已經(jīng)存在的和在被提及的反垃圾郵件方法試圖來(lái)減少垃圾郵件問(wèn)題和處理安全需求。通過(guò)正確的識(shí)別垃圾郵件，郵件病毒或者郵件攻擊程序等都會(huì)減少。這些解決方法采取多種安全途徑來(lái)努力阻止垃圾郵件。 Dr. Neal Krawetz在Anti-Spam Solutions and Securityref 1文中將反垃圾郵件技術(shù)作了非常好的分類(lèi)。當(dāng)前的反垃圾郵件技術(shù)可以分為4大類(lèi)：過(guò)濾器（Filter）、反向查詢(Reverse lookup)、挑戰(zhàn)(challenges)和密碼術(shù)(cryptography),這些解決辦法都可以減少垃圾郵件問(wèn)題，但是都有它們的局限性。

反垃圾郵件技術(shù)解析　　聲明：安全焦點(diǎn)（xfocus security team）是非商業(yè)，全方位的網(wǎng)絡(luò)安全組織，本文檔為安全焦點(diǎn)發(fā)布的技術(shù)文件，供自由技術(shù)傳播，拒絕商業(yè)使用。文檔的所有權(quán)歸屬安全焦點(diǎn)，任何使用文檔中所介紹技術(shù)者對(duì)其后果自行負(fù)責(zé)，安全焦點(diǎn)以及本文檔作者不對(duì)其承擔(dān)任何責(zé)任。

1、概述

　　電子郵件是最常用的網(wǎng)絡(luò)應(yīng)用之一，已經(jīng)成為網(wǎng)絡(luò)交流溝通的重要途徑。但是，垃圾郵件（spam）煩惱著大多數(shù)人，近來(lái)的調(diào)查顯示，93%的被調(diào)查者都對(duì)他們接收到的大量垃圾郵件非常不滿。一些簡(jiǎn)單的垃圾郵件事件也造成了很有影響的安全問(wèn)題。日益增加的垃圾郵件現(xiàn)在會(huì)造成1年94億美元的損失（來(lái)自chinabyte上一則新聞的數(shù)據(jù)），在一些文章表明，垃圾郵件可能會(huì)花費(fèi)一個(gè)公司內(nèi)每個(gè)用戶600到1000美元。

　　垃圾郵件隨著互聯(lián)網(wǎng)的不斷發(fā)展而大量增長(zhǎng)，不再像以前一樣，只是小小的一個(gè)騷擾，現(xiàn)在的垃圾郵件可以說(shuō)是鋪天蓋地了。最初，垃圾郵件主要是一些不請(qǐng)自來(lái)的商業(yè)宣傳電子郵件，而現(xiàn)在更多的有關(guān)色情、政治的垃圾郵件不斷增加，甚至達(dá)到了總垃圾郵件量的40%左右，并且仍然有持續(xù)增長(zhǎng)的趨勢(shì)。另一方面，垃圾郵件成了計(jì)算機(jī)病毒新的、快速的傳播途徑。

　　而且目前世界上50%的郵件都是垃圾郵件，只有少數(shù)組織承擔(dān)責(zé)任。很多反垃圾郵件的措施都被提出出來(lái)，但是只有非常少的被實(shí)施了。不幸的是，這些解決辦法也都還不能完全阻止垃圾郵件，而且還對(duì)正常的郵件來(lái)往產(chǎn)生影響。

1.1、垃圾郵件

　　某種程度上，對(duì)垃圾郵件的定義可以是：那些人們沒(méi)有意愿去接收到的電子郵件都是垃圾郵件。比如：

　　*商業(yè)廣告。很多公司為了宣傳新的產(chǎn)品、新的活動(dòng)等通過(guò)電子郵件系統(tǒng)的方式進(jìn)行宣傳。

　　*政治言論。目前會(huì)收到不少來(lái)自其他國(guó)家或者反動(dòng)組織發(fā)送的這類(lèi)電子郵件，這就跟垃圾的商業(yè)廣告一樣，銷(xiāo)售和販賣(mài)他們的所謂言論。

　　*蠕蟲(chóng)病毒郵件。越來(lái)越多的病毒通過(guò)電子郵件來(lái)迅速傳播，這也的確是一條迅速而且有效的傳播途徑。

　　*惡意郵件。恐嚇、欺騙性郵件。比如phishing，這是一種假冒網(wǎng)頁(yè)的電子郵件，完全是一種詭計(jì)，來(lái)蒙騙用戶的個(gè)人信息、賬號(hào)甚至信用卡。

　　普通個(gè)人的電子郵箱怎么成為了垃圾郵件的目標(biāo)呢，造成這樣的結(jié)果有很多原因，比如在網(wǎng)站、論壇等地方注冊(cè)了郵件地址，病毒等在朋友的郵箱中找到了你的電子郵箱，對(duì)郵件提供商進(jìn)行的用戶枚舉，等等。通常情況下，越少暴露電子郵件地址越少接收到垃圾郵件，使用時(shí)間越短越少接收到垃圾郵件。一些無(wú)奈的用戶就選擇了放棄自己的郵箱而更換新的電子郵箱（反垃圾郵件網(wǎng)關(guān)）。

1.2、安全問(wèn)題

　　垃圾郵件給互聯(lián)網(wǎng)以及廣大的使用者帶來(lái)了很大的影響，這種影響不僅僅是人們需要花費(fèi)時(shí)間來(lái)處理垃圾郵件、占用系統(tǒng)資源等，同時(shí)也帶來(lái)了很多的安全問(wèn)題。

　　垃圾郵件占用了大量網(wǎng)絡(luò)資源，這是顯而易見(jiàn)的。一些郵件服務(wù)器因?yàn)榘踩圆?，被作為垃圾郵件轉(zhuǎn)發(fā)站為被警告、封IP等事件時(shí)有發(fā)生，大量消耗的網(wǎng)絡(luò)資源使得正常的業(yè)務(wù)運(yùn)作變得緩慢。隨著國(guó)際上反垃圾郵件的發(fā)展，組織間黑名單共享，使得無(wú)辜服務(wù)器被更大范圍屏蔽，這無(wú)疑會(huì)給正常用戶的使用造成嚴(yán)重問(wèn)題。

　　垃圾郵件和黑客攻擊、病毒等結(jié)合也越來(lái)越密切，比如，SoBig蠕蟲(chóng)就安裝開(kāi)放的，可以用來(lái)支持郵件轉(zhuǎn)發(fā)的代理。隨著垃圾郵件的演變，用惡意代碼或者監(jiān)視軟件等來(lái)支持垃圾郵件已經(jīng)明顯地增加了。2003年12月31，巴西的一個(gè)黑客組織發(fā)送包含惡意javascript腳本的垃圾郵件給數(shù)百萬(wàn)用戶，那些通過(guò)Hotmail來(lái)瀏覽這些垃圾郵件的人們?cè)诓恢挥X(jué)中已經(jīng)泄露了他們的賬號(hào)。另外一個(gè)例子就是，近來(lái)IE的URL顯示問(wèn)題，在主機(jī)名前添加"%01"可以隱藏真實(shí)的主機(jī)地址，在被發(fā)布之后幾個(gè)星期內(nèi)就出現(xiàn)在垃圾郵件中了。

