapostiksi.

SpamAssassin, joka on yksi maailman käytetyimpiä roskapostintunnistusohjelmia, toimii siten, että se tekee sähköpostiviesteille erilaisia testejä, testaa siis niiden ominaisuuksia ennalta määritetyllä tavalla. Kustakin testistä saa pisteitä, positiivisia tai negatiivisia. Kun sitten pistemäärä ylittää tietyn rajan (tavallisesti 5.0), viesti todetaan roskapostiksi.

Eräs sääntö (FH_DATE_PAST_20XX), joka tarkistaa viestien päiväyksien oikeellisuutta, oli sitten virheellisesti jäänyt sellaiseen muotoon, että se täsmäsi myös viesteihin, joiden päiväyksessä esiintyi vuosi 2010. Vika oli kyllä korjattu jo puoli vuotta aikaisemmin, mutta korjaus ei ollut syystä tai toisesta ollut mennyt tuotantoon.

Helsingin yliopistolla oli myös epäonnea. Yliopiston SpamAssassia pääasiallisesti hoivaava työntekijä (tämän kirjoittaja) oli lomalla vuodenvaihteen yli, ja siksi vika korjattiin vasta 4.1. ensimmäisten käyttäjäraporttien jälkeen.

Käyttäjille lähetettiin myös tiedote mahdollisesta ongelmasta. Siitä seurasi lisää ongelmia, koska kaikille käyttäjille lähetetyssä tiedotteessa lähinnä kehotettiin tarkastamaan roskapostikansio. No, roskapostikansio löytyy vain sellaisilta, tyypillisesti valveutuneilta käyttäjiltä, jotka olivat sellaisen itse tehneet. Loput sitten ihmettelivät, että mikä ihmeen roskapostikansio. Kyselyt tästä aiheesta sitten kuormittivat ennestään kuormittunutta ylläpitoa.

Kyllä, hämmästyttävän moni ei ole vieläkään ottanut roskapostinsuodatusta käyttöön. Aiheesta järjestettäneen webmailissa jossain vaiheessa tiedotusta suodatuksenkytkemisnappien kera. Suodatussääntöjen teko tai jopa valmiiden sääntöjen päällekytkeminen kun on monille käyttäjille vaikeaa.

Lisätietoja ja keskustelua itse bugista löytyy ympäri nettiä.

Lex Nokian toinen puoli

Niin sanottu Lex Nokia, eli viimeisin Sähköisen viestinnän tietosuojalain muutos herätti viime kevääseen asti paljon porua julkisuudessa. Kohun ytimessä oli huoli siitä, että nyt ollaan antamassa yrityksille poliisiviranomaistakin laajempia valtuuksia suhteessa työntekijöihinsä ja lisättäisiin lain sallimia viestinnän urkintamahdollisuuksia. Lakimuutosta on kutsuttu myös nimellä urkintalaki.

Olen itsekin yksityishenkilönä kritisoinut muutosta ankarasti ja äänekkäästi mm. blogaajana ja erään kansalaisjärjestön aktiivina, enkä ole muuttanut mieltäni.

Nyt kun pöly on vähän laskeutunut, on kuitenkin aika todeta ääneen, että uudistuksessa oli myös hyviä puolia.

Ensinnäkin, yhteisötilaajien (tämä on lakitermi taholle, joka järjestää viestintäpalveluita jäsenilleen/työntekijöilleen/opiskelijoilleen/jne.) asemaa ei aiemmin laissa ollut kaikilta osin kovin täsmällisesti säädelty. Teleoperaattorien kyllä, mutta se, mitä esimerkiksi yhteisötilaajan palveluksessa oleva ylläpitohenkilöstö saa ja mitä ei saa tehdä, on ollut hieman tulkinnanvaraista. Tosin tulkinnanvaraisuuksia on yhä, ja niistä jäljempänä.

Toisekseen, lakimuutos luo aika tiukat kriteerit sille, milloin “urkintaa” saa harjoittaa. Näistä vaativin (ainakin imagostaan tarkoille yrityksille) lienee ennakkoilmoituksen tekeminen tietosuojavaltuutetulle.

