2005年04月27日

这篇SPF和Sender-ID的政治分析”(A Political Analysis of SPF and Sender-ID)写道:

"Corporations and ESPs run a lot of Microsoft servers. Businesses use Microsoft’s Exchange to integrate e-mail and calendar facilities, ESPs run various integrated mail and database applications. Universities and ISPs are more likely to be running Unix or Linux servers. Universities do so since they’ve been running Unix since before Windows existed, ISPs because Unix and Linux mail software can support vastly more users per server than Windows mail software can."

翻译过来就是:

公司和Email服务商(ESP)多运行微软服务器。商业机构使用微软的Exchange整合电邮和日程表,Email服务商运行各种整合的电邮和数据库软件。大学和ISP更多地使用Unix或Linux服务器。大学之所以这样是因为它们在微软存在之前就运行Unix了,ISP这样做是因为一台服务器上使用Unix和Linux电邮软件比使用windows的电邮软件能够支撑更多的客户。

所以,作者下结论说,公司和ESP会更欢迎微软的Sender-ID。

换句话说,微软一定要用Sender-ID挤进SPF,不无商业盘算在内。

问题是,自从SPF和Sender-ID“融合发展”之后,就动静不大了。

SPF官方网站说:现在,SPF已经成为Sender-ID的一部分。Sender-ID是MARID IETF工作组在2004年5-6月间提出来的,包含两个部分,一半是经典SPF,一半是微软提出来的PRA。

SPF和其前身DMP和RMX一样,使用email里的"MAIL FROM"参数(RFC2821所定义)做回复路径身份验证。这是email信封上的参数,而SPF也是准备部署在email服务器(MTA)上的,多数MTA只读取信封上的参数。

而微软的PRA准备使用Purported Responsible Adress(从FRC2822信头得出)作为回复身份验证。这个参数是最终用户在Outlook或Outlook Express里看到的。这很容易理解,微软虽然在MTU方面不占优势,但它的Outlook Express,却可能是使用最广泛的邮件客户端软件,因为每个IE软件包里都包含Outlook Express,IE有多大的占有率,Outlook Express就有多大的占有率——甚至不止,因为像我,浏览器已经不使用IE,使用Firefox,但收email还用Outlook Express。

据说微软将发布部署PRA的Outlook和Outlook Express以及Exchange,但直到现在还没有音信。

当然,Sender-ID不影响在服务器端单独部署SPF。但是,微软掺乎进来以后,SPF成为互联网标准的进度减缓了,这也是事实。

2005年04月24日


自由软件杂志第2期是垃圾邮件专题,其中“smtp协议的过去与未来”一文解释了,为什么Jonathan Postel1982年写作定义smtp的RFC821时,关注的更多的是可靠性,而不是安全性。因为那时的“互联网”,还是一个熟人社会,大家都乐于帮助别人转发(relay)邮件,所以当时的邮件服务器都设成open-relay(开放转发):人人为我,我为人人,你为我转发,我为你转发,任何发信服务器都是公共的,大家都能用。

随着互联网的商业化,第一批广告邮件出现了。本文中把最早的垃圾广告邮件追溯到1978年DEC的销售代表一次发送的数百封产品描述信件。不过,我很怀疑这样的说法。垃圾邮件基本上是个数量概念,当100封信中有一封这样的信时,大概没有多少人把它当回事。

垃圾邮件成为大规模的问题是在90年代后期。这是互联网商业化最快的时期。人们不愿成为垃圾邮件的替罪羊,open relay关闭了;不但如此,人们还开始拒绝接收其他open relay过来的邮件。这就是最早的黑名单(DNS blackhole lists)的起源。

以后的发展我们很熟悉了。open relay关闭后,ISP还要进一步检验用户使用smtp服务的权限。比如,yahoo和其他邮件服务商都会对smtp服务要求身份验证(一般采用和pop3一样的密码验证)。

还有,就是在服务器端,对要求发信的服务器进行身份验证,比如流行的SPF和yahoo的Domain key

总之,这是一个从共同体到社会的典型现代性故事。

2005年04月23日

关于这个问题,我们看到一些互相矛盾的报道,AOL在2004年12月27日宣布:2004年比2003年,AOL邮件系统垃圾邮件的数量减少了75%:2003年11月,AOL平均每天会接到用户1,100万个垃圾邮件的投诉,2004年11月,这一数字下降到平均每天220万个。这些投诉都是用户按”Report Spam“按钮发送的。

同时,直接进入用户垃圾邮件文件夹、也就是被AOL系统判断为垃圾邮件的邮件的数量,也下降了60%,2003年11月,这个数字是平均每天1亿封,2004年11月,降到每天4,000万封。

被AOL反垃圾邮件网关阻挡的邮件数量下降了50%,2003年最高峰的时候,每天大约2.4亿封,2004年后期,降到每天平均约1.2亿封。

试图向AOL用户发送邮件的数量从2003年11月每天平均约2.1亿次降低到2004年11月的每天平均约1.6亿次。这下降的22%,AOL相信,本来都是垃圾。

《纽约时报》2005年2月1日的一篇报道不同意这个说法,它说,2003年,Can-Spam法通过之前,垃圾邮件占总邮件的比例是60%,现在已上升到80%。(全文

这里对《纽约时报》的报道进行了一些分析。指出它多引用反垃圾邮件组织,如Spamhaus或厂商,如Postini的说法。

不过,AOL可能是个特例。我们只要看一看AOL关于邮件传输极端严格的技术标准,和它对于垃圾邮件的不妥协的政策就明白了。

最近,被判处9年监禁的垃圾虫Jeremy Jaynes,是美国第一起被以重罪课罪量刑的垃圾邮件商。弗吉尼亚Loudoun县的一个陪审团认定,Jeremy Jaynes每天最少发送1千万封垃圾邮件。他拥有16条高速连线,总带宽相当于一个1000个雇员的公司所拥有的带宽。Jeremy Jaynes是北卡罗来纳人,但此案是按照弗吉尼亚反垃圾邮件法判决。

Jeremy Jaynes和他的妹妹被控向数万个AOL的email用户发送大量未经请求的邮件。弗吉尼亚是AOL所在地。

2005年04月22日

开展电子邮件服务不宜采用行政许可方式

 

赵晓力

 

信息产业部《互联网电子邮件服务管理办法》(征求意见稿)6条规定,开展电子邮件服务采取行政许可方式:拟开展电子邮件服务的,应当取得省、自治区、直辖市电信管理机构或者信息产业部颁发的经营性互联网信息服务许可证或者办理非经营性互联网信息服务备案。未取得经营许可证或者未办理备案的,不得擅自开展电子邮件服务。

7条规定电子邮件服务器IP 地址实行备案制度:电子邮件服务提供者的电子邮件服务器应当使用静态IP地址,并将所使用的IP地址向省、自治区、直辖市电信管理机构或者信息产业部备案。变更电子邮件服务器IP地址的,应当提前30日向原备案机关办理变更手续。

