垃圾邮件之王现身中国
赵晓力
打开电脑,接受邮件,哗,我那个单位信箱立刻被垃圾邮件塞满。前天是24封,昨天25份,而正常的邮件两天来不过两封。自从在网上公布过一次这个邮件地址后,这个信箱就成为垃圾广告邮件的目标。如果是一个随便申请的免费信箱,我早就放弃不用了。但这是单位的官方信箱,有时侯它还起着证明身份的作用,不能随便放弃。
垃圾邮件的问题在中国到底有多严重?中国互联网信息中心(CNNIC)2004年1月份发布的调查报告说,用户平均每周收到电子邮件数13.7封,其中垃圾邮件7.9封,占58%1。2003年美国国会在阐述反垃圾邮件法的立法理由时写到,互联网上电子邮件流量中超过一半属于垃圾邮件,而2001年这个数字不过7%。2微软的Hotmail说,垃圾邮件占他们的邮件流量的70%,很多来自中国和日本。3按照著名反垃圾邮件网站SPAMHAUSE(http://www.spamhaus.org)的统计,2004年1月份,中国在十个垃圾邮件大国的排名已上升到第二位,仅次于美国,排在南韩、巴西、台湾、加拿大、阿根廷、俄国、意大利、英国等国家和地区之前。
中国互联网信息中心的数据是通过网下抽样调查得出的,反映的是用户被动接受垃圾邮件情况,SPAMHAUSE的统计的则是发送垃圾邮件的IP地址的情况。互联网上有许多反垃圾邮件的志愿者和公私机构接受举报,从中收集整理一些垃圾邮件源的黑名单(Realtime Blackhole List)。SPAMHAUSE的黑名单SBL(Spamhaus Block List)与众不同,它特别注意跟踪那些臭名昭著的"垃圾虫"的动向,SPAMHAUSE称其为"垃圾邮件团伙"。SPAMHAUSE相信,北美和欧洲用户接受到的90%的垃圾邮件,都可以直接间接追踪到最大的200个垃圾虫头上。如果一个人因为发垃圾邮件已经被接连三个ISP(互联网服务商)中止过服务,那么它就进入SPAMHAUSE的"已知垃圾邮件运营者名单"(ROKSO)中,这些垃圾虫控制下的IP地址,则自动进入SPAMHAUSE的垃圾邮件源黑名单,从这些IP地址发出的邮件,就会被采用SPAMHAUSE黑名单的邮件服务器视为垃圾邮件而加以阻挡。4SPAMHAUSE说,使用它的黑名单的包括一些世界级的骨干网,欧美的一些政府和军事网络,大的免费邮件服务商,各国ISP等等,到2003年11月,大约有两亿用户的信箱处在其保护之下。5
SPAMHAUSE的垃圾虫名单上的一些团伙,最近越来越多地把他们的离岸主机移到了中国。这是中国在垃圾邮件大国的名单上上升比较快的原因之一。比如SPAMHAUSE的垃圾虫名单中排名第一的"垃圾邮件之王",被称为"互联网上最招人恨的人"Alan Ralsky,近来已经开始在中国租用主机,建立他的离岸运营中心,以逃避针美国境内对他的法律和技术行动。6查阅SPAMHAUSE的记录,从2003年9月22日到2004年2月18日,Alan Ralsky在广东电信(chinanet-gd)控制过27个ip地址,从2003年7月3日到2004年2月15日,在重庆电信(chinanet-cq)控制过32个ip地址,现在,在SPAMHAUSE为垃圾虫提供服务的"十个最坏ISP" 中,广东电信、重庆电信已经分别名列第二和第五位。另外一个福建电信排名第九。7按照SPAMHAUSE的政策,如果广东电信、重庆电信和福建电信在不知情的情况下为这些垃圾虫提供了服务,还属于被动服务提供者,情有可原,如果它们明知客户是垃圾虫还提供服务,甚至为之提供"防弹"服务,那么他们自己也可能进入SPAMHAUSE的黑名单。
当然,这肯定不是Alan Ralsky控制的全部IP地址。据说,和其他垃圾虫或垃圾团伙比起来,Alan Ralsky是一个网络隐身的大师,最擅长的是用假身份申请ISP的服务。肯定有许多中国境内的IP地址是Alan Ralsky和其他垃圾虫控制的,还没有被发现而已。
这些商业垃圾虫的客户大都在他们本国,他们租用中国境内的服务器,当然还是为了向他们本国发送广告。中国成为"垃圾邮件大国",并不是中国的垃圾虫向世界发送了多少垃圾邮件,败坏中国名声的大部分还是这些美国窜来的垃圾虫。但这种离岸经营手法,却使得中国和其他一些意识薄弱、技术落后、法制不全的发展中国家背上了黑锅。当然,那些贪图小利的ISP也难辞其咎。
Alan Ralsky并不认为自己是垃圾虫,他说,他只是做在线营销广告(online marketing)的正当商人。那么,他的生意有多大呢?据说,他手头的邮件地址超过1亿5千万,每发100万个邮件,他的客户大约有500美元的利润,他收取售出物品总价款的40%作为佣金。Alan Ralsky自己承认,他最多曾经在一天之内发送过7千万份广告邮件。8
