2005年04月24日

把不能卖的东西给卖了!——新经济新在何处之二

当我说dell交互式按需配置的直销模式比compaq的单向分销模式“新”的时候,我的意思是,dell把消费者对自己的需求的精微知识也卷入了生产流程,那么,消费者是白白地被dell剥削了吗?

显然,有些消费者,尤其是那些对自己的需求非常清醒,同时也有一定计算机配置知识的消费者,肯定从这种销售模式中得到了一些好处。否则,他们完全可以选择其他的品牌和其他购买方式。

这些好处可能不是十分容易计量。也许要买到同样称心如意、刚好满足需要的商品,通过其他的途径要花费更多的金钱和时间;那么通过互动式的按需配置模式所节省的金钱和时间,就是消费者对自己的需求和计算机配置方面的知识的报酬。

而新经济之所以为新的实质,在我看来,就是它为原来这种没有市价的知识,创造了一个市场,人们现在可以互相买卖一些以前难以进入市场的东西了!

在中国互联网的创业大潮中,有一志引人瞩目的力量,那就是学生。比如fanso.com的创立者,就是清华的一群在校学生。

在校学生是什么概念?在传统的劳动力市场上,他们还只是半成品;要等拿到毕业证书和学位证书之后,才可能进入市场——半成品的劳动力,是不能直接卖的。但是现在可以了。尤其是在网络这种知识密集型的产业中,半成品的劳动力也有了它的价格。

对于那些创业者,他们的价格是企业的剩余索取权和剩余控制权;而在各个商业网站打工的学生,他们劳动力的价格,则是他们的兼职工资。

可能由人会说,学生兼职所在多有;清华的学生,很多在本科阶段就到公司里打工,自己养活自己。这个市场,原来就是存在的。

我同意这种说法。但这个原来就存在的市场,主要是技术员的市场;对于像heide这样念文科的学生,这种直接买卖自己专业知识的市场,是不存在的。最多找个家教的兼职,还是去教自己并不拿手的物理和数学。

而现在我们可以看到,文科的学生现在也可以通过进入ICP的经济分工,出售自己的专业知识了!学法律的,可以主持网上的法律咨询栏目(比如 chinalawinfo.com的“天问”法律咨询就是由一批在校博士生主持的);即使不是专业知识,只要存在需求,也可以通过网络出售,比如一个人对足球的知识和见解,以前只能作为一种业余爱好存在,而现在也可以通过主持一个体育频道,出售给互联网公司了!

为什么我们在说到新经济的时候,总是把它跟互联网联系在一起?其实原因早在200年前亚当·斯密就告诉我们了:互联网从地域、时间和行业上扩大了市场的范围,从而能够容纳更大的分工规模和更高的分工水平,一些以前不能买卖的东西进入了了市场,使一些掌握着从前无法定价的资源的人们,也进入了经济分工。

把不能卖的给卖了!这就是新经济的实质。

2000.5.21 首发于donews.com

新经济新在何处?


姜齐平先生说新经济新在“直接经济”,并举dell为例,说dell靠直销避免了工业经济模式中的许多中间环节,节省了迂回生产中的交易费用,所以超过了康柏,成为最大的pc生产商。

而薛兆丰先生说,无论是dell的直接经济,还是康柏的迂回经济,其目的都是为了减少交易费用,只是不同的销售策略,没有本质差别。

既然说到经济,无论新旧,都是以赚钱为第一要义。所以要节省中间环节,还是要增加中间环节,要看是否得大于失。

康柏虽然比dell多了分销商这一层中间环节,但却可能利用分销商分工带来的好处,最终的结果,不是看到底节省了多少狭义上的交易成本,而要看分工带来的好处,是否足以弥补由此而来的转两道手带来的额外的交易成本;这里成本的概念显然应该是机会成本,在pc这个降价很快的的市场,很大一部分成本,并不是产生于倒手的仓储和运输、保管的成本,而是产生于倒手所耽搁的时间。

所以dell的直销和按需配置,我想主要是为了减少从产品到顾客手中的时间,这样就可以抢在cpu等降价之前把产品卖到顾客手中。当然,按需配置节省了库房,减少了预测市场不准的风险,这也是经常提到的。

那么dell的模式是不是拒绝分工呢?我看也不是的。dell以一种不易觉察的方式把购买者的知识也卷入了分工——而我认为这才是新经济之所以新的地方。

我曾经帮一个朋友在dell的网站上定购过一台笔记本电脑,朋友是一位忙碌的学者,买笔记本的目的主要是在讲学和出国的时候写字,所以配置的目标是:屏幕要大,要有拨号上网和接入局域网两种方式,硬盘小点无所谓。那么在网上定购的时候,你就可以像在中关村攒机器一样这儿添点,那儿减点;这儿是由顾客本身完成了市场调查工作,也就是顾客本身参与到生产过程中去,他对自己需求的知识也卷入了生产的分工。

而要买康柏的笔记本,顾客需求方面的知识,最多只能以一种不精确的方式,进入下一个生产流程(按照前一段笔记本的销售情况决定下一段生产的机型)。在大多数时候,顾客的这种关于自身需求的精微的知识,白白地浪费掉了。

关于新经济还有许多说法,比如说新经济是注意力经济,吸引了最多的眼球的商家,就是最大的赢家,所以网站要拼命提高自己的点击率。照这样的说法,中国最成功的新经济模式应该是中央电视台,它吸引的眼球,就是在世界范围内也是数一数二的,但是这里主要说的是电视上的中央电视台,而不是cctv.com。