对违反许可和备案规定了罚则:违反本办法第六条第二款规定的,依据《互联网信息服务管理办法》第十九条的规定处罚”(19)违反本办法第七条规定的,由省、自治区、直辖市电信管理机构或者信息产业部责令改正,并处1000元以上5000元以下罚款”(20)

对申请许可和备案提出了60天的宽限期:在本办法施行以前已开展电子邮件服务而未取得互联网信息服务许可证或者未办理互联网信息服务备案的,应当自本办法施行之日起60日内,按照《互联网信息服务管理办法》的规定办理互联网信息服务许可证申请或者备案手续。”(28)

目前这个《办法》还处在征求意见阶段,笔者认为,《办法》解决目前日趋猖獗的垃圾邮件问题的立法原意值得赞赏,但为此而采取如此严厉的行政措施大可不必。

 

一、电子邮件服务采取许可方式不符合宪法精神

电子邮件服务是互联网的基本功能之一。在互联网的历史上,电子邮件的出现晚于TelnetFtp,但早于World Wide 
Web(WWW)
,即今天我们在浏览器窗口中看见的那个世界。电子邮件的出现,丰富了人类通信的技术手段,在这样的技术手段的帮助下,人类的通信自由比邮筒和传真机时代不知扩大了多少。今天,只要回想一下,在过去的一年里,你通过邮局发了多少信件?又发了多少电子邮件?恐怕对很多人来说,前者的回答都是屈指可数,而后者的回答都是难以计数

如果国家不建立提供普遍服务的邮局,如果市场上没有竞争性的快递服务,我国《宪法》第40条规定的公民和法人的通信自由就是一句空话。这样的道理对电子邮件服务也是成立的,如果开展电子邮件服务需要主管部门的批准,将对公民和法人的通信自由设置过于严格的障碍。可以设想,在严格的行政许可面前,很多个人和公司将选择放弃为自己或他人提供电子邮件服务,电子邮件服务市场的竞争将大大削弱,垄断将大大增强,消费者利益将大大受损。这对于实现《宪法》第40条通信自由的目的,是不利的。

 

二、电子邮件服务采取许可方式与全国人大《行政许可法》不符

《行政许可法》第十二条规定了可以设定行政许可的事项,有人说,其中第()项包括电子邮件服务。第()项的具体规定是:提供公众服务并且直接关系公共利益的职业、行业,需要确定具备特殊信誉、特殊条件或者特殊技能等资格、资质的事项,可以设定行政许可。但是,前面已经说过,电子邮件是互联网的基本功能,其协议早已公开,发送电子邮件服务最常用的软件比如SendmailQmailPostfixEmix都是自由软件,这些软件可以从网上免费获得,设置也不需要特殊条件和特殊技能。笔者自己的机器上就运行着Emix4,这是一个小型的邮件传输代理(MTA),每天不辞辛苦为笔者发送邮件。

《行政许可法》第十三条进一步规定,本法第十二条所列事项,通过下列方式能够予以规范的,可以不设行政许可:(一)公民、法人或者其他组织能够自主决定的;(二)市场竞争机制能够有效调节的; (三)行业组织或者中介机构能够自律管理的;(四)行政机关采用事后监督等其他行政管理方式能够解决的。

笔者认为,垃圾邮件问题就是采用事后监督等其他行政管理方式能够解决的问题,无须采用事前的行政许可。

《行政许可法》是全国人大通过的法律,其效力层次高于行政规章,更不要说部门规章。《电子邮件服务管理办法》这样一个部门规章,应该更多考虑与《行政许可法》的协调和衔接,而不是自行其是。

国务院最近颁布的《全面推进依法行政实施纲要》中写到:改革行政管理方式。要认真贯彻实施行政许可法,减少行政许可项目,规范行政许可行为,改革行政许可方式。要充分运用间接管理、动态管理和事后监督管理等 手段对经济和社会事务实施管理;充分发挥行政规划、行政指导、行政合同等方式的作用;加快电子政务建设,推进政府上网工程的建设和运用,扩大政府网上办公 的范围;政府部门之间应当尽快做到信息互通和资源共享,提高政府办事效率,降低管理成本,创新管理方式,方便人民群众。在国务院大力推进依法行政的今天,设立这种不必要的行政许可更要慎之又慎。

 

三、电子邮件服务在信息产业管理部门备案ip地址在技术上没有必要

对于反垃圾邮件这个目标来说,备案邮件服务器的IP地址是不需要的。因为要查找一封垃圾邮件的来源IP,可以直接到到apnic(http://www.apnic.net)查询,在linux下面,可以直接用whois程序查询。比如我收到的一封垃圾邮件是从202.102.142.60这个IP地址发出的,查ipnicwhois数据库

(http://www.apnic.net/apnic-bin/whois.pl)可以很容易查到是山东数据局的淄博宽带(Shandong
Zibo Broad IP Access User (2))
IP。该垃圾邮件的受益方是
39c.cn,IP地址为218.56.97.106,同样查apnic的whois数据库:受益方的ISP是山东网通(CNCGROUP
Shandong province network)。

在互联网上已经有现成的IP数据库的情况下,主管机关无需在耗费公帑自己维护这样一个数据库。

有人说,在信息产业管理部门备案电子邮件服务器的IP地址,可以形成一个电子邮件服务器的白名单,只要是白名单的IP发出的邮件,互相之间可以不予审查地放行,有利于解决垃圾邮件问题。

白名单制度是解决垃圾邮件问题的一个有用思路。比如,SPF(Sender Policy Framework,http://spf.pobox.com/) 就是目前非常有希望成为互联网标准的一种白名单制度,它的基本思路是在域名体系(DNS)中增加对电子邮件发信服务器IP的反查功能,这就要求正常的电子邮件发信服务器事先在域名体系中公布自己的IP。现在,微软的Caller Id方案已经和SPF融合发展。一旦SPF/Caller Id成为互联网标准,在大多数邮件服务器上得到实施,垃圾邮件中的伪造发信人现象,就会得到有效遏制。

当然,即使SPF/Caller ID成为互联网标准,也不能保证人人都知道,都遵守。就象以前禁止公开转发(open relay)已经成为Sendmail的新标准,国内还有许多使用老版本Sendmail的服务器懵然无知,成为垃圾邮件利用的对象。在推广现成技术标准方面,政府主管部门倒是有很多事可做。就象经过信息产业部和互联网协会的集中整治,公开转发现在已经很少见了。垃圾邮件贩子利用别人的服务器滥发垃圾邮件的现象不再,要发也是自己架设服务器。增加发送垃圾邮件的成本,这也是遏制垃圾邮件的一个重要方面。

