自从电子邮件大大降低了信息的传播成本，垃圾邮件便随之而产生。 (1<GRF8  
bi__eD>/  
笔者作为国内互联网的较早的用户，使用的是自己注册的域名的电子邮件地址，从一开始使用至今一直没有变过，而该邮件地址在国内互联网发展初期曾注册过许多网站服务，因此成为垃圾邮件的目标。 uG\2Nz4>  
^3';j] ~  
笔者的邮件地址在2000年即每天收到近百封垃圾邮件，因此从那时即开始关注垃圾邮件的控制方法。 YD)'_;(2  
/V|~W^f"  
2004年1月底，国家四部委联合发文整治垃圾邮件和不良信息，快速启动了国内反垃圾邮件的市场，反垃圾邮件产品厂商风起云涌，但笔者认为许多宣传仅从邮件安全的某个局部出发，失于片面。反垃圾邮件仅仅是邮件安全的一部分技术，邮件安全至少应当包括反垃圾邮件、反邮件病毒、内容过滤等功能，还可能包括邮件溯源、邮件审计等功能。本文由于篇幅所限，只说明反垃圾邮件的技术。 }C54_@X|  
B;v3q/" ,  
1. SMTP安全漏洞与垃圾分析 [ Y7?<T  
$L U`89;  
1.1 SMTP起源 EN1!h  
c_hE &f1*  
在互联网上使用的邮件传输协议称为SMTP(Simple Mail Transfer Protocol简单邮件传输协议，RFC-821)，也许有很多初次了解SMTP协议的人会奇怪为什么称为简单邮件传输协议，那么复杂邮件传输协议在哪里？如果这样考虑，可以理解1984年ISO(国际标准化组织)和ITU(国际电信联盟)发布的X.400信件传递标准就是复杂邮件传输协议(当然，其相关协议早在近十年前就在讨论、完善，只是直到1984年才发布标准)。1982年由互联网协会发布了基于TCP/IP的SMTP(RFC821)后，随即发布了RFC822 ASCII纯文本邮件结构，这样就满足了人们发送纯文本邮件的需求，随着需求的增长，1996年发布了一系列MIME(Multipurpos Internet Mail Extensions)格式定义，使电子邮件可以传递任意格式的文件，大家发送邮件时会发现，邮件的大小比附件的大小要大很多，原因就是附件可能经过了MIME编码，导致变大。MIME满足了人们发送任意格式邮件的需求，也同时导致了恶意代码通过电子邮件传递。 /3hfTS4  
tJ,N_H9Le  
1.2 邮件发送过程  3W`>"  
,)nkOu{:  
一封邮件从发件人编辑邮件到收件人接收邮件一般要通过如下四步： Z](s#AvF  
!xlWKWZn!  
1. 发送客户端‘(smtp)‘发送邮件服务器：发件人在发送客户端(~MUA~，~Mail User Agent~)编辑邮件后发出，MUA向他定义的发送邮件服务器(~MTA~，~Mail Transport Agent~)发出SMTP请求并握手，发送邮件服务器将邮件接收下来放在相关的邮件队列中。一般来说，MUA在和发件MTA握手时，使用的是用户在MUA该帐号上注册的邮件帐号信息作为信封Mail From和信头From的参数，是相同的； )`x$2'+q  
fy.~yF[SO$  
2. 发送邮件服务器-->(smtp)-->接收邮件服务器：发送邮件服务器根据邮件的目的地址，如果目的地址不是本地，则会将邮件转而放到相应的发送队列中，MTA将邮件从等候的发送队列中取出，向接收邮件服务器发起SMTP请求并握手，接收邮件服务器将邮件接收下来，放入相关的邮件队列中。一般来说，发送MTA会把邮件的信封部分和邮件部分(data，包括信头和信体)分开保存，这样在与接收MTA通信时，Mail From依然使用原来的信息不变； $44NYrv4  

8yqXV  
3. 接收邮件服务器dispatch到邮箱：接收邮件服务器根据邮件的目的地址(当然是本地了)，将邮件由MDA(Mail Deliver Agent)放到用户的邮箱中。接收MTA在和发送MTA握手时，得到的Mail From数据仍然是发件MUA给出的信息。 ]$>XztDn1  
=Tk}4\i  
4. 邮箱服务器-->(pop/imap)-->接收客户端：最后，接收客户端使用POP或IMAP协议将邮件下载、阅读。 \ymT^hB  
tUbq+n1bw  
1.3 模拟收发过程 p:"BMvH%  
)t.]  