　　越來(lái)越具有欺騙性的病毒郵件，讓很多企業(yè)深受其害，即便采取了很好的網(wǎng)絡(luò)保護(hù)策略，依然很難避免，越來(lái)越多的安全事件都是因?yàn)猷]件產(chǎn)生的，可能是病毒、木馬或者其他惡意程序。Phishing的假冒詭計(jì)對(duì)于普通使用者來(lái)說(shuō)，的確很難作出正確的判斷，但是造成的損失卻是很直接的。

2、反垃圾郵件技術(shù)

　　本文將在下面的內(nèi)容討論這些技術(shù)以及一些主要技術(shù)的實(shí)現(xiàn)。

2.1、過(guò)濾

　　過(guò)濾（Filter）是一種相對(duì)來(lái)說(shuō)最簡(jiǎn)單卻很直接的處理垃圾郵件技術(shù)。這種技術(shù)主要用于接收系統(tǒng)（MUA，如OUTLOOK EXPRESS或者M(jìn)TA，如sendmail）來(lái)辨別和處理垃圾郵件。從應(yīng)用情況來(lái)看，這種技術(shù)也是使用最廣泛的，比如很多郵件服務(wù)器上的反垃圾郵件插件、反垃圾郵件網(wǎng)關(guān)、客戶端上的反垃圾郵件功能等，都是采用的過(guò)濾技術(shù)。

2.1.1、關(guān)鍵詞過(guò)濾

　　關(guān)鍵詞過(guò)濾技術(shù)通常創(chuàng)建一些簡(jiǎn)單或復(fù)雜的與垃圾郵件關(guān)聯(lián)的單詞表來(lái)識(shí)別和處理垃圾郵件。比如某些關(guān)鍵詞大量出現(xiàn)在垃圾郵件中，如一些病毒的郵件標(biāo)題，比如：test。這種方式比較類(lèi)似反病毒軟件利用的病毒特征一樣。可以說(shuō)這是一種簡(jiǎn)單的內(nèi)容過(guò)濾方式來(lái)處理垃圾郵件，它的基礎(chǔ)是必須創(chuàng)建一個(gè)龐大的過(guò)濾關(guān)鍵詞列表。

　　這種技術(shù)缺陷很明顯，過(guò)濾的能力同關(guān)鍵詞有明顯聯(lián)系，關(guān)鍵詞列表也會(huì)造成錯(cuò)報(bào)可能比較大，當(dāng)然系統(tǒng)采用這種技術(shù)來(lái)處理郵件的時(shí)候消耗的系統(tǒng)資源會(huì)比較多。并且，一般躲避關(guān)鍵詞的技術(shù)比如拆詞，組詞就很容易繞過(guò)過(guò)濾。

2.1.2、黑白名單

　　黑名單（Black List）和白名單（White List）。分別是已知的垃圾郵件發(fā)送者或可信任的發(fā)送者IP地址或者郵件地址?，F(xiàn)在有很多組織都在做*bl（block list），將那些經(jīng)常發(fā)送垃圾郵件的IP地址（甚至IP地址范圍）收集在一起，做成block list，比如spamhaus的SBL（Spamhaus Block List），一個(gè)BL，可以在很大范圍內(nèi)共享。許多ISP正在采用一些組織的BL來(lái)阻止接收垃圾郵件。白名單則與黑名單相反，對(duì)于那些信任的郵件地址或者IP就完全接受了。

　　目前很多郵件接收端都采用了黑白名單的方式來(lái)處理垃圾郵件，包括MUA和MTA，當(dāng)然在MTA中使用得更廣泛，這樣可以有效地減少服務(wù)器的負(fù)擔(dān)。

　　BL技術(shù)也有明顯的缺陷，因?yàn)椴荒茉赽lock list中包含所有的（即便是大量）的IP地址，而且垃圾郵件發(fā)送者很容易通過(guò)不同的IP地址來(lái)制造垃圾。

2.1.3 HASH技術(shù)

　　HASH技術(shù)是郵件系統(tǒng)通過(guò)創(chuàng)建HASH來(lái)描述郵件內(nèi)容，比如將郵件的內(nèi)容、發(fā)件人等作為參數(shù)，最后計(jì)算得出這個(gè)郵件的HASH來(lái)描述這個(gè)郵件。如果HASH相同，那么說(shuō)明郵件內(nèi)容、發(fā)件人等相同。這在一些ISP上在采用，如果出現(xiàn)重復(fù)的HASH值，那么就可以懷疑是大批量發(fā)送郵件了。

2.1.4 基于規(guī)則的過(guò)濾

　　這種過(guò)濾根據(jù)某些特征（比如單詞、詞組、位置、大小、附件等）來(lái)形成規(guī)則，通過(guò)這些規(guī)則來(lái)描述垃圾郵件，就好比IDS中描述一條入侵事件一樣。要使得過(guò)濾器有效，就意味著管理人員要維護(hù)一個(gè)龐大的規(guī)則庫(kù)。

2.1.5 智能和概率系統(tǒng)

　　廣泛使用的就是貝葉斯(Bayesian)算法，可以學(xué)習(xí)單詞的頻率和模式，這樣可以同垃圾郵件和正常郵件關(guān)聯(lián)起來(lái)進(jìn)行判斷。這是一種相對(duì)于關(guān)鍵字來(lái)說(shuō)，更復(fù)雜和更智能化的內(nèi)容過(guò)濾技術(shù)。我將在下面詳細(xì)描述這種在客戶端和服務(wù)器中使用最廣泛的技術(shù)。

　　2.1.5.1 Bayesian 貝葉斯算法

　　在過(guò)濾器中，現(xiàn)在表現(xiàn)最好的應(yīng)該是基于評(píng)分(score)的過(guò)濾器，因?yàn)槲覀兒苋菀拙涂梢悦靼讓?duì)付狡猾的垃圾郵件，那些黑白名單、關(guān)鍵詞庫(kù)或者HASH等過(guò)濾器是多么的簡(jiǎn)單。評(píng)分系統(tǒng)過(guò)濾器是一種最基本的算法過(guò)濾器，也是貝葉斯算法的基本雛形。它的原理就是檢查垃圾郵件中的詞或字符等，將每個(gè)特征元素（最簡(jiǎn)單的元素就是單詞，復(fù)雜點(diǎn)的元素就是短語(yǔ)）都給出一個(gè)分?jǐn)?shù)（正分?jǐn)?shù)），另一方面就是檢查正常郵件的特征元素，用來(lái)降低得分的（負(fù)分?jǐn)?shù)）。最后郵件整體就得到一個(gè)垃圾郵件總分，通過(guò)這個(gè)分?jǐn)?shù)來(lái)判斷是否spam。

　　這種評(píng)分過(guò)濾器盡量實(shí)現(xiàn)了自動(dòng)識(shí)別垃圾郵件的功能，但是依然存在一些不適應(yīng)的問(wèn)題：

　　*特征元素列表通過(guò)垃圾郵件或者正常郵件獲得。因此，要提高識(shí)別垃圾郵件的效果，就要從數(shù)百郵件中來(lái)學(xué)習(xí)，這降低了過(guò)濾器效率，因?yàn)閷?duì)于不同人來(lái)說(shuō)，正常郵件的特征元素是不一樣的。