新经济首先是经济,吸引注意力,吸引眼球,都是手段,不是目的。一个人倒立着在街上走,肯定能吸引很多的注意力(眼球),但如果不卷入某种经济分工(比如创造一项吉尼斯世界纪录——众所周知,吉尼斯是要赚钱的),那就只能是一个社会现象,而不是经济现象了。

 2000.5.21

  • Google雅虎扬言严厉打击欺骗性广告点击 #

    Google去年起诉了一家名为Auction Expert的网站,该网站雇佣了50个员工专门点击其网页上的广告,骗取了高达5万美元的广告费。
  • 网游装备交易官方化 索尼推虚拟物品拍卖网 #

    索尼预计,他们的《EverQuest》和《EverQuestII》的虚拟物品成交额大约占美国整个虚拟物品交易额的20%。目前,此类交易的
    方式大多是私下形式或者是在一些拍卖网站。比如目前,玩家可以在eBay上以22.99美元的价格买到《EverQuest II》中的100金币。
  • 清华同方突袭网络游戏 意欲颠覆盛大模式 #

    应是软文。

    “‘H5’是一系列免费且不用注册的快餐型网络游戏的统称,随时随地,想玩就玩,只需在可乐8首页点击任意一款游戏即可立即进入游戏。没有烦琐的注册功能,彻底颠覆了玩游戏要注册,有积分的概念,同时具有邀请好友和视频聊天的功能,在游戏的同时感受不一样的乐趣。
  • 电子商务交易额年均增长40% #

    大会透露的数据显示,2004年电子商务的交易总额达到4400亿元人民币,2005年将激增至6200亿元人民币。上海市的交易总额到目前为止超过了700亿元人民币。
  • 专访eBay易趣COO郑锡贵:电子商务不相信眼泪 #

    在eBay其他国家里,发展初期不会做电视广告,最有效的途径是网上广告。在西方国家就认为应该到市场发展的成熟期后才做电视广告。中国情况很特殊,中国人群很信赖电视广告。

365Key-天天网摘自动生成


自由软件杂志第2期是垃圾邮件专题,其中“smtp协议的过去与未来”一文解释了,为什么Jonathan Postel1982年写作定义smtp的RFC821时,关注的更多的是可靠性,而不是安全性。因为那时的“互联网”,还是一个熟人社会,大家都乐于帮助别人转发(relay)邮件,所以当时的邮件服务器都设成open-relay(开放转发):人人为我,我为人人,你为我转发,我为你转发,任何发信服务器都是公共的,大家都能用。

随着互联网的商业化,第一批广告邮件出现了。本文中把最早的垃圾广告邮件追溯到1978年DEC的销售代表一次发送的数百封产品描述信件。不过,我很怀疑这样的说法。垃圾邮件基本上是个数量概念,当100封信中有一封这样的信时,大概没有多少人把它当回事。

垃圾邮件成为大规模的问题是在90年代后期。这是互联网商业化最快的时期。人们不愿成为垃圾邮件的替罪羊,open relay关闭了;不但如此,人们还开始拒绝接收其他open relay过来的邮件。这就是最早的黑名单(DNS blackhole lists)的起源。

以后的发展我们很熟悉了。open relay关闭后,ISP还要进一步检验用户使用smtp服务的权限。比如,yahoo和其他邮件服务商都会对smtp服务要求身份验证(一般采用和pop3一样的密码验证)。

还有,就是在服务器端,对要求发信的服务器进行身份验证,比如流行的SPF和yahoo的Domain key

总之,这是一个从共同体到社会的典型现代性故事。


这篇报道提供的这个消息值得引起注意:

"对此,一些交易网站的有关人员告诉记者,网站只是一个交易平台,并不提供任何货物,也不干涉部分商家开设网下实体店。同时,网站也不干涉卖家的货物来源。"

这意味着,交易网站所起的作用更是一个广告、展示、比价、侃价平台。而pconlineit168这样的网站也起这样的作用——除了最后一个:侃价。看来,价格形成机制在中国的交易网站中可能更值得重视。当然,拍卖也是一种价格形成机制。

侃价是中国特色的一种价格形成机制。几年前,一位德国政治哲学家迈尔访问北京,两个孩子同行。他们很快在中国找到一种从来没有玩过的游戏,那就是侃价。因为在德国,从来没有侃价这回事。

侃价的本质是同样的商品以不同的、甚至是悬殊的价格成交,这在经济学上称为价格歧视(price discrimination),张五常曾经通过在元宵夜香港街头卖桔(观赏性的小桔树)观察实际中的价格歧视。他的心得,记录在著名的《卖桔者言》一书中。

价格歧视,就是按照消费者不同的效用函数卖给他东西,侃价的过程,对于卖方,就是发现消费者效用函数的过程,成功的卖方,能够榨取每个消费者的每一份消费者剩余。而买方,也要善于把自己扮演为一个较不喜爱那商品、但又可能购买的那种人。

这一点,在网络交易中如何实现呢?毕竟网上流行的方式是拍卖,如易趣一拍淘宝都不是一对一的侃价,而是公开报价、比价。

不知在这种网下交易的环节中,是否还包括侃价?如果包括,那么所谓的网上交易,就只包括广告、展示、比价这些环节。

在不同商业文化的国家,到底那些环节放在网上,那些环节放在网下,可能需要进一步的研究。

2005年04月23日

关于这个问题,我们看到一些互相矛盾的报道,AOL在2004年12月27日宣布:2004年比2003年,AOL邮件系统垃圾邮件的数量减少了75%:2003年11月,AOL平均每天会接到用户1,100万个垃圾邮件的投诉,2004年11月,这一数字下降到平均每天220万个。这些投诉都是用户按”Report Spam“按钮发送的。