SMTP协议是TCP/IP协议的应用层协议，其传递的数据都是人可读的数据，因此可以使用Telnet来仿真、观察SMTP协议的握手过程(假设邮件服务器IP是192.168.100.100)。 F I.]d"}  
DCC&:hN  
Telnet 192.168.100.100 25 ; 25是TCP/IP协议给SMTP定义的端口号 nX3XNC"  
= 3-?0dy  
<<< 220 smtp.my.com ESMTP Service (SMTP server) ready at 日期、时间 +0800 n:Ol2  
@rppe :?^  
>>> helo haha.com ,21*?P;  
c,!?2q!  
<<< 250 smtp.my.com Hello haha.com ([192.168.100.50]), pleased to meet you 'Lrht(G u>  
qE
qv9  
>>> mail from:abc@abc.com SRGv-h  
"(vH W];  
<<< 250 abc@abc.com... Sender OK ))x6-20T  
&?i$6jx  
>>> rcpt to:realname@my.com L6j9Y8tC  
h_kAi3&!ii  
<<< 250 realname@my.com... Recipient OK = |]OT(  
^<tB+PxP  
>>> data R"3a  
hOw_w"#m1  
<<< 354 Enter message, end with "." on a line by itself us;tqr*MH  
<>)V`M  
>>> Reply-to:ccc@ccc.com )=6sh9  
58YPdF9|  
>>> From:aaa@aaa.com DB@H
%H  
9l!yy?9  
>>> To:bbb@bbb.com k?@ -:lh<  
h&4-B ],=  
>>> Subject:testest 1z@Fa^  
J,T\a2hg  
>>> 7(#oe.]$  
t*.5uB3G  
>>> This is a Test Email. yQ-G.W~}  
J:'ln3q1mB  
>>> . WXE)U[^5K  
^Gzc.h  
<<< 250 Message accepted for delivery wDb4Q  
9QA#R!
:t  
>>> quit >w=Te  
|k"$:-pG  
<<< 221 smtp.my.com SMTP Service closing transmission channel z(x9*~2\  
XhPg|O  
这样就用Telnet直接向smtp.my.com送入了一封给realname用户的邮件。 ^c?3pUz&  
skH*R/  
让我们来看一下收到的这封邮件的源文件：  ?h"G.'  
@-MLy  
Received: from haha.com ([192.168.100.50]) pF3qi  
Kf+;Y{0  
by smtp.my.com (SMTP server) YFUe,*Amq  
v#vdy\KIV  
with SMTP id 2004062314152297-16576 ; Va
E&?(E  
= #&z(`62K  
Wed, 23 Jun 2004 14:15:22 +0800 +x~O.r8S7E  
W[ezPI0A  
Reply-to:ccc@ccc.com ywuKcY"iN  
J`j Y|;s  
From:aaa@aaa.com *qq9E+o_8  
W.rOJPHQ  
To:bbb@bbb.com oFH`]dXv  
dFdB}"6  
Subject:testest 1"ti1[ '  
]b/S<$  
X-MIMETrack: Itemize by SMTP Server on Mail/my() at 2004-06-23 14:17:10, hZg.9#]x  
NbzVPs_h  
Serialize by POP3 Server on Mail/my() at 2004-06-23 14:18:45, ,BA~!GC9  
+cE{-dkr  
Serialize complete at 2004-06-23 14:18:45 .I~`e/n  
,a: (5  
Date: Wed, 23 Jun 2004 14:17:10 +0800 |#R&[##  
;7X_utbZ[  
Message-ID: <OF39FF5AC9.A74F14E2-ON48256EBC.00228835@my.com> ce{T@`q  
7.=$9r s  
This is a Test Email. /0]_'03$&  
pYRH5
Z2  
从上面的模拟过程可以看出，该邮件在邮件头中声称邮件来自~aaa@aaa.com~，要发给bbb@bbb.com；而在SMTP握手中声称使用计算机haha.com，邮件来自abc@abc.com，要发给realname@my.com(这是真正收到该邮件的用户)。邮件头的说法和SMTP握手中的说法完全不同，而当用户(~realname@my.com~)收到此邮件时，他所能看到的只是邮件头中所声称的内容和发送该邮件所声称的机器名和IP。然而，要使用户realname收到这封邮件，除了SMTP握手中rcpt to必须是真实的以外，其他所有东西都可以伪造，From:和To:都可以不写。尤其不幸的是：为了返回错误提示邮件，SMTP协议甚至允许mail from:后面是空白。 N.G +-U  
AI>J@CM!b  
上面data后的内容是真正的邮件，data之前的内容是SMTP握手，或称信封。用户收到的邮件已没有信封，但SMTP服务器可能会根据信封内容在data的信头部分增加Received数据保存一些信封的内容。 @EY]@(<'1]  
R 6rk!H1V  
在邮件客户端，用户将看到邮件来自aaa@aaa.com，而回复时，自动将ccc@ccc.com作为目的地址。 YTMGM!{  
<cmNK0Xl  
上述邮件模拟发送过程中，只有收件人地址是真实的(呵呵，否则谁收啊？)；收到的邮件看到的源文件，只有最后一个发件IP是真实的(前面如果还有，也可能是伪造的)。

2. 反垃圾邮件技术 y!~Y$W,Q  
+|F!p# w  
从我们对已有反垃圾技术的研究，分类如下： /qpp sQp?  