Alan Ralsky在美国曾经遇到过麻烦。2000年,Alan Ralsky未经许可向Verizon Online公司的用户发送了几百万封垃圾邮件,用户的报怨和投诉象潮水一样涌向Verizon,Verizon 随即把Alan Ralsky告上法庭。2002年,Alan Ralsky在向Verizon赔了一笔数目不详的款子并保证不再向Verizon Online的用户发垃圾邮件,也不利用后者的网络发垃圾邮件后,双方了结了案子。9
2003年12月,Alan Ralsky停止了自己在美国的业务。这一次也是因为法律上的原因。12月16日,美国总统布什签署了2003控制未经请求的色情和营销材料攻击的法案(Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003),简称CAN-SPAM Act of 2003。该法2004年1月1日起生效。
这个法律并没有禁止垃圾邮件,而是试图规范它。"未经请求的商业电子邮件" (unsolicited commercial e-mail messages)只要符合下列条件就是合法的:1,自我标识,比如主题行包含"ADV"字样,表明这是一封广告邮件,但该法没有规定统一的标识方法;2,邮件里包含了如何从发送者的名单里退出(opt-out)的指示,这意味着,发送者可以未经你的事前同意就给你发商业邮件,如果你不同意,你得自己向发送者申明,这不同于参加(opt-in)机制,即发送者没有你的事前同意就不能给你发商业邮件;3.邮件包含了发送者的物理地址。该法禁止使用欺骗性的主题行(诱骗人们去看邮件内容),禁止伪造邮件的头文件(header),以躲避追查,因为头文件里包含了邮件发送者的IP地址和邮件的路由信息。
Alan Ralsky仔细研究了这个法律。虽然这个法律没有像他所希望的把"商业广告邮件"完全合法化,但比起一些采取opt-in机制、完全禁止这类未经同意的大宗邮件,或者要求按照某种标准的样式标识邮件的州法律,比如加利福尼亚等州的州法,还是宽松地多。这个联邦法律通过后,那些比这个联邦法律苛刻的州法就被排除适用了。满足这个法律的要求并不是很难,Alan Ralsky决定从2004年1月起重新开展在美国的业务。
反垃圾邮件团体对这个法律非常失望。SPAMHAUSE是一个国际组织,现在把它的物理地址放在伦敦,因为英国从2003年12月11日起完全禁止了垃圾邮件。在SPAMHAUSE看来,所谓垃圾邮件只要符合两个特征就可以了:1,未经同意;2,大宗。仅仅是未经同意的邮件并不是垃圾邮件,比如一个以前从来没给你发过邮件的人发的第一封邮件,大概都没有经过你的同意,但这不是垃圾邮件;第二,仅仅是大宗邮件也不是大宗邮件,因为你订阅的邮件列表同时发送给许多订阅者,但它也并不属于垃圾邮件。所以,真正的反垃圾邮件法律应该采取参加(opt-in)机制,也就是说,只能给同意接受的人发送大宗邮件才是合法的。联邦控制垃圾邮件法反而允许发送未经同意的大宗邮件,只要它提供了如何退出的指示。对于塞满信箱的一封封广告,谁有耐心一个个发邮件去申明退出呢?以前人们总是被专家告诫不要回复垃圾邮件,因为回复只不过验证了你的信箱是存在的,除了坚定垃圾虫继续给你发垃圾邮件的信心外没有其他作用。实际上,联邦反垃圾邮件法只不过是一个促进电子邮件营销法,它只会改变垃圾邮件的内容,比如那些色情和虚假信息也许会减少,但合法的直销商人则会积极地利用这个机会,开拓邮件营销的新纪元。10
2004年1月,美国的联邦反垃圾邮件法生效了,网络上传输的垃圾邮件并没有减少的迹象。根据从事垃圾邮件过滤业务的Brightmail公司的统计,2003年10月、11月、12月,垃圾邮件占全部互联网上邮件的比例分别是52%、56%、58%,2004年1月,这个比例上升到60%,11看不出反垃圾邮件法律对减少垃圾邮件有什么明显的影响。
2004年1月16日,在麻省理工学院召开的2004年"垃圾邮件峰会"上(http://www.spamconference.org/),也反映出这种对法律解决垃圾邮件问题的深刻失望。参加这次会议的有美国四大ISP──微软的MSN、雅虎、美国在线和Earthlink(这四大巨头处理着美国的大部分email流量),过去两年间涌现的一大批垃圾邮件过滤软件的代表,学术界人士,以及互联网工程任务组(IETF),这个志愿者组织负责监督所有公开的互联网标准的通过,今年它派出的代表是开源软件运动大名鼎鼎的领导人Eric Raymond。12