Helsingin yliopisto ei tietääkseni ole (vielä?) tekemässä ko. ilmoitusta, eikä siksi saa ottaa käyttöön ns. lex Nokia -oikeuksia (SVTSL 13a–13k). Siitä huolimatta tunnistamistietoja saa käsitellä – kuten aiemminkin – esimerkiksi välittömien tietoturvauhkien torjunnassa, virhetilanteiden metsästyksessä tai palvelujen kehittämisessä (SVTSL 9 ja 20 §) eli lyhyesti sanottuna teknisistä syistä. Esimerkiksi roskapostia ja viruksia torjuttaessa tunnistamistietoja saa yleisesti ottaen käsitellä.

(Tunnistamistiedoilla tarkoitetaan tietoa siitä, kuka oli viestimässä kenelle ja koska. Käytännössä sähköpostiylläpitäjän työssä tyypillisin tapa “käsitellä tunnistamistietoja” on kurkistaa postipalvelimen järjestelmälokiin jonkun tietyn asian etsimiseksi tai toiminnan normaaliuden varmistamiseksi. Tällaisissa tapauksissa henkilöön liittyvät viestintätiedot eivät paljonkaan hypi silmille, vaikka sähköpostiosoitteita toki näkyykin.)

Se rajanveto, sovelletaanko SVTSL:n pykäliä 9 ja 20 vai ns. lex Nokia -oikeuksia (13a–k) tietoturvapoikkeamien kanssa, riippuu siitä, onko kyse välittömästä vai epäsuorasta tietoturvauhasta. Jos uhka ei ole niin välitön, tunnistamistietoja ei saa ollenkaan käsitellä ilman ennakkoilmoitusta (ym.).

Nyt kuitenkin kävi ilmi, että Viestintäviraston tulkinnan mukaan esimerkiksi se, että yhteisötilaaja uhkaa joutua kolmansien osapuolten ylläpitämille mustille listoille, ei olisikaan välitön vaan epäsuora tietoturvauhka, ja tällaista uhkaa torjuakseen siis ei saisi käsitellä tunnistamistietoja. Viestintävirasto ohjeistaa operaattoreita, ei yhteisötilaajia, mutta tulkinta soveltuu meillekin.

Käytännössä uhka on kuitenkin välitön ja yksi pahimmista uhista, mitä tällainen tavallinen sähköpostiylläpitäjä osaa kuvitella. Se nimittäin voisi käytännössä estää merkittävän osan organisaation postinkulusta ympäri maailmaa, ja estolistauksen poistumisesta ei olisi mitään takeita, vaikka sen aiheuttanut ongelma saataisiinkin hoidetuksi. Lisäksi ei olisi mitään keinoja saada selville (käyttäjien informoimiseksi), mikä kaikki postinkulku nyt estyi.

Jos tämä mielestäni väärä tulkinta pitää, joudun laajentamaan aiempia kantojani lex Nokiaa koskien. Lienee myös syytä tiedustella – virallisia ohjeita yhä odotellessa – kollegoilta, miten asiaan tulisi suhtautua, ja pitäisikö ennakkoilmoitusta tässäkin organisaatiossa harkita.

Eräs poliisivirkailija nimitti aikanaan epävirallisessa yhteydessä Sähköisen viestinnän tietosuojalakia “rikollisen viestinnän tietosuojalaiksi”, koska poliisien mielestä se antaa liian vähän toimivaltuuksia poliisille ja liikaa yksityisyyttä yksityishenkilöille (vaikka sehän on lain tarkoitus). Vaikka huumoria olikin, tuntui minusta silloin karmivalta ajatukselta, että poliisissa ajatellaan noin.

Mutta yllä kuvattu esimerkki kyllä todisti itselleni, että tällä kolikolla on ainakin kaksi puolta. Tietoturva ja yksityisyys. Tavallisesti ne ovat olleet samalla puolen kolikkoa.

PS.
Kummallista, ettei Viestintävirasto julkaise kaikkia ohjeitaan. Koska kyse lienee viranomaisen lausumasta, niihin ei ole tekijänoikeutta eikä mikään siis estä julkaisemasta niitä esim. täällä. Viittasin siis yllä ohjeeseen 5/6020/2007 (kaksi dokumenttia), päivätty 10.1.2007 ja 4.10.2007. Viitteet näihin löytyy tietosuojavaltuutetun Asiaa tietosuojasta 1/2009 -julkaisusta.