ZCJ/^IC  
2.1 传统技术 D!-#,WrH%#  
Vd?%A3~*  
2.1.1 关闭OpenRelay bS"zx!5  
TxoW=*  
关闭OpenRelay并不是最简单的技术，之所以把它放在传统技术的第一个，是因为OpenRelay是发送垃圾邮件的方法，而关闭OpenRelay是防止自己的邮件服务器发送垃圾邮件，而本书后面的内容基本上都是防止接收垃圾邮件。 rS:jR/8  
\ 7X Q6Z^  
但关闭OpenRelay是非常重要的，应该说是整个反垃圾邮件体系的基础，OpenRelay的存在，使邮件可以任意转发，导致发件人完全不可追查，无论是技术手段还是法律手段都无法起作用。 \c]5/lZRG  
M&b .P6  
另外下面要提到，关闭OpenRelay也是下面要介绍的内部可追查检查的基础。 RJ6ch"  
%Ke%b#  
关闭OpenRelay和发件认证原本是两件事、两个概念，但一般都是一起使用的，因为仅仅关闭OpenRelay，邮件服务器就成为CloseRelay，只能从某些指定的IP发送邮件，或者只能将邮件发送到某些邮件域，这在实际使用中是极不方便的，甚至可以说CloseRelay是基本不可用的，只能用于机构内部邮件。关闭OpenRelay并增加了发件认证后，所有该邮件服务器的合法注册用户都可以任意发送邮件，而非本邮件服务器的邮件地址只能向该邮件服务器发送邮件，不能通过该邮件服务器向未允许的其他邮件域发送邮件。 m'%1W39F5  
7/XYU-W*d  
2.1.2 静态黑白名单 W+c^Q;  
E>& .[86  
静态黑白名单对反垃圾邮件实际上没有任何意义，作为内容过滤、内容监控、内容审计还可以作为一个初步技术。 Mj6OyK/6bG  
{G7&d^n]w  
2.1.3 静态内容过滤 j<#M)WH;  
OCF3hiQ  
静态内容过滤实际上只针对"规矩"的垃圾邮件有效，这些规矩的垃圾邮件常常是网络营销公司的广告，有些更规矩的广告在邮件主题上提示"ADV:"，这种邮件其实反而不是我们要主要防范的邮件，如果用户不想接收广告邮件，只需简单过滤邮件主题，发现ADV即拒收。而目前的用程序自动生成和发送的垃圾邮件对于发件人、收件人、邮件主题甚至邮件内容都是随机生成的，在邮件内容中经常被过滤的词汇，例如"免费"、"赚钱"、"性感"或者一个和政治相关的词汇，经常被随机变种，比如"免费"被变为"免...费"或"免\_\_费"等等，令防垃圾过滤防不胜防，同时导致了正常邮件如果使用了这些词汇也被拒绝。实际上，静态内容过滤无法在反垃圾邮件中实用。 H#m',yG 6  
wRm+yAjQ  
2.1.4 实时黑名单及改进 ~`Kbk {7  
Sfxb*TN  
RBL(Realtime Blackhole List) guO?_c;
 
Yg&gP1d
 
实时黑名单是使用最早的技术，但这种技术存在巨大的局限性，无法防止宽带用户自行发出的邮件，尤其是动态IP的(比如拨号用户和ADSL)，这样经常导致整个IP区域被列入黑名单，因此有时反而形成了垄断和不正当竞争。中国互联网协会就曾因国外将中国大片IP列入黑名单而提出抗议。 xGvDw-\  
S tl=/yZ  
基于RBL的优点和问题，国际上产生了许多改进的方案，不仅针对IP地址，而且针对URL和邮件内容等，产生了多个可用的类RBL服务网站。 v!67OB+  
Jvd;,D  
大部分下述黑名单都属于所谓的DNSbl(DNS BlockList)，是通过DNS查询的方式来查询Blocklist结果，并且许多新的邮件服务器都支持标准的DNSbl。一般的类RBL是针对IP地址的，有些是针对域名的，这时成为RHSbl。 m{[W|||  
tv
|/t]  
笔者认为，实际上实时黑名单存在的意义在于如下事实：据统计，全球可能有80%以上的垃圾邮件来自200个左右的垃圾邮件发送团体，无论他们如何变更IP地址和托管服务商，追踪这200个团体还是一个可能完成的任务。而实时黑名单追踪小型的团体或垃圾邮件发送者，是力不从心且容易误判的。 `"eR^V%}v  
cm0)9#=E%O  
2.2 数量控制 K y['G[6v  
ef&@hgJ  
2.2.1 带宽/连接限制 QX!YQywEt  
oj#V xZ?  
