【专家视点】

　　垃圾邮件须综合治理 　　 　　宁家骏 　　现任国家信息中心首席工程师。上世纪90年代开始从事电子政务系统，特别是信息安全领域的工程技术工作。首创我国政府部门内部网体系结构及其信息安全基本架构理论及实践的研究结果，并获得国内政府部门的公认和反复引用，用于我国党政机关内部网电子政务及其安全子系统的设计之中。在国内首创CA互联互通理论及工程实践多项成果。作为亚洲PKI论坛负责人之一，主持了亚洲PKI互联互通互操作指导原则的设计工作。
　　垃圾邮件给政府和企业的计算机系统带来压力，使政府和企业投入更多的带宽与网络存储资源。此外，垃圾邮件还会降低生产效率，给政府网络和企业应用造成难以预计的损失。减少垃圾邮件将越来越成为考虑的重点。
　　欺骗性电子邮件和网络钓鱼无论在数量上还是严重性上都呈不断上升的趋势。据统计，95% 的网络钓鱼来自欺骗电子邮件或伪造电子邮件，企业在反垃圾邮件的安全保护上所花费的成本为 164美元/每个终端; 2005 年垃圾邮件给全球造成的损失高达 500 亿美元; 所有电子邮件中高达 75%～95% 的电子邮件为垃圾邮件。因此垃圾邮件的严重性决不可低估。
　　在过去的几年中，垃圾邮件的威胁和影响发生了巨大的变化。业界普遍认为，必须采用“综合治理”的办法逐步解决这一日益严重的问题。综合治理不仅需要一个综合的、全方位的技术方法，同样需要法治、教育和管理的统一行动，需要从文化层面统筹考虑。没有任何一家公司及其产品没有自己的优势，也没有一家公司可以在这个领域独霸天下。我相信，通过各种方案的介绍，有助于大家开拓思路，集思广益，百家争鸣，就可以逐步应对猖獗垃圾邮件的汹汹来势，为保障信息安全、提高信息系统的可用性做出有益的贡献，这对政府和企业来说都是具有重大价值的事情。
　　
　　反垃圾邮件技术走向标准化
　　
　　段海新
　　毕业于清华大学计算机系，工学博士、副教授、国际信息系统安全认证专家（CISSP），目前就职于清华大学信息网络工程研究中心，任网络与信息安全研究室主任，中国教育和科研计算机网紧急响应组（CCERT）负责人。主要从事计算机网络和信息安全相关的科研、运行管理和教学工作，主要研究方向涉及网络安全体系结构、入侵检测、计算机恶意代码分析、反垃圾邮件等。
　　今天，反垃圾邮件技术应该走向标准化。早期没有规范的RBL机制给用户带来很多不便，而且也越来越没有效力了。将来的反垃圾邮件也应该遵循互联网的标准化之路，基于域名服务系统的SPF可望成为邮件服务器系统之间的一种简单、可行的解决方案，而垃圾邮件的过滤只有靠近客户端才能实现更高的准确率。
　　反垃圾邮件的技术经历了多个阶段，目前可用的反垃圾邮件技术多种多样。比如最初的黑名单（如RBL）、关键字匹配和过滤、数字摘要或指纹、以及连接特征识别、Domain Key、SPF等，也可以部署在邮件客户端、邮件服务器、邮件网关等多个位置。这些技术和方案在垃圾邮件识别的准确率、执行的效率、配置的可扩展性方面各有不同，越来越多的反垃圾邮件产品组合使用多种技术，形成统一的垃圾邮件解决方案。另一方面，垃圾邮件发送者的技术也随着反垃圾邮件技术的提高而逐渐发展，反垃圾邮件技术必须能够随着攻击者的技术发展不断地改善提高。
　　尽管从技术层面上的努力对于防范垃圾邮件的侵袭已经发挥了很大作用，但是仅仅依赖技术是不够的，需要社会的多方协作。运营商之间的协作对于封锁垃圾邮件的来源非常重要，而反垃圾邮件相关的法律法规则是社会协作解决垃圾邮件的基础。
