Un sistema de desafío-respuesta (o C / R ) es un tipo de filtro de spam que envía automáticamente una respuesta con un desafío al (presunto) remitente de un correo electrónico entrante. Fue diseñado originalmente en 1997 por Stan Weatherby y se llamó Verificación de correo electrónico. En esta respuesta, el supuesto [a]Se solicita al remitente que realice alguna acción para garantizar la entrega del mensaje original, que de otro modo no se entregaría. La acción a realizar normalmente requiere relativamente poco esfuerzo para realizarla una vez, pero un gran esfuerzo para realizarla en grandes cantidades. Esto filtra eficazmente a los spammers. Los sistemas de desafío-respuesta solo necesitan enviar desafíos a remitentes desconocidos. Los remitentes que hayan realizado previamente la acción desafiante, o a quienes se les haya enviado un correo electrónico (s) previamente, se incluirán automáticamente en la lista blanca .
Los sistemas de C / R intentan proporcionar desafíos que se pueden cumplir fácilmente para los remitentes legítimos y no fácilmente para los spammers. Para lograr este objetivo se aprovechan dos características que difieren entre los remitentes legítimos y los spammers:
Hoy en día, los sistemas C / R no se utilizan lo suficiente como para que los spammers se molesten en responder (automáticamente) a los desafíos. Por lo tanto, los sistemas C / R generalmente solo se basan en un desafío simple que se volvería más complicado si los spammers alguna vez construyeran tales respondedores automatizados.
Los problemas con el envío de desafíos a direcciones de correo electrónico falsificadas se pueden reducir si los desafíos solo se envían cuando:
Los críticos de los sistemas C / R han planteado varios problemas con respecto a su legitimidad y utilidad como defensa por correo electrónico. [3] Varios de estos problemas se relacionan con todos los programas que responden automáticamente al correo electrónico, incluidos los administradores de listas de correo, los programas de vacaciones y los mensajes devueltos desde los servidores de correo.
Los spammers pueden usar una dirección falsa e inexistente como dirección de remitente (en el From:campo) en el encabezado del correo electrónico, pero también pueden usar una dirección de remitente existente y falsificada (una dirección válida, pero de una persona arbitraria sin el consentimiento de esta persona). Esto último se volvería cada vez más común si, por ejemplo, la verificación de devolución de llamada se hiciera más popular para detectar spam. Los sistemas C / R que desafían un mensaje con una dirección de remitente falsificada enviarían su desafío como un nuevo mensaje a la persona cuya dirección fue falsificada. Esto crearía una retrodispersión de correo electrónico , lo que efectivamente cambiaría la carga de la persona que habría recibido el correo no deseado a la persona cuya dirección fue falsificada y que puede ser tratada de la misma manera que cualquier otro correo electrónico masivo no solicitado.(UBE) por parte del sistema de recepción, lo que posiblemente lleve a la inclusión en la lista negra del servidor de correo o incluso a la inclusión en una DNSBL . Además, si el remitente falsificado decidiera validar el desafío, el usuario C / R recibiría el correo no deseado de todos modos y la dirección del remitente falsificada se incluiría en la lista blanca.