Filtri su whitelist con verifica

Come nel filtro semplice basato su whitelist, anche questo lascia passare solo le email il cui mittente fa parte di un elenco di utenti fidati. E se il mittente non fa parte di questo elenco? In questo caso il messaggio genera un challenge response per il mittente, contenente un qualche tipo di codice univoco, che può essere ad esempio l' hash del messaggio ricevuto o un ID sequenziale (pseudo-casuale). Questo messaggio di risposta contiene anche delle istruzioni per il ricevente affincè egli, tramite il successivo invio di email di risposta, possa venire aggiunto alla whitelist dell' utente. Se il mittente originario risponde al challenge response, viene aggiunto alla whitelist e tutti i futuri messaggi spediti passeranno indenni il filtro.

Come si vede il filtro sulla carta è molto potente, teoricamente potrebbere arrivare ad una precisione del 100%, in quanto per far sí che un messaggio spam raggiunga l' utente, lo spammer dovrebbe rispondere al challenge response e ciò è molto poco probabile per due motivi:

1. L' indirizzo email di ritorno nei messaggi di spam praticamente mai è esistente

2. Anche se lo fosse, lo spammer non risponderebbe mai al messaggio, perchè facendo ciò ammetterebbe l' esistenza del suo indirizzo di posta elettronica e potrebbe essere facilmente rintracciabile

Questo sistema di filtraggio ha però degli svantaggi da non sottovalutare: non è propriamente banale se non tanto nell' implementarlo quanto farlo utilizzare da un utente comune. Infatti come spiegare a un utente poco smaliziato che deve leggere il challenge response (che magari è solo in inglese) e seguirne le procedure per rispondere in modo accurato e farsi aggiungere a una cosí detta whitelist? Se infatti la risposta non arrivasse, tale utente non potrebbe continuare a inviare email, poichè non ancora aggiunto alla whitelist, e ciò causerebbe non pochi disagi dove la comunicazione via email fra i due contatti è fondamentale e magari urgente.

Alcuni programmi che implementano tale soluzione sono TDMA [21] e Choice Mail [22]. Il primo è un programma di pubblico dominio certificato OSI scritto in Python, il secondo è commerciale con la possibilità di scaricare una versione di prova per la durata di 14 giorni.