垃圾邮件问题说到底是一个数量问题,垃圾邮件永远不会根除,倘若我们接收的邮件中的垃圾下降到10%以下,我想,现在对垃圾邮件无处不在的报怨就会减少。如果主管部门把精力放在自己擅长的标准的实施推广上,治理垃圾邮件将会取得更大的成效。

治理垃圾邮件,不要等到关闭端口25的那一天

 

赵晓力

 

一、我国反电子邮件立法采用“选择加入”机制有利电子邮件用户

 

事先未取得他人同意发送大宗邮件是否算发送垃圾邮件?还是只有向那些明确表示不愿接受的人发送大宗邮件才算发垃圾邮件?各国在对垃圾邮件进行立法时都必须回答这个问题。规定发送者必须事先取得接受者同意的体制称为选择加入体制(opt-in),规定接收者须申明退出才能退出的称为选择退出体制(opt-out)。在前一种体制下,电子邮件广告商必须承担取得受众同意的成本;在后一种体制下,电子邮件用户必须承担申明退出广告邮件列表的成本。正是由于成本负担的不同,但凡电子邮件广告的经营者都喜欢opt-out机制,而电子邮件用户则倾向于opt-in机制。一个国家反垃圾邮件立法究竟采取哪种方式,与电子邮件广告商还是电子邮件用户在立法中占上风有关。

 

在美国,显然是电子邮件广告商占了上风。美国各州,除加利福尼亚、弗吉尼亚等州之外,大都采取了选择退出体制,2004年1月1日美国联邦《反垃圾邮件法》(CAN-Spam Act)实施之后,加利福尼亚的州法也被阻断适用了,因为联邦法律也采用了选择退出机制。采取有利于广告商的选择退出机制的还有韩国、日本、阿根廷等国家。[1]虽然我们不能说宽松的法律是垃圾邮件泛滥的唯一原因,但这些采取选择退出机制的国家,无一例外都是垃圾邮件猖獗的国家。比如,在SPAMHAUS2004年8月十大垃圾邮件国排行榜上,美国、韩国、日本、阿根廷分别排名第一、三、八、十名,而采用较严厉法律的欧盟国家,则一个都没有上榜。[2]

 

相比较而言,在欧洲是电子邮件用户的声音占了上风。2003年10月,《欧盟关于隐私和电子通讯的指令》[3]生效了。其中规定,在发送未经请求的营销邮件时,发送者必须事先取得接受者的明示同意,除非他们之间已经存在客户关系;欧盟这个指令不光涵盖电子邮件,对即时通讯和手机短信也适用。

 

澳大利亚于2004年4月10日起实施的《反垃圾邮件法》(Spam
Act)也采用了有利于电子邮件用户的选择加入体制;除此之外,它还规定对职业垃圾虫可以每天处以上百万元的罚款。据反垃圾邮件组织SPAMHAUS的观察,在该法实施之后,澳大利亚的垃圾邮件运营商已经开始低调行事,许多减少了活动,其中至少有一人已经离开了这个国家。[4]

 

我国信息产业部在起草《互联网电子邮件服务管理办法》的过程中,也发生了究竟采取选择加入还是选择退出的争论。经过一段反复,2004年7月7-9日,在日内瓦召开的国际电联(ITU)反垃圾邮件的主题会议上,我国信息产业部官员宣布中国将采取对垃圾邮件较为严格的选择加入机制[5]。在2004年9月2日中国互联网大会国际反垃圾邮件高层论坛上,信息产业部官员再次确认,“在接收者没有明确表示同意接收时继续发送广告电子邮件”将作为一种发送垃圾邮件的行为予以禁止。[6]

 

看来,在我国,目前还是广大电子邮件用户的意见占了上风。对于用户同意接受的广告邮件,信息产业部于2004年3月也发布了一个相关的行业标准《互联网广告电子邮件格式要求》(YD/T1310-2004),主要规定了广告电子邮件的词法、头部字段和消息体的格式以及头部字段的语法,比如,它规定“广告邮件的消息体长度不应超过10K字节”,“广告邮件发布者应使用在管理机构统一备案的邮件服务器(IP地址固定)发送广告邮件”,“广告电子邮件的subject头部域体必须以中文的‘广告’或英文缩写‘ad’开头,且不能为空”,[7]等等。在《互联网电子邮件服务管理办法》的起草中,也要求发送广告邮件时必须在邮件标题中添加“广告”等提示性字样。这些行业标准和部门规章,表面看起来对广告电子邮件提出了更多的规制,但长远看来,还是有利于这个行业的健康发展的。就好像治理街头小广告,也会促进合法广告业的发展一样,因为减少非法广告业供给,就等于增加合法广告业的需求。

 

二、邮件服务期IP地址备案要求可以用技术方案代替

 

即将出台的《互联网电子邮件服务管理办法》还将要求电子邮件服务提供者的邮件服务器使用静态IP地址并将IP地址向主管部门备案,据说,这样是为了便于追查垃圾邮件发送者。

 

然而,在对这样的规定叫好之前,我们需要预测这样的要求是否现实。根据中国互联网络信息中心(CNNIC)第14次互联网发展状况统计,到2004年6月30日,中国接入互联网的计算机已达到创纪录的3,630万台。[8]垃圾邮件发送者自然不会去主管部门备案。而难以计数的架设邮件服务器的中小企事业单位和个人,可以预计,也将抱着法不责众的心态藐视备案的要求。主管部门对于这种不配合的做法,估计很难有足够的时间和精力去逐一纠正。

 

而且,这种建立在国内部门规章效力基础上备案要求对国外的邮件服务器也没有任何约束力。而众所周知,互联网是没有国界的,垃圾邮件的发送,在很多情况下也是跨国界的。

 

比起亲历亲为建立这种不切实际的备案制度来,主管部门是否考虑把精力放在技术标准的推广与制定呢?

 

眼下,旨在打击冒名邮件的SenderID标准正在按照IETF的程序审议。SenderID由Meng
Wong提出的SPF(Sender Policy Framework)和微软的CallerID合并而来。它要求用户在自己的域名体系中增加一条记录,指明本域中被授权发送电子邮件的IP地址,这样,接受者在接受一封号称由该域发出的电子邮件的时候,可以用这个授权IP地址去比对验证发出该邮件的IP地址,如果不符就可以拒绝接收。这种办法,除了鉴别经常冒充他人域名的广告邮件,对鉴别蠕虫病毒制造的邮件和假冒(phishing)邮件也很管用。

 

实际上,SenderID就是一种在域名系统中对邮件服务器IP地址进行“备案”的制度,只不过它是通过技术手段实现的。这些IP地址“备案”在全球互联网上分布式的域名数据库中,可以动态更新,随时查询,这比由政府主管部门出资去维护一个单一国家的集中数据库是否更为便捷、安全、节省、有效呢?