　　
　　评判反垃圾邮件技术的尺度
　　
　　易小毅
　　高级工程师，部门总监。1988年大学毕业分配到中国原子能科学研究院，参加国家科委863高技术项目快堆工程的设计、计算、编程工作; 2000年进入新浪网，参加电子邮箱的开发维护工作; 2003年～2004年，任新浪邮件技术部总监，曾代表新浪出任中国互联网协会反垃圾邮件协调小组标准组组长; 2005年至今，任新浪搜索运维总监。
　　发送垃圾邮件基本上可以说是一本万利，所以要想彻底杜绝垃圾邮件的发送，那几乎是不可能的。要抵制垃圾邮件，需要相关的法律来约束和惩罚发送垃圾邮件的行为，但现实中更主要的还是要靠技术来开展持续不断的反垃圾邮件工作。
　　作为一个好的反垃圾解决方案，主要应该体现在如下的一些功能上: 一是能成功地挡住不受欢迎的广告，让用户免受垃圾的侵扰; 二是能识别并过滤掉色情、反动的信件，还邮件世界一片蓝天; 三是能删除并阻挡病毒邮件的接收和传播，保护用户计算机系统的安全; 四是能在别人邮件攻击或病毒发作泛滥时成功抵御，保证邮件系统的正常服务。
　　这些功能主要表现在反垃圾邮件的杀除率上。从另一方面来讲，误判率也是反映反垃圾好坏的一个重要指标，如果是宁可错杀一千，也不愿放过一个，只放进来绝对没有问题的邮件，而绝大部分都被挡在门外或者当作垃圾处理了，那当然也不是一个好的解决方案。
　　另外，反垃圾邮件产品的可维性也是非常重要的。因为没有哪个技术方案从一开始就十全十美，而垃圾邮件的特征和发送的方法也会不断地改变，所以反垃圾邮件产品必须能够做到容易使用、方便改进、易于升级等。
　　最后，成本也是一个不容忽视的问题，让一个很小的企业，花上百万元建立反垃圾邮件网关，恐怕也不太现实。
　　
　　网络时代的大禹治水
　　
　　曾明发
　　2004年9月投身中国反垃圾邮件事业，创立了中国互联网协会反垃圾邮件工作委员会的官方网站――中国互联网协会反垃圾邮件中心（www.省略）; 2006年2月，受信息产业部委托成立了中国互联网协会垃圾邮件举报中心; 多次组织大型国内国际反垃圾邮件研讨会和技术测评活动; 熟悉国内及国际反垃圾邮件相关法律法规、技术标准,参与了《互联网电子邮件管理办法》的前期调研和审定工作。
　　大禹治水的传说在我国家喻户晓: 原始社会末期，洪水滔天，百姓深受其害，鲧用堵的办法治水，只懂得水来土掩，造堤筑坝，结果洪水冲塌了堤坝，水灾反而闹得更凶了。因为鲧治水不力，被五帝杀掉，五帝启用鲧的儿子大禹继续治水，大禹采用疏导的办法治理洪水，广挖沟渠，变害为利，从此不再为水患所困。
　　如今，垃圾邮件的泛滥无不跟尧舜时期的洪水泛滥有很多相似的地方，垃圾邮件的泛滥给当今社会造成的损害不亚于洪水的爆发，因此我们应该借鉴了前人的智慧，采用封堵和疏导相结合的方式来治理垃圾邮件。
　　大洋彼岸的Yahoo和AOL已经在做出一个勇敢的尝试，对有商业需求的企业发送的商业电子邮件收费，从治理垃圾邮件的角度来说，我认为也是一个有效的措施，当前垃圾邮件泛滥的根源就是在于电子邮件是免费的，而适当收取一定费用之后，相信垃圾邮件将得到一定程度的遏制。
　　治理垃圾邮件是一个系统工程。有效治理垃圾邮件需要通过政府立法、行业自律、国际合作、技术创新以及提高网民意识等综合治理的策略。对于垃圾邮件如果仅仅采用封堵的方式很难达到有效的治理，因此借鉴前人“大禹治水”的智慧，通过黑名单、白名单、“电子邮票”等疏导加封堵相结合的策略，理顺正常商业邮件与垃圾邮件的关系。