Suurikokoiset spämmit

Viime päivinä näkyy yliopistolle tulleen suuri määrä poikkeuksellisen suurikokoista, jopa 50-350 kilotavuista roskapostia. Kaikesta päätellen viestit ovat peräisin samasta sylttytehtaasta.

Ainakin yksi tällainen viesti, jonka sain lähempään tarkasteluun, oli kiinnostava: kyseessä oli kuvaspämmi. Tai se ei ole vielä sinänsä kiinnostavaa, onhan kuvaspämmi jo pari vuotta vanha ilmiö. Kiinnostavaa oli viestin rakenne: samat kuvaliitteet toistuivat viestissä useampaan kertaan samalla tunnisteella.

Käytännössä postiohjelmat näyttävät tällaiset liitteet vain kerran, mutta viestin koko kasvaa “tarpeettomasti”.

Syykin on selvä: roskapostintunnistusjärjestelmissä on hyvin tavallista, että skannattavien viestien koolle on asetettu yläraja. Näin meilläkin. Tämä siksi, että suurten viestien tarkastaminen (myös koneellisesti) on erittäin resurssi-intensiivistä puuhaa. Lisäksi tähän asti on uskottu, ettei roskapostiviestit juuri koskaan ylitä esimerkiksi 50, 80 tai 100 kilotavun rajaa. Tämä oletus ei nyt siis enää päde.

Suurten viestien lähettäminen on kuitenkin resurssien haaskausta myös lähettäjäpäässä. Voimmekin siis todeta, että joku roskapostittaja on saanut käyttöönsä aiempaa laajemman botnetin, jonka kapasiteettia riittää haaskattavaksi. Normaalikokoisilla viesteillä nimittäin spämmääjä voisi saada esimerkiksi kymmenkertaisen viestimäärän liikkeelle.

Roskapostittajien uusimpaankin keksintöön on vastattava. Vaikka sitten kapasiteettia nostamalla, jos se on välttämätöntä. Harmillista.

PS.
Blogikin palasi pidemmältä tauolta kirjoittajan hoitovapaan loputtua.

Miksi viesti viivästyy?

Yliopiston postiasiantuntijoilta kysyttiin hyvä kysymys: “Miksiköhän saan välillä viestejä 3-4 päivää sen jälkeen, kun ne on lähetetty?”

Vastasin viestiin suunnilleen seuraavalla tavalla.

Useampi mahdollinen syy, riippuen tapauksesta. Useimmiten syyn (tai ainakin syyllisen) voi itse päätellä viestin Received-otsakkeista, jotka saa näkyviin eri tavoin postiohjelmasta riippuen; yliopiston webmailissa (IMP:ssa) Message source / Viesti raakamuodossa.

Niihin mahdollisiin syihin:

  1. Viesti ei oikeasti ole viipynyt, vaan lähettäjän koneen kello on pielessä. Date-otsake muodostetaan yleensä lähettäjän koneen kellon mukaan, ja jos kello on pielessä, viesti näyttää tulevan menneisyydestä (tai tulevaisuudesta).
  2. Viesti on postituslistaviesti, joka on mennyt ylläpitäjän hyväksyttäväksi, ja tämä ei esimerkiksi ole lukenut postejaan muutamaan päivään.
  3. Jossakin on ollut ruuhkaa, päivityskatkoja tai esimerkiksi konerikkoja postinvälityksessä. Tällaisissa tapauksissa yleensä viestit jäävät jonoon joksikin aikaa (yliopistolla viikoksi), jonka kuluessa viestit toimitetaan tai jonka päätyttyä lähettäjälle palautetaan virheilmoitus.
  4. Muuten vastaava tilanne kuin edellisessä, mutta syynä vastaanottajan oman postilaatikon täyttyminen. Viesti toimitetaan laatikkoon sitten, kun sinne ilmestyy tilaa.
  5. Jossain välissä voi olla päällä harmaalistaus (greylisting). Greylisting on roskapostintorjuntatapa, jossa on ideana viivästää postintoimitusta (varsinkin ei-tutuista lähteistä), koska postistandardien mukaan lähettäjäpalvelimen pitäisi yrittää uudelleen, mutta roskapostittajat harvoin vaivautuvat, koska se sitoo kaistaa ja muita resursseja ja on piirun verran vaativampaa. Helsingin yliopisto ei tätä kirjoittaessa käytä harmaalistausta, koska sen on katsottu aiheuttavan enemmän haittaa kuin hyötyä.