 

据报道,由于微软坚持对自己的验证算法PRA (purported responsible sender)享有专利权,减缓了SenderID成为互联网标准的进程。9月16日,AOL宣布,对于从AOL发出的邮件,AOL将同时支持PRA和SPF两种方法,但对其接收的邮件,AOL只支持SPF。微软针锋相对,宣布从10月1日起,对对从Hotmail发出的邮件同时支持PRA和SPF,但对发给Hotmail的邮件,则只支持PRA。[9]

 

不过,互联网商业巨头的明争暗斗,并不会阻止SenderID最终称为互联网标准。IETF将会使这两种验证算法同时都成为标准。

 

我国信息产业主管部门和行业协会,为了防止国内的邮件服务器被垃圾邮件发送者利用,曾经统一组织国内邮件服务器关闭开放转发(open-relay)和开放代理(open-proxy)功能,成效显著,据说,一次行动曾关闭4036台,最后只剩下18台没有关闭。在推行技术标准和行业规范方面,我们的体制更有优势。如果主管部门能把精力转移到跟踪互联网最新标准和推广这些标准方面,我国的反垃圾邮件事业可能取得更大的成效。但可惜的是,在信息产业部2004年3月发布的《互联网广告电子邮件格式要求》(YD/T1310-2004)、《防范互联网垃圾电子邮件技术要求》(YD/T1311-2004)这两个技术标准中,似乎都没有这方面的内容。

 

我国电子邮件服务者在这方面的动作似乎也不甚积极。在http://spftools.infinitepenguins.net/register.php查阅的结果,在国内几大电子邮件服务商中,现在只有TOM.com和网易旗下的163.com和126.com发布了自己的SPF记录,其他如SINA、SOHU、263等,现在还没有发布他们的SPF记录[10],这意味着,它们现在与AOL之间的通信可能会出现问题,如果在10月1日之后不发布符合SenderID标准的反向MX记录,和Hotmail之间的通信也可能出现问题。据不完全统计,到9月23日,采用SPF的域名已达到116104个,其中com域名40372个,紧随其后的是LU,26596个,和CH,19519个,分别属于两个欧洲小国卢森堡和瑞士。而在前50名中,还没有代表中国的CN域名的影子。[11]

 

三、行动起来,不要等到关闭端口25的那一天

 

SPAM这个猪肉罐头的商标命名垃圾邮件始于10年前。1994年4月12日,美国亚利桑那州的一位移民事务律师Laurence Canter,写了一个很小的计算机程序,散发了数千封电子邮件为自己的移民业务做广告,Canter的广告很成功,为他带来了数千美元的业务,但也激怒了当时的互联网网民,从此也定下了用SPAM贬称垃圾邮件的惯例。

 

根据Brightmail的统计,2001年的时候,垃圾邮件只占美国全部邮件总量的8%,2002年,这个数字上升到36%,[12]到2003年7月,网上传输的邮件中垃圾邮件占到50%,到2004年7月,垃圾邮件已占总邮件数的65%[13],也就是垃圾邮件是正常邮件的两倍。在各种技术的、法律的、国际合作的措施不断出台的时候,垃圾邮件的数量仍然在世界范围内稳定增长。

 

2004年9月3日,中国互联网协会公布了两年来的第3次垃圾邮件调查报告,调查表明,2004年8月,在客户收到的全部邮件中,垃圾邮件的比例已达到65.7%。而在今年1月份发布的调查中,这个比例是58%。而这些只是用户收到客户端的比例。实际上50-80%的垃圾邮件已经在服务器端被过滤了。[14]如果算上那些被过滤的垃圾邮件,网上传输的垃圾邮件实在是一个惊人的数字。

 

倘若垃圾邮件比例按照每个月一个百分点稳定上涨——这正是中国目前的现状——大概到2007年年中,垃圾邮件的比例将占到99%。

 

我们想像一下,如果用户收到的100封邮件中,99份是垃圾,那他还会继续使用电子邮件吗?

 

或许,到那时候,为了保证人们还对使用电子邮件有信心,只让少数经过许可和认证的邮件服务器为大家发送邮件可能成为唯一的选择。未经许可的计算机,无论在哪个国家、接入什么网络,一律封锁其25端口。端口25是SMTP(简单邮件传输协议)服务的标准端口,如果封锁了一个网络中所有计算机的25端口,这些计算机将不能向外发送邮件。

 

这是最后的办法,也可能是最有效的办法。

 

可以想像,到那个时候,免费邮件服务将大大减少;因为奇货可居,提供邮件服务将成为非常赚钱的互联网服务业。

 

当然,只有一个国家采取这样严厉的措施是无济于事的。互联网是没有国界的,要封锁一个国家的25端口,其他国家和地区的联网计算机的25端口也应该封锁,除非得到许可和认证。或许到那时候,我们应该让国际电联(ITU)负责处理全球范围内的使用端口25的申请。

 

当然,那些承诺提供一定数量的免费邮件服务的公司应首先得到准许。不过,到那时候,就不要指望什么免费1G大邮箱了,那些是用来赚钱的。一个10M的无垃圾邮箱,比一个1000M,但999M都将被垃圾占用的邮箱,是不是更吸引人一些?

 

就像一场梦,我们又回到了起点。10M的邮箱,很小,但没有垃圾。就像一些地方,在疯狂的发展之后环境污染,垃圾遍地,污水横流,人们又重新怀念青山绿水少人烟的田园时代一样。

 

治理垃圾邮件就像治理环境污染一样,需要采取技术的、法律的、教育的、国际合作的种种综合措施,而且,这些措施之间还必须互相配套。如果垃圾邮件的比例不能得到有效的遏制,也许有一天,我门就不得不在放弃电子邮件和在全球封锁端口25之间做一个选择。

 

希望那一天永远不要到来。



[1]

http://www.itu.int/osg/spu/spam/law.html

[2]

http://www.spamhaus.org/

[3]

http://europa.eu.int/eur-lex/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf

[4]

http://www.spamhaus.org/news.lasso?article=154

[5]

http://www.itu.int/osg/spu/spam/presentations/FU_Session%208.pdf

[6]

http://www.spam.com.cn/ppt/yxy.ppt

[7]

http://www.spam.com.cn/ppt/yk.ppt

[8]

http://www.cnnic.net.cn/html/Dir/2004/07/20/2397.htm

[9]

http://www.cbronline.com/article_feature.asp?guid=B1721863-ECB3-4644-A270-A978BAA179EA

[10]

http://spftools.infinitepenguins.net/register.php

[11]

http://spftools.infinitepenguins.net/register.php

[12]

http://www.michaelgeist.ca/geistspam.pdf

[13] http://www.brightmail.com/spamstats.htmlBrightmail现在已经被Symantec公司收购,这个网页现在在Google的缓存(cache)里还能访问到。