　　*獲得特征元素分析的郵件數(shù)量多少是一個(gè)關(guān)鍵。如果垃圾郵件發(fā)送者也適應(yīng)了這些特征，就可能讓垃圾郵件更象正常郵件。這樣的話，過(guò)濾特征就要更改了。

　　*每個(gè)詞計(jì)算的分?jǐn)?shù)應(yīng)該基于一種很好的評(píng)價(jià)，但是還是有隨意性。比如，特征就可能不會(huì)適應(yīng)垃圾郵件的單詞變化，也不會(huì)適應(yīng)某個(gè)用戶的需要。

　　貝葉斯理論現(xiàn)在在計(jì)算機(jī)行業(yè)中應(yīng)用相當(dāng)廣泛，這是一種對(duì)事物的不確定性描述，比如google計(jì)算中就采用了貝葉斯理論。貝葉斯算法的過(guò)濾器就是計(jì)算郵件內(nèi)容中成為垃圾郵件的概率，它要首先從許多垃圾郵件和正常郵件中進(jìn)行學(xué)習(xí)，因此，效果將比普通的內(nèi)容過(guò)濾器更優(yōu)秀，錯(cuò)報(bào)就會(huì)更少。貝葉斯過(guò)濾器也是一種基于評(píng)分的過(guò)濾器。但不僅僅是一種簡(jiǎn)單的計(jì)算分?jǐn)?shù)，而更從根本上來(lái)識(shí)別。它采用自動(dòng)建立特征表的方式，原理上，首先分析大量的垃圾郵件和大量的正常郵件，算法分析郵件中多種特征出現(xiàn)概率。

　　貝葉斯算法計(jì)算特征的來(lái)源通常是：

　　·郵件正文中的單詞

　　·郵件頭（發(fā)送者、傳遞路徑等）

　　·其他表現(xiàn)，比如HTML編碼（如顏色等）

　　·詞組、短語(yǔ)

　　·meta信息，比如特殊短語(yǔ)出現(xiàn)位置等

　　比如，正常郵件中經(jīng)常出現(xiàn)單詞AAA，但是基本不在垃圾郵件中出現(xiàn)，那么，AAA標(biāo)示垃圾郵件的概率就接近0，反之則然。

　　貝葉斯算法的步驟為：

　　1. 收集大量的垃圾郵件和非垃圾郵件，建立垃圾郵件集和非垃圾郵件集。

　　2. 提取特征來(lái)源中的獨(dú)立字符串，例如 AAA等作為T(mén)OKEN串并統(tǒng)計(jì)提取出的TOKEN串出現(xiàn)的次數(shù)即字頻。按照上述的方法分別處理垃圾郵件集和非垃圾郵件集中的所有郵件。

　　3. 每一個(gè)郵件集對(duì)應(yīng)一個(gè)哈希表，hashtable_good對(duì)應(yīng)非垃圾郵件集而hashtable_bad對(duì)應(yīng)垃圾郵件集。表中存儲(chǔ)TOKEN串到字頻的映射關(guān)系。

　　4. 計(jì)算每個(gè)哈希表中TOKEN串出現(xiàn)的概率P=(某TOKEN串的字頻)/(對(duì)應(yīng)哈希表的長(zhǎng)度)

　　5. 綜合考慮hashtable_good和hashtable_bad，推斷出當(dāng)新來(lái)的郵件中出現(xiàn)某個(gè)TOKEN串時(shí)，該新郵件為垃圾郵件的概率。數(shù)學(xué)表達(dá)式為：

　　A 事件 ---- 郵件為垃圾郵件；

　　t1,t2 …….tn 代表 TOKEN 串

　　則 P(A│ti)表示在郵件中出現(xiàn) TOKEN 串 ti 時(shí)，該郵件為垃圾郵件的概率。設(shè)

　　P1(ti)=ti 在 hashtable_good 中的值

　　P2(ti)=ti 在 hashtable_ bad 中的值

　　則 P(A│ti)=P2(ti)/[(P1(ti)+P2(ti)] ；

　　6. 建立新的哈希表hashtable_probability存儲(chǔ)TOKEN串ti到P(A│ti)的映射

　　7.根據(jù)建立的哈希表 hashtable_probability可以估計(jì)一封新到的郵件為垃圾郵件的可能性。

　　當(dāng)新到一封郵件時(shí)，按照步驟2，生成TOKEN串。查詢hashtable_probability得到該TOKEN 串的鍵值。假設(shè)由該郵件共得到N個(gè)TOKEN 串，t1,t2…….tn,hashtable_probability中對(duì)應(yīng)的值為 P1 ，P2 ，……PN ，P(A│t1 ,t2, t3……tn) 表示在郵件中同時(shí)出現(xiàn)多個(gè)TOKEN串t1,t2……tn時(shí)，該郵件為垃圾郵件的概率。

　　由復(fù)合概率公式可得:

　　P(A│t1 ,t2, t3……tn)=（P1*P2*……PN）/[P1*P2*……PN+（1-P1）*（1-P2）*……（1-PN）]

　　當(dāng) P(A│t1 ,t2, t3……tn) 超過(guò)預(yù)定閾值時(shí)，就可以判斷郵件為垃圾郵件。

　　當(dāng)新郵件到達(dá)的時(shí)候，就通過(guò)貝葉斯過(guò)濾器分析，通過(guò)使用各個(gè)特征來(lái)計(jì)算郵件是spam的概率。通過(guò)不斷的分析，過(guò)濾器也不斷地獲得自更新。比如，通過(guò)各種特征判斷一個(gè)包含單詞AAA的郵件是spam，那么單詞AAA成為垃圾郵件特征的概率就增加了。

　　這樣，貝葉斯過(guò)濾器就有了自適應(yīng)能力，既能自動(dòng)進(jìn)行，也可以用戶手工操作，也就更能適應(yīng)單個(gè)用戶的使用。而垃圾郵件發(fā)送者要獲得這樣的適應(yīng)能力就很難了，因此，更難逃避過(guò)濾器的過(guò)濾，但他們當(dāng)然還是能夠?qū)⑧]件偽裝成很普遍的正常郵件的樣子。除非垃圾郵件發(fā)送者能去對(duì)某個(gè)人的過(guò)濾器進(jìn)行判斷，比如，采用發(fā)送回執(zhí)的辦法來(lái)了解哪些郵件被用戶打開(kāi)了等，這樣他們就可以適應(yīng)過(guò)濾器了。

　　雖然貝葉斯過(guò)濾器還存在有評(píng)分過(guò)濾器的缺陷，但是它更優(yōu)化了。實(shí)踐也證明，貝葉斯過(guò)濾器在客戶端和服務(wù)器中效果是非常明顯的，優(yōu)秀的貝葉斯過(guò)濾器能夠識(shí)別超過(guò)99.9%的垃圾郵件。大多數(shù)目前應(yīng)用的反垃圾郵件產(chǎn)品都采用了這樣的技術(shù)。比如Foxmail中的貝葉斯過(guò)濾。

2.1.6 局限性和缺點(diǎn)