Jos viesti on oikeasti viivästynyt, kohdan 3 (tai 4) selitykset ovat tavallisimmin syynä.

Viestien Received-otsakkeiden ja niiden aikaleimojen tulkintataidosta voi muutenkin olla hyötyä. Apua saa esimerkiksi Kai Puolamäen erinomaiselta sivustolta. Myös yliopiston postiylläpito (osoitteessa atk-posti ät helsinki piste fi) voi auttaa tarvittaessa, ainakin omia käyttäjiään.

Mitä on roskaposti?

Ihmisten käsitykset siitä, mitä on roskaposti, tuntuvat vaihtelevan suuresti. Otetaanpa kertauksena, helppotajuisesti.

Roskapostia on vain ja ainoastaan sellainen sähköposti, joka on sekä massapostitettu että lähetetty ilman ennakkosuostumusta. Mikään muu ei ole roskapostia. Otetaan esimerkkejä.

  • Tilatut uutiskirjeet eivät ole roskapostia. Jos ne on tilattu, ne saa myös loppumaan.
  • Asiakassuhteen hoidolla perusteltavat viestit eivät ole roskapostia. Tämän edellytys on, että asiakassuhde on todellinen ja asiakas ei ole kieltäytynyt viesteistä. Mikäli tällaisista viesteistä halutaan eroon, paras tapa on ottaa yhteyttä lähettäjään.
  • Postituslistaviestit epätoivotusta aiheesta eivät ole roskapostia, mikäli tilaaja on postituslistalla tarkoituksella. Myöskään epähuomiossa listalle lähetetyt viestit eivät ole roskapostia (niitä ei ole massapostitettu). Roskapostia voivat olla kymmenille postituslistoille ja muihin osoitteisiin lähetetyt mainokset. Listan ylläpitäjä(yhteisö) päättää, mikä sopii millekin postituslistalle, ja huolehtii siitä, että listan kautta leviää vain listan aihepiiriin kuuluva viestintä. On muistettava, että sama viesti voi kuulua toiselle postituslistalle ja olla kuulumatta toiselle.
  • Sähköpostitse tapahtuva häirintä ei ole roskapostia. Se on häirintää, joka pitää kyllä saada loppumaan esimerkiksi poliisin ja/tai tietoturvaihmisten avustuksella. Mutta sitä ei voi käsitellä roskapostina.
  • Facebook-sovellusten lähettämät viestit eivät ole roskapostia. Käyttäjä on itse kirjautunut Facebookiin ja sallinut sovellusten lähettävän postia. Mikäli tämä ei miellytä, Facebookissa voi kieltää sovellusta lähettämästä sähköpostia. Viestejä ei tule käsitellä roskapostina.
  • Pyytämättä tapahtuneet kohdistetut yhteydenotot eivät ole roskapostia, eikä niitä tule sellaisena käsitellä.

Mihin tämä liittyy? Yliopiston uudessa webmailissa on mahdollista merkitä viestejä roskapostiksi tai ei-roskapostiksi. Idea on, että näin voidaan kehittää tilastollista roskapostintorjuntaa kertomalla sille, missä se “tunnisti väärin”. En kertaa tässä, mistä tilastollisissa menetelmissä on kyse (ks. aiemmat kirjoitukset).

Tilastoaineisto on yhteinen, koko yliopiston postiliikennettä koskeva. Se tarkoittaa, että kun yksi käyttäjä merkitsee roskapostiksi (tai ei-roskapostiksi) jonkun virheellisesti tunnistuneen viestin, jatkossa tämä auttaa tunnistinta tunnistamaan paremmin muidenkin viestit.