这是网络层的重复限制。使用QoS策略限制每一个IP向自己发送邮件的可用网络带宽，用防火墙策略限制每个IP向自己发送邮件的并发SMTP连接数目。
KT
.|dO  
Pg6;  
2.2.2 邮件重复限制 &Hf-I  
h v}r`UX,  
这是应用层的重复限制。一般根据发件IP、发件人、邮件主题三个元素在一段时间内的重复速率做限制。这种限制虽然技术简单，但对从一个IP发出的大量邮件非常有效。 j,5]_8OFD  
Uc11>A>S  
2.3 新型技术 6
/:_f  
?q_
`JK  
2.3.1 贝叶斯分析 XE+Y\O  
3s
n${yfQt  
贝叶斯过滤器是根据贝叶斯准则和贝叶斯定理，以已知垃圾邮件和非垃圾邮件为样本、来判断下一封邮件是垃圾邮件的概率。 +VDCfL1U  
){l3BgH  
因此贝叶斯过滤器需要已知的邮件作为样本进行自学习。 L&0ZO#R  
Y_2k-F61vh  
2.3.2 分布协作的内容指纹分析 4Jv[[(R4Q  
k@ .*wL.^C  
分布协作分析是基于这样的实际情况：垃圾邮件发送者将相同的邮件发送给巨大数量的邮件地址，可能试图从中取得某些商业、政治利益。 ?SWpY~82  
Xo$  
这种邮件绝大部分是使用假的邮件地址、伪造了邮件头或利用了OpenRelay发送的，只有内容是这种垃圾邮件要传递的信息。但每个收件人必须看了内容以后才知道这是垃圾邮件。因此分布协作分析是基于这样的方法：从邮件中提取出可以代表内容的指纹数据(一般是利用加密哈希算法或检查和的算法来产生指纹特征)，不同的内容会产生不同的指纹(为了防止垃圾邮件发送者利用小的变化，比如大小写等，来躲避反垃圾系统，一般还做模糊指纹，使相似内容的邮件产生相同的指纹)，用这些指纹代表邮件，全球的兼容用户会提交邮件(或只提交垃圾邮件)的指纹，从服务器得到响应以知道有多少封相同的邮件在全球传播，这样来识别邮件是否垃圾邮件。 FD |m.=  
cw|"E8\  
分布式Hash数据库是分析邮件内容并根据指纹算法产生指纹。分布式Hash数据库是将认为是垃圾的邮件(或全部邮件)的指纹特征提交给分析服务器，由分析服务器根据提交总数量、频率等参数认定它是垃圾邮件的可能性。这样的系统可以集合全球的邮件特征，将大范围发送、但局部数量并不多的垃圾邮件甄别出来。所有支持分布式Hash数据库的防垃圾邮件系统都回互相促进、提高准确性。 aNtF^d_e  
ePOJqnDJ O  
2.3.3 集中的分领域内容分析 I-2I8#?H.  
s7c\x46I  
智能内容分析是根据目前垃圾邮件的主要内容特征认定其是垃圾的可能性。

2.4 辅助工作 1Si,RxY  
Hr-riS%AY  
2.4.1 打分机制 LbaA86'w,  
t!lA?7"g  
上面提到了大量的目前的反垃圾邮件方法，但除了黑名单、白名单，所有方法、包括可追查性检查在未完全实施前，都可能发生误判，而对于用户来说，少量的漏判是可以忍受的，但即使是极少量的误判可能用户都不愿接受，因此一般的反垃圾邮件产品都使用多种反垃圾技术，并对每种技术做加权打分，以总分值作为一封邮件是垃圾邮件的可能性高低的判断。 bSV w%  
v=JgMy6   
但仍然要强调的是：即使使用打分机制，仍然存在误判的可能性，只不过可以将分值极高的邮件认为是垃圾邮件，分值极低的邮件认为是正常邮件，而中间分值的邮件建议采用标记的方法，而不是直接拒绝，由收件人去判断它是否垃圾邮件。 sWu]i`_k<z  
`K>>3$`{/  
2.4.2 降噪 {dL{ Z9  
ONa o^  
智能降噪系统是指例如一个合法邮件发送者平时都是发送正常邮件、突然大量发送垃圾邮件时的情况，有可能是因为某种原因的错误判断，也就是可能是噪声，因此对其进行降噪处理，认为他发送的邮件是垃圾的概率相对降低。 I7zY?  