同时,直接进入用户垃圾邮件文件夹、也就是被AOL系统判断为垃圾邮件的邮件的数量,也下降了60%,2003年11月,这个数字是平均每天1亿封,2004年11月,降到每天4,000万封。

被AOL反垃圾邮件网关阻挡的邮件数量下降了50%,2003年最高峰的时候,每天大约2.4亿封,2004年后期,降到每天平均约1.2亿封。

试图向AOL用户发送邮件的数量从2003年11月每天平均约2.1亿次降低到2004年11月的每天平均约1.6亿次。这下降的22%,AOL相信,本来都是垃圾。

《纽约时报》2005年2月1日的一篇报道不同意这个说法,它说,2003年,Can-Spam法通过之前,垃圾邮件占总邮件的比例是60%,现在已上升到80%。(全文

这里对《纽约时报》的报道进行了一些分析。指出它多引用反垃圾邮件组织,如Spamhaus或厂商,如Postini的说法。

不过,AOL可能是个特例。我们只要看一看AOL关于邮件传输极端严格的技术标准,和它对于垃圾邮件的不妥协的政策就明白了。

最近,被判处9年监禁的垃圾虫Jeremy Jaynes,是美国第一起被以重罪课罪量刑的垃圾邮件商。弗吉尼亚Loudoun县的一个陪审团认定,Jeremy Jaynes每天最少发送1千万封垃圾邮件。他拥有16条高速连线,总带宽相当于一个1000个雇员的公司所拥有的带宽。Jeremy Jaynes是北卡罗来纳人,但此案是按照弗吉尼亚反垃圾邮件法判决。

Jeremy Jaynes和他的妹妹被控向数万个AOL的email用户发送大量未经请求的邮件。弗吉尼亚是AOL所在地。

2005年04月22日

开展电子邮件服务不宜采用行政许可方式

 

赵晓力

 

信息产业部《互联网电子邮件服务管理办法》(征求意见稿)6条规定,开展电子邮件服务采取行政许可方式:拟开展电子邮件服务的,应当取得省、自治区、直辖市电信管理机构或者信息产业部颁发的经营性互联网信息服务许可证或者办理非经营性互联网信息服务备案。未取得经营许可证或者未办理备案的,不得擅自开展电子邮件服务。

7条规定电子邮件服务器IP 地址实行备案制度:电子邮件服务提供者的电子邮件服务器应当使用静态IP地址,并将所使用的IP地址向省、自治区、直辖市电信管理机构或者信息产业部备案。变更电子邮件服务器IP地址的,应当提前30日向原备案机关办理变更手续。

对违反许可和备案规定了罚则:违反本办法第六条第二款规定的,依据《互联网信息服务管理办法》第十九条的规定处罚”(19)违反本办法第七条规定的,由省、自治区、直辖市电信管理机构或者信息产业部责令改正,并处1000元以上5000元以下罚款”(20)

对申请许可和备案提出了60天的宽限期:在本办法施行以前已开展电子邮件服务而未取得互联网信息服务许可证或者未办理互联网信息服务备案的,应当自本办法施行之日起60日内,按照《互联网信息服务管理办法》的规定办理互联网信息服务许可证申请或者备案手续。”(28)

目前这个《办法》还处在征求意见阶段,笔者认为,《办法》解决目前日趋猖獗的垃圾邮件问题的立法原意值得赞赏,但为此而采取如此严厉的行政措施大可不必。

 

一、电子邮件服务采取许可方式不符合宪法精神

电子邮件服务是互联网的基本功能之一。在互联网的历史上,电子邮件的出现晚于TelnetFtp,但早于World Wide 
Web(WWW)
,即今天我们在浏览器窗口中看见的那个世界。电子邮件的出现,丰富了人类通信的技术手段,在这样的技术手段的帮助下,人类的通信自由比邮筒和传真机时代不知扩大了多少。今天,只要回想一下,在过去的一年里,你通过邮局发了多少信件?又发了多少电子邮件?恐怕对很多人来说,前者的回答都是屈指可数,而后者的回答都是难以计数

如果国家不建立提供普遍服务的邮局,如果市场上没有竞争性的快递服务,我国《宪法》第40条规定的公民和法人的通信自由就是一句空话。这样的道理对电子邮件服务也是成立的,如果开展电子邮件服务需要主管部门的批准,将对公民和法人的通信自由设置过于严格的障碍。可以设想,在严格的行政许可面前,很多个人和公司将选择放弃为自己或他人提供电子邮件服务,电子邮件服务市场的竞争将大大削弱,垄断将大大增强,消费者利益将大大受损。这对于实现《宪法》第40条通信自由的目的,是不利的。

 

二、电子邮件服务采取许可方式与全国人大《行政许可法》不符

《行政许可法》第十二条规定了可以设定行政许可的事项,有人说,其中第()项包括电子邮件服务。第()项的具体规定是:提供公众服务并且直接关系公共利益的职业、行业,需要确定具备特殊信誉、特殊条件或者特殊技能等资格、资质的事项,可以设定行政许可。但是,前面已经说过,电子邮件是互联网的基本功能,其协议早已公开,发送电子邮件服务最常用的软件比如SendmailQmailPostfixEmix都是自由软件,这些软件可以从网上免费获得,设置也不需要特殊条件和特殊技能。笔者自己的机器上就运行着Emix4,这是一个小型的邮件传输代理(MTA),每天不辞辛苦为笔者发送邮件。

《行政许可法》第十三条进一步规定,本法第十二条所列事项,通过下列方式能够予以规范的,可以不设行政许可:(一)公民、法人或者其他组织能够自主决定的;(二)市场竞争机制能够有效调节的; (三)行业组织或者中介机构能够自律管理的;(四)行政机关采用事后监督等其他行政管理方式能够解决的。