[14] http://it.sohu.com/20040903/n221872028.shtml

2004年06月13日

赵晓力

一、美国反垃圾邮件法已告失败

二、反垃圾邮件的实质是维护通信自由

三、服务器端的反垃圾邮件技术措施要事前取得用户同意和谅解

一、美国反垃圾邮件法已告失败

  4月23-24日,在中国互联网协会主办的2004中国反垃圾邮件高峰论坛上,信息产业部电信管理局官员透露,他们正在起草一个”电子邮件服务管理办法”,反垃圾邮件内容将写进这个管理办法。1

  信息产业部的官员还透露,在定义垃圾邮件的时候,这个”管理办法”将采用”国际惯例”,规定只要给接受者提供”退出选择”(opt-out)的 邮件列表(maillist)就不视为垃圾邮件。”退出选择”的反面是”加入选择”(opt-in),即只有用户同意接受的邮件列表才不是垃圾邮件。

  实际上,这个”国际惯例”只不过是美国2003年《反垃圾邮件法》(CAN-SPAM)的作法。该法2004年1月1日起生效,但生效几个月来 的效果完全令人失望。网上传播垃圾邮件的数量并不受该法的影响有所下降,反而一如既往地稳定增长。根据从事垃圾邮件过滤业务的Brightmail公司的 统计,2003年10月、11月、12月,垃圾邮件占全部邮件的比例分别是52%、56%、58%,2004年1月、2月、3月、4月,这个比例分别上升 到60%、62%、63%、64%,2实在看不出这个1月1日起生效的法律对垃圾邮件的数量有什么影响。另有些统计说,美国垃圾邮件的数量在2004年2 -3月有所下降,但4月份又反弹到创纪录的82%!3这一切都说明,美国《反垃圾邮件法》已告失败。

  美国《反垃圾邮件法》的失败并不是偶然的。原因在于,这个法律由于受网络营销利益集团的游说,其实并不是一部”反垃圾邮件法”,最多是一部”规范广告邮件法”,甚至有人认为它是一部”网络营销促进法”。

  最关键的问题就是,该法采取的垃圾邮件定义完全错误。”给接受者提供退出选择的邮件列表不是垃圾邮件”,这意味着,我可以一直给你发垃圾邮件, 除非你按照我的指示申明退出我的邮件列表。这在垃圾邮件只占全部邮件数量3%的时候也许是可行的,即处理100份邮件,发3份邮件申明退出,并不构成用户 太大的负担;但在垃圾邮件已经占到全部邮件的60%的时候,要求用户化60%的时间精力去申明退出,实际上是要求电子邮件用户把大部分处理精力化在处理垃 圾邮件上──看垃圾、翻垃圾、找垃圾、退垃圾──否则还得源源不断地接受垃圾,4这样的立法即使是美国的,也是荒谬的;即使是”国际惯例”,也是荒谬的国 际惯例。

  通过电子邮件发商业广告并没有什么错,只要接受方同意,发多少法律也无权干。但美国反垃圾邮件法却并不要求接收方同意,这就构成了一种强迫通 信,强迫邮件接受者花费自己的带宽、存储空间和时间精力处理垃圾邮件,而垃圾邮件的发送者和他们的客户,则通过这种强迫通信获得利益。

  二、反垃圾邮件的实质是维护通信自由

  由此可见,垃圾邮件的实质是强迫通信,反垃圾邮件,就是反对强迫通信,维护通信自由。美国宪法中并没有专门的通信自由的条款,通信自由一般被视 为言论自由的一种。但1948年《世界人权宣言》第12条和1966年《公民权利和政治权利国际公约》第16条都明确规定了通信自由不受任意和非法干涉。 我国1982年《宪法》第40条对公民的通信自由和通信秘密做出了比国际公约详细得多的规定:”中华人民共和国公民的通信自由和通信秘密受法律的保护。除 因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通 信秘密。”

  通信包括发送和接收,通信自由包括发送通信和接收通信的自由。没有取得他人同意滥发垃圾邮件,在我国属于滥用发信自由而侵犯他人的收信自由, 我国《宪法》第五十一条规定:”中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”换句话 说,行使自己的发信自由不得损害他人的收信自由。倘若我国的” 电子邮件服务管理办法”采用美国式的”退出选择”(opt-out)机制,在我国的垃圾邮件比例已经超过60%的今天,无疑是以多数邮件用户的收信自由为 代价,维护少数垃圾邮件发送者的发信自由。这样的部门规章,将脱不了违宪的质疑。

  在我国,通信自由和通信秘密是一项基本人权,受宪法保护。在广告邮件问题上,只有取得用户同意的发送行为才是合法的,比如,有的服务商以用户接收一定数量的广告邮件为取得免费信箱的条件,如果用户同意,这样的广告邮件并不属于垃圾邮件。

  在我国,垃圾邮件的定义只可能是:未经接受者同意的大宗邮件。之所以强调大宗,因为一般两个陌生人之间的第一封通信也是未经接收者同意的,或许 也会被接受者视为”垃圾”,但如果把这种人与人之间正常交往的邮件也视为垃圾邮件,则会正常交往设置过高的障碍,从而妨碍通信自由。只有那些大宗的、甚至 是重复发送、绝大多数是商业广告但不限于商业广告的邮件,才构成对通信自由的妨碍。反垃圾邮件立法应该以我国宪法明确宣示的通信自由为出发点和依归。

  三、服务器端的反垃圾邮件技术措施要事前取得用户同意和谅解

  反垃圾邮件的技术手段大致分为两类:一类是黑名单、白名单,一类是过滤,过滤又分为行为过滤和内容过滤。用户在客户端采用这些技术手段当然不涉 及任何法律问题,但服务邮件服务提供者或系统管理员要在服务器端使用这些技术手段,则须考虑相关法律。白名单和行为过滤一般不引起通信自由问题,但黑名单 和内容过滤则有可能引起通信自由和通信秘密问题。

所谓黑名单,一般是指一些互联网上的志愿组织和个人提供的有发送垃圾邮件记录的IP地址的数据库,著名的有SPAMHAUS (http://www.spamhaus.org)、MAPS(http://mail-abuse.org/)提供的实时黑名单;邮件服务提供者或系 统管理员在配置邮件服务(MTA)的时候可以引用,这样那些上了黑名单的IP地址或IP地址段就无法和这个邮件服务的用户通信。黑名单是非常有效的防范和 惩罚垃圾邮件的做法。但许多采用黑名单的邮件服务提供者或者系统管理员并不习惯事前告知用户,取得用户的同意,这样就有可能无意中侵犯用户的通信自由。通 信自由权利属于用户,如果讲清楚,大部分用户将会同意系统管理员使用那些享有盛誉的黑名单。这样对于邮件服务提供者,也免除了日后被追讼的危险。