K|Bj{Ihu  
2.4.3 互动 t6ugmxF[  
4V*KqQ-q  
系统的所有引擎和子引擎应该是互动的，即包括可追查检查、智能实时黑名单、智能集中分析和智能内容分析得出的垃圾邮件和非垃圾邮件都会作为贝叶斯自学习的样本，同时贝叶斯过滤器认为是垃圾邮件的邮件会作为智能集中分析等子引擎的提交邮件，充实智能集中分析系统的特征库。 pA*2<`+g  
zQcA~Sqa  
2.4.4 垃圾探针邮箱 Yt!
>t7n  
o wdMfVhE  
首先，垃圾邮件发送者要得到邮件地址，他们可能这样得到： 'bG 96/Y  
OJ8MOR$[  
从邮件列表得到 aIH~ mP  
__bysGB  
从网页得到 lZUnB~nQ@  
kmx@qf\A  
交换和购买 \ 8<at1{  
9; "V>]m#!  
邮件地址收集软件可以自动扫描新闻组、邮件列表和网页，从中找到任何看起来象邮件地址的字符串，存入数据库或文件，作为发送垃圾邮件的目标地址列表，这个列表可能非常大。当你向新闻组提交一篇文章，或把邮件地址放到任何网页上时，就可能被邮件地址收集软件捕捉到。 MeNqSq"w  
&Ni76Ujv!  
根据垃圾邮件发送者搜集、共享邮件清单的方法，我们可以建立多种垃圾探针邮箱，这些探针邮箱有的可以100%保证是垃圾邮件，有些可能会引来一些正常邮件。 ,m6_QNp45  
C%;kY]k  
隐蔽邮件帐号：在邮件系统上建立完全不对外公开的隐蔽邮件帐号，开放不存在用户的退信。这样，邮箱地址搜索方式(例如随机发邮件等候退信或无退信)会得到这些隐蔽邮件帐号。由于隐蔽邮件帐号完全不对外，因此凡是向这些帐号发来的邮件肯定100%是垃圾邮件。 sIQ$2},  
,_c*-`j  
非显示邮件帐号：在网页上公布探针邮件帐号，但该邮件帐号的文字颜色与网页背景颜色相同，正常的人是无法看到该帐号地址的，但用于搜索垃圾邮件发送目标的软件可以发现(当然了，软件看的是网页源代码)，因此该探针邮件地址收到的邮件必然100%是垃圾邮件。 F1q@av2  
'TH#UI^p  
网站注册：使用专门的邮件帐号，不用于任何其他目的，仅用于在各网站上注册。对于不负责人的网站，会将注册用户的邮件地址泄漏出去，成为垃圾邮件发送者的目标。只要过滤掉网站来的邮件，剩下的就肯定是垃圾邮件。 /@Lt%s?  
>a@T7og8x  
订阅邮件列表：使用专门的邮件帐号，同样不用于其他目的，仅用于订阅邮件列表。对于不负责任的邮件列表，会将订阅人的邮件地址泄漏出去，成为垃圾邮件发送者的目标。收件系统只要将从邮件列表发来的邮件过滤掉，剩下的就肯定是垃圾邮件。另外，有些垃圾邮件发送者可能直接利用邮件列表发送垃圾邮件，这时正常的邮件列表邮件和利用邮件列表的垃圾邮件就更难以区分了，因此邮件列表应该要求必须使用列表的注册用户作为发件人才予以转发。 L:s{[ a*  
CCOFqMf  
其他公开方式：例如在论坛上公开探针邮箱等。但这种方法可能引来合法的邮件，无法100%保证收到的是垃圾邮件。 @nOm)q  
H/58y hg  
在上述公开方式中，有可能引来正常邮件，因此针对垃圾邮件收集程序不可能理解邮件地址的情况，可以将用户名定义为人可以理解、看到这个邮件地址正常人就不会向这个地址发送邮件的用户名。 "AIAq7  
Vhp9\d:Kku  
作为具体的方法，为了方便，可以使用一个垃圾邮件探针邮箱，给这个探针邮箱设置多个别名，这样所有的垃圾邮件都用这个邮箱保存，而对外仿佛是很多个邮箱，容易迷惑垃圾发送者。同时，在不同的发布地点使用不同的探针邮箱别名(或干脆不同的探针邮箱地址)还可以分析出垃圾邮件发送者如何收集邮件地址，这些地址又是如何被传播的。 i@D''^K(dC  
*Bn$fB'V  
2.5 彻底技术：源头认证 q<iE\RuF  
A~DvQR~  
源头认证是防止邮件伪装的方案，保证了发件人不是伪装的，就断绝了垃圾邮件发送者躲避法律制裁的路，因此可以断绝大部分垃圾邮件。 *}wFuzS2  
#TI[*:*  
2.5.1 可追查性检查 M(H fcz  
H9 h8  
