美国在线(AOL)也行动起来了。从今年1月起开始使用同样的技术,以该公司在全球的3300万名员工为对象进行系统试验。另外,美国雅虎也宣布开始实施使用加密认证对发信人身份进行验证的系统试验。
尽管从事在线服务的三大公司都分头对垃圾邮件展开围剿,但或许人们仍然会感到奇怪。因为这三家公司大约一年前曾经发表过联合声明,称“三公司将联手对付垃圾邮件”,声明的内容是“促进任何平台都可以使用的技术标准与业务指针”(参阅相关报道)。然而仅仅一年之后却分头行动,步调各异地提出了防范技术。在这里,让我们对这三家公司的反垃圾邮件对策来探个究竟。
■将伪装身份的邮件视为垃圾邮件
首先,简单介绍一下微软的Caller ID for E-Mail。其工作原理是:检查发件人邮件地址的域名(@之后的部分),然后核对邮件是否真的从该域名所属的SMTP服务器发出。
比如,发送垃圾邮件者A,伪装成微软的互联网服务“Hotmail”会员,在自己的邮件客户端软件发件人地址栏中写上“○×△@hotmail.com”,向B发送邮件。这封邮件经过A加入的ISP服务商的SMTP服务器,发送到B加入的ISP服务商的SMTP服务器。
这时,如果B的SMTP服务器支持Caller ID for E-Mail,首先会对该邮件的发件人地址进行检查,由于地址栏中写着“○×△@hotmail.com”,因此便从hotmail.com的DNS服务器查找hotmail.com使用的SMTP服务器的IP地址。假如说得到的回答是“65.54.247.109”、“216.33.241.106”、“207.68.163.86”,这与邮件中SMTP服务器的IP地址“80.34.201.194”不一致,就可以认定这封邮件冒充hotmail.com地址,伪装身份。
微软在发表Caller ID for E-Mail技术的同时,公开了hotmail.com的IP地址。另外,还计划使hotmail.com的SMTP服务器支持Caller ID for E-Mail,过滤向会员地址发送的假冒地址邮件。
■AOL引进的是“SPF”
AOL进行的试验采用了同样的原理。该公司采用的是业内人士都非常了解的名为“SPF(Sender Policy Framework)”(原名获准寄件人来源,Sender Permitted From)的认证协议。SPF是去年10月与“RMX(逆向邮件交换,Reverse Mail Exchange)”、“DMP(指定寄件人协议,Designated Mailers Protocol)”两种同样性质的认证方案一起作为共同方案提出的。该新方案还得到了IETF(互联网工程任务组)与IRTF(互联网研究工程组)的下级部门ASRG(反垃圾邮件研究小组)的支持。
根据SPF的Web网站记录的内容,微软的Caller ID for E-Mail就像SPF的“近亲”一样。两者的不同之处在于,SPF着眼于邮件信封部的“返回路径(Return-Path)”,Caller ID for E-Mail更重视邮件正文里信头信息的发件人。
垃圾邮件发送者会随机生成虚构的发件人地址,或是随机生成收件人地址发送垃圾邮件。如果发件人地址是真实的,该地址就会收到大量的邮件发送错误消息,这种状况下要想保护用户就应该考虑SPF。
另外,实际上用户可以从邮件正文的信头信息里看出发件人。此前曾有报道说有人假冒美国eBay与美国PayPal的负责人发送电子邮件,骗取用户的信任,大肆盗取信用卡号码等。Caller ID for E-Mail可以减少类似的损害。
■微软的专利许可形势堪忧
实际上,SPF与Caller ID for E-Mail还有一个很大的差别,就是微软坚持拥有Caller ID for E-Mail的专利。据美国媒体报道,微软正在申请专利,目前还处于悬而未决的状态,微软尚未明确Caller ID for E-Mail的专利范围。另外,微软并未向标准化团体提起这一技术,而是宣布向第三方提供授权(微软在公开该技术的同时已开始提供授权(英文))。
虽然现在是免费提供这一授权,但IRTF的John Levine指出,从授权所写的内容很难看出微软的意图。“(授权中写有)微软有权突然停止提供授权,也就是说,也可能会在某一天,微软说要与‘Windows捆绑到一起’”(John Levine)。“微软摆出了不让标准化团体参与的姿态。在这种形势下,必须要让微软明确表示永远开放Caller ID for E-Mail、永远免费提供授权。否则将无法消除业界团体的不安”,John Levine这样认为(相关报道(英文))。
■雅虎采取了加密认证方式
三大在线服务的另一公司——雅虎则采取了略为不同的方法,即通过公、私钥对邮件进行认证的“DomainKeys”系统,这一系统把所有的邮件进行加密签名后再发送出去。工作原理是:使用发件人的密钥在发送邮件时生成加密签名,并将签名嵌入信头部分。邮件到达收信方的服务器时,服务器从发件人地址的DNS服务器取得公钥,对签名进行认证。如果公钥无法对签名进行认证,发件人地址即为伪造地址。
这也跟SPF及Caller ID for E-Mail一样,是确认发件人地址是否合法的方法。但如果使用这一系统,必须要提供新的加密密钥、公开加密机制及加密处理系统,要想广泛普及还是有一定难度的。
说起有难度,微软提出的措施也面临这一问题。我想已经有不少人注意到这一点了,Caller ID for E-Mail并不是万能的,它能应付的只是邮件地址域名与发信服务器IP地址不符的场合。也就是说,如果不伪造邮件地址还是可能发送垃圾邮件的。比如通过非法手段获取合法的邮件地址,或者利用别人的个人电脑发送垃圾邮件,对于这些伎俩Caller ID for E-Mail束手无策。
因此微软提出了审批制度方案,方案概要刊登在该公司的发表资料(英文)中,在这里简单介绍一下。
■小企业凭借处理器功耗通过审批
这一方案的原理是,设立名为“IETAs(independent e-mail trust authorities)”的第三方机构,对能够发送大量电子邮件的企业进行审批,比如银行、证券公司、航空公司等通过邮件向客户提供信息的大型企业。这些企业缴纳费用以后接受第三方机构的审批,并有义务按照政策允许的方式发送邮件。这些企业发送的邮件都带有安全标识,不会成为收信服务器的过滤对象。
那么,无法负担审批费用的小企业怎么办呢?他们可以凭借自己公司计算机的处理器功耗取代缴费来接受审批。一般发送一封邮件所需的时间不到1秒,现在让小企业更换成发送一封信需要5~10秒左右的系统。也就是说增加了发送一封邮件的处理时间(大概是利用软件使计算更加复杂),这样就不必支付审批费用也可以发送邮件。发送的邮件也一样带有安全标识,不会被收信服务器过滤掉。
由于小型企业不会像大企业那样发送大量的邮件,因此就算是10秒钟发送一封信也不会受到什么影响。但对垃圾邮件制作者来说,这可是巨大的打击。