Kääntöpuoli on, että mahdollisuutta voi myös tahattomasti tai tahallaan väärinkäyttää. Siksi ylläpidon on pakko (anonymisoidusti ja otsaketasolla) tehdä tietty “sanity check” aineistolle, ennen kuin se opetetaan tunnistimelle. Muuten tunnistin voi alkaa pitää roskapostina ei-roskaposteja ja toisinpäin.

Automaattivastaajista

Apulaisoikeusasiamies Petri Jääskeläinen vaatii, että viranomaisten sähköpostin automaattiset poissaolovastaukset pitää olla molemmilla kotimaisilla (via Yle, HS) silloin kun niitä käytetään. Tästä lienee vaikeaa olla kaksikielisessä maassa eri mieltä.

Sen sijaan Jääskeläisen suositukseen siitä, että tällaista palvelua myös tulisi tarjota, on sähköpostiasiantuntijan mahdoton yhtyä. On toki myös niin, että sillä voitaisiin ehkä parantaa palvelua, mutta maailma ei ole täydellinen.

Nykyisenä roska- ja viruspostin aikakautena automaattivastaajat ovat ongelmallisia ennen kaikkea siksi, että ne vastaavat myös haittaposteihin. Siitä on monenlaista harmia:

  • Kun automaattivastaaja vastaa roskapostiin, roskapostittaja saa tiedon siitä, että kyseessä oli toimiva osoite, johon kannattaa spämmätä jatkossakin. Näin siis, mikäli paluuosoitteena sattuu olemaan oikea osoite.
  • Mikäli edellinen kohta ei päde, vaihtoehtoinen seuraus on paljon vakavampi: viesti lähtee todennäköisesti jonkun viattoman osapuolen laatikkoon jossain muualla (koska roskapostittajat usein väärentävät lähettäjäosoitteeksikin toimivia, luotettavia osoitteita). Tämä taas tarkoittaa, että yliopiston postipalvelin, joka autoreplyn lähettää, on vaarassa joutua mustalistatuksi. Se taas tarkoittaisi, että koko yliopiston postinkulku vaarantuu, eikä mahdollisen ulkopuolisen eston poistumisesta ole mitään takeita.
  • Roskapostittajat voivat myös tietoisesti hyväksikäyttää sellaisia automaattivastaajia, jotka liittävät alkuperäisen viestin (tai jopa sen otsikon) vastaukseensa: pannaan vain halutun vastaanottajan osoite paluuosoitteeksi, ja luotetun tahon postipalvelimella oleva automaattivastaaja hoitaa viestin perillemenon. Taas sama ongelma kuin edellisessä.
  • Lisäksi automaattivastaajat voivat aiheuttaa – ja ovat aiheuttaneet – postisilmukoita rikkinäisten edelleenohjausten takia tai vastatessaan (virheellisesti) postijärjestelmän virheviestiin tai postituslistoille. Pahimmassa tapauksessa kaksi automaattivastaajaa alkaa vastailla toisilleen. Tällaiset tapaukset vaarantavat myös koko organisaation postinkulun.

Pahin ongelma on tosiaan roskaposti, ja haittoja voidaan vähentää suodattamalla siitä mahdollisimman suuri osa (100 % ei ole teoriassakaan mahdollista jos samalla halutaan myös oikean postin läpitulo). Lisäksi voidaan kieltää automaattia vastaamasta tietynlaisiin postituslistaviesteihin, postijärjestelmän automaattiosoitteisiin ja niin edelleen. Mutta aukotonta järjestelmästä ei saa (ja harva edes yrittää), ja ongelmia esiintyykin sitä todennäköisemmin, mitä yleisemmässä käytössä automaattivastaajat ovat.

Edellä sanotusta huolimatta myös Helsingin yliopistolla on ehkä mahdollisuus  jatkossa käyttää erikoistapauksissa automaattivastaajaa muuallakin kuin Unix-postissa ja Notesissa. Mutta siitä ei kerrota kenellekään eikä sitä ohjeisteta; niin ongelmallisena automaattivastaajia pidetään.

Roskapostitus sallittua?

Aina joskus keskustellaan mainospostituksen luvallisuudesta. Lainsäädäntö Suomessa on yksityishenkilöiden ja kaupallisen viestinnän osalta hyvin yksiselitteinen: ilman lupaa ei sähköisin välinein mainospostia lähetetä (opt-in-käytäntö). Erillinen luvankysymisviesti on myös samaa laitonta markkinointiviestintää, ja tästä on olemassa ratkaisukäytäntöä. Viestinnän pitää perustua esimerkiksi asiakassuhteeseen ja sen yhteidessä annettuun lupaan.

