徐 銳

本溪廣播電視大學(xué)（本溪117000）

最初，垃圾郵件主要是一些不請(qǐng)自來(lái)的商業(yè)宣傳電子郵件，而現(xiàn)在更多的有關(guān)色情、政治的垃圾郵件不斷增加，甚至達(dá)到了總垃圾郵件量的40%左右，并且仍然有持續(xù)增長(zhǎng)的趨勢(shì)。另一方面，垃圾郵件成了計(jì)算機(jī)病毒新的、快速的傳播途徑。

而且目前世界上50%的郵件都是垃圾郵件，只有少數(shù)組織承擔(dān)責(zé)任。長(zhǎng)期以來(lái)，人們不斷探索著垃圾郵件的解決之道，無(wú)論哪種方式方法，要想從根本上解除垃圾郵件的泛濫，還是需要一套能夠有效防范垃圾郵件的安全技術(shù)。

1 垃圾郵件無(wú)法避免的技術(shù)原因

當(dāng)前郵件傳輸?shù)闹饕獏f(xié)議是 SMTP協(xié)議，SMTP在設(shè)計(jì)的時(shí)候并沒(méi)有考慮到安全問(wèn)題。發(fā)送者使用SMTP協(xié)議將郵件發(fā)送給SMTP服務(wù)器，由它根據(jù)郵件的目的地址，使用 SMTP協(xié)議將郵件發(fā)送至目標(biāo) SMTP服務(wù)器，該服務(wù)器收到郵件后放入接收人的郵箱，最后由郵件的接收者使用POP3或者IMAP協(xié)議從郵箱服務(wù)器上接收自己的郵件。在郵件傳輸?shù)倪^(guò)程中，發(fā)送者與發(fā)送服務(wù)器、發(fā)送服務(wù)器和接收服務(wù)器之間都未做認(rèn)證，因此發(fā)送方可以使用互聯(lián)網(wǎng)上任意一臺(tái) SMTP服務(wù)器來(lái)發(fā)送他的郵件，這就是所謂的OpenRelay。

隨著垃圾郵件的泛濫，大部分的郵件服務(wù)器都關(guān)閉了Open Relay，在發(fā)送方和發(fā)送服務(wù)器之間進(jìn)行認(rèn)證，從而保證只有合法用戶才能使用這臺(tái)服務(wù)器發(fā)送郵件，這就是增強(qiáng)的ESMTP協(xié)議。然而這個(gè)方法無(wú)法解決在發(fā)送服務(wù)器和接收服務(wù)器之間的合法認(rèn)證，垃圾郵件仍然無(wú)法避免。

2 DKIM技術(shù)介紹

DKIM（DomainKeys Identified Mail）技術(shù)基于雅虎的 DomainKeys驗(yàn)證技術(shù)和思科的Internet Identified Mail。

雅虎的DomainKeys利用公共密鑰密碼術(shù)驗(yàn)證電子郵件發(fā)件人。發(fā)送系統(tǒng)生成一個(gè)簽名并把簽名插入電子郵件標(biāo)題，而接收系統(tǒng)利用 DNS發(fā)布的一個(gè)公共密鑰驗(yàn)證這個(gè)簽名。思科的驗(yàn)證技術(shù)也利用密碼術(shù)，但它把簽名和電子郵件消息本身關(guān)聯(lián)。發(fā)送服務(wù)器為電子郵件消息簽名并把簽名和用于生成簽名的公共密鑰插入一個(gè)新標(biāo)題。而接收系統(tǒng)驗(yàn)證這個(gè)用于為電子郵件消息簽名的公共密鑰是授權(quán)給這個(gè)發(fā)件地址使用的。

DKIM將把這兩個(gè)驗(yàn)證系統(tǒng)整合起來(lái)。它將以和DomainKeys相同的方式用DNS發(fā)布的公共密鑰驗(yàn)證簽名，它也將利用思科的標(biāo)題簽名技術(shù)確保一致性。

DKIM 給郵件提供一種機(jī)制來(lái)同時(shí)驗(yàn)證每個(gè)域郵件發(fā)送者和消息的完整性。一旦域能被驗(yàn)證，就用來(lái)同郵件中的發(fā)送者地址作比較檢測(cè)偽造。如果是偽造，那么可能是spam或者是欺騙郵件，就可以被丟棄。如果不是偽造的，并且域是已知的，可為其建立起良好的聲譽(yù)，并綁定到反垃圾郵件策略系統(tǒng)中，也可以在服務(wù)提供商之間共享，甚至直接提供給用戶。