笔者在对于邮件协议、smtp协议漏洞、垃圾邮件产生及泛滥原因等进行分析后，考察了大量的垃圾邮件的发送路径、邮件头信息，认为基于黑名单(包括动态黑名单RBL)及内容分析等反垃圾邮件方案偏离了垃圾邮件产生的根本原因，无法根除垃圾邮件。在考虑的smtp服务器已经遍及全球的事实情况下，于2001年初提出了如下方案，命名为"可追查性检查"方案，但直到2003年初，才有人使用该方案产生了产品或雏形产品。 =\oiy
 
qCy
~oN<  
可追查检查方案是一个保证收到的邮件都是可以追查来源的方案。对于无法追查来源的邮件，用户无法回复(这些垃圾邮件也无需用户回复)、公安监管无法查找(使监管人员被大量无法追查的邮件淹没)、加大了反垃圾邮件其他技术的负荷(内容智能分析很耗系统资源)。 ,h| k)  
;[vVhfj  
当然，存在未做伪装来源的垃圾邮件，但这种垃圾邮件经常是广告等发件人愿意负责的邮件，这样的垃圾邮件实际上定义不清，有些人认为是垃圾，有些人可能认为不是垃圾。这种垃圾邮件可以靠已有防垃圾技术(如黑名单)、投诉机制、法律法规等方法解决。 90av`L/N  
s :)f#  
不可追查的邮件是伪造了邮件作者、发件人、邮件转发路径等信息的邮件，使接收人无法根据邮件找到发件人。原先的不可追查邮件曾使用不存在的域名，这样，有些MTA在接收邮件时，增加了域名解析，如果发现发件人域名不存在，则拒收邮件，这曾很大程度上阻止了垃圾邮件。 @Zj|5Xp7  
vl}lT.k* d  
而如今的垃圾邮件(和病毒邮件)都使用存在的域名，病毒邮件经常还是在被感染者的通信簿中寻找发件人和收件人邮件地址，这样使垃圾邮件和病毒邮件更具迷惑性(因为收件人会认为邮件是从他所熟悉的发件人发来的)。 f]f 8(  
r"@nw5++q  
这样的垃圾邮件还导致一个恶劣后果，就是被冒用的发件人邮件地址可能要承担垃圾邮件导致的后果，例如可能被受害的收件人抱怨、被列入黑名单，甚至面临法律问题。 c%r)  
8O.+o  
可追查性检查的基本理念 }@m?
C0CJe  
`detOAx  
把关注重点放在中国互联网协会的最后一个定义上 'xJ)-bm   
A[pd28Q  
重新定义垃圾邮件：做了任何伪装的、不愿承担邮件后果的邮件是垃圾邮件；反之：负责任的邮件服务器上的负责任的合法用户发出的邮件为合法邮件。 #U\O))5d  
U$St/"}bT0  
有效性和易实施性的统一 Z7[cxZ*9  
)xC
J\  
不企图追查所有邮件的来源，拒绝不可追查的邮件，只接收可追查的邮件，如需追查来源也只追查可追查的邮件。 kkSE{8ik  
!L
qUlH/L  
凡是不符合诚信规定的邮件和服务器，我们都认为它是垃圾邮件予以拒收。 _,pQzn`+  
L?nrF{;zg  
我们不认为所有的广告邮件都是垃圾邮件，如果广告邮件出自负责任的服务器和用户，我们可以知道该服务器的固定IP和托管地点，如果我们不厌烦则允许接收，如果我们厌烦了，只需要增加黑名单即可。 6W~u\(i  
#W&e~o8wx  
2.5.2 国外类似可追查性检查的技术 *80-qp@tor  
B0\mu`r`  
可追查性检查方案已经在国内近十家的反垃圾邮件产品中应用或即将应用，类似的方案，在国内一直无人提出，亦无人重视，甚至笔者与一些同业者交流、探讨后，依然有许多人不理解其意义所在，令笔者十分诧异。 Oq 1I -$  
~#X-c@  
在国外的类似技术中，名声最大的当属微软公司的SenderID，2004年7月Bill Gates来北京，宣称微软有最先进的反垃圾邮件技术，同时微软向IETF提交了RFC建议标准的申请，但被IETF拒绝。 hhWlq  
zhL!)V>JO  
SenderID使用XML格式定义，并兼容SPF。SPF是新加坡Pobox公司于2003年12月10日公布的类似方案，目前已经有一定规模的使用。 DlH&~dZP  
rww#g+  
国外最早的类似技术是德国人于2002年12月提出RMX(反向MX)方案，目的就是要指出一个邮件域的合法发件服务器。该作者曾多次抱怨后来的许多方案，尤其是美国人提出的类似方案和他的方案完全类似，而美国媒体在宣扬这种方案是反垃圾邮件的有效方案的同时却从不曾提及他的功劳。 W
Nv&&  
viAV
&I  
2.5.3 其他源头认证方法 `u@Q^-D}  
wwyw3  