  垃圾邮件的发送者总有一些不同于平常邮件发送的行为。人们发明了一些聪明的办法过滤这些行为,比如在网页上放一个白底白字的邮件地址,这样的地 址人眼是看不到的,但垃圾邮件发送者的程序则可以收集到。如果有人向这个地址发信,那就可以确定是垃圾邮件。这样的过滤方式就是行为过滤。还有普遍使用的 内容过滤,就是对邮件的标题和信体中包含的特定字符进行贝叶斯分析。系统管理员经常担心的是,内容过滤容易出现误判,因为正常的邮件很可能也包括一些垃圾 邮件常用的词汇和字符。但是,还有一个法律上的问题是经常被忽视的,那就是,内容过滤也应事先得到邮件用户的同意。尤其在我国,《宪法》40条非常清楚地 规定了,除公安机关或者检察机关因为国家安全或者追查刑事犯罪的需要,可以依照法律规定的程序对通信进行检查,无须用户的同意外,其他任何人检查通信的行 为如果要免于违法,都必须事前取得用户的同意和谅解。

  

  

1《国际金融报》,2004年4月27日,http://tech.china.com/zh_cn/news/net/156/20040427/11674586.html

2 http://www.brightmail.com/spamstats.html,这是brightmail它们过滤的邮件总数中得到的数字,2004年4月,brightmail共过滤了960亿封邮件。

3 http://www.internetnews.com/stats/article.php/3349921。 这是一家纽约的一家安全公司MessageLabs的统计结果。据他们的统计,2003年中全球垃圾邮件的比例是50%,2004年1月达到63%,2 月、3月分别下降到59%和52.8%,但4月份又反弹到67.6%。这是全球数字。美国4月份则反弹到82%。MessageLabs, Inc

4 2004年3月,中国互联网协会反垃圾邮件协调小组委托上海艾瑞市场咨询公司进行了全国反垃圾邮件市场调查,在用户端,我国邮件用户现在平均每人每周发送 电子邮件9.8封,收到正常电子邮件12.6封,收到垃圾电子邮件19.3封。收到垃圾邮件量占收到总邮件的60.5%。比2003年底第一次调查时的 26.27%上涨了34.23个百分点。http://it.sohu.com/2004/04/23/46/article219934609.shtml

2004年06月11日

垃圾邮件之王现身中国

赵晓力

打开电脑,接受邮件,哗,我那个单位信箱立刻被垃圾邮件塞满。前天是24封,昨天25份,而正常的邮件两天来不过两封。自从在网上公布过一次这个邮件地址后,这个信箱就成为垃圾广告邮件的目标。如果是一个随便申请的免费信箱,我早就放弃不用了。但这是单位的官方信箱,有时侯它还起着证明身份的作用,不能随便放弃。

垃圾邮件的问题在中国到底有多严重?中国互联网信息中心(CNNIC)2004年1月份发布的调查报告说,用户平均每周收到电子邮件数13.7封,其中垃圾邮件7.9封,占58%1。2003年美国国会在阐述反垃圾邮件法的立法理由时写到,互联网上电子邮件流量中超过一半属于垃圾邮件,而2001年这个数字不过7%。2微软的Hotmail说,垃圾邮件占他们的邮件流量的70%,很多来自中国和日本。3按照著名反垃圾邮件网站SPAMHAUSE(http://www.spamhaus.org)的统计,2004年1月份,中国在十个垃圾邮件大国的排名已上升到第二位,仅次于美国,排在南韩、巴西、台湾、加拿大、阿根廷、俄国、意大利、英国等国家和地区之前。

中国互联网信息中心的数据是通过网下抽样调查得出的,反映的是用户被动接受垃圾邮件情况,SPAMHAUSE的统计的则是发送垃圾邮件的IP地址的情况。互联网上有许多反垃圾邮件的志愿者和公私机构接受举报,从中收集整理一些垃圾邮件源的黑名单(Realtime Blackhole List)。SPAMHAUSE的黑名单SBL(Spamhaus Block List)与众不同,它特别注意跟踪那些臭名昭著的”垃圾虫”的动向,SPAMHAUSE称其为”垃圾邮件团伙”。SPAMHAUSE相信,北美和欧洲用户接受到的90%的垃圾邮件,都可以直接间接追踪到最大的200个垃圾虫头上。如果一个人因为发垃圾邮件已经被接连三个ISP(互联网服务商)中止过服务,那么它就进入SPAMHAUSE的”已知垃圾邮件运营者名单”(ROKSO)中,这些垃圾虫控制下的IP地址,则自动进入SPAMHAUSE的垃圾邮件源黑名单,从这些IP地址发出的邮件,就会被采用SPAMHAUSE黑名单的邮件服务器视为垃圾邮件而加以阻挡。4SPAMHAUSE说,使用它的黑名单的包括一些世界级的骨干网,欧美的一些政府和军事网络,大的免费邮件服务商,各国ISP等等,到2003年11月,大约有两亿用户的信箱处在其保护之下。5

SPAMHAUSE的垃圾虫名单上的一些团伙,最近越来越多地把他们的离岸主机移到了中国。这是中国在垃圾邮件大国的名单上上升比较快的原因之一。比如SPAMHAUSE的垃圾虫名单中排名第一的”垃圾邮件之王”,被称为”互联网上最招人恨的人”Alan Ralsky,近来已经开始在中国租用主机,建立他的离岸运营中心,以逃避针美国境内对他的法律和技术行动。6查阅SPAMHAUSE的记录,从2003年9月22日到2004年2月18日,Alan Ralsky在广东电信(chinanet-gd)控制过27个ip地址,从2003年7月3日到2004年2月15日,在重庆电信(chinanet-cq)控制过32个ip地址,现在,在SPAMHAUSE为垃圾虫提供服务的”十个最坏ISP” 中,广东电信、重庆电信已经分别名列第二和第五位。另外一个福建电信排名第九。7按照SPAMHAUSE的政策,如果广东电信、重庆电信和福建电信在不知情的情况下为这些垃圾虫提供了服务,还属于被动服务提供者,情有可原,如果它们明知客户是垃圾虫还提供服务,甚至为之提供”防弹”服务,那么他们自己也可能进入SPAMHAUSE的黑名单。

当然,这肯定不是Alan Ralsky控制的全部IP地址。据说,和其他垃圾虫或垃圾团伙比起来,Alan Ralsky是一个网络隐身的大师,最擅长的是用假身份申请ISP的服务。肯定有许多中国境内的IP地址是Alan Ralsky和其他垃圾虫控制的,还没有被发现而已。

这些商业垃圾虫的客户大都在他们本国,他们租用中国境内的服务器,当然还是为了向他们本国发送广告。中国成为”垃圾邮件大国”,并不是中国的垃圾虫向世界发送了多少垃圾邮件,败坏中国名声的大部分还是这些美国窜来的垃圾虫。但这种离岸经营手法,却使得中国和其他一些意识薄弱、技术落后、法制不全的发展中国家背上了黑锅。当然,那些贪图小利的ISP也难辞其咎。

