1  引言

    随着信息技术的推广和互联网的普及，电子邮件日益成为人们不可或缺的重要通信手段。电子邮件以其便捷、高效率和低成本受到人们的青睐，但与此同时一些别有用心的个人或组织恰恰利用了电子邮件的优势大肆发送未经收件人许可的内容，传播散布不受欢迎甚至违禁内容。据中国互联网协会反垃圾邮件中心2008年第1季度数据显示，中国网民收到垃圾邮件的比例为56.7%，平均每周收到垃圾邮件的数量为17.64封。这些垃圾邮件在互联网的蔓延，污染了网络环境，消耗了大量网络资源，影响了网络安全，干扰了人们正常通信。本文是基于参加互联网协会反垃圾邮件工作组工作及反垃圾邮件项目实施经验，从保障网络安全的角度讨论了垃圾邮件的防范体系。

    2  垃圾邮件的定义

    国际上对垃圾邮件并没有统一的标准，国际通常分别从发件行为是“未经许可或未经同意的高频率、大量的电子邮件（Unsolicited Bulk E-mail，UBE）”和发件内容“未经许可或未经同意商业邮件（Unsolicited Commercial E-mail，UCE）”两种方式来定义垃圾邮件。

    我国《防范互联网垃圾电子邮件技术要求》中对于垃圾邮件的定义是指收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件以及隐藏发件人身份、地址或者含有虚假的信息源、发件人、路由等信息的电子邮件。我国《互联网电子邮件服务管理办法》中虽未明确提出“垃圾邮件”的定义，但明确了禁止的行为和不允许使用电子邮件传输的内容。该管理办法第12条和第13条规定未经授权不得利用他人的计算机系统发送电子邮件，不得将采用在线自动收集、字母或者数字任意组合等手段获得的他人互联网电子邮件地址用于出售、共享、交换或者向这些电子邮件地址发送互联网电子邮件，不得隐匿或者伪造互联网电子邮件信封信息；不得未经接收者明确同意，向其发送包含商业广告内容的互联网电子邮件等。第11条规定了电子邮件禁止传播包含《中华人民共和国电信条例》第57条所禁止的9条内容。

    3  垃圾邮件的分类

    根据垃圾邮件的定义和垃圾邮件的特点可将垃圾邮件分为两大类：第一类是信件由非法发件行为发出，主要是指违背协议、隐匿伪造发件相关信息、不遵守常规模式（如以极高的频率发送邮件、用字符不同的排列组合猜测用户名等），无论信头信体是否为合法信息，发件人的发送行为就是不符合规范的；第二类是信件包含法律法规所禁止的内容，《中华人民共和国电信条例》第57条明确指出了9种不允许的信息。
因此，电子邮件基于行为和内容可以分为非法行为发出合法内容的信件（简称A型），非法行为发出非法内容的信件（简称B型），合法行为发出非法内容的信件（简称C型），正常邮件4种情况进行判断（见图1）。

    图1  电子邮件的4中类型

    3.1  非法行为发出合法内容的信件和非法行为发出非法内容的信件（A型和B型）

    A型和B型判断垃圾邮件的主要判断依据是“非法行为发出的信件”，也就是图1中大椭圆所包含的部分。发送垃圾邮件的主要目的包括商业、政治舆论、破坏网络安全及其他目的。垃圾邮件只有达到较大的发件数量且针对某个特定群体有较高的覆盖率才能达到发件人的目的。垃圾邮件发送者在制造垃圾邮件的时候就要考虑发送效率问题，因此绝大多数的垃圾邮件制造者采用自动化程度较高的群发脚本、程序在短时间内高频率发送大量邮件，与此同时垃圾邮件发送者通常采取隐匿或伪造发件信息的办法逃避处罚和规避接收者溯源针对源头防范垃圾邮件。其中，A型非法行为发出合法内容的信件在一定程度上是可以容忍的，比如某些合法机构或个人为了提高大量信件的发件效率或者进行商业推广采取一些投机取巧的办法，而B型非法行为发出非法内容的信件是法理难容的。A型垃圾邮件主要包括商业广告、推广信息等。B型垃圾邮件主要包括病毒、欺诈信息、色情暴力、政治敏感信息等。

    3.2  合法行为发出非法内容的信件（C型）

    目前，该类垃圾邮件占全部垃圾邮件的比例是比较低的，但危害极大。这类垃圾邮件的发件行为从技术上讲完全遵循相关协议，由于发件行为是合乎规范的（没有高频率、伪造隐匿等特征），所以不可能大肆制造广泛传播，此类垃圾邮件主要是针对某个确定的小群体，某些十分确定的人进行传播非法信息或危害网络安全的活动，收件人与发件人有可能是较为熟识的关系。C型垃圾邮件主要包括政治敏感信息、色情暴力、病毒与网络欺诈等内容。

    4  垃圾邮件对网络安全的威胁

    发送垃圾邮件的非法发件行为严重浪费网络资源，影响正常网络服务。当有限的网络带宽上充斥着大量非正常邮件流量，其他业务流量势必受到影响，大量的垃圾邮件短时间内爆发会造成网络拥塞，使互联网不堪重负。垃圾邮件的存储和处理占用消耗大量的邮件服务器的资源，导致邮件系统服务性能下降。
    如图2所示，A和B具备非法发件的特征，B和C具备非法内容的特征。其中，B是具备两种特征的垃圾邮件，该类型危害最大。

    图2  垃圾邮件非法行为与非法内容危害程度

    4.1  A型垃圾邮件对网络安全的威胁

    A型垃圾邮件主要特点是采取高频率大量群发邮件，其主要危害是威胁网络及邮件服务正常运行，鉴于其内容有一定的合法信息量，这类垃圾邮件主要是商业广告、推广信息等，其危害主要集中在网络及邮件服务上，如针对年轻人的电子产品推介信息，针对女性的美容信息等。最终用户对此类邮件在某种程度上是可以适当容忍的。

