全球业界对抗欺诈性邮件

  网络设备生产商思科公司和门户网站雅虎公司日前宣布，将联合使用两项技术手段，共同对抗通过欺诈性电子邮件骗取用户信息的商业犯罪行为。

　　据美国《商业周刊》报道，电子邮件在给个人之间和企业之间的交流带来便利的同时，也给犯罪份子提供了作案工具。不法份子采取发送欺诈性电子邮件的手段骗取用户信息，再利用这些信息进行商业欺诈。据估计，电子邮件欺诈行为已使英国的银行损失超过100万英镑。

　　欺诈性电子邮件已经成为网络社会的一大公害，导致用户对互联网产生了不信任感。德国的一项调查显示，64％的受访企业表示不打算与没有采取措施防范电子邮件欺诈的企业或机构做生意，96％的企业呼吁业界尽快开发出鉴别电子邮件和网址真伪的新技术。

　　为对抗欺诈性电子邮件的肆意横行，全球许多国家的政府组织、企业和金融机构已经开始采取措施打击电子邮件诈骗行为。使用假地址发送信息是欺诈性邮件的共同特点，思科和雅虎的这次联合行动借助雅虎DomainKeys技术和思科InternetidentifiedMail系统对邮件发送者身份的合法性进行检测。DomainKeys技术利用公钥和密钥对电子邮件进行认证，发件人使用密钥在邮件报头中植入经过加密的签名，接收邮件的服务器则使用公钥对签名进行认证。如果经认证显示不合法，电脑程序将警告收件人不要打开邮件。据测试，该技术每秒可处理100封电子邮件。思科InternetidentifiedMail系统虽有不同之处，但也涉及电子邮件的数字密码签名，能鉴别邮件发送地址是否真实。

　　在反欺诈性电子邮件领域另一个风头强劲的是Sender ID，它是微软Caller ID forE-mail技术与SenderPolicyFramework(SPF)技术的结合体。CallerID与SPF的核心内容都是对电子邮件发送者的真实身份进行核实，如果电子邮件地址与其IP地址不符，就可认定该电子邮件为垃圾邮件或欺诈性邮件。SPF与CallerID结合后，可以弥补简易邮件传输协定(SMTP)的一项最大弱点，即电子邮件接收者无从判断发送者是不是冒名顶替的。这项先天性的不足之处曾让微软MSN、美国在线等互联网服务供应商大为头痛，他们一方面非常想把这些意图闯入用户收件箱的伪造电子邮件拦截下来，一方面又怕“殃及无辜”而招致用户抗议。

　　自去年以来，许多银行、电子商务网站采用微软公司开发的免费软件SenderID，全球大约有75万家公司的域名已经在SenderID下注册登记。但问题是，有些犯罪分子在发送电子邮件时通过多个服务器来掩饰邮件来源，让SenderID束手无策。

　　据报道，全球著名网上零售商亚马逊公司也准备测试一套名为IronPort的系统，据说能够鉴别出电子邮件的真伪。美洲银行的SiteKey系统也向银行网站的访问者展示一张图，如果他们所选择的图像不能弹出则表明登录的是一个虚假网站。此外，如果来自未被识别的电脑用户想要获得银行用户的BofA账户，程序设计要求其必须回答一个预设问题。

　　目前存在的主要问题是，虽然早在2003年4月，美国在线、雅虎、微软等业界巨头就已经携手成立了反垃圾邮件技术联盟(ASTA)，并基本达成用技术标准解决垃圾邮件问题的共识。但在如何控制电子邮件的伪造问题上又各出提案，提出的技术标准互不兼容甚至互相排斥，每家公司都想将自己的技术作为业界标准。迄今为止，这些技术标准在被提交到互联网工程工作小组（IETF）时被一一否决。此外，这些技术都存在一定的缺陷，而且价格对许多小规模的公司客户来说也需要反复掂量。

,