　　現(xiàn)行的很多采用過(guò)濾器技術(shù)的反垃圾郵件產(chǎn)品通常都采用了多種過(guò)濾器技術(shù)，以便使產(chǎn)品更為有效。過(guò)濾器通過(guò)他們的誤報(bào)和漏報(bào)來(lái)分等級(jí)。漏報(bào)就是指垃圾郵件繞過(guò)了過(guò)濾器的過(guò)濾。而誤報(bào)則是將正常的郵件判斷為了垃圾郵件。完美的過(guò)濾器系統(tǒng)應(yīng)該是不存在漏報(bào)和誤報(bào)的，但是這是理想情況。

　　一些基于過(guò)濾器原理的反垃圾郵件系統(tǒng)通常有下面的三種局限性：

　　·可能被繞過(guò)。垃圾郵件發(fā)送者和他們用的發(fā)送工具也不是靜態(tài)的，他們也會(huì)很快適應(yīng)過(guò)濾器。比如，針對(duì)關(guān)鍵字列表，他們可以隨機(jī)更改一些單詞的拼寫(xiě)，比如("強(qiáng)悍", "弓雖悍", "強(qiáng)-悍").Hash-buster（在每個(gè)郵件中產(chǎn)生不同的HASH）就是來(lái)繞過(guò)hash過(guò)濾器的。當(dāng)前普遍使用的貝葉斯過(guò)濾器可以通過(guò)插入隨機(jī)單詞或句子來(lái)繞過(guò)。多數(shù)過(guò)濾器都最多只能在少數(shù)幾周才最有效，為了保持反垃圾郵件系統(tǒng)的實(shí)用性，過(guò)濾器規(guī)則就必須不斷更新，比如每天或者每周更新。

　　·誤報(bào)問(wèn)題。最頭痛的問(wèn)題就是將正常郵件判斷為垃圾郵件。比如，一封包含單詞sample的正常郵件可能因此被判斷為垃圾郵件。某些正常服務(wù)器不幸包含在不負(fù)責(zé)任的組織發(fā)布的block list對(duì)某個(gè)網(wǎng)段進(jìn)行屏蔽中，而不是因?yàn)榘l(fā)送了垃圾郵件（xfocus的服務(wù)器就是這樣的一個(gè)例子）。但是，如果要減少誤報(bào)問(wèn)題，就可能造成嚴(yán)重的漏報(bào)問(wèn)題了。

　　·過(guò)濾器復(fù)查。由于誤報(bào)問(wèn)題的存在，通常被標(biāo)記為垃圾郵件的消息一般不會(huì)被立刻刪除，而是被放置到垃圾郵件箱里面，以便日后檢查。不幸的是，這也意味著用戶仍然必須花費(fèi)時(shí)間去察看垃圾郵件，即便僅僅只針對(duì)郵件標(biāo)題。

　　目前更嚴(yán)重的問(wèn)題是，人們依然認(rèn)為過(guò)濾器能有效阻止垃圾郵件。實(shí)際上，垃圾郵件過(guò)濾器并不能有效阻止垃圾郵件，在多數(shù)案例中，垃圾郵件依然存在，依然穿過(guò)了網(wǎng)絡(luò)，并且依然被傳播。除非用戶不介意存在被誤報(bào)的郵件，不介意依然會(huì)瀏覽垃圾郵件。過(guò)濾器可以幫助我們來(lái)組織并分隔郵件為垃圾郵件和正常郵件，但是過(guò)濾器技術(shù)并不能阻止垃圾郵件，實(shí)際上只是在"處理"垃圾郵件。

　　盡管過(guò)濾器技術(shù)存在局限，但是，這是目前最為廣泛使用的反垃圾郵件技術(shù)。

2.2、驗(yàn)證查詢

　　SMTP在設(shè)計(jì)的時(shí)候并沒(méi)有考慮到安全問(wèn)題。在1973年，計(jì)算機(jī)安全還沒(méi)有什么意義，那個(gè)時(shí)候能夠有一個(gè)可執(zhí)行的郵件協(xié)議已經(jīng)很了不起了。比如，RFC524描述將SMTP作為獨(dú)立協(xié)議的一些情況：

　　"雖然人們可以或者可能可以，以本文檔為基礎(chǔ)設(shè)計(jì)軟件，但請(qǐng)恰如其分地進(jìn)行批注。請(qǐng)?zhí)岢鼋ㄗh和問(wèn)題。我堅(jiān)信協(xié)議中依然存在問(wèn)題，我希望讀者能夠閱讀RFC的時(shí)候能夠?qū)⑺鼈兌贾赋鰜?lái)。"

　　盡管SMTP的命令組已經(jīng)發(fā)展了很長(zhǎng)時(shí)間，但是人們還是以RFC524為基礎(chǔ)來(lái)執(zhí)行SMTP的，而且還都假定問(wèn)題（比如安全問(wèn)題）都會(huì)在以后被解決。因此直到2004年，源自RFC524中的錯(cuò)誤還是依然存在，這個(gè)時(shí)候SMTP已經(jīng)變得非常廣泛而很難簡(jiǎn)單被代替。垃圾郵件就是一個(gè)濫用SMTP協(xié)議的例子，多數(shù)垃圾郵件工具都可以偽造郵件頭，偽造發(fā)送者，或者隱藏源頭。

　　垃圾郵件一般都是使用的偽造的發(fā)送者地址，極少數(shù)的垃圾郵件才會(huì)用真實(shí)地址。垃圾郵件發(fā)送者偽造郵件有下面的幾個(gè)原因：

　　*因?yàn)槭沁`法的。在多個(gè)國(guó)家內(nèi)，發(fā)送垃圾郵件都是違法行為，通過(guò)偽造發(fā)送地址，發(fā)送者就可能避免被起訴。

　　*因?yàn)椴皇軞g迎。垃圾郵件發(fā)送者都明白垃圾郵件是不受歡迎的。通過(guò)偽造發(fā)送者地址，就可能減少這種反應(yīng)。

　　*受到ISP的限制。多數(shù)ISP都有防止垃圾郵件的服務(wù)條款，通過(guò)偽造發(fā)送者地址，他們可以減少被ISP禁止網(wǎng)絡(luò)訪問(wèn)的可能性。

　　因此，如果我們能夠采用類(lèi)似黑白名單一樣，能夠更智能地識(shí)別哪些是偽造的郵件，哪些是合法的郵件，那么就能從很大程度上解決垃圾郵件問(wèn)題，驗(yàn)證查詢技術(shù)正是基于這樣的出發(fā)點(diǎn)而產(chǎn)生的。以下還會(huì)解析一些主要的反垃圾郵件技術(shù)，比如Yahoo!、微軟、IBM等所倡導(dǎo)和主持的反垃圾郵件技術(shù)，把它們劃分在反向驗(yàn)證查詢技術(shù)中并不是很恰當(dāng)，但是，從某種角度來(lái)說(shuō)，這些技術(shù)都是更復(fù)雜的驗(yàn)證查詢。

2.2.1、反向查詢技術(shù)

　　從垃圾郵件的偽造角度來(lái)說(shuō)，能夠解決郵件的偽造問(wèn)題，就可以避免大量垃圾郵件的產(chǎn)生。為了限制偽造發(fā)送者地址，一些系統(tǒng)要求驗(yàn)證發(fā)送者郵件地址，這些系統(tǒng)包括：