其他一些源头认证，例如DomainKey、Challenge-Response及一些基于密码技术的源头认证，由于法律问题(比如有些国家不可以随便使用密码技术)、易用性问题(对SMTP协议改动过大)等诸多原因，推广起来有一定的难度。

3. 各种方法的协同 48}[5_]  
>'QdLiE)  
多种反垃圾算法在系统中存在协同问题。同时，各种网络安全设备之间也存在协同问题。例如，当垃圾邮件、病毒邮件大量泛滥时，应该凭借防火墙分流，将邮件流量交由邮件安全系统处理，而将非邮件流量交IDS监控，否则大量的邮件流量会淹没IDS，甚至导致IDS死机。 nhBOw6  
$C+[gF?W8  
优化的引擎控制流程： <PB;[^|uoL  
C b/8w  
【动态引擎】－【同时连接数】：动态控制引擎的同时连接数在网络层限制大量同一IP的SMTP连接，并可能阻挡未知病毒和垃圾的泛滥程度； 27 O
fJ0  
\xDcrZ??P  
【动态引擎】－【重复控制】：动态控制引擎的用户重复、邮件重复和连接频率三个重复控制引擎限制同一发件人、同一主题、同一IP的邮件的发送频率，并可能阻挡未知病毒和垃圾的泛滥程度； {@;qfcb[  
MMGdll52L  
【垃圾引擎】－【黑白名单】：垃圾引擎的黑白名单将已知的垃圾发送者摒弃、放进已知的非垃圾发送者，黑白名单匹配的项不会再做其他垃圾检测工作； .eb^_O@7  
<8#}l1k@  
【垃圾引擎】－【可追查检查】：垃圾引擎的可追查性检查高效地发现伪造了来源、路由的邮件，这样的垃圾邮件占所有垃圾邮件的95$\%$以上，阻挡的同时降低了高负荷的内容过滤和智能垃圾分析所需要的系统资源要求； k(BP_HM  
Y#o3AQ+  
【垃圾引擎】－【智能检测】－【智能实时黑名单】：智能实时黑名单将这些黑名单列入的匹配邮件(注意：不仅是最早的RBL的IP列表)判断为垃圾邮件； GWdw_@  
caC1-](X6  
【内容过滤引擎】：内容过滤引擎发现内容匹配的邮件，主要针对政治、色情邮件，这些邮件一般不会再发给垃圾智能检测去分析或让贝叶斯过滤器去学习； %AY '+ Aj  
;oa#w_fx  
【垃圾引擎】－【智能检测】－【贝叶斯/集中分析/内容分析/降噪】：最后上述方法都认为是正常的邮件经过负荷要求最高、但人工智能因素也最高的邮件特征智能集中分析和智能内容分析来判断该邮件是否垃圾邮件，同时提交贝叶斯过滤器学习，相辅相成地，贝叶斯过滤器也可以判断该邮件是否垃圾邮件，如果认为是，会自动提交智能集中分析服务器。同时智能降噪系统降低突发因素导致误判的可能。 {Z/"dqK%)  
.1uU!2-=  
可追查性检查引擎排除了绝大部分非正常邮件，使进入高负荷的智能检测引擎和较高负荷的内容过滤引擎的邮件量只占全部邮件的5%，相当于使整个系统的性能提高了20倍。 8/S#/ ?  
.  rQd  
由于基于内容分析的反垃圾邮件方法占用相对多的系统资源，因此一台平时负荷不大、完全满足应用的邮件安全产品可能在邮件病毒爆发或垃圾邮件极度泛滥时系统资源被充满，对于自身防护不好的邮件安全产品甚至可能导致自身崩溃，因此在这时可以关闭高负荷的反垃圾引擎，只使用负荷最低的可追查性检查，仍然能保证较好的反垃圾邮件效果。 
=hnU?$v  
Nykh]  
4. 反-反垃圾技术方法
rx,&xm6uR  
v|nW-!rTu  
iTh7snB"  
SkEe14x  
上述内容已覆盖所有已有技术，但大部分这些技术在防止垃圾邮件时效果都不理想，有些方案虽然能够达到一定的理想程度，但原因是目前的垃圾群发邮件尚不够好，如果再优化一下，完全有可能躲过上述所有方法。 _`>;o`  
W,JxyN9`  
利用动态IP：利用动态分配的IP地址、国外的OpenRelay隐藏来源，前者尤其在宽带网、智能社区高速发展的今天会很有效，因为基于IP的封堵技术会导致殃及无辜。 |bdYPMg ~P  
? EEM@  
反内容分析 kuW 8!n  
k]z'XFK(  
1. 信头、正文随机化：使用随机内容产生器产生随机的信头、内容和附件名 -[68oIg$#  
_R.m>">-  
2. 内容图片化：将真正要传送的内容放入附件图片  -h ?lq  
|vFe`.HTy|  
3. 图片加噪：对附件图片做随机的、不影响图片阅读效果的噪声处理，可以躲避所有内容分析。 6nAgF5 S  
P5j\U8=!  