Alan Ralsky并不认为自己是垃圾虫,他说,他只是做在线营销广告(online marketing)的正当商人。那么,他的生意有多大呢?据说,他手头的邮件地址超过1亿5千万,每发100万个邮件,他的客户大约有500美元的利润,他收取售出物品总价款的40%作为佣金。Alan Ralsky自己承认,他最多曾经在一天之内发送过7千万份广告邮件。8

Alan Ralsky在美国曾经遇到过麻烦。2000年,Alan Ralsky未经许可向Verizon Online公司的用户发送了几百万封垃圾邮件,用户的报怨和投诉象潮水一样涌向Verizon,Verizon 随即把Alan Ralsky告上法庭。2002年,Alan Ralsky在向Verizon赔了一笔数目不详的款子并保证不再向Verizon Online的用户发垃圾邮件,也不利用后者的网络发垃圾邮件后,双方了结了案子。9

2003年12月,Alan Ralsky停止了自己在美国的业务。这一次也是因为法律上的原因。12月16日,美国总统布什签署了2003控制未经请求的色情和营销材料攻击的法案(Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003),简称CAN-SPAM Act of 2003。该法2004年1月1日起生效。

这个法律并没有禁止垃圾邮件,而是试图规范它。”未经请求的商业电子邮件” (unsolicited commercial e-mail messages)只要符合下列条件就是合法的:1,自我标识,比如主题行包含”ADV”字样,表明这是一封广告邮件,但该法没有规定统一的标识方法;2,邮件里包含了如何从发送者的名单里退出(opt-out)的指示,这意味着,发送者可以未经你的事前同意就给你发商业邮件,如果你不同意,你得自己向发送者申明,这不同于参加(opt-in)机制,即发送者没有你的事前同意就不能给你发商业邮件;3.邮件包含了发送者的物理地址。该法禁止使用欺骗性的主题行(诱骗人们去看邮件内容),禁止伪造邮件的头文件(header),以躲避追查,因为头文件里包含了邮件发送者的IP地址和邮件的路由信息。

Alan Ralsky仔细研究了这个法律。虽然这个法律没有像他所希望的把”商业广告邮件”完全合法化,但比起一些采取opt-in机制、完全禁止这类未经同意的大宗邮件,或者要求按照某种标准的样式标识邮件的州法律,比如加利福尼亚等州的州法,还是宽松地多。这个联邦法律通过后,那些比这个联邦法律苛刻的州法就被排除适用了。满足这个法律的要求并不是很难,Alan Ralsky决定从2004年1月起重新开展在美国的业务。

反垃圾邮件团体对这个法律非常失望。SPAMHAUSE是一个国际组织,现在把它的物理地址放在伦敦,因为英国从2003年12月11日起完全禁止了垃圾邮件。在SPAMHAUSE看来,所谓垃圾邮件只要符合两个特征就可以了:1,未经同意;2,大宗。仅仅是未经同意的邮件并不是垃圾邮件,比如一个以前从来没给你发过邮件的人发的第一封邮件,大概都没有经过你的同意,但这不是垃圾邮件;第二,仅仅是大宗邮件也不是大宗邮件,因为你订阅的邮件列表同时发送给许多订阅者,但它也并不属于垃圾邮件。所以,真正的反垃圾邮件法律应该采取参加(opt-in)机制,也就是说,只能给同意接受的人发送大宗邮件才是合法的。联邦控制垃圾邮件法反而允许发送未经同意的大宗邮件,只要它提供了如何退出的指示。对于塞满信箱的一封封广告,谁有耐心一个个发邮件去申明退出呢?以前人们总是被专家告诫不要回复垃圾邮件,因为回复只不过验证了你的信箱是存在的,除了坚定垃圾虫继续给你发垃圾邮件的信心外没有其他作用。实际上,联邦反垃圾邮件法只不过是一个促进电子邮件营销法,它只会改变垃圾邮件的内容,比如那些色情和虚假信息也许会减少,但合法的直销商人则会积极地利用这个机会,开拓邮件营销的新纪元。10

2004年1月,美国的联邦反垃圾邮件法生效了,网络上传输的垃圾邮件并没有减少的迹象。根据从事垃圾邮件过滤业务的Brightmail公司的统计,2003年10月、11月、12月,垃圾邮件占全部互联网上邮件的比例分别是52%、56%、58%,2004年1月,这个比例上升到60%,11看不出反垃圾邮件法律对减少垃圾邮件有什么明显的影响。

2004年1月16日,在麻省理工学院召开的2004年”垃圾邮件峰会”上(http://www.spamconference.org/),也反映出这种对法律解决垃圾邮件问题的深刻失望。参加这次会议的有美国四大ISP──微软的MSN、雅虎、美国在线和Earthlink(这四大巨头处理着美国的大部分email流量),过去两年间涌现的一大批垃圾邮件过滤软件的代表,学术界人士,以及互联网工程任务组(IETF),这个志愿者组织负责监督所有公开的互联网标准的通过,今年它派出的代表是开源软件运动大名鼎鼎的领导人Eric Raymond。12

一般用户使用的发送邮件的软件,比如微软的Outlook Express和自由软件Mozilla Mail,都有过滤垃圾邮件的功能,这实际上是对用户已经接受下来的邮件进行过滤,一般都可以按照发件人和主题设置过滤条件,好处是由接收者决定什么是垃圾邮件,是否删除,坏处是这要将所有邮件接收到本地进行,会耗费用户的带宽和精力,拨号用户都体会过浪费大量时间金钱接收垃圾邮件的气恼,一封封阻挡垃圾邮件的无奈。

服务器端的过滤软件,比如著名的Spamassassin(http://www.spamassassin.org/),是通过对邮件文本进行复杂的贝叶斯分析,对邮件中一些符合垃圾邮件特点的文本特征打分,超过某个标准分就判断为垃圾邮件,这些过滤软件再加上对邮件服务器端进行一些设置,就可以在服务器端对垃圾邮件进行标记、转发、存档甚至删除。这样做的好处是,由邮件服务器对付垃圾邮件,用户不必亲自动手,垃圾邮件在服务器端就被阻挡,不会再收到用户本地计算机的信箱中。但是,这对过滤软件的要求很高,就是误操作的可能性要小,因为用户一般宁愿接收10份垃圾邮件也不愿被服务器误删除一份正常的邮件。另外,道高一尺,魔高一丈,垃圾邮件的发送者经常会针对过滤软件的打分系统,在邮件里随机放一些无意义的词汇,用html语言排版为白底白字,这样用户不会看到,却可以干扰过滤邮件的打分系统。这时候用户或软件开发者就要对过滤软件进行升级,即把白底白字作为一个垃圾邮件的新特征。13然而,人们对过滤软件更大的疑虑是,既然过滤软件可以按照垃圾邮件的特征过滤用户的邮件,难保配置它的人不用它来监控过滤用户的邮件内容。一旦服务器端的过滤被滥用,这对用户的通信自由和通信秘密就会造成很大的威胁。