　　這些技術(shù)都比較相近。DNS是全球互聯(lián)網(wǎng)服務(wù)來(lái)處理IP地址和域名之間的轉(zhuǎn)化。在1986年，DNS擴(kuò)展，并有了郵件交換紀(jì)錄（MX），當(dāng)發(fā)送郵件的時(shí)候，郵件服務(wù)器通過(guò)查詢MX紀(jì)錄來(lái)對(duì)應(yīng)接收者的域名。

　　類(lèi)似于MX紀(jì)錄，反向查詢解決方案就是定義反向的MX紀(jì)錄（"RMX"--RMX，"SPF"--SPF，"DMP"--DMP），用來(lái)判斷是否郵件的指定域名和IP地址是完全對(duì)應(yīng)的?；驹蚓褪莻卧爨]件的地址是不會(huì)真實(shí)來(lái)自RMX地址，因此可以判斷是否偽造。

2.2.2 DKIM技術(shù)

　　DKIM（DomainKeys Identified Mail）技術(shù)基于雅虎的DomainKeys驗(yàn)證技術(shù)和思科的Internet Identified Mail。

　　雅虎的DomainKeys利用公共密鑰密碼術(shù)驗(yàn)證電子郵件發(fā)件人。發(fā)送系統(tǒng)生成一個(gè)簽名并把簽名插入電子郵件標(biāo)題，而接收系統(tǒng)利用DNS發(fā)布的一個(gè)公共密鑰驗(yàn)證這個(gè)簽名。 思科的驗(yàn)證技術(shù)也利用密碼術(shù)，但它把簽名和電子郵件消息本身關(guān)聯(lián)。發(fā)送服務(wù)器為電子郵件消息簽名并把簽名和用于生成簽名的公共密鑰插入一個(gè)新標(biāo)題。而接收系統(tǒng)驗(yàn)證這個(gè)用于為電子郵件消息簽名的公共密鑰是授權(quán)給這個(gè)發(fā)件地址使用的。

　　DKIM將把這兩個(gè)驗(yàn)證系統(tǒng)整合起來(lái)。它將以和DomainKeys相同的方式用DNS發(fā)布的公共密鑰驗(yàn)證簽名，它也將利用思科的標(biāo)題簽名技術(shù)確保一致性。

　　DKIM給郵件提供一種機(jī)制來(lái)同時(shí)驗(yàn)證每個(gè)域郵件發(fā)送者和消息的完整性。一旦域能被驗(yàn)證，就用來(lái)同郵件中的發(fā)送者地址作比較檢測(cè)偽造。如果是偽造，那么可能是spam或者是欺騙郵件，就可以被丟棄。如果不是偽造的，并且域是已知的，可為其建立起良好的聲譽(yù)，并綁定到反垃圾郵件策略系統(tǒng)中，也可以在服務(wù)提供商之間共享，甚至直接提供給用戶。

　　對(duì)于知名公司來(lái)說(shuō)，通常需要發(fā)送各種業(yè)務(wù)郵件給客戶、銀行等，這樣，郵件的確認(rèn)就顯得很重要?？梢员Ｗo(hù)避免受到phishing攻擊。

　　現(xiàn)在，DKIM技術(shù)標(biāo)準(zhǔn)提交給IETF，可以參考draft文檔

　　DomainKeys的實(shí)現(xiàn)過(guò)程

　　發(fā)送服務(wù)器經(jīng)過(guò)兩步：

　　1、建立。域所有者需要產(chǎn)生一對(duì)公/私鑰用于標(biāo)記所有發(fā)出的郵件（允許多對(duì)密鑰），公鑰在DNS中公開(kāi)，私鑰在使用DomainKey的郵件服務(wù)器上。

　　2、簽名。當(dāng)每個(gè)用戶發(fā)送郵件的時(shí)候，郵件系統(tǒng)自動(dòng)使用存儲(chǔ)的私鑰來(lái)產(chǎn)生簽名。簽名作為郵件頭的一部分，然后郵件被傳遞到接收服務(wù)器上。

　　接收服務(wù)器通過(guò)三步來(lái)驗(yàn)證簽名郵件：

　　1、準(zhǔn)備。接收服務(wù)器從郵件頭提取出簽名和發(fā)送域（From:）然后從DNS獲得相應(yīng)的公鑰。

　　2、驗(yàn)證。接收服務(wù)器用從DNS獲得的公鑰來(lái)驗(yàn)證用私鑰產(chǎn)生的簽名。這保證郵件真實(shí)發(fā)送并且沒(méi)有被修改過(guò)。

　　3、傳遞。接收服務(wù)器使用本地策略來(lái)作出最后結(jié)果，如果域被驗(yàn)證了，而且其他的反垃圾郵件測(cè)試也沒(méi)有決定，那么郵件就被傳遞到用戶的收件箱中，否則，郵件可以被拋棄、隔離等。

2.2.3、SenderID技術(shù)

　　2004年，Gates曾信誓旦旦地預(yù)言微軟能夠在未來(lái)消滅垃圾郵件，他所期望的就是Sender ID技術(shù)，但是，最近他則收回了他的預(yù)言。這也就是標(biāo)準(zhǔn)之爭(zhēng)，微軟希望IETF能夠采用Sender ID技術(shù)作為標(biāo)準(zhǔn)，并且得到了大量支持，比如Cisco, Comcast, IBM, Cisco,Port25,Sendmail,Symantec,VeriSign等，也包括后來(lái)又倒戈的AOL的支持，但是在開(kāi)源社區(qū)，微軟一直沒(méi)有得到足夠的支持，IETF最終否決了微軟的提議。

　　SenderID技術(shù)主要包括兩個(gè)方面：發(fā)送郵件方的支持和接收郵件方的支持。其中發(fā)送郵件方的支持主要有三個(gè)部分：發(fā)信人需要修改郵件服務(wù)器的DNS，增加特定的SPF記錄以表明其發(fā)信身份，比如"v=spf1 ip4:192.0.2.0/24 -all"，表示使用SPF1版本，對(duì)于192.0.2.0/24這個(gè)網(wǎng)段是有效的；在可選情況下，發(fā)信人的MTA支持在其外發(fā)郵件的發(fā)信通信協(xié)議中增加SUBMITTER等擴(kuò)展，并在其郵件中增加Resent-Sender、Resent-From、Sender等信頭。

　　接收郵件方的支持有：收信人的郵件服務(wù)器必須采用SenderID檢查技術(shù)，對(duì)收到的郵件檢查PRA或MAILFROM，查詢發(fā)件者DNS的SPF紀(jì)錄，并以此驗(yàn)證發(fā)件者身份。

　　因此，采用Sender ID技術(shù)，其整個(gè)過(guò)程為：

　　第一步，發(fā)件人撰寫(xiě)郵件并發(fā)送；

　　第二步，郵件轉(zhuǎn)移到接收郵件服務(wù)器；

　　第三步，接收郵件服務(wù)器通過(guò)SenderID技術(shù)對(duì)發(fā)件人所聲稱的身份進(jìn)行檢查（該檢查通過(guò)DNS的特定查詢進(jìn)行）；

