在过去的几年里,消灭垃圾邮件似乎是不可能取胜的一场战争。但是随着人们的不断努力,新技术的推广也许就是阻止垃圾邮件和网页仿冒到处肆虐的武器,譬如Meng Weng Wong领导的团队研发了一种名为SPF的新技术。
据Pobox.com公司的首席技术官兼创办人Meng Weng Wong声称,对付垃圾邮件就好比是打鼹鼠游戏。他的团队开发出了发送者策略框架(SPF),这是目前采用的最流行的防伪技术。“一旦你编写了防垃圾邮件的规则,有人就会迅速找到办法绕开它。”但是已经出现了一丝曙光。
今年6月2号至3号,Meng以专题讨论小组成员的身份出席了在加州圣何塞举行的INBOX电子邮件大会。他声称,解决办法就是要有这种心态:所有电子邮件都是有问题的,直到证明它是无辜的。Meng说:“我们用不着接受每一封电子邮件,只要接受我们知道是好人发来的邮件就行。”他承认,如果你考虑到因特网是建立在开放的基础上,这个强硬措施实施起来似乎有一定难度。不过统计数字告诉我们的一个事实就是,用户接收到的十封邮件当中有八封是垃圾邮件。所以必须采取某种措施。“我们通常采用的技术方法是,默认情况下拒绝接受邮件,除非我们有充足的理由认为应当接受这封邮件。”
这种方法有一个不足,就是有可能引发误报,而且转发方面存在问题(如果使用SPF,负责转发的邮件传送代理不得不重写发送者的地址。)Meng承认了这种不足:“验证技术的实施并非尽善尽美,但是我们正在改进这些问题。”而改进问题意味着,他在竭力推广验证技术。这些验证技术包括SPF、微软的发送者身份(微软通过把其Caller ID产品与SPF结合而成的一种新的授权规范)以及雅虎的域关键字(DomainKeys),这一方案为电子邮件提供商提供了一种机制,可以验证每个电子邮件发送者的域以及所发送邮件的完整性。
理想的验证技术具有三个特性:验证、名誉、鉴定
验 证
验证系统依赖域拥有者公布来自该域的合法邮件是从哪些服务器或者电子邮件地址发送的。邮件到达后,就会检查表明这些合法地址与域之间相互关系的列表。如果发送地址与列表中该域相关的地址相匹配,那么该发送地址就通过了验证。如果地址不在列表中,则表明未通过验证。据Meng声称,目的有两个。“既可以防止坏人冒充好人,又允许好人可以肯定地表明自己的身份,让他们的电子邮件正常通过。”
名 誉
基本的验证技术存在的问题就是,垃圾邮件发送者可以通过验证――譬如说,他们可以去公布一条SPF记录。Meng说:“不过那也没有关系。我们多少预料到了这种情况。现在就像是在下象棋,我们时时比对手领先一步。”某人通过验证后,就要进行核实名誉这一步。这可以确定该发送者是不是已知的垃圾邮件发送者、已知的合法发送者,还是合法性未知的发送者。他说:“你可以在aol.com和amazingoffer326.com两者之间进行区分:前者不发送垃圾邮件,而后者发送垃圾邮件。基本上来说,如果你‘名誉不好’,就会被加入到黑名单中。这能够区分谁是好人、谁是坏人。”
鉴 定
那么,如果你名誉状况不明,那会发生什么情况呢?换句话说,你是新来者,没有人知道你是好人还是坏人。鉴定的功能基本上就是表明“如果你是好人,你就得采取措施表示你不是垃圾邮件发送者。”有些鉴定服务提供商譬如BondedSender.com可以根据复杂的名誉分析机制,来保证发送者的名誉。有些提供商规定:如果用户想加入到列表当中,就需要付费。
IT人员的下一步是什么?
Meng建议,IT经理们应当开始考虑如今在部署的验证技术。他说:“你要考虑SPF、考虑发送者身份――这种技术很轻便、容易实施,而且不需要任何额外设备。你还要考虑域关键字,实施这项技术需要多花一点力气,不过值得你去做,因为它可以让你能够对电子邮件进行签名。”
Meng建议尽可能地对所有验证技术进行一番调查。多参加会议,譬如INBOX大会:这一大会探讨迄今为止从发送者验证部署当中获得的经验,以及你应当为本组织考虑哪些问题。想获得更全面的信息,请阅读白皮书、访问介绍雅虎和微软产品的网站。