徐 銳

本溪廣播電視大學(xué)（本溪117000）

最初，垃圾郵件主要是一些不請自來的商業(yè)宣傳電子郵件，而現(xiàn)在更多的有關(guān)色情、政治的垃圾郵件不斷增加，甚至達(dá)到了總垃圾郵件量的40%左右，并且仍然有持續(xù)增長的趨勢。另一方面，垃圾郵件成了計算機(jī)病毒新的、快速的傳播途徑。

而且目前世界上50%的郵件都是垃圾郵件，只有少數(shù)組織承擔(dān)責(zé)任。長期以來，人們不斷探索著垃圾郵件的解決之道，無論哪種方式方法，要想從根本上解除垃圾郵件的泛濫，還是需要一套能夠有效防范垃圾郵件的安全技術(shù)。

1 垃圾郵件無法避免的技術(shù)原因

當(dāng)前郵件傳輸?shù)闹饕獏f(xié)議是 SMTP協(xié)議，SMTP在設(shè)計的時候并沒有考慮到安全問題。發(fā)送者使用SMTP協(xié)議將郵件發(fā)送給SMTP服務(wù)器，由它根據(jù)郵件的目的地址，使用 SMTP協(xié)議將郵件發(fā)送至目標(biāo) SMTP服務(wù)器，該服務(wù)器收到郵件后放入接收人的郵箱，最后由郵件的接收者使用POP3或者IMAP協(xié)議從郵箱服務(wù)器上接收自己的郵件。在郵件傳輸?shù)倪^程中，發(fā)送者與發(fā)送服務(wù)器、發(fā)送服務(wù)器和接收服務(wù)器之間都未做認(rèn)證，因此發(fā)送方可以使用互聯(lián)網(wǎng)上任意一臺 SMTP服務(wù)器來發(fā)送他的郵件，這就是所謂的OpenRelay。

隨著垃圾郵件的泛濫，大部分的郵件服務(wù)器都關(guān)閉了Open Relay，在發(fā)送方和發(fā)送服務(wù)器之間進(jìn)行認(rèn)證，從而保證只有合法用戶才能使用這臺服務(wù)器發(fā)送郵件，這就是增強(qiáng)的ESMTP協(xié)議。然而這個方法無法解決在發(fā)送服務(wù)器和接收服務(wù)器之間的合法認(rèn)證，垃圾郵件仍然無法避免。

2 DKIM技術(shù)介紹

DKIM（DomainKeys Identified Mail）技術(shù)基于雅虎的 DomainKeys驗證技術(shù)和思科的Internet Identified Mail。

雅虎的DomainKeys利用公共密鑰密碼術(shù)驗證電子郵件發(fā)件人。發(fā)送系統(tǒng)生成一個簽名并把簽名插入電子郵件標(biāo)題，而接收系統(tǒng)利用 DNS發(fā)布的一個公共密鑰驗證這個簽名。思科的驗證技術(shù)也利用密碼術(shù)，但它把簽名和電子郵件消息本身關(guān)聯(lián)。發(fā)送服務(wù)器為電子郵件消息簽名并把簽名和用于生成簽名的公共密鑰插入一個新標(biāo)題。而接收系統(tǒng)驗證這個用于為電子郵件消息簽名的公共密鑰是授權(quán)給這個發(fā)件地址使用的。

DKIM將把這兩個驗證系統(tǒng)整合起來。它將以和DomainKeys相同的方式用DNS發(fā)布的公共密鑰驗證簽名，它也將利用思科的標(biāo)題簽名技術(shù)確保一致性。

DKIM 給郵件提供一種機(jī)制來同時驗證每個域郵件發(fā)送者和消息的完整性。一旦域能被驗證，就用來同郵件中的發(fā)送者地址作比較檢測偽造。如果是偽造，那么可能是spam或者是欺騙郵件，就可以被丟棄。如果不是偽造的，并且域是已知的，可為其建立起良好的聲譽(yù)，并綁定到反垃圾郵件策略系統(tǒng)中，也可以在服務(wù)提供商之間共享，甚至直接提供給用戶。

對于知名公司來說，通常需要發(fā)送各種業(yè)務(wù)郵件給客戶、銀行等，這樣，郵件的確認(rèn)就顯得很重要?？梢员Ｗo(hù)避免受到phishing攻擊。

DomainKeys的實現(xiàn)過程如下。

(1)發(fā)送服務(wù)器經(jīng)過兩步，①建立，域所有者需要產(chǎn)生一對公/私鑰用于標(biāo)記所有發(fā)出的郵件（允許多對密鑰），公鑰在DNS中公開，私鑰在使用DomainKey的郵件服務(wù)器上；②簽名，當(dāng)每個用戶發(fā)送郵件的時候，郵件系統(tǒng)自動使用存儲的私鑰來產(chǎn)生簽名。簽名作為郵件頭的一部分，然后郵件被傳遞到接收服務(wù)器上。

(2)接收服務(wù)器通過三步來驗證簽名郵件，①準(zhǔn)備，接收服務(wù)器從郵件頭提取出簽名和發(fā)送域（From:）然后從DNS獲得相應(yīng)的公鑰；②驗證，接收服務(wù)器用從DNS獲得的公鑰來驗證用私鑰產(chǎn)生的簽名。這保證郵件真實發(fā)送并且沒有被修改過；③傳遞，接收服務(wù)器使用本地策略來作出最后結(jié)果，如果域被驗證了，而且其他的反垃圾郵件測試也沒有決定，那么郵件就被傳遞到用戶的收件箱中，否則，郵件可以被拋棄、隔離等。

3 總結(jié)

在反垃圾郵件技術(shù)中，DKIM技術(shù)只是啟發(fā)式檢測流程中的一項技術(shù)，DKIM給郵件提供一種機(jī)制來同時驗證每個域郵件發(fā)送者和消息的完整性。一旦域能被驗證，就用來同郵件中的發(fā)送者地址作比較檢測偽造。其實，現(xiàn)在很多反垃圾郵件方案所采用的都不會只是一種技術(shù)，而是多種多類技術(shù)的綜合體。

垃圾郵件的危害現(xiàn)在已經(jīng)深入人心，反垃圾郵件也取得越來越多的成績，比如，Scott Richter向微軟賠款700萬。不少國家也在為反垃圾郵件進(jìn)行立法，以便能夠得到法律上的支持。

但從技術(shù)上來說，這跟反攻擊一樣，是一個正反雙方的博弈過程，一種新的反垃圾郵件技術(shù)必然會出現(xiàn)一種對應(yīng)得垃圾郵件技術(shù)，況且，任何一種技術(shù)，還沒有辦法去解決所有問題，技術(shù)的發(fā)展也將延續(xù)下去。

[1]倪加勛,袁衛(wèi).應(yīng)用統(tǒng)計學(xué).北京:中國人民大學(xué)出版社,1993.

[2]郭泓.電子郵件過濾技術(shù)淺析.信息網(wǎng)絡(luò)安全,2002.

[3]王斌,潘文峰.基于內(nèi)容的垃圾郵件過濾技術(shù)綜述.中國科學(xué)院計算技術(shù)研究所碩士畢業(yè)論文,2004

[4]電子郵件系統(tǒng)概念.http://baike.baidu.com/view/2296101.htm

[5]反垃圾郵件網(wǎng)關(guān)的概念 .http://www.cdcy-mail.com/ljyjwg/2011083024.html