　　第四步，如果發(fā)現(xiàn)發(fā)信人所聲稱的身份和其發(fā)信地址相匹配，那么接收該郵件，否則對(duì)該郵件采取特定操作，比如直接拒收該郵件,或者作為垃圾郵件。

　　Sender ID技術(shù)實(shí)際上并不是根除垃圾郵件的法寶，它只是一個(gè)解決垃圾郵件發(fā)送源的技術(shù)，從本質(zhì)上來(lái)說(shuō)，并不能鑒定一個(gè)郵件是否是垃圾郵件。比如，垃圾郵件發(fā)送者可以通過(guò)注冊(cè)廉價(jià)的域名來(lái)發(fā)送垃圾郵件，從技術(shù)的角度來(lái)看，一切都是符合規(guī)范的；還有，垃圾郵件發(fā)送者還可以通過(guò)別人的郵件服務(wù)器的漏洞轉(zhuǎn)發(fā)其垃圾郵件，這同樣是SenderID技術(shù)所不能解決的。

2.2.4、FairUCE技術(shù)

　　FairUCE（Fair use of Unsolicited Commercial Email）由IBM開(kāi)發(fā)，該技術(shù)使用網(wǎng)絡(luò)領(lǐng)域的內(nèi)置身份管理工具，通過(guò)分析電子郵件域名過(guò)濾并封鎖垃圾郵件。

　　FairUCE把收到的郵件同其源頭的IP地址相鏈接--在電子郵件地址、電子郵件域和發(fā)送郵件的計(jì)算機(jī)之間建立起一種聯(lián)系，以確定電子郵件的合法性。比如采用SPF或者其他方法。如果，能夠找到關(guān)系，那么檢查接受方的黑白名單，以及域名名聲，以此決定對(duì)該郵件的操作，比如接收、拒絕等。

　　FairUCE還有一個(gè)功能，就是通過(guò)溯源找到垃圾郵件的發(fā)送源頭，并且將那些傳遞過(guò)來(lái)的垃圾郵件再轉(zhuǎn)回給發(fā)送源頭，以此來(lái)打擊垃圾郵件發(fā)送者。這種做法利弊都有。好處就是能夠影響垃圾郵件發(fā)送源頭的性能，壞處就是可能打擊倒正常的服務(wù)器（比如被利用的）的正常工作，同時(shí)該功能又復(fù)制了大量垃圾流量。

2.25、指紋技術(shù)

　　“郵件指紋”技術(shù)作為一種反垃圾郵件的新技術(shù)越來(lái)越受到人們的青睞，這種新的技術(shù)給每封發(fā)送的電子郵件信息增加擴(kuò)張了的報(bào)頭信息。這種報(bào)頭中會(huì)包含一種獨(dú)特的簽名信息，簽名信息由相應(yīng)的加密算法生成，這種算法基于電子郵件用戶身份的特有識(shí)別信息以及郵件的時(shí)間識(shí)別信息等。外部電子郵件器通常返回原始信息的傳輸指令，稱為“報(bào)頭信息”，其中包括新指紋的擴(kuò)展信息和原始信息的一部分。這就允許服務(wù)器檢測(cè)簽名信息以確定電子郵件是合法的用戶信息還是垃圾郵件制造者的偽造返回消息。其目的是利用郵件指紋組織垃圾郵件風(fēng)暴。當(dāng)然這種新技術(shù)不可能解決所有問(wèn)題，但可以保證采用這種技術(shù)的郵件服務(wù)器免受垃圾郵件的淹沒(méi)。

2.2.5、局限性和缺點(diǎn)

　　這些解決方案都具有一定的可用性，但是也存在一些缺點(diǎn)：

　　**非主機(jī)或空的域名

　　反向查詢方法要求郵件來(lái)自已知的并且信任的郵件服務(wù)器，而且對(duì)應(yīng)合理IP地址（反向MX紀(jì)錄）。但是，多數(shù)的域名實(shí)際上并不同完全靜態(tài)的IP地址對(duì)應(yīng)。通常情況下，個(gè)人和小公司也希望擁有自己的域名，但是，這并不能提供足夠的IP地址來(lái)滿足要求。DNS注冊(cè)主機(jī)，比如GoDaddy，向那些沒(méi)有主機(jī)或只有空域名的人提供免費(fèi)郵件轉(zhuǎn)發(fā)服務(wù)。盡管這種郵件轉(zhuǎn)發(fā)服務(wù)只能管理接收的郵件，而不能提供郵件發(fā)送服務(wù)。

　　反向查詢解決方案對(duì)這些沒(méi)有主機(jī)或者只有空域名的用戶造成一些問(wèn)題：

　　·沒(méi)有反向MX記錄。這些用戶現(xiàn)在可以配置郵件客戶端就可以用自己注冊(cè)的域名能發(fā)送郵件。但是，要反向查詢發(fā)送者域名的IP地址就根本找不到。特別是對(duì)于那些移動(dòng)的、撥號(hào)的和其他會(huì)頻繁改變自己IP地址的用戶。

　　·不能發(fā)送郵件。要解決上面的問(wèn)題，一個(gè)辦法就是通過(guò)ISP的服務(wù)器來(lái)轉(zhuǎn)發(fā)郵件，這樣就可以提供一個(gè)反向MX紀(jì)錄，但是，只要發(fā)送者的域名和ISP的域名不一樣的時(shí)候，ISP現(xiàn)在是不會(huì)允許轉(zhuǎn)發(fā)郵件的。

　　這兩種情況下，這些用戶都會(huì)被反向查詢系統(tǒng)攔截掉。

　　**合法域名

　　能驗(yàn)證身份，并不一定就是合法的身份，比如：垃圾郵件發(fā)送者可以通過(guò)注冊(cè)廉價(jià)的域名來(lái)發(fā)送垃圾郵件，從技術(shù)的角度來(lái)看，一切都是符合規(guī)范的；還有，目前很多垃圾郵件發(fā)送者可以通過(guò)別人的郵件服務(wù)器漏洞進(jìn)入合法郵件系統(tǒng)來(lái)轉(zhuǎn)發(fā)其垃圾郵件，這些問(wèn)題對(duì)于驗(yàn)證查詢來(lái)說(shuō)還無(wú)法解決。

2.3、挑戰(zhàn)

　　垃圾郵件發(fā)送者使用一些自動(dòng)郵件發(fā)送軟件每天可以產(chǎn)生數(shù)百萬(wàn)的郵件。挑戰(zhàn)的技術(shù)通過(guò)延緩郵件處理過(guò)程，將可以阻礙大量郵件發(fā)送者。那些只發(fā)送少量郵件的正常用戶不會(huì)受到明顯的影響。但是，挑戰(zhàn)的技術(shù)只在很少人使用的情況下獲得了成功。如果在更普及的情況下，可能人們更關(guān)心的是是否會(huì)影響到郵件傳遞而不是會(huì)阻礙垃圾郵件。

　　這里介紹兩種主要的挑戰(zhàn)形式：挑戰(zhàn)-響應(yīng)，和 計(jì)算性挑戰(zhàn)（challenge-response and proposed computational challenges）

2.3.1 挑戰(zhàn)-響應(yīng)