一般用户使用的发送邮件的软件,比如微软的Outlook Express和自由软件Mozilla Mail,都有过滤垃圾邮件的功能,这实际上是对用户已经接受下来的邮件进行过滤,一般都可以按照发件人和主题设置过滤条件,好处是由接收者决定什么是垃圾邮件,是否删除,坏处是这要将所有邮件接收到本地进行,会耗费用户的带宽和精力,拨号用户都体会过浪费大量时间金钱接收垃圾邮件的气恼,一封封阻挡垃圾邮件的无奈。
服务器端的过滤软件,比如著名的Spamassassin(http://www.spamassassin.org/),是通过对邮件文本进行复杂的贝叶斯分析,对邮件中一些符合垃圾邮件特点的文本特征打分,超过某个标准分就判断为垃圾邮件,这些过滤软件再加上对邮件服务器端进行一些设置,就可以在服务器端对垃圾邮件进行标记、转发、存档甚至删除。这样做的好处是,由邮件服务器对付垃圾邮件,用户不必亲自动手,垃圾邮件在服务器端就被阻挡,不会再收到用户本地计算机的信箱中。但是,这对过滤软件的要求很高,就是误操作的可能性要小,因为用户一般宁愿接收10份垃圾邮件也不愿被服务器误删除一份正常的邮件。另外,道高一尺,魔高一丈,垃圾邮件的发送者经常会针对过滤软件的打分系统,在邮件里随机放一些无意义的词汇,用html语言排版为白底白字,这样用户不会看到,却可以干扰过滤邮件的打分系统。这时候用户或软件开发者就要对过滤软件进行升级,即把白底白字作为一个垃圾邮件的新特征。13然而,人们对过滤软件更大的疑虑是,既然过滤软件可以按照垃圾邮件的特征过滤用户的邮件,难保配置它的人不用它来监控过滤用户的邮件内容。一旦服务器端的过滤被滥用,这对用户的通信自由和通信秘密就会造成很大的威胁。
除了用户端和服务器端的过滤,更高级的对付垃圾邮件的技术还包括雅虎提出的Domain key和Eric Raymond介绍的Sender Policy Framwork(SPF)。 Domain key的原理是给每一个合法的邮件域(domain)颁发一个数字钥匙(key),这些公司或者邮件域可以用它对它们发出的邮件进行数字签名,带这种签名的邮件就不被视为垃圾邮件,这样反垃圾邮件措施就只针对那些没有Domain Key签名的邮件进行。比起个人签名方案来,Domain Key的好处是只需要在在服务器端部署就可以了,不需要每个人都搞一个数字签名。雅虎的方案据说2004年内就可以出台。不过,雅虎不打算把这个方案提交给IETF。14
按照互联网的公开原则办事的是SPF,SPF正在努力成为一个公开的、人人皆可用的互联网标准。一些参加垃圾邮件峰会的人颇认同这种作法。但SPF并不针对全部垃圾邮件问题,它要解决的是电子邮件的伪造域名问题。垃圾邮件往往伪装成是从一些大的ISP发出的,比如hotmail,aol等等。传统上,简单邮件传输协议(SMTP)在发送邮件的时候,并不检查客户的IP地址和邮件信封上所写的域名是否一致,SPF则要求站点在自己的域名记录中公布本域中负责发送电子邮件的服务器的IP地址,这样别的服务器在接收的时候就可以查对。比如,hotmail.com在自己的域名记录中公布了自己的SPF目录,包括 65.54.247.109, 216.33.241.106, 和207.68.163.86这三个IP地址,如果有人从80.34.201.194联接过来,又声称自己是一份从hotmail.com发来的邮件,那么就可以判断这是一封伪造域名的邮件,或者是垃圾虫发出的,或者是病毒制造的,对这样的邮件,收信服务器可以拒收。
和雅虎的Domain Key一样,SPF的思路实际上是一种白名单的思路。它倡议每个域的主人都把自己域中发送电子邮件的服务器的地址公开出来,这样那些伪造域名的垃圾邮件便根本不会被接收,既不会浪费用户的带宽,也不会ISP的带宽。剩下没有伪造域名的垃圾邮件则留待各种黑名单手段加以清除。152004年2月11日,SPF作为互联网草案发布了,这是成为正式的RFC标准的第一步。SPF的推广者Meng Weng Wong,则希望加快SPF成为正式标准的步伐,以便这个标准能在人们因为垃圾邮件和蠕虫邮件泛滥完全放弃使用email之前得到推广。16到2004年2月22日,已经有超过7500多个域发布他们的SPF,包括AOL.com, Altavista.com,GNU.org ,Oreilly.com, Oxford.ac.uk ,Perl.org ,SAP.com ,Symantec.com ,w3.org等一些知名站点。17
在国内,似乎垃圾邮件的发展已经到了国际水平,但反垃圾邮件的事业才刚刚起步。近期值得记录在案的有:
