ZDNet China 3月24日专稿 (记者：StefanieOlsen)：尽管一些大企业在指控垃圾虫恶行的文件内曾描绘了整个行业携手打响反垃圾邮件战役的美好前景，但是目前看来，这些企业还没有联手发展技术标准的迹象，而技术标准在抵制垃圾邮件中的良好效果却有目共睹的。

　　美国在线、Earthlink、微软和雅虎本月初有一项重大举措：率先联名对垃圾虫进行

国产手机专利战 不见不散约会新主张 小户型主阵容揭晓 多媒体互动学英语

指控。指控数百个未知的被告发送使用了假电子邮件地址信息，违反了新近颁布的美国“控制主动提供的色情和行销邮件骚扰法”(CAN-SPAM)。

　　然而在这一幕的背后，还是这些企业，苦苦寻觅在抵制垃圾邮件技术标准上的认同感。四家企业里面有三家很明显地持各自为政的态度，建议用自己的解决方案来遏制欺诈电子邮件地址的问题，诚然这是反垃圾邮件阵营中最令人沮丧的问题。

　　在形成了以抵制垃圾邮件为宗旨的组织一年以后，这四家企业才携手对垃圾虫进行指控。这不仅让一些反垃圾邮件专家置疑：在关键的技术标准问题上，企业间是否已经达成了某种共识。

　　ePrivacyGroup的执行官RayEverett-Church说，“现在的问题是：去年4月的联邦行业委员会举行的反垃圾邮件论坛上的企业承诺现在兑现的如何了？”

　　垃圾邮件让用户头痛，也是企业的噩梦：垃圾邮件的袭击让美国企业在安全防范强化、人力投入以及生产效率降低上的总耗费约估为10亿美元。不同的企业都认为垃圾邮件占到总邮件一半以上、甚至高达90%的比例。

　　最近，互联网工程工作组(Internet EngineeringTaskForce，简称IETF)同意组建工作组专门负责基于主域名系统的电子邮件身份认证方案，这是迈向反垃圾邮件技术标准广泛合作的一个重大举措。

　　然而，反垃圾邮件的先驱们认为，令他们惊讶的是，至今为止，整个行业还没有显示出携手推进反垃圾邮件技术标准的迹象。

　　静观美国在线、雅虎、微软和EarthLink率先建立反垃圾邮件技术联盟(Anti-SpamTechnicalAlliance)以来的这几个月，至少还没有公开宣布取得什么成果。尽管技术阵线上没有什么联手举措，但是，联盟旗下的各企业却是忙得热火朝天。

　　雅虎再三讨论是否要支持称为Domainkeys系统的解决方案，来核实邮件发送者身份。美国在线最近开始测试基于主域名的SenderPermittedFrom系统，并且重新命名Sender Policy Framework(SPF)。微软也在开发认证邮件来源的Caller IDfor E-mail系统。

　　此外，其他公布的反垃圾邮件技术还包括Trusted E-mailOpenStandard。然而，迄今为止，企业发展的反垃圾邮件技术还没有被广泛应用，这个责任要部分归咎于企业各自为政发展自己的反垃圾邮件技术方案。

　　为大约3千万人提供邮件服务的Outblaze公司的首席技术执行官SureshRamasubramanian说，“我们不久就会看到一个折中的方案，这个方案将由DomainKeys和SPF等系统中有效的技术手段构成。”

　　联盟企业一方面宣称将肩负起寻觅通用解决方案的重任，另方面也承认目前进展缓慢，反垃圾邮件的复杂性是其中一个原因，另外还包括没有对企业相互竞比的技术方案的有效性进行深入调查。

　　微软发言人SeanSundwall说，反垃圾联盟在研发各种技术解决方案阻止垃圾邮件泛滥，几乎每周都召开会议讨论合作计划。他说，“围绕如何解决垃圾邮件的问题，我们紧密合作提出了技术发展的路线图。”

　　美国在线代表介绍，联盟在寻找一个通用的技术手段。他说，大部分成员同意相互测试各家提议的解决方案，但是，联盟还在判定哪些方案能够有效抵制垃圾邮件、哪些方案没有效果。“在反垃圾邮件上企业间进行了很多合作尝试，希望不久可以公之与众。”