除了用户端和服务器端的过滤,更高级的对付垃圾邮件的技术还包括雅虎提出的Domain key和Eric Raymond介绍的Sender Policy Framwork(SPF)。 Domain key的原理是给每一个合法的邮件域(domain)颁发一个数字钥匙(key),这些公司或者邮件域可以用它对它们发出的邮件进行数字签名,带这种签名的邮件就不被视为垃圾邮件,这样反垃圾邮件措施就只针对那些没有Domain Key签名的邮件进行。比起个人签名方案来,Domain Key的好处是只需要在在服务器端部署就可以了,不需要每个人都搞一个数字签名。雅虎的方案据说2004年内就可以出台。不过,雅虎不打算把这个方案提交给IETF。14

按照互联网的公开原则办事的是SPF,SPF正在努力成为一个公开的、人人皆可用的互联网标准。一些参加垃圾邮件峰会的人颇认同这种作法。但SPF并不针对全部垃圾邮件问题,它要解决的是电子邮件的伪造域名问题。垃圾邮件往往伪装成是从一些大的ISP发出的,比如hotmail,aol等等。传统上,简单邮件传输协议(SMTP)在发送邮件的时候,并不检查客户的IP地址和邮件信封上所写的域名是否一致,SPF则要求站点在自己的域名记录中公布本域中负责发送电子邮件的服务器的IP地址,这样别的服务器在接收的时候就可以查对。比如,hotmail.com在自己的域名记录中公布了自己的SPF目录,包括 65.54.247.109, 216.33.241.106, 和207.68.163.86这三个IP地址,如果有人从80.34.201.194联接过来,又声称自己是一份从hotmail.com发来的邮件,那么就可以判断这是一封伪造域名的邮件,或者是垃圾虫发出的,或者是病毒制造的,对这样的邮件,收信服务器可以拒收。

和雅虎的Domain Key一样,SPF的思路实际上是一种白名单的思路。它倡议每个域的主人都把自己域中发送电子邮件的服务器的地址公开出来,这样那些伪造域名的垃圾邮件便根本不会被接收,既不会浪费用户的带宽,也不会ISP的带宽。剩下没有伪造域名的垃圾邮件则留待各种黑名单手段加以清除。152004年2月11日,SPF作为互联网草案发布了,这是成为正式的RFC标准的第一步。SPF的推广者Meng Weng Wong,则希望加快SPF成为正式标准的步伐,以便这个标准能在人们因为垃圾邮件和蠕虫邮件泛滥完全放弃使用email之前得到推广。16到2004年2月22日,已经有超过7500多个域发布他们的SPF,包括AOL.com, Altavista.com,GNU.org ,Oreilly.com, Oxford.ac.uk ,Perl.org ,SAP.com ,Symantec.com ,w3.org等一些知名站点。17

在国内,似乎垃圾邮件的发展已经到了国际水平,但反垃圾邮件的事业才刚刚起步。近期值得记录在案的有:

1.中国互联网协会:2003年8月,中国互联网协会公布了第一批垃圾邮件服务器IP地址名单225个,据说,这是反垃圾邮件协调小组从举报平台收到的约350万封来自国内外的投诉信中整理出来的,同时,”协调小组成员单位和业内广大从业者也向协调小组提供了大量的举报信息”。182004年2月18日,中国互联网协会反垃圾邮件协调小组发起了”关于加快’反垃圾邮件立法’进程的倡议”,并公布了第三批垃圾邮件服务器IP地址名单。19

2.中国反垃圾联盟(CASA):这是个志愿者组织。2003年9月11日,CASA推出了国内第一个公开的实时邮件黑名单(RBL)服务。2011月11日,他们的黑名单中又增加了中国动态IP地址列表CDL(China Dynamic IP List),这是针对的是国内那些用ISDN,ADSL发送垃圾邮件的垃圾虫,ISDN和ADSL 一般使用动态IP地址,所以CASA判断使用动态IP地址的邮件服务器发送的邮件,都是垃圾邮件。

3.胡培明。到今天为止,我的信箱里已经连续几天收到过他发来的《为您代发电子邮件广告》:”我们拥有主机二十台,各类群发系统及设备,国内外电子邮箱1.78亿个。光纤通信,可日发送电子邮件广告500多万,愿为各地企业,个人架起商桥,为您代发电子邮件广告。 每代发20万电子邮件广告收费200元;100万封电子邮件收费800元;300万封电子邮件收费2200元。电话:010-64851148,email:pmhu@163.com 在线 QQ:183587698。”如果这一切都是真的,如果目前国内这种意识缺乏、技术落后、法制不全的状况不改变,我们完全可以预料,未来的垃圾邮件之王,肯定在中国。

 

1http://www.cnnic.cn/html/Dir/2004/02/03/2114.htm

2http://www.spamlaws.com/federal/108s877.html

3http://www.technologyreview.com/articles/print_version/wo_garfinkel020404.asp

4http://www.spamhaus.org/rokso/index.lasso

5http://www.spamhaus.org/sbl/sbl-faqs.lasso

6http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK1290

7httpp://www.spamhua.org

8国际先驱论坛报,2003年12月30日,http://www.iht.com/articles/123183.html

9http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK2000

10http://www.wired.com/news/politics/0,1283,61928,00.html

11http://www.brightmail.com/spamstats.html

12http://www.businessweek.com/technology/content/jan2004/tc20040113_3442_tc047.htm

13http://www.wired.com/news/infostructure/0,1377,61886,00.html

14http://www.technologyreview.com/articles/print_version/wo_garfinkel020404.asp

15http://spf.pobox.com/problem.html。比起雅虎的Domain Key 方案,这个方案更易用,因为它只是对现有的SMTP协议的一个补充。在域名记录添加一条SPF记录并不难,因为现有域名体系中已经存在MX记录,用来告诉整个互联网本域中哪个IP地址的机器接收邮件,SPF记录实际上是一个反MX记录,用来告诉整个互联网本域中哪个IP地址的机器发送邮件。这个方案也将得到四个主要的开放源码MTU的支持:Sendmail,Qmail,Postfix,Exim,http://spf.pobox.com/downloads.html

16http://www.eweek.com/article2/0,4149,1526251,00.asp

17http://spftools.infinitepenguins.net/register.php

18http://www.isc.org.cn/20020417/ca175035.htm

19http://www.isc.org.cn/20020417/ca225999.htm

20http://anti-spam.org.cn/news/03091101.html