笔者认为,垃圾邮件问题就是采用事后监督等其他行政管理方式能够解决的问题,无须采用事前的行政许可。

《行政许可法》是全国人大通过的法律,其效力层次高于行政规章,更不要说部门规章。《电子邮件服务管理办法》这样一个部门规章,应该更多考虑与《行政许可法》的协调和衔接,而不是自行其是。

国务院最近颁布的《全面推进依法行政实施纲要》中写到:改革行政管理方式。要认真贯彻实施行政许可法,减少行政许可项目,规范行政许可行为,改革行政许可方式。要充分运用间接管理、动态管理和事后监督管理等 手段对经济和社会事务实施管理;充分发挥行政规划、行政指导、行政合同等方式的作用;加快电子政务建设,推进政府上网工程的建设和运用,扩大政府网上办公 的范围;政府部门之间应当尽快做到信息互通和资源共享,提高政府办事效率,降低管理成本,创新管理方式,方便人民群众。在国务院大力推进依法行政的今天,设立这种不必要的行政许可更要慎之又慎。

 

三、电子邮件服务在信息产业管理部门备案ip地址在技术上没有必要

对于反垃圾邮件这个目标来说,备案邮件服务器的IP地址是不需要的。因为要查找一封垃圾邮件的来源IP,可以直接到到apnic(http://www.apnic.net)查询,在linux下面,可以直接用whois程序查询。比如我收到的一封垃圾邮件是从202.102.142.60这个IP地址发出的,查ipnicwhois数据库

(http://www.apnic.net/apnic-bin/whois.pl)可以很容易查到是山东数据局的淄博宽带(Shandong
Zibo Broad IP Access User (2))
IP。该垃圾邮件的受益方是
39c.cn,IP地址为218.56.97.106,同样查apnic的whois数据库:受益方的ISP是山东网通(CNCGROUP
Shandong province network)。

在互联网上已经有现成的IP数据库的情况下,主管机关无需在耗费公帑自己维护这样一个数据库。

有人说,在信息产业管理部门备案电子邮件服务器的IP地址,可以形成一个电子邮件服务器的白名单,只要是白名单的IP发出的邮件,互相之间可以不予审查地放行,有利于解决垃圾邮件问题。

白名单制度是解决垃圾邮件问题的一个有用思路。比如,SPF(Sender Policy Framework,http://spf.pobox.com/) 就是目前非常有希望成为互联网标准的一种白名单制度,它的基本思路是在域名体系(DNS)中增加对电子邮件发信服务器IP的反查功能,这就要求正常的电子邮件发信服务器事先在域名体系中公布自己的IP。现在,微软的Caller Id方案已经和SPF融合发展。一旦SPF/Caller Id成为互联网标准,在大多数邮件服务器上得到实施,垃圾邮件中的伪造发信人现象,就会得到有效遏制。

当然,即使SPF/Caller ID成为互联网标准,也不能保证人人都知道,都遵守。就象以前禁止公开转发(open relay)已经成为Sendmail的新标准,国内还有许多使用老版本Sendmail的服务器懵然无知,成为垃圾邮件利用的对象。在推广现成技术标准方面,政府主管部门倒是有很多事可做。就象经过信息产业部和互联网协会的集中整治,公开转发现在已经很少见了。垃圾邮件贩子利用别人的服务器滥发垃圾邮件的现象不再,要发也是自己架设服务器。增加发送垃圾邮件的成本,这也是遏制垃圾邮件的一个重要方面。

垃圾邮件问题说到底是一个数量问题,垃圾邮件永远不会根除,倘若我们接收的邮件中的垃圾下降到10%以下,我想,现在对垃圾邮件无处不在的报怨就会减少。如果主管部门把精力放在自己擅长的标准的实施推广上,治理垃圾邮件将会取得更大的成效。

治理垃圾邮件,不要等到关闭端口25的那一天

 

赵晓力

 

一、我国反电子邮件立法采用“选择加入”机制有利电子邮件用户

 

事先未取得他人同意发送大宗邮件是否算发送垃圾邮件?还是只有向那些明确表示不愿接受的人发送大宗邮件才算发垃圾邮件?各国在对垃圾邮件进行立法时都必须回答这个问题。规定发送者必须事先取得接受者同意的体制称为选择加入体制(opt-in),规定接收者须申明退出才能退出的称为选择退出体制(opt-out)。在前一种体制下,电子邮件广告商必须承担取得受众同意的成本;在后一种体制下,电子邮件用户必须承担申明退出广告邮件列表的成本。正是由于成本负担的不同,但凡电子邮件广告的经营者都喜欢opt-out机制,而电子邮件用户则倾向于opt-in机制。一个国家反垃圾邮件立法究竟采取哪种方式,与电子邮件广告商还是电子邮件用户在立法中占上风有关。

 

在美国,显然是电子邮件广告商占了上风。美国各州,除加利福尼亚、弗吉尼亚等州之外,大都采取了选择退出体制,2004年1月1日美国联邦《反垃圾邮件法》(CAN-Spam Act)实施之后,加利福尼亚的州法也被阻断适用了,因为联邦法律也采用了选择退出机制。采取有利于广告商的选择退出机制的还有韩国、日本、阿根廷等国家。[1]虽然我们不能说宽松的法律是垃圾邮件泛滥的唯一原因,但这些采取选择退出机制的国家,无一例外都是垃圾邮件猖獗的国家。比如,在SPAMHAUS2004年8月十大垃圾邮件国排行榜上,美国、韩国、日本、阿根廷分别排名第一、三、八、十名,而采用较严厉法律的欧盟国家,则一个都没有上榜。[2]

 