1.中国互联网协会:2003年8月,中国互联网协会公布了第一批垃圾邮件服务器IP地址名单225个,据说,这是反垃圾邮件协调小组从举报平台收到的约350万封来自国内外的投诉信中整理出来的,同时,"协调小组成员单位和业内广大从业者也向协调小组提供了大量的举报信息"。182004年2月18日,中国互联网协会反垃圾邮件协调小组发起了"关于加快’反垃圾邮件立法’进程的倡议",并公布了第三批垃圾邮件服务器IP地址名单。19
2.中国反垃圾联盟(CASA):这是个志愿者组织。2003年9月11日,CASA推出了国内第一个公开的实时邮件黑名单(RBL)服务。2011月11日,他们的黑名单中又增加了中国动态IP地址列表CDL(China Dynamic IP List),这是针对的是国内那些用ISDN,ADSL发送垃圾邮件的垃圾虫,ISDN和ADSL 一般使用动态IP地址,所以CASA判断使用动态IP地址的邮件服务器发送的邮件,都是垃圾邮件。
3.胡培明。到今天为止,我的信箱里已经连续几天收到过他发来的《为您代发电子邮件广告》:"我们拥有主机二十台,各类群发系统及设备,国内外电子邮箱1.78亿个。光纤通信,可日发送电子邮件广告500多万,愿为各地企业,个人架起商桥,为您代发电子邮件广告。 每代发20万电子邮件广告收费200元;100万封电子邮件收费800元;300万封电子邮件收费2200元。电话:010-64851148,email:pmhu@163.com 在线 QQ:183587698。"如果这一切都是真的,如果目前国内这种意识缺乏、技术落后、法制不全的状况不改变,我们完全可以预料,未来的垃圾邮件之王,肯定在中国。
1http://www.cnnic.cn/html/Dir/2004/02/03/2114.htm
2http://www.spamlaws.com/federal/108s877.html
3http://www.technologyreview.com/articles/print_version/wo_garfinkel020404.asp
4http://www.spamhaus.org/rokso/index.lasso
5http://www.spamhaus.org/sbl/sbl-faqs.lasso
6http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK1290
7httpp://www.spamhua.org
8国际先驱论坛报,2003年12月30日,http://www.iht.com/articles/123183.html
9http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK2000
10http://www.wired.com/news/politics/0,1283,61928,00.html
11http://www.brightmail.com/spamstats.html
12http://www.businessweek.com/technology/content/jan2004/tc20040113_3442_tc047.htm
13http://www.wired.com/news/infostructure/0,1377,61886,00.html
14http://www.technologyreview.com/articles/print_version/wo_garfinkel020404.asp
15http://spf.pobox.com/problem.html。比起雅虎的Domain Key 方案,这个方案更易用,因为它只是对现有的SMTP协议的一个补充。在域名记录添加一条SPF记录并不难,因为现有域名体系中已经存在MX记录,用来告诉整个互联网本域中哪个IP地址的机器接收邮件,SPF记录实际上是一个反MX记录,用来告诉整个互联网本域中哪个IP地址的机器发送邮件。这个方案也将得到四个主要的开放源码MTU的支持:Sendmail,Qmail,Postfix,Exim,http://spf.pobox.com/downloads.html
16http://www.eweek.com/article2/0,4149,1526251,00.asp
17http://spftools.infinitepenguins.net/register.php
18http://www.isc.org.cn/20020417/ca175035.htm
19http://www.isc.org.cn/20020417/ca225999.htm
20http://anti-spam.org.cn/news/03091101.html
