小芹编译
计世网消息 据电子邮件安全厂商CipherTrust公司进行的一项调查显示,尽管得到了微软公司的鼎力支持,识别电子邮件发件人身份的新技术却没有得到广泛普及,而且这种技术在遏止垃圾邮件泛滥方面几乎没有效果。
对5-7月份期间发送给CipherTrust公司客户的约200万封电子邮件进行的调查显示,只有约5%的电子邮件来自利用SPF或微软公司支持的Sender ID发布的有效发件人域名记录中域名。CipherTrust公司的技术总监鲍罗说,即使在这5%的电子邮件中,垃圾邮件也略微超过了合法的电子邮件。
Sender ID技术修正了现有电子邮件收发系统中使包括垃圾邮件发送者在内的发件人能够使用虚假发件人地址的漏洞。许多组织都在DNS系统中发布了允许接收电子邮件的电子邮件服务器清单(SPF记录),这些记录将用来验证发送给使用Sender ID的其它域名的电子邮件发件人的身份。
自Pobox.com的Meng WengWong发布该标准后,数以万计的互联网域名已经发布了SPF记录。5月份,微软公司和Meng达成了合并SPF、Caller ID,形成新的Sender ID标准的协议,微软公司于6月份将该标准提交给了互联网工程工作小组。
随着微软公司获得了电子邮件服务提供商、互联网接入服务提供商和电子邮件软件厂商的支持,Sender ID正在迅速成为事实上的电子邮件认证标准。
鲍罗表示,这一调查结果使我们对Sender ID或SPF是否能够遏止垃圾邮件产生了怀疑。他说,认为垃圾邮件无法通过SPF检查的想法是错误的,因为垃圾邮件发送者也发布了SPF记录。事实上,通过SPF检查的垃圾邮件是没有通过SPF检查的垃圾邮件的3倍,没有通过SPF检查并不意味着电子邮件就一定是垃圾邮件。
鲍罗指出,现在的问题是垃圾邮件发送者采用该技术的速度要快于合法的电子邮件发件人。他说,在报告电子邮件的来源方面,垃圾邮件发送者做的比合法企业更好。CipherTrust公司的调查显示,在通过SPF检查的电子邮件中,垃圾邮件比合法电子邮件多出了34%。
鲍罗表示,绝大部分的电子邮件都来自没有部署SPF技术的域名,约有95%的电子邮件没有携带任何有关发件人域名的信息。在3%或5%的采用了SPF技术的电子邮件中,SPF地址匹配并不能表明该电子邮件是否是垃圾邮件。
普及性是关键问题。只有31%的“财富1000”企业发布了SPF或Sender ID记录,只有6%的CipherTrust公司客户发布了SPF记录。
但Meng表示,遏止垃圾邮件从来都不是SPF或Sender ID的本意,该技术只是修正垃圾邮件发送者所利用缺陷━━源地址欺骗的一种方法。他说,垃圾邮件发送者发布SPF记录就是一个很好的例子。他说,过去,我们假定所有电子邮件都是好的,只需要过滤坏的电子邮件。未来,我们需要将所有电子邮件都认为是坏的,需要从中挑选出好的电子邮件。
Meng指出,SPF从来都不是遏止垃圾邮件的灵丹妙药,SPF和反垃圾邮件技术存在着天壤之别。他说,修复电子邮件系统我们需要采取12种措施,而这只是其中的一种。只有当完成这12项措施时,我们才能够打赢反垃圾邮件这场战争。
Meng承认,说服企业采用Sender ID标准还存在很大的挑战,但他说,微软公司的支持将刺激该标准的普及速度。(小芹编译)
版权所有 新浪网