新反垃圾郵件技術獲支持 優于微軟Sender ID

垃圾郵件發送者、釣魚者、其他互聯網犯罪分子會被警告。

本周二，一家主要的互聯網標準機構初步批準了一項旨在發現和過濾虛假電子郵件的技術。這一技術名為DomainKeys Identified Mail，能使用戶過濾無窮無盡的欺詐性電子郵件。

雅虎、思科、Sendmail、PGP Corporation是DomainKeys的支持者，它們在一份聯合聲明中說，通過提供電子郵件認證和跟蹤能力，幫助認定電子郵件是否合法，DomainKeys能夠向企業提供更好的幫助。

與其它反垃圾郵件和反釣魚技術相比，互聯網工程工作小組采用的這一草案標準更有前途，使用了安全數字簽名來打擊網絡犯罪活動。工作原理很簡單：如果PayPal向客戶發送有關帳戶的電子郵件，其發送服務器會在合法電子郵件中悄悄地插入一個數字簽名。

我們假設接受用戶使用雅虎的電子郵箱，雅虎電子郵件服務器會自動地檢查PayPal互聯網域名清單 ，驗證數字簽名的有效性，以及這一電子郵件真的來自Paypal.com。系統也可以使用授權的第三方提供的簽名。

如果簽名不合格，這封電子郵件就可能是垃圾郵件，或者是釣魚式攻擊郵件。盡管DomainKeys標準沒有規定無效簽名的電子郵件應當被標志為垃圾郵件，互聯網服務提供商可能會這樣做。

所有這些措施代表著解決互聯網電子郵件一個與生俱來問題的“遲來的努力”：它誕生于一個更清白的時代，本身幾乎沒有什么安全措施。

與現有反垃圾郵件和反釣魚郵件技術相比，從長期來看，DomainKeys更有前途。但垃圾郵件發送者發明了越來越有創新性的反攻擊措施，例如在電子郵件文本中插入圖像化廣告，欺騙流行的反垃圾郵件方法。

DomainKeys代表著釣魚攻擊者和互聯網用戶之間軍備競賽中的一個重大轉變：它是一種無法被反擊的戰術核武器攻擊。數字簽名被認為是不可偽造的。

但DomainKeys方法面臨著一個嚴重的短期問題：只有當發送者和接收者的系統都支持這一標準的情況下，這一技術才有效。它還不會標志合法公司發送的垃圾郵件，或識別來自具有DomainKeys域名的垃圾郵件。但是雅虎認為，通過限制垃圾郵件發送者只能訪問有限的域名，發送域名會隨著時間推移獲得一個聲譽檔案。

DomainKeys其它支持者包括反垃圾郵件技術廠商和大量發送電子郵件的組織：AOL、EarthLink、IBM、VeriSign、IronPort Systems、Cox Communications、趨勢。

互聯網工程任務小組的初步批準使得DomainKeys成為官方推薦標準，它是達到這一發展階段的唯一類似技術，微軟Sender ID還沒有達到這一階段，DomainKeys在這方面擁有很明顯的優勢。

在本周二的一篇博客中，雅虎工程師馬克說，所有一切都取決于大規模普及。DomainKeys已經進入Standards Track狀態，在全球普及的障礙已經大大減少，但并沒有完全消除。

Sender ID在原理上與DomainKeys相似，但普及受到了影響，因為微軟不同意以與GPL兼容的方式許可其專利。雅虎已經同意開放大量與DomainKeys相關的專利。

【相關文章】

• 微軟也開源 開放Sender ID電子郵件認證技術