分散发布源：垃圾发送者合作相互转发 Y) 2a:lq  
YN-%Wz?P  
结合蠕虫的功能，将垃圾发送分散到世界各地可被蠕虫侵染的机器，可防止智能分析中对发送邮件IP的分析。 02h#+`LX  
3OB B  
5. 反垃圾邮件立法 GN J"zuSg  
5[ \7x  
5.1 立法实施的技术问题 h }>oD?G  
<
ig##|  
反垃圾邮件立法存在实施 kF U,,"Buo  
8xC1qd<l9S  
难度，对于不可追查的邮件，不仅占用了大量网络带宽，而且使用内容监控提交管理机关时，会导致大量无法或难以查找的邮件充塞管理机关的监控存储，而管理机关又无法追查邮件来源，或者追查邮件来源时需要消耗很大的精力，无法保证立法的顺利实施，损害了法律的威严。 N/@^ =  
2=G<|)  
同时，对于国外的、管理机关无法监管的计算机发出的垃圾邮件，如果不基于可追查检查，则黑名单方案很难奏效，可能导致殃及无辜，而且垃圾发送者可以躲避黑名单方案。而使用了可追查检查方案后，对于正常的邮件服务器和邮件发送人，如果因为当地没有使用全面可追查方案而被误判，可以从错误反馈信息中得到原因，使用另外的、可追查方案可接受的邮件发送方式和国内使用了可追查检查方案的系统通邮。如果国外计算机使用可追查检查方案可接受的方式发送垃圾邮件，黑名单方案就可以起作用了。 
&[_ +l  
<eWAt k&  
立法以后无法实施、难以实施，对违法的人难以查找和制裁，必然损害法律的威严。 \S|I u1cw  
~.5V"lwD  
5.2 可追查后的立法实施 7j0KmPInA  
#EynFWh*q]  
使用了可追查性检查后，所有能够在网络上传输的邮件都是可以追查来源的，这是内容监控也可以起作用了，一方面可追查体系保证了邮件发件人的可追查性，一般人慑于法律威严不敢乱发垃圾邮件；另一方面内容监控提交的信息都是可追查到的，管理机关可以很容易地有的放矢，对需要制裁的邮件发送人可以很容易地找到他、制裁他。 :Xf:`$P1G  
#Uw^P  
立法的可实施、易实施性，提高了管理机关的工作效率，维护了法律的威严。

GJGJ,作为反垃圾邮件厂商中新的一员,PineApp愿意为中国反垃圾邮件产品助一臂之力! P"WsM.e  
我也加个帖子吧! 8zqqs,Yg  
什么是垃圾邮件？ $Ev{!!`s  
What is Spam? L =2b]`]  
英文称垃圾邮件为Spam。Spam原指一种用猪肉做的午餐肉罐头，如今的意思来源于一部讽刺剧。在这部戏中，有一场讲的是有对夫妻俩去餐馆就餐，妻子不想吃Spam，她坚持想点些别的，可是在餐馆里有一大群人，高声地唱着赞美"Spam"的歌，他们越唱越响，很快在这出戏里所能听到的唯一单词就是"Spam"了。从此人们将泛滥成灾、喧宾夺主、剥夺他人选择权利的行为称为Spam。随着国际互联网的普及，该单词又成了垃圾邮件的专用名词。作者最后一句有隐喻讽刺之意。anti-spam更多定义 m%^Bu3RdH  
l:8K<dg  
　　从1994年12月开始，Spam一词表示垃圾邮件。指未经请求而发送的电子邮件，如未经发件人请求而发送的商业广告或非法的电子邮件。 k&Y',. H  
----------------------------------------------------------------------------------------------------------------------- 4Vz8\#4!)_  
对PineApp感兴趣的朋友请和我联系: pineapp-china@hotmail.com Ft?&v>W79  
pineapp@126.com hA}8~>'f6