在过去的几年中,消灭垃圾邮件似乎是不可能的。但是随着人们的不断努力,比如Meng Weng Wong,他的团队研发了一种称之为SPF的新技术,这种技术将可能成为阻止垃圾邮件和网页仿冒的方法。
根据Pobox.com公司的首席技术官和创建者Meng Weng Wong介绍他的团队研发了一种称之为SPF(寄件人政策构架--目前正在使用的最流行的防邮件伪造技术)的技术,他们认为目前与垃圾邮件的斗争好似在捉迷藏,"只要你写出了防垃圾邮件的规则,就有人会找出办法来绕过这些规则。"但是,如今已经有了更好的方法。
今年的6月的2号——3号,Meng参加了在加拿大的San Jose的INBOX Email event会议,他表示应该先假设所有邮件是有问题的,直至证明自己没问题的方式来解决问题。"不需要再认证每一个单个的消息,我们只需要接受那些我们认为是正常的消息。"Meng表示。他承认,由于因特网是构建在开放结构上,因此在考虑这个因素的时候,你就会觉得看起来这是一个很难实现的做法。但是,一些统计数据告诉我们一个事实:在我们接收到的10个消息中,有八个信息都是垃圾邮件,有些事情已经发生了。"我们通常采用的技术方法是拒绝接受这个消息,除非我们有很好的理由来接受这个消息。"
这种理论体系的一个缺陷是存在错误的肯定的可能,并且问题可能会被转发。(使用SPF的时候,转发的消息传递代理将不得不改写发送者的地址。)Meng承认了这些缺点:"这种认证技术的实现并不完美,但是我们正在改进这些问题。"而正在改进这些问题意味着他们在尽最大的努力实现这种认证技术。这包括SPF、微软的SenderID(微软新创建的一种认证规格,在这种认证方式中,将他的Caller ID 产品和SPF整合在一起)、以及Yahoo的DomainKeys,这是由Yahoo提出的一种认证机制,它为电子邮件提供商提供了一种验证电子邮件发送者域名和发送的消息完整性的认证机制。
理想的认证技术应该包含三个特征:
认证
名誉
鉴定
认证
认证系统依赖于域名拥有者公开域上那些发送合法邮件的服务器或者电子邮件地址。然后在消息到达这个域名服务器时,它将检查这些合法地址域名之间相互关系列表。如果电子邮件的发送地址和列表中的域名地址相匹配,那么这封电子邮件就可以通过认证。如果地址不在列表中,那么认证则没有通过。根据Meng的意思,这个认证的目的是双重的,"它防止了坏蛋伪装成为一个好人,并且它允许好人可以很充分的说明他是谁,并且可以让他的电子邮件能够通过认证。"
名誉
使用最基本的认证技术的问题是垃圾邮件制造者可以认证它自己--例如,他们可以自己去公开一个SPF记录。"但是,那也不错",Meng表示,"我们真的希望出现这种情况,现在就象在下围棋一样,在你的对手出招之前就先考虑到这一点。"名誉这一步是在某人经过认证之后实现的第二步。通过这一步可以判定这个发送者是否是一个已知的垃圾邮件发送者、一个已知的合法发送者还是一个身份未知的发送者。"你可以在aol.com和amazingoffer326.com这两者之间很容易的进行区分,aol.com是不会发送垃圾邮件的,而amazingoffer326.com则可能发送大量的垃圾邮件。基本上说来,如果你有一个'坏名声',那么很容易的就可以将你加入到黑名单中。区分好人和坏人是它的基本能力。"
鉴定
那么,如果你没有一个名声将会发生什么呢?换句话说,你是一个新来者,没有人知道你是好人还是坏人。基本上说来,鉴定是"如果你是一个好人,那么你就需要采取行动来让服务器将你从垃圾邮件制造者中分离出来。"有鉴定服务提供商(比如BondedSender.com)将会使用非常复杂的名誉分析手段来担保发送者的名誉。如果用户要想加入到这个列表中来的话,有些公司是需要收取一定的费用的。
下一步,IT行业应该干什么?
Meng建议IT经理门应该开始考虑他们现在已经部署的认证技术。"你有必要考虑SPF,考虑SenderID,这种技术是轻量级的、容易实现的技术,并且不需要增加任何其他的设备。你需要考虑DomainKeys,实现这种技术要做的工作可能多一些,但是还是值得你去做的,因为这种技术将要求你对你的电子邮件进行签名。"
Meng建议尽可能的对所有技术都进行一下研究。参加各种会议,比如INBOX event,这种会议将包括从发送者认证部署过程中学到的经验以及你应该为你的组织考虑哪些技术。要想得到更深层次的信息,请阅读白皮书,并且访问yahoo的网站以及微软的产品网站。