相比较而言,在欧洲是电子邮件用户的声音占了上风。2003年10月,《欧盟关于隐私和电子通讯的指令》[3]生效了。其中规定,在发送未经请求的营销邮件时,发送者必须事先取得接受者的明示同意,除非他们之间已经存在客户关系;欧盟这个指令不光涵盖电子邮件,对即时通讯和手机短信也适用。

 

澳大利亚于2004年4月10日起实施的《反垃圾邮件法》(Spam
Act)也采用了有利于电子邮件用户的选择加入体制;除此之外,它还规定对职业垃圾虫可以每天处以上百万元的罚款。据反垃圾邮件组织SPAMHAUS的观察,在该法实施之后,澳大利亚的垃圾邮件运营商已经开始低调行事,许多减少了活动,其中至少有一人已经离开了这个国家。[4]

 

我国信息产业部在起草《互联网电子邮件服务管理办法》的过程中,也发生了究竟采取选择加入还是选择退出的争论。经过一段反复,2004年7月7-9日,在日内瓦召开的国际电联(ITU)反垃圾邮件的主题会议上,我国信息产业部官员宣布中国将采取对垃圾邮件较为严格的选择加入机制[5]。在2004年9月2日中国互联网大会国际反垃圾邮件高层论坛上,信息产业部官员再次确认,“在接收者没有明确表示同意接收时继续发送广告电子邮件”将作为一种发送垃圾邮件的行为予以禁止。[6]

 

看来,在我国,目前还是广大电子邮件用户的意见占了上风。对于用户同意接受的广告邮件,信息产业部于2004年3月也发布了一个相关的行业标准《互联网广告电子邮件格式要求》(YD/T1310-2004),主要规定了广告电子邮件的词法、头部字段和消息体的格式以及头部字段的语法,比如,它规定“广告邮件的消息体长度不应超过10K字节”,“广告邮件发布者应使用在管理机构统一备案的邮件服务器(IP地址固定)发送广告邮件”,“广告电子邮件的subject头部域体必须以中文的‘广告’或英文缩写‘ad’开头,且不能为空”,[7]等等。在《互联网电子邮件服务管理办法》的起草中,也要求发送广告邮件时必须在邮件标题中添加“广告”等提示性字样。这些行业标准和部门规章,表面看起来对广告电子邮件提出了更多的规制,但长远看来,还是有利于这个行业的健康发展的。就好像治理街头小广告,也会促进合法广告业的发展一样,因为减少非法广告业供给,就等于增加合法广告业的需求。

 

二、邮件服务期IP地址备案要求可以用技术方案代替

 

即将出台的《互联网电子邮件服务管理办法》还将要求电子邮件服务提供者的邮件服务器使用静态IP地址并将IP地址向主管部门备案,据说,这样是为了便于追查垃圾邮件发送者。

 

然而,在对这样的规定叫好之前,我们需要预测这样的要求是否现实。根据中国互联网络信息中心(CNNIC)第14次互联网发展状况统计,到2004年6月30日,中国接入互联网的计算机已达到创纪录的3,630万台。[8]垃圾邮件发送者自然不会去主管部门备案。而难以计数的架设邮件服务器的中小企事业单位和个人,可以预计,也将抱着法不责众的心态藐视备案的要求。主管部门对于这种不配合的做法,估计很难有足够的时间和精力去逐一纠正。

 

而且,这种建立在国内部门规章效力基础上备案要求对国外的邮件服务器也没有任何约束力。而众所周知,互联网是没有国界的,垃圾邮件的发送,在很多情况下也是跨国界的。

 

比起亲历亲为建立这种不切实际的备案制度来,主管部门是否考虑把精力放在技术标准的推广与制定呢?

 

眼下,旨在打击冒名邮件的SenderID标准正在按照IETF的程序审议。SenderID由Meng
Wong提出的SPF(Sender Policy Framework)和微软的CallerID合并而来。它要求用户在自己的域名体系中增加一条记录,指明本域中被授权发送电子邮件的IP地址,这样,接受者在接受一封号称由该域发出的电子邮件的时候,可以用这个授权IP地址去比对验证发出该邮件的IP地址,如果不符就可以拒绝接收。这种办法,除了鉴别经常冒充他人域名的广告邮件,对鉴别蠕虫病毒制造的邮件和假冒(phishing)邮件也很管用。

 

实际上,SenderID就是一种在域名系统中对邮件服务器IP地址进行“备案”的制度,只不过它是通过技术手段实现的。这些IP地址“备案”在全球互联网上分布式的域名数据库中,可以动态更新,随时查询,这比由政府主管部门出资去维护一个单一国家的集中数据库是否更为便捷、安全、节省、有效呢?

 

据报道,由于微软坚持对自己的验证算法PRA (purported responsible sender)享有专利权,减缓了SenderID成为互联网标准的进程。9月16日,AOL宣布,对于从AOL发出的邮件,AOL将同时支持PRA和SPF两种方法,但对其接收的邮件,AOL只支持SPF。微软针锋相对,宣布从10月1日起,对对从Hotmail发出的邮件同时支持PRA和SPF,但对发给Hotmail的邮件,则只支持PRA。[9]

 

不过,互联网商业巨头的明争暗斗,并不会阻止SenderID最终称为互联网标准。IETF将会使这两种验证算法同时都成为标准。

 

