反垃圾邮件:从靠谱到没谱
出处:中国计算机报 作者:中国计算机报 时间:2006-12-19 11:38:00
两年过去,盖茨许诺的没有垃圾邮件的美丽新世界不仅没有实现,而且比原来更糟糕。
2004年,比尔·盖茨在谈到垃圾邮件问题时说:“两年后,垃圾邮件将成为与人们毫不相关的事情。”两年过去,情况向着盖茨预测的反面大踏步前进,不仅没有丝毫变好的迹象,反而更加糟糕更加不靠谱。IronPort Systems预计,今年12月份,全球网民平均每天收到的垃圾邮件总量将达到创纪录的780亿封,比去年同期多了整整一倍还多。
巨头们的夜宴
盖茨当年对反垃圾邮件如此乐观,是因为他对微软的Sender-ID技术寄予厚望。简单点说,这项技术的原理是这样的:DNS管理员公布自己的有效IP地址→用户用这样的合法地址发送邮件→公布地址的管理员越来越多→垃圾邮件无法伪造IP地址→邮件过滤器工作更有效→垃圾邮件减少。这样的以IP地址认证电子邮件寄件人身份的技术还有很多,例如美国在线的SPF技术,雅虎的DomainKeys技术,以及“信赖电子邮件开放标准”(Trusted E-mail Open Standard)等,并不存在太高的技术壁垒。问题在于,无论微软、雅虎还是美国在线,巨头们并不愿意在这项背后有巨大利润的标准上妥协,各自都保留了一部分技术秘密,这样的混乱局面导致管理员们无所适从——而没有统一的标准,或者说没有足够多的用户支持,任何一项标准的价值都无从谈起。
微软两年来到底在干什么?经过漫长的谈判,他们获得了思科、Comcast、IBM、Port25、Sendmail、赛门铁克和VeriSign的支持,甚至使美国在线倒戈到了Sender-ID阵营,但缺少了开源社区的支持,加上不够开放和过于苛刻的授权标准(微软的律师两年来告了很多非授权用户),IETF(互联网工程工作小组)最终否决了微软的标准。
实际上,目前的各类反垃圾邮件技术都有自己的弱点:Sender-ID等基于IP地址的技术的缺点是容易殃及池鱼,一旦某个虚拟主机中的一个用户被认为发送了垃圾邮件,整个主机的IP段都会被封,也就是说会牵连绝大多数无辜用户;而建立垃圾邮件特征库,通过比对信头、信体等内容来判定垃圾邮件的办法过于死板,垃圾邮件只要稍加变通就能逃过过滤,只是权宜之计;而通过服务器互相认证来建立信任的缺点在于,邮件服务器太多了,要全部互相认证几乎不可能。至于Foxmail等客户端使用的HASH技术和贝叶斯(Bayesian)算法,尽管更加智能化,但这容易导致误判——人们宁可收到1000封垃圾邮件,也不愿意漏掉一封重要邮件。
因此,各项技术之间只有协作才能够最终达成有效的反垃圾邮件效果——尽管这效果还很难说。令人欣慰的是,各大厂商终于结束了漫长的夜宴,开始了实质性协作:美国在线转向支持Sender ID;微软上个月终于决定将Sender ID Framework纳入Open Specification Promise(OSP )计划,也就是说保证不再起诉任何开发基于Sender ID Framework 技术的产品和服务的任何人,但错过了治理垃圾邮件的最好时机,亡羊补牢到底还有没有用?
垃圾邮件的十面埋伏
然而,垃圾邮件巨大的利润决定反垃圾之战绝不会轻易结束。一份俄罗斯垃圾邮件商提供的服务报价表明:向1100万个电子邮箱发送垃圾邮件需要500美元,而向100万个邮箱发送垃圾邮件只需要50美元。
用关键字和图片辨识垃圾邮件?垃圾邮件制造商们可以用故意拼错关键字和发送图片等办法轻松绕过检查。用IP地址辨识?垃圾邮件发送者只要导入Sender ID/SPF的数据库,就不必再伪装发件地址,因为Sender ID/SPF只比对数据库中发信人服务器的IP地址与域名。今年初,美国MX Logic利用SPF技术(Sender-ID的一项基本技术)过滤的1000万封邮件中,1/6的垃圾邮件利用了这种技术。
事实上,垃圾邮件商已经发现了一种革命性的新技术:他们已经通过SpamThru等特洛伊木马控制了超过73000台PC的庞大的僵尸PC网络,通过这些横跨几大洲166个国家的普通用户的PC,借助一种名为“垃圾邮件加农炮”的技术群发垃圾邮件。与此前通过木马控制PC,然后一封一封发送相比,这样的技术的确无异于鸟枪换炮:它使基于IP地址反垃圾邮件几乎变得完全不可行。
10个垃圾佬的捉放曹
值得庆幸的是,有调查表明全球垃圾邮件的80%都出自10个人之手。也就是说,如果抓住了这10个人,全世界的垃圾邮件就会减少80%——如果没有新的10大垃圾邮件商出现的话。去年微软抓住了号称全球排名第三的“垃圾邮件大王”斯科特·里克特,并迫使他与微软庭外和解并赔付微软700万美元;再早些时候,《芝加哥论坛报》的记者曝光的暗访让美国抓住了排名第四位的瑞恩·皮泰拉克,罚了他100万美元,这个得州州立大学经济哲学专业的在读学生只好卖掉了他非法所得的宝马和豪宅。排名第九的杰弗瑞·皮特斯就比较倒霉了,他只被罚了10万美元,但被佛罗里达州法庭判了十年监禁。然而抓是抓不完的,在这样的暴利驱使下,出现“新10大垃圾佬”只是时间问题。根据今年11月国际反垃圾邮件组织Spamhaus的最新数据,新的10人名单已经产生,中的冠军来自乌克兰,另有4人来自俄罗斯,2人来自美国,以色列,1人来自中国香港。
抓住垃圾佬们真的有用吗?杰弗瑞·皮特斯人在铁窗中,但仍在运行一个虚假的俄罗斯主机用来发送垃圾邮件,同时还发展了伪造电子文档业务。而皮泰拉克成立了“皮泰拉克安全公司”,标榜自己“已重生为一个反垃圾邮件的先锋”。至于斯科特·里克特,除了开了个反垃圾邮件公司之外,还忙着四处演讲和出书赚钱。他除了将垃圾邮件生意称作“邮件营销”外,还指出几个令人沮丧的事实:1.法律只能让垃圾邮件商更合法;2.像病毒一样,垃圾邮件和反垃圾邮件是寄生关系,一荣俱荣一损俱损,因此反垃圾的效果可想而知;3.赛门铁克为什么愿意用3.7亿美元收购年收入只有2600万美元的Brightmail?因为能研究出最好的邮件过滤产品的只有那些曾经从事过这种业务的企业。
然而,就像曾经的流氓软件厂商转型做反流氓软件一样,找来黑社会保证自己免遭骚扰是否太不明智?至少在未来几年,反垃圾邮件仍然是一笔说不清道不明的糊涂官司。