　　前行需要不断磨合

　　尽管联盟的会员企业说他们朝着一个方向努力，但是，企业的合作中确实还需要一段时间来消化彼此相互竞比的技术方案。

　　身份认证是治理垃圾邮件策略面临的最关键问题之一，这是因为目前简易邮件传输协议(Simple MailTransferProtocol)的邮件标准中存在让垃圾虫轻易伪造回信地址的漏洞。

　　一直以来，垃圾虫们是采取“phishing”(网页仿冒)的策略欺骗人们将银行和信用卡帐户信息提交给黑客。

　　帮助设计SPF系统的电子邮件服务企业Pobox.com的创立人、首席技术执行官MengWong说，“因为垃圾虫隐藏在假地址后面，要想核查追踪简直就是雾里看花。”

　　目前为止，至少有4个治理垃圾邮件的解决方案被提出，但是，雅虎、美国在线、微软力捧的提议却各不相同。

　　其中，美国在线和Google目前已经执行的SPF系统风头最劲，因特网工程工作组也在考虑选择SPF。采用SPF可以改变主域名系统的数据库，便于邮件服务器公布发邮件的IP地址。

　　在接收邮件的时候，ISP(互联网服务提供商)就立即可以核实邮件来源是否和显示地址一致。例如，邮件接收人可以看到美国在线的SPF记录，确保显示来自bob@aol.com等美国在线服务器的邮件的实际发送地址与显示地址保持一致。邮件接收人可以通过SPF记录再确认与美国在线的IP地址相关的主域名系统数据。

　　雅虎支持的Domainkeys身份认证系统也获得了反垃圾邮件圈的关注。这个系统可以鉴定写邮件的人或者邮件标题，通过对每封发送给接收者的邮件附上加密“钥匙”或者作上标签。一个钥匙被公开数据库所持有，而另外一个钥匙是与邮件信息相关的私钥。一旦邮件信息被发送出来，提供接收邮件服务的网络供应商将把与邮件信息相关的私钥与公开数据库上持有的公钥进行配对，核实发送人的真实身份。如果公钥不能证实邮件署名的真实性，那么接收到的信息将轻松被视为是垃圾邮件。

　　微软则倾向于使用自己的Caller IDforE-mail解决方案。与SPF类似，微软的解决方案通过使用主域名系统来鉴定电子邮件，但是，这个方案针对写邮件的人或者邮件标题，而不是邮件发送人或者信件内的回信路径。微软的Sundwall说CallerID的方法很好地解决了核实转寄信息发送人的身份问题，这是公认的让SPF为难的问题。(SPF有一个附加技术软件来解决信息转寄问题)

　　Sundwall说，微软相信从长远来看，加密方法将在反垃圾邮件的解决方案中发挥不小的作用，但是对雅虎支持的具备加密功能的Domainkeys系统不置可否。

　　积极向标准化迈进

　　互联网工程工作组将考虑互联网研究任务组(Internet Research TaskForce，简称IRTF)旗下的反垃圾邮件研究组织(Anti-SpamResearchGroup，简称ASRG)研发的相关技术。提议的技术方案包括美国在线的Sender PolicyMailExchange(RMX)、Designated RelaysInquiryProtocol(DRIP)、MTAMark和Flexible Sender Validation(FSV)。

　　参加互联网工程工作组汉城会议、一家120人规模的企业表示，互联网工程工作组可能会提供除了微软CallerID方案等单个企业解决方案以外更广泛的技术支持。

　　开发邮件和反垃圾邮件的软件提供商MXLogic公司的首席技术执行官ScottChasin说，“互联网工程工作组在互联网技术的大众化中起到了深远的影响。”

　　Chasin强调无论是一项公开标准还是某个企业提议的专有解决方案会最终胜出，实际上，即使是最棒的身份认证方案也只是发挥了整个反垃圾邮件策略的部分作用。

　　Chasin说，“此外，还有技术、培训和法规等策略的部署，而整体策略的部署将对发送欺诈邮件的垃圾虫予以重击。”(翻译：菁瑾)