我国信息产业主管部门和行业协会,为了防止国内的邮件服务器被垃圾邮件发送者利用,曾经统一组织国内邮件服务器关闭开放转发(open-relay)和开放代理(open-proxy)功能,成效显著,据说,一次行动曾关闭4036台,最后只剩下18台没有关闭。在推行技术标准和行业规范方面,我们的体制更有优势。如果主管部门能把精力转移到跟踪互联网最新标准和推广这些标准方面,我国的反垃圾邮件事业可能取得更大的成效。但可惜的是,在信息产业部2004年3月发布的《互联网广告电子邮件格式要求》(YD/T1310-2004)、《防范互联网垃圾电子邮件技术要求》(YD/T1311-2004)这两个技术标准中,似乎都没有这方面的内容。

 

我国电子邮件服务者在这方面的动作似乎也不甚积极。在http://spftools.infinitepenguins.net/register.php查阅的结果,在国内几大电子邮件服务商中,现在只有TOM.com和网易旗下的163.com和126.com发布了自己的SPF记录,其他如SINA、SOHU、263等,现在还没有发布他们的SPF记录[10],这意味着,它们现在与AOL之间的通信可能会出现问题,如果在10月1日之后不发布符合SenderID标准的反向MX记录,和Hotmail之间的通信也可能出现问题。据不完全统计,到9月23日,采用SPF的域名已达到116104个,其中com域名40372个,紧随其后的是LU,26596个,和CH,19519个,分别属于两个欧洲小国卢森堡和瑞士。而在前50名中,还没有代表中国的CN域名的影子。[11]

 

三、行动起来,不要等到关闭端口25的那一天

 

SPAM这个猪肉罐头的商标命名垃圾邮件始于10年前。1994年4月12日,美国亚利桑那州的一位移民事务律师Laurence Canter,写了一个很小的计算机程序,散发了数千封电子邮件为自己的移民业务做广告,Canter的广告很成功,为他带来了数千美元的业务,但也激怒了当时的互联网网民,从此也定下了用SPAM贬称垃圾邮件的惯例。

 

根据Brightmail的统计,2001年的时候,垃圾邮件只占美国全部邮件总量的8%,2002年,这个数字上升到36%,[12]到2003年7月,网上传输的邮件中垃圾邮件占到50%,到2004年7月,垃圾邮件已占总邮件数的65%[13],也就是垃圾邮件是正常邮件的两倍。在各种技术的、法律的、国际合作的措施不断出台的时候,垃圾邮件的数量仍然在世界范围内稳定增长。

 

2004年9月3日,中国互联网协会公布了两年来的第3次垃圾邮件调查报告,调查表明,2004年8月,在客户收到的全部邮件中,垃圾邮件的比例已达到65.7%。而在今年1月份发布的调查中,这个比例是58%。而这些只是用户收到客户端的比例。实际上50-80%的垃圾邮件已经在服务器端被过滤了。[14]如果算上那些被过滤的垃圾邮件,网上传输的垃圾邮件实在是一个惊人的数字。

 

倘若垃圾邮件比例按照每个月一个百分点稳定上涨——这正是中国目前的现状——大概到2007年年中,垃圾邮件的比例将占到99%。

 

我们想像一下,如果用户收到的100封邮件中,99份是垃圾,那他还会继续使用电子邮件吗?

 

或许,到那时候,为了保证人们还对使用电子邮件有信心,只让少数经过许可和认证的邮件服务器为大家发送邮件可能成为唯一的选择。未经许可的计算机,无论在哪个国家、接入什么网络,一律封锁其25端口。端口25是SMTP(简单邮件传输协议)服务的标准端口,如果封锁了一个网络中所有计算机的25端口,这些计算机将不能向外发送邮件。

 

这是最后的办法,也可能是最有效的办法。

 

可以想像,到那个时候,免费邮件服务将大大减少;因为奇货可居,提供邮件服务将成为非常赚钱的互联网服务业。

 

当然,只有一个国家采取这样严厉的措施是无济于事的。互联网是没有国界的,要封锁一个国家的25端口,其他国家和地区的联网计算机的25端口也应该封锁,除非得到许可和认证。或许到那时候,我们应该让国际电联(ITU)负责处理全球范围内的使用端口25的申请。

 

当然,那些承诺提供一定数量的免费邮件服务的公司应首先得到准许。不过,到那时候,就不要指望什么免费1G大邮箱了,那些是用来赚钱的。一个10M的无垃圾邮箱,比一个1000M,但999M都将被垃圾占用的邮箱,是不是更吸引人一些?

 

就像一场梦,我们又回到了起点。10M的邮箱,很小,但没有垃圾。就像一些地方,在疯狂的发展之后环境污染,垃圾遍地,污水横流,人们又重新怀念青山绿水少人烟的田园时代一样。

 

治理垃圾邮件就像治理环境污染一样,需要采取技术的、法律的、教育的、国际合作的种种综合措施,而且,这些措施之间还必须互相配套。如果垃圾邮件的比例不能得到有效的遏制,也许有一天,我门就不得不在放弃电子邮件和在全球封锁端口25之间做一个选择。

 

希望那一天永远不要到来。



[1]

http://www.itu.int/osg/spu/spam/law.html

[2]

http://www.spamhaus.org/

[3]

http://europa.eu.int/eur-lex/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf

[4]

http://www.spamhaus.org/news.lasso?article=154

[5]

http://www.itu.int/osg/spu/spam/presentations/FU_Session%208.pdf

[6]

http://www.spam.com.cn/ppt/yxy.ppt

[7]

http://www.spam.com.cn/ppt/yk.ppt

[8]

http://www.cnnic.net.cn/html/Dir/2004/07/20/2397.htm

[9]

http://www.cbronline.com/article_feature.asp?guid=B1721863-ECB3-4644-A270-A978BAA179EA

[10]

http://spftools.infinitepenguins.net/register.php

[11]

http://spftools.infinitepenguins.net/register.php

[12]

http://www.michaelgeist.ca/geistspam.pdf

[13] http://www.brightmail.com/spamstats.htmlBrightmail现在已经被Symantec公司收购,这个网页现在在Google的缓存(cache)里还能访问到。