對(duì)于知名公司來(lái)說(shuō)，通常需要發(fā)送各種業(yè)務(wù)郵件給客戶、銀行等，這樣，郵件的確認(rèn)就顯得很重要?？梢员Ｗo(hù)避免受到phishing攻擊。

DomainKeys的實(shí)現(xiàn)過(guò)程如下。

(1)發(fā)送服務(wù)器經(jīng)過(guò)兩步，①建立，域所有者需要產(chǎn)生一對(duì)公/私鑰用于標(biāo)記所有發(fā)出的郵件（允許多對(duì)密鑰），公鑰在DNS中公開(kāi)，私鑰在使用DomainKey的郵件服務(wù)器上；②簽名，當(dāng)每個(gè)用戶發(fā)送郵件的時(shí)候，郵件系統(tǒng)自動(dòng)使用存儲(chǔ)的私鑰來(lái)產(chǎn)生簽名。簽名作為郵件頭的一部分，然后郵件被傳遞到接收服務(wù)器上。

(2)接收服務(wù)器通過(guò)三步來(lái)驗(yàn)證簽名郵件，①準(zhǔn)備，接收服務(wù)器從郵件頭提取出簽名和發(fā)送域（From:）然后從DNS獲得相應(yīng)的公鑰；②驗(yàn)證，接收服務(wù)器用從DNS獲得的公鑰來(lái)驗(yàn)證用私鑰產(chǎn)生的簽名。這保證郵件真實(shí)發(fā)送并且沒(méi)有被修改過(guò)；③傳遞，接收服務(wù)器使用本地策略來(lái)作出最后結(jié)果，如果域被驗(yàn)證了，而且其他的反垃圾郵件測(cè)試也沒(méi)有決定，那么郵件就被傳遞到用戶的收件箱中，否則，郵件可以被拋棄、隔離等。

3 總結(jié)

在反垃圾郵件技術(shù)中，DKIM技術(shù)只是啟發(fā)式檢測(cè)流程中的一項(xiàng)技術(shù)，DKIM給郵件提供一種機(jī)制來(lái)同時(shí)驗(yàn)證每個(gè)域郵件發(fā)送者和消息的完整性。一旦域能被驗(yàn)證，就用來(lái)同郵件中的發(fā)送者地址作比較檢測(cè)偽造。其實(shí)，現(xiàn)在很多反垃圾郵件方案所采用的都不會(huì)只是一種技術(shù)，而是多種多類(lèi)技術(shù)的綜合體。

垃圾郵件的危害現(xiàn)在已經(jīng)深入人心，反垃圾郵件也取得越來(lái)越多的成績(jī)，比如，Scott Richter向微軟賠款700萬(wàn)。不少國(guó)家也在為反垃圾郵件進(jìn)行立法，以便能夠得到法律上的支持。

但從技術(shù)上來(lái)說(shuō)，這跟反攻擊一樣，是一個(gè)正反雙方的博弈過(guò)程，一種新的反垃圾郵件技術(shù)必然會(huì)出現(xiàn)一種對(duì)應(yīng)得垃圾郵件技術(shù)，況且，任何一種技術(shù)，還沒(méi)有辦法去解決所有問(wèn)題，技術(shù)的發(fā)展也將延續(xù)下去。

[1]倪加勛,袁衛(wèi).應(yīng)用統(tǒng)計(jì)學(xué).北京:中國(guó)人民大學(xué)出版社,1993.

[2]郭泓.電子郵件過(guò)濾技術(shù)淺析.信息網(wǎng)絡(luò)安全,2002.

[3]王斌,潘文峰.基于內(nèi)容的垃圾郵件過(guò)濾技術(shù)綜述.中國(guó)科學(xué)院計(jì)算技術(shù)研究所碩士畢業(yè)論文,2004

[4]電子郵件系統(tǒng)概念.http://baike.baidu.com/view/2296101.htm

[5]反垃圾郵件網(wǎng)關(guān)的概念 .http://www.cdcy-mail.com/ljyjwg/2011083024.html