　　挑戰(zhàn)-響應(yīng)（Challenge-Response：CR）系統(tǒng)保留著許可發(fā)送者的列表。一個(gè)新的郵件發(fā)送者發(fā)送的郵件將被臨時(shí)保留下來(lái)而不立即被傳遞。然后向這個(gè)郵件發(fā)送者返回一封包含挑戰(zhàn)的郵件（挑戰(zhàn)可以是連接URL或者是要求回復(fù)）。當(dāng)完成挑戰(zhàn)后，新的發(fā)送者則被加入到許可發(fā)送者列表中。對(duì)于那些使用假郵件地址的垃圾郵件來(lái)說(shuō)，它們不可能接收到挑戰(zhàn)，而如果使用真實(shí)郵件地址的話，又不可能回復(fù)所有的挑戰(zhàn)。但是，CR系統(tǒng)還是有許多局限性：

　　CR死鎖。假如Alice告訴Bill要給朋友Charlie發(fā)送郵件。Bill發(fā)送一個(gè)郵件給Charlie，Charlie的CR系統(tǒng)臨時(shí)中斷郵件并發(fā)送給Bill一個(gè)挑戰(zhàn)。但是Bill的CR系統(tǒng)又會(huì)中斷Charlie這里發(fā)送出來(lái)的挑戰(zhàn)郵件，并發(fā)送自己的挑戰(zhàn)。因此，結(jié)果就是，用戶都沒(méi)有接收到挑戰(zhàn)，而且用戶也無(wú)法回復(fù)郵件。而且用戶也無(wú)法知道，在挑戰(zhàn)過(guò)程中發(fā)生了問(wèn)題。因此，如果雙方都使用CR系統(tǒng)的話，他們就可能根本無(wú)法進(jìn)行溝通。

　　自動(dòng)系統(tǒng)問(wèn)題。郵件列表或者那些自動(dòng)系統(tǒng)，比如一些網(wǎng)站的"發(fā)送給朋友……"功能，就不可能回應(yīng)挑戰(zhàn)。

　　解釋挑戰(zhàn)。許多CR系統(tǒng)都執(zhí)行解釋性挑戰(zhàn)。這些復(fù)雜的CR系統(tǒng)包含了字符識(shí)別和參數(shù)匹配，但是即便如此，還是能夠進(jìn)行自動(dòng)化操作。比如，Yahoo的CR系統(tǒng)在創(chuàng)建新郵件賬號(hào)的時(shí)候，對(duì)于那些有簡(jiǎn)單智能字符分析的系統(tǒng)是存在漏洞的。Hushmail的郵件CR系統(tǒng)要求從藍(lán)背景圖片中找出指定的圖形（分析背景，找出圖形，提交坐標(biāo)，這是可能的）

　　這些在市場(chǎng)宣傳神化中強(qiáng)調(diào)了兩點(diǎn)：1、人們必須得提供挑戰(zhàn)，2、這些問(wèn)題都非常復(fù)雜而不太可能自動(dòng)化操作。但是實(shí)際上，多數(shù)的垃圾郵件發(fā)送者完全不理睬了這些CR系統(tǒng)，因?yàn)樗麄冎饕菗?dān)心沒(méi)有大量的接收者，而不是擔(dān)心挑戰(zhàn)太復(fù)雜。許多垃圾郵件發(fā)送者也使用有效的郵件地址。當(dāng)CR系統(tǒng)會(huì)干擾垃圾郵件的時(shí)候，那些發(fā)送者也會(huì)找出自動(dòng)化搞定這些挑戰(zhàn)的辦法的。

2.3.2、計(jì)算性挑戰(zhàn)

　　現(xiàn)在也提出了一些計(jì)算性挑戰(zhàn)方案Computational Challenge (CC)，如，通過(guò)增加發(fā)送郵件的"費(fèi)用"。多數(shù)CC系統(tǒng)使用復(fù)雜的算法來(lái)有意拖延時(shí)間。對(duì)于單個(gè)用戶來(lái)說(shuō)，這種拖延很難被察覺(jué)，但是對(duì)于發(fā)送大量郵件的垃圾郵件發(fā)送者來(lái)說(shuō)，這就意味著要花費(fèi)很多時(shí)間了。CC系統(tǒng)的實(shí)例，如Hash Cash (http://www. cypherspace .org/adam/hashcash/)。但是，即便如此，CC系統(tǒng)還是會(huì)影響快速通訊而不僅僅影響垃圾郵件。這些局限包括：

　　·不平等影響。計(jì)算性挑戰(zhàn)是以CPU、內(nèi)存和網(wǎng)絡(luò)為基礎(chǔ)的，比如，在1Ghz計(jì)算機(jī)上挑戰(zhàn)可能花費(fèi)10秒，但是在500Mhz上就需要花費(fèi)20秒了。

　　·郵件列表。許多郵件列表都有數(shù)千，甚至數(shù)百萬(wàn)的接受者。比如BugTraq，就可能會(huì)被看作垃圾郵件了。CC系統(tǒng)來(lái)處理郵件列表是不現(xiàn)實(shí)的。如果垃圾郵件發(fā)送有辦法通過(guò)合法的郵件列表來(lái)繞過(guò)挑戰(zhàn)，那么他們也就有辦法繞過(guò)其他的挑戰(zhàn)了。

　　·機(jī)器人程序。Sobig或者其他象垃圾郵件一樣的病毒，能讓垃圾郵件發(fā)送者控制大量的機(jī)器。這就讓他們能夠用大量的系統(tǒng)來(lái)均衡"費(fèi)用"了。

　　·合法的機(jī)器人程序。垃圾郵件發(fā)送者發(fā)送垃圾郵件是因?yàn)闀?huì)給他們帶來(lái)收入。如果這些人聯(lián)合起來(lái)，就可能提供大量的系統(tǒng)來(lái)分擔(dān)"費(fèi)用"，這完全是合法的，而且不需要通過(guò)病毒了。

　　當(dāng)前，計(jì)算性挑戰(zhàn)還沒(méi)有廣泛應(yīng)用，因?yàn)檫@種技術(shù)還不能解決spam問(wèn)題，反而可能干擾正常用戶。

2.4、密碼術(shù)

　　現(xiàn)在提出了一些采用密碼技術(shù)來(lái)驗(yàn)證郵件發(fā)送者的方案。從本質(zhì)上來(lái)說(shuō)，這些系統(tǒng)采用證書(shū)方式來(lái)提供證明。沒(méi)有適當(dāng)?shù)淖C書(shū)，偽造的郵件就很容易被識(shí)別出來(lái)，下面就是一些研究中的密碼解決辦法：

　　目前的郵件協(xié)議（SMTP）不能直接支持加密驗(yàn)證。研究中的解決方案擴(kuò)展了SMTP（比如S/MIME，PGP/MIME和AMTP），還有一些其他的則打算代替現(xiàn)在的郵件體系，比如MTP。有趣的是，MTP的作者說(shuō)到："SMTP已經(jīng)有20多年歷史了，然而近代的一些需求則在過(guò)去5到10年內(nèi)發(fā)展起來(lái)。許多擴(kuò)展都是針對(duì)SMTP的語(yǔ)句和語(yǔ)義，純粹的SMTP不能滿足這些需求，如果不改變SMTP的語(yǔ)句，是很難有所突破的。"但是，很多的擴(kuò)展的SMTP實(shí)例恰恰表明了SMTP的可變性，而不是不變性，完全創(chuàng)造一個(gè)新的郵件傳輸協(xié)議并不是必須的。