[14] http://it.sohu.com/20040903/n221872028.shtml

2005年04月13日

据说,去年王小云在公布破解MD5之前,曾和丈夫开玩笑说,恐怕以后她的名字在google会上升。果然如此,现在在google搜索“王小云”,排在前面的都是这位山东大学的奇女子。

去年MD5破解之后,中国金融认证中心(CFCA)曾发布公告说,CFCA提供安全认证不受该缺陷影响

CFCA在建立之初,已经对MD5以及其他算法进行了安全性评估。因此,在CFCA提供的应用产品和服务中,并没有采用MD5等不安全的算法,而是采用了安全的SHA-1算法,用户可以放心的使用;CFCA提供的安全应用工具包默认使用的哈希算法也是SHA-1算法,考虑到工具包对其他应用的互操作性要求,工具包也提供了MD5算法,如果用户在使用工具包进行开发时,不使用默认的算法而采用了MD5算法,请立即修改自己的程序,采用默认的SHA-1算法,以避免MD5的缺陷产生的影响。

今年,《电子签名法》实施前夕,王小云等又破解了SHA-1算法,这次,CFCA再没发什么公告。

在我看来,电子签名建立在一种第三方信任机制上,这种信任首先是对CA的信任,但是对CA的信任最终落在对CA所采用的技术的信任上,一旦这个平台轰然倒塌,或者摇摇欲坠,那么这种第三方信任也就摇摇欲坠了。

不可否认,政府试图通过制定《电子签名法》推动电子商务有点急功近利和讨巧的味道,希望使人们借助对技术的第三方信任代替交易者之间的互相信任,克服对电子交易安全性的恐惧。在《电子签名法》正式实施的前夕,王小云和她的团队却跟这个想法开了个玩笑。

实际上,不管是Ebay-易趣,还是淘宝、一拍,现在实际做的,无非还是在促进交易者自己通过努力积累信用记录。这是最土的办法,其实也是最有效的办法。电子签名,其实在这个领域基本起不了什么作用。

关于王小云,山东大学的官方网站上收集了很多报道。另外,王小云工作的地方山东大学信息安全实验室网站上也有一些技术资料,包括他们发表的论文,可以参看。

2004年06月13日

赵晓力

一、美国反垃圾邮件法已告失败

二、反垃圾邮件的实质是维护通信自由

三、服务器端的反垃圾邮件技术措施要事前取得用户同意和谅解

一、美国反垃圾邮件法已告失败

  4月23-24日,在中国互联网协会主办的2004中国反垃圾邮件高峰论坛上,信息产业部电信管理局官员透露,他们正在起草一个”电子邮件服务管理办法”,反垃圾邮件内容将写进这个管理办法。1

  信息产业部的官员还透露,在定义垃圾邮件的时候,这个”管理办法”将采用”国际惯例”,规定只要给接受者提供”退出选择”(opt-out)的 邮件列表(maillist)就不视为垃圾邮件。”退出选择”的反面是”加入选择”(opt-in),即只有用户同意接受的邮件列表才不是垃圾邮件。

  实际上,这个”国际惯例”只不过是美国2003年《反垃圾邮件法》(CAN-SPAM)的作法。该法2004年1月1日起生效,但生效几个月来 的效果完全令人失望。网上传播垃圾邮件的数量并不受该法的影响有所下降,反而一如既往地稳定增长。根据从事垃圾邮件过滤业务的Brightmail公司的 统计,2003年10月、11月、12月,垃圾邮件占全部邮件的比例分别是52%、56%、58%,2004年1月、2月、3月、4月,这个比例分别上升 到60%、62%、63%、64%,2实在看不出这个1月1日起生效的法律对垃圾邮件的数量有什么影响。另有些统计说,美国垃圾邮件的数量在2004年2 -3月有所下降,但4月份又反弹到创纪录的82%!3这一切都说明,美国《反垃圾邮件法》已告失败。

  美国《反垃圾邮件法》的失败并不是偶然的。原因在于,这个法律由于受网络营销利益集团的游说,其实并不是一部”反垃圾邮件法”,最多是一部”规范广告邮件法”,甚至有人认为它是一部”网络营销促进法”。

  最关键的问题就是,该法采取的垃圾邮件定义完全错误。”给接受者提供退出选择的邮件列表不是垃圾邮件”,这意味着,我可以一直给你发垃圾邮件, 除非你按照我的指示申明退出我的邮件列表。这在垃圾邮件只占全部邮件数量3%的时候也许是可行的,即处理100份邮件,发3份邮件申明退出,并不构成用户 太大的负担;但在垃圾邮件已经占到全部邮件的60%的时候,要求用户化60%的时间精力去申明退出,实际上是要求电子邮件用户把大部分处理精力化在处理垃 圾邮件上──看垃圾、翻垃圾、找垃圾、退垃圾──否则还得源源不断地接受垃圾,4这样的立法即使是美国的,也是荒谬的;即使是”国际惯例”,也是荒谬的国 际惯例。

  通过电子邮件发商业广告并没有什么错,只要接受方同意,发多少法律也无权干。但美国反垃圾邮件法却并不要求接收方同意,这就构成了一种强迫通 信,强迫邮件接受者花费自己的带宽、存储空间和时间精力处理垃圾邮件,而垃圾邮件的发送者和他们的客户,则通过这种强迫通信获得利益。

