Зачем это нужно
Спам остаётся дешевле чашки кофе: ботнеты и ML-генераторы легко рассылают миллионы писем, а фильтрам приходится балансировать между перехватом мусора и риском задеть легитимную почту.
Идея, описанная ниже, поднимает цену отправки каждого сообщения для злоумышленника, но почти незаметна для честного отправителя.
Суть идеи в трёх строках
Мы добавляем к письму небольшую «марку» — строку, для которой отправитель вычисляет Proof-of-Work (PoW).
Проверка подлинности занимает один вызов хэш-функции на стороне получателя.
Если марка валидна, фильтр может чуть-чуть понизить спам-скор письма.
Мини-спецификация
Заголовок |
Что хранит |
|---|---|
|
Целое |
|
Название алгоритма (например |
|
Строка-решение, чей хэш начинается как минимум с |
Алгоритм
Отправитель перебирает
X-Postage-Proof, покаhashне начинается сNнулей (X-Postage).-
Получатель одним вызовом хэша проверяет, что:
алгоритм совпадает (
X-Postage-Hash);нулей в хэше ≥
X-Postage.
При успехе письмо считается «оплаченным» — фильтр может снизить спам-оценку.
Почему это работает
Экспоненциальный барьер: каждый дополнительный ноль удваивает среднее время подбора.
Незаметно добропорядочным отправителям: при
N = 20подбор занимает миллисекунды даже на смартфоне.Drop-in интеграция: никаких изменений SMTP-диалога; заголовки совместимы с SPF/DKIM/DMARC.
Проверка почти бесплатна: один хэш на письмо.
Гибкая сложность
Отправитель сам выбирает баланс между стоимостью и скоростью отправки:
Обычные письма — маленькое
N(быстро и почти бесплатно).Важные письма — большее
N(дольше считать, но выше шанс обойти спам-фильтр).
Попытки
Уже были подходы к реализации похожих механизмов, например, Hashcash и исследовательского «Penny Black» от Microsoft. Они обсуждались ещё с 2000-х, а в 2023-24 гг. тему PoW-марок поднимали и на M3AAWG, и на IETF — но стандарт так и не родился и классические клиенты не имеют такого функционала. Хотя реализация сводится к трём заголовкам — минимальное изменение фильтра, которое не мешает обычной почте проходить как раньше, но даёт отправителям возможность «доплатить» CPU-временем и получить бонус к своему спам-скорингу, если важное письмо должно гарантированно долететь до получателя, или, наоборот, если хочется быть уверенным во входящих письмах, особенно в контексте коммуникации между своими сервисами и доменами.
Комментарии (11)
ellizarlip
07.07.2025 17:48А минусы этого какие? Они определенно есть, т. К. Стандарт до сих пор не внедрен, хотя разговорам уже 25 лет почти. Не увидел в теле поста
sic
07.07.2025 17:48Куча устройств без поддержки перестанет иметь возможность отправлять письма вообще. Капиталист, конечно, радостно скажет "Ага!", но многим станет немного грустнее.
Compute он очень дешев. Владельцы планшетов на Atom скажут "мгм", а спаммер радостно скажет "Ага!" и начнет рассылать всем только очень-очень важные письма, затрачивая на это буквально что-то неотличимое от нуля дополнительно (пока есть бесплатные инстансы).
tbp2k5
07.07.2025 17:48Помню эти обсуждения в конце 90-х - начале 2000-х. Такие подходы не работают и дело не в каком-то конкретном алгоритме.
Причина максимально просто: в общем случае, для "нужных" писем важность успешной "доставки" для получателя гораздо выше чем важность успешной "доставки" для отправителя.
Просто говоря, при использовании подобных систем, получатель будет получать меньше важных ему писем, а спамеров это никак не остановит. Инженеры это понимали поэтому RFC никто делать не стал...
ПС Где-то читал что нечто подобное появилось не так давно в телеге: платные входящие сообщения. Если верить интернету, "тарелочницы" с "патриков" при знакомстве дают парням телефон (мол пиши в телегу), а там за каждое входящее сообщение ей нужно заплатить некую "туеву хучу" звезд. Было бы любопытно если бы телеграмм поделился статистикой....
salnicoff
07.07.2025 17:48Проблема в том, что базовые почтовые протоколы придуманы пол-века назад, и никто их менять не собирается. Любая модификация напичкана словами «рекомендуется». SPF — рекомендуется, от тех, кто не сделал, письма ходят. DKIM — рекомендуется, от тех, кто не сделал, письма ходят. И так далее. Идею заплатить вычислениями придумали четверть века назад, и она даже не стала рекомендованной. А если и станет, то начнут считать на бот-фермах из тысяч зараженных компьютеров...
В общем, тут либо обязательность SPF/DKIM/DMARC/чего там еще, и без всяких послаблений, и без всяких «альтернативных» ревизий GMail/мэйл.ру/аутлука, либо живем по-старому.
xSVPx
07.07.2025 17:48Давно пора перейти на просто платные марки, и всё. На самом деле на них почти и перешли, т.к. отправить что-то с произвольного сервера так, чтобы дошло довольно затруднительно.
Собственно спам почти перестал приходить, какую проблему вы хотите решить ?
nin-jin
07.07.2025 17:48Я похожи образом сделал в своей децентрализованной базе данных для защиты от спама. Когда с тобой делятся правами (в том числе через права по умолчанию) - тебе выдают ещё и число бит, которые должны быть установлены в начале цифровой подписи. Таким образом ты заранее знаешь какова стоимость записи в тот или иной "документ" именно для тебя. Этакий криптографический slow mode.
codecity
07.07.2025 17:48Тут самое сложное - стандарт уже как бы сформировался и все новшества - имеют рекомендательный характер. А раз рекомендательный - то все-равно что-то важное может попасть в спам.
RoasterToaster
07.07.2025 17:48А сколько вобще осталось жить электронной почте ? Для постаревших зумеров это будет диковинный ненужный протокол, который они по инерции поддерживают, но не используют и который бумеры так и не смогли допилить до ума, потому что это калька с живого почтового процесса
atatarn
Кажется, что в общем случае доступных cpu у ботнетов как минимум не меньше, чем у легитимных операторов.