　　在采用證書(shū)的時(shí)候，比如X.509或TLS，某些證書(shū)管理機(jī)構(gòu)必須得可用，但是，如果證書(shū)存儲(chǔ)在DNS，那么私鑰必須得在驗(yàn)證的時(shí)候可用。（換句話說(shuō)，如果垃圾郵件發(fā)送者可以訪問(wèn)這些私鑰，那么他們就可以產(chǎn)生有效的公鑰）。另一方面，也要用到主要的證書(shū)管理機(jī)構(gòu)（CA），但是，郵件是一種分布式系統(tǒng)，沒(méi)有人希望所有的郵件都由單獨(dú)的CA來(lái)控制。一些解決辦法因此允許多個(gè)CA系統(tǒng)，比如，X.509就會(huì)確定可用的CA服務(wù)器。這種擴(kuò)展性也導(dǎo)致垃圾郵件發(fā)送者也可以運(yùn)行著私有的CA服務(wù)器。

　　如果沒(méi)有證書(shū)管理機(jī)構(gòu)，就需要其他的途徑在發(fā)送者和接收者之間來(lái)分發(fā)密鑰。比如，PGP，就可以預(yù)先共享公鑰。在未連接網(wǎng)絡(luò)或者比較封閉的群組中，這種辦法是可行的，但是在大量個(gè)體使用的時(shí)候，就不是太適合，特別是對(duì)于需要建立新的聯(lián)系的情況下。從本質(zhì)上來(lái)說(shuō)，預(yù)先共享密鑰有些類(lèi)似白名單的過(guò)濾器：只有彼此知道的人才能發(fā)送郵件。

　　不幸的是，這些加密解決方案還不能阻止垃圾郵件，比如，假設(shè)其中的一種加密方案廣泛被接受了。這些辦法都不能確認(rèn)郵件地址是真實(shí)的，而只是可以確認(rèn)發(fā)送者有郵件的正確密鑰。缺點(diǎn)就是：

　　·濫用自動(dòng)化工具。如果在廣大范圍內(nèi)被應(yīng)用，就需要有一種辦法為所有用戶產(chǎn)生證書(shū)或者密鑰（包括郵件服務(wù)器端，郵件客戶端，依賴與相應(yīng)的解決辦法）系統(tǒng)很可能通過(guò)一種自動(dòng)化的方法來(lái)提供密鑰?？墒?，可以相信垃圾郵件發(fā)送者也會(huì)濫用任何自動(dòng)化系統(tǒng)，并且用來(lái)發(fā)送經(jīng)認(rèn)證的垃圾郵件。

　　·可用性問(wèn)題。這也有一些可用性的爭(zhēng)論。比如，如果CA服務(wù)器不可用怎么辦？郵件被掛起？退票？還是依然可用？垃圾郵件發(fā)送者近來(lái)對(duì)一半以上的提供黑名單網(wǎng)站進(jìn)行了拒絕服務(wù)攻擊，并導(dǎo)致這些網(wǎng)站都無(wú)法訪問(wèn)。顯然，這些垃圾郵件發(fā)送者想阻止別人更新黑名單。對(duì)于單一的CA服務(wù)器，很顯然也無(wú)法避免這樣的命運(yùn)。

2.5、G Data爆發(fā)護(hù)盾

　　傳統(tǒng)的病毒掃描程序是基于病毒特征碼的。要?jiǎng)?chuàng)建這樣的特征碼，廠商必須至少要有一個(gè)被病毒實(shí)驗(yàn)室分析過(guò)的某些惡意軟件的樣本的副本，直到有新的病毒特征碼可用，但是這個(gè)過(guò)程至少需要花上幾個(gè)小時(shí)，或幾天的時(shí)間。在這種情況下，家用計(jì)算機(jī)和企業(yè)網(wǎng)絡(luò)都得不到防護(hù)。

　　最近，越來(lái)越多的惡意攻擊都是利用了這個(gè)時(shí)間差。反垃圾爆發(fā)戶盾是德國(guó)殺毒軟件G Data的一個(gè)特殊防護(hù)病毒郵件技術(shù)。G Data 通過(guò)提供每小時(shí)的病毒庫(kù)更新，已經(jīng)減少了惡意攻擊的反應(yīng)時(shí)間，但這種病毒特征碼的防護(hù)水平仍有待提高。所以，傳統(tǒng)的防護(hù)是需要通過(guò)即刻免受最新威脅的方法來(lái)補(bǔ)充的，即可以提供這種補(bǔ)充。

　　對(duì)一個(gè)新的惡意軟件樣本的分析，以及一種對(duì)抗手段（特征碼）的產(chǎn)生，盡管防病毒安全廠商全力以赴，仍需要一段可觀的時(shí)間，這就是所謂的“反應(yīng)速度”。爆發(fā)護(hù)盾技術(shù)的融合，則使傳統(tǒng)的引擎掃描技術(shù)的缺陷，得到了極大的彌補(bǔ)。

　　在病毒爆發(fā)期間的前幾秒鐘填補(bǔ)雙掃描引擎的不足。反垃圾郵件爆發(fā)護(hù)盾（OUTBREAKSHIELD）技術(shù)的主要成就是能夠提早發(fā)現(xiàn)通過(guò)大量電子郵件和垃圾郵件分發(fā)的惡意軟件。平均而言，在檢測(cè)到病毒爆發(fā)90秒后，所有其他的電子郵件都被阻止。反垃圾郵件爆發(fā)護(hù)盾（OUTBREAKSHIELD）對(duì)未知病毒實(shí)現(xiàn)了95%的檢測(cè)率。這遠(yuǎn)遠(yuǎn)高于通過(guò)其他主動(dòng)防御方法達(dá)到的檢測(cè)率。G Data反垃圾郵件爆發(fā)護(hù)盾（OUTBREAKSHIELD）的錯(cuò)誤率只有0.00004%。

3、總結(jié)

　　上面介紹了一些反垃圾郵件的技術(shù)，其實(shí)，現(xiàn)在很多反垃圾郵件方案所采用的都不會(huì)只是一種技術(shù)，而是多種多類(lèi)技術(shù)的綜合體。

　　垃圾郵件的危害現(xiàn)在已經(jīng)深入人心，反垃圾郵件也取得越來(lái)越多的成績(jī)，比如，Scott Richter向微軟賠款700萬(wàn)。不少國(guó)家也在為反垃圾郵件進(jìn)行立法，以便能夠得到法律上的支持。

　　但從技術(shù)上來(lái)說(shuō)，這跟反攻擊一樣，是一個(gè)正反雙方的博弈過(guò)程，一種新的反垃圾郵件技術(shù)必然會(huì)出現(xiàn)一種對(duì)應(yīng)得垃圾郵件技術(shù)，況且，任何一種技術(shù)，還沒(méi)有辦法去解決所有問(wèn)題，技術(shù)的發(fā)展也將延續(xù)下去。

該文章在 2014/12/19 11:27:13 編輯過(guò)