  二、反垃圾邮件的实质是维护通信自由

  由此可见,垃圾邮件的实质是强迫通信,反垃圾邮件,就是反对强迫通信,维护通信自由。美国宪法中并没有专门的通信自由的条款,通信自由一般被视 为言论自由的一种。但1948年《世界人权宣言》第12条和1966年《公民权利和政治权利国际公约》第16条都明确规定了通信自由不受任意和非法干涉。 我国1982年《宪法》第40条对公民的通信自由和通信秘密做出了比国际公约详细得多的规定:”中华人民共和国公民的通信自由和通信秘密受法律的保护。除 因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通 信秘密。”

  通信包括发送和接收,通信自由包括发送通信和接收通信的自由。没有取得他人同意滥发垃圾邮件,在我国属于滥用发信自由而侵犯他人的收信自由, 我国《宪法》第五十一条规定:”中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”换句话 说,行使自己的发信自由不得损害他人的收信自由。倘若我国的” 电子邮件服务管理办法”采用美国式的”退出选择”(opt-out)机制,在我国的垃圾邮件比例已经超过60%的今天,无疑是以多数邮件用户的收信自由为 代价,维护少数垃圾邮件发送者的发信自由。这样的部门规章,将脱不了违宪的质疑。

  在我国,通信自由和通信秘密是一项基本人权,受宪法保护。在广告邮件问题上,只有取得用户同意的发送行为才是合法的,比如,有的服务商以用户接收一定数量的广告邮件为取得免费信箱的条件,如果用户同意,这样的广告邮件并不属于垃圾邮件。

  在我国,垃圾邮件的定义只可能是:未经接受者同意的大宗邮件。之所以强调大宗,因为一般两个陌生人之间的第一封通信也是未经接收者同意的,或许 也会被接受者视为”垃圾”,但如果把这种人与人之间正常交往的邮件也视为垃圾邮件,则会正常交往设置过高的障碍,从而妨碍通信自由。只有那些大宗的、甚至 是重复发送、绝大多数是商业广告但不限于商业广告的邮件,才构成对通信自由的妨碍。反垃圾邮件立法应该以我国宪法明确宣示的通信自由为出发点和依归。

  三、服务器端的反垃圾邮件技术措施要事前取得用户同意和谅解

  反垃圾邮件的技术手段大致分为两类:一类是黑名单、白名单,一类是过滤,过滤又分为行为过滤和内容过滤。用户在客户端采用这些技术手段当然不涉 及任何法律问题,但服务邮件服务提供者或系统管理员要在服务器端使用这些技术手段,则须考虑相关法律。白名单和行为过滤一般不引起通信自由问题,但黑名单 和内容过滤则有可能引起通信自由和通信秘密问题。

所谓黑名单,一般是指一些互联网上的志愿组织和个人提供的有发送垃圾邮件记录的IP地址的数据库,著名的有SPAMHAUS (http://www.spamhaus.org)、MAPS(http://mail-abuse.org/)提供的实时黑名单;邮件服务提供者或系 统管理员在配置邮件服务(MTA)的时候可以引用,这样那些上了黑名单的IP地址或IP地址段就无法和这个邮件服务的用户通信。黑名单是非常有效的防范和 惩罚垃圾邮件的做法。但许多采用黑名单的邮件服务提供者或者系统管理员并不习惯事前告知用户,取得用户的同意,这样就有可能无意中侵犯用户的通信自由。通 信自由权利属于用户,如果讲清楚,大部分用户将会同意系统管理员使用那些享有盛誉的黑名单。这样对于邮件服务提供者,也免除了日后被追讼的危险。

  垃圾邮件的发送者总有一些不同于平常邮件发送的行为。人们发明了一些聪明的办法过滤这些行为,比如在网页上放一个白底白字的邮件地址,这样的地 址人眼是看不到的,但垃圾邮件发送者的程序则可以收集到。如果有人向这个地址发信,那就可以确定是垃圾邮件。这样的过滤方式就是行为过滤。还有普遍使用的 内容过滤,就是对邮件的标题和信体中包含的特定字符进行贝叶斯分析。系统管理员经常担心的是,内容过滤容易出现误判,因为正常的邮件很可能也包括一些垃圾 邮件常用的词汇和字符。但是,还有一个法律上的问题是经常被忽视的,那就是,内容过滤也应事先得到邮件用户的同意。尤其在我国,《宪法》40条非常清楚地 规定了,除公安机关或者检察机关因为国家安全或者追查刑事犯罪的需要,可以依照法律规定的程序对通信进行检查,无须用户的同意外,其他任何人检查通信的行 为如果要免于违法,都必须事前取得用户的同意和谅解。

  

  

1《国际金融报》,2004年4月27日,http://tech.china.com/zh_cn/news/net/156/20040427/11674586.html

2 http://www.brightmail.com/spamstats.html,这是brightmail它们过滤的邮件总数中得到的数字,2004年4月,brightmail共过滤了960亿封邮件。

3 http://www.internetnews.com/stats/article.php/3349921。 这是一家纽约的一家安全公司MessageLabs的统计结果。据他们的统计,2003年中全球垃圾邮件的比例是50%,2004年1月达到63%,2 月、3月分别下降到59%和52.8%,但4月份又反弹到67.6%。这是全球数字。美国4月份则反弹到82%。MessageLabs, Inc

4 2004年3月,中国互联网协会反垃圾邮件协调小组委托上海艾瑞市场咨询公司进行了全国反垃圾邮件市场调查,在用户端,我国邮件用户现在平均每人每周发送 电子邮件9.8封,收到正常电子邮件12.6封,收到垃圾电子邮件19.3封。收到垃圾邮件量占收到总邮件的60.5%。比2003年底第一次调查时的 26.27%上涨了34.23个百分点。http://it.sohu.com/2004/04/23/46/article219934609.shtml