Jos taas kyseessä ei olekaan kaupallinen viestintä, asia ei ole niin yksinkertainen. Lain säädökset koskien markkinointia on tarkoitettu kaupallisiin tapauksiin; uskonnollinen ja poliittinen viestintä ovat vähän eri asioita. Toki henkilötietolakia pitää silloinkin noudattaa, eli osoiterekisterejä ei saa kerätä ja pitää ihan miten sattuu.

Tai jos vastaanottajana on yritys/yhteisö ja vastaanottajalle työtehtäviensä puolesta kuuluu esimerkiksi tietyn lajin hankinnoista päättäminen, voi hänelle ilman ennakkosuostumusta lähetetty mainosposti eli b2b-spämmi olla laillista, jos sitä ei ole erikseen kielletty (opt-out-käytäntö). Luvallista se ei silti ole.

Roskapostitusta säädellään nimittäin muuallakin kuin laissa. Netiketissä.

Vaikka “netiketti” ei olekaan mikään virallinen lähde vaan kärjistetysti lähinnä kansanperinnettä, on sillä netissä hyvin vahva asema, ja hyvä niin. Netiketin loukkaukset tuomitaan nettiyhteisössä.

Roskapostituksen osalta netiketti manifestoituu esimerkiksi kaikkien palveluntarjoajien (ISP) käyttöehdoissa: jos roskapostitat, lennät pihalle verkostamme. Ja tässä katsannossa ei ole mitään väliä sillä, oliko massapostituksen sisältö poliittista, uskonnollista vai kaupallista. Vain suostumuksella on väliä. Kuten sanotaan, “it’s about consent, not content”.

Palveluntarjoajien on yhteisön vaatimuksesta myös käytännössä pakko pitää tällaisia käyttöehtoja ja myös toimia niiden mukaan. Muuten yhteisö taas reagoi.

Nettiyhteisön tärkein työkalu roskapostin vastustamisessa muodostuu DNS-sulkulistoista (DNSBLs). Niitä on monenlaisia ja eri periaatteilla toimivia. Käytännössä kuitenkin sellaisen ISP:n palvelin, jonka läpi on roskapostitettu, joutuu melko nopeasti mustille listoille, jos ISP ei reagoi valituksiin ja tuki aukkoa. Käytännössä tukkiminen tarkoittaa esimerkiksi roskapostittavan asiakkaan yhteyden katkaisua sopimusehtojen perusteella.

Mustia listoja taas käytetään organisaatioissa, jotka ottavat vastaan sähköpostia. Esimerkiksi Helsingin yliopistossa. Postin vastaanottovaiheessa tarkistetaan, onko lähettävän koneen IP-osoite listoilla. Jos on, viestiä ei oteta vastaan. (Sulkulistoilla on siis todella postia lähettävien/välittävien koneiden IP-osoitteita, ei esimerkiksi sähköpostiosoitteita.)

Sulkulistojen teho perustuu siihen, että niitä käytetään paljon ja vapaaehtoisesti. Kukin organisaatio voi määritellä, keiltä se ei halua vastaanottaa postia. Yleensä määrittelytehtävä on ulkoistettu sellaisen mustan listan ylläpitäjille, johon organisaatio uskaltaa luottaa. Mustan listan ylläpidon pitää myös olla luottamuksen arvoinen: jos se alkaa listata vääriä tahoja, sitä lakataan käyttämästä ja silloin myös sen paino(stus)arvo vähenee.

Myös lain mukainen mainospostitus voi siis johtaa (yhteisön) tuomioihin potentiaalisen asiakaskunnan menettämisen lisäksi, ja näistä tuomioista saattaa pahimmassa tapauksessa kärsiä tilapäisesti koko lähettäjän palveluntarjoajan asiakaskunta.

Roskapostituksessa on vähän kuin muussakin elämässä: kaikki moraalittomuus ja typeryys ei ole laitonta. Silti niiden harrastajalle yleensä koituu hankaluuksia.