    4.2  B型垃圾邮件对网络安全的威胁

    B型垃圾邮件既采用了非法的发件行为危害网络及邮件正常运行，同时发送的又是法律法规明令禁止的虚假的、不健康的、反动的内容等信息。此类垃圾邮件无论从法律上还是情理上都是无法容忍的，该类邮件对网络及邮件服务和用户均有严重影响。此邮件危害最大。

    4.3  C型垃圾邮件对网络安全的威胁

    C型垃圾邮件具备了B型垃圾邮件内容上非法的特点，但是对网络和服务器的影响较小，C型垃圾邮件的危害主要集中在用户身上。C与B相比，C对网络和邮件服务影响较小，但是造成的不良危害与B是相同的。此类也是无法容忍的。

    中国互联网协会反垃圾邮件中心2008年4月发布的《2008年第一次中国反垃圾邮件状况调查报告》中指出，在18类垃圾邮件中，国内用户最难以忍受的垃圾邮件内容前4位分别是：病毒、欺诈内容、色情暴力、政治敏感信息；后4位分别是：房源信息、IT产品推销、订票/订房/旅游、其他。显然，用户难于接受的垃圾邮件主要集中在非法内容上，即B和C两类垃圾邮件，能一定程度容忍的垃圾邮件体现在有一定合法信息量的A中。尽管最终用户对于A类型的垃圾邮件是可以适度容忍的，但是A类垃圾邮件对于互联网服务负载的负面影响是不可低估的。

    5  垃圾邮件防范技术

    目前，垃圾邮件呈现如下特点：发件人地址随着邮件主题随机变化、伪造邮件头干扰信息、信体内容随机变化、正文以图片方式显示等。而反垃圾邮件目前尚无国际标准，有缺陷的协议应用极为广泛，很难有一种新协议新技术立刻取代现有协议，所以现阶段无法彻底根治垃圾邮件问题。但我们可以基于3种类型的垃圾邮件进行分类讨论分析，在今后的垃圾邮件治理过程中针对不同类型的垃圾邮件进行疏堵结合，尽可能降低垃圾邮件对网络安全的威胁。从垃圾邮件的产生与传播特征入手，防范技术可分为预防技术与过滤拦截技术。广为熟知的防范新技术有修补服务器漏洞，关闭开放式转发（Open Relay），针对IP，域名和邮件地址设置黑白名单等。目前，热点的预防性技术主要有：挑战应答模式（Challenge-Response），Domain Keys，SPF (Sender Policy Framework)，SenderID，电子邮票等。这些基于完善协议加强认证思路的防范技术需要MTA（Mail Transport Agent邮件传输代理）与MDA（Mail Deliver Agent邮件投递代理）配合应用才能起效，但由于目前标准不统一，普及度有限，所以从防范技术入手收效甚微。垃圾邮件过滤是目前使用最为广泛的防范垃圾邮件手段。从垃圾邮件的分类基于行为和基于内容的角度来看，判别过滤垃圾邮件技术也可以分为基于发件进行“行为识别”和基于内容进行“内容过滤”。

    5.1  “行为识别”技术

    “行为识别”技术是指根据邮件发送行为判断其是否是合法的技术。采用这种技术，可以不用考虑邮件内容，仅仅根据其发送的行为判断此邮件是否属于垃圾邮件。邮件传输遵循SMTP协议的，任何不满足该协议规范的邮件都有理由判断为垃圾邮件。“行为识别”通过对邮件发件行为与若干条规则进行比对，同时还需要通过大量统计发送垃圾邮件行为特征，不断分析正常和异常的发件行为特点，将垃圾邮件特征形成行为识别模型。“行为识别”技术模型中包含了发件源头信誉的检查、SMTP连接频率、反向域名解析验证等诸多要素，“行为识别”是针对协议进行的扫描，不涉及信体内容，有效地避免了内容图片化，正文文字变造引起的过滤失效。“行为识别”技术所作的判断过程基本在开始传输DATA之前结束。采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率，而且不需要对信件的全部内容进行扫描，无需接受完整邮件，节约了网络和邮件服务器资源。

    5.2  “内容过滤”技术

    除去网络攻击目的垃圾邮件外，其他的垃圾邮件都需要通过邮件内容达到其目的。因此，针对内容过滤的“内容过滤”技术应运而生。早期的内容过滤是根据关键字库中的关键字，将信件正文进行分词，一旦分词与关键字匹配一致即判断为垃圾邮件。但是，相同的词语在不同的语境中语义会有很大差异，因此关键字过滤误判率很高。目前，内容过滤技术主要采用基于统计的方法，是指对邮件内容进行分词统计然后对内容进行主题分类，从而实现过滤。目前，常用的文本分类统计技术有贝叶斯算法，该方法在进行过滤之前，需要庞大的垃圾数据样本库。过滤时先通过统计获得特征项在垃圾邮件中出现的先验概率，再利用统计中的贝叶斯公式，求得含有这些特征项的邮件是垃圾邮件的后验概率，该过滤方法是以先验概率进行内容评分，从而判定其所属类型。此外，还有基于SVM(支撑向量基)的过滤，基于神经网络的过滤等。

    尽管我国《防范互联网垃圾电子邮件技术要求》给出垃圾邮件客户机防范功能要求和防范垃圾邮件的方法，并明确了电子邮件的格式，但是垃圾邮件发送者在利益的驱动下不断改进发送垃圾邮件的方法，因此急需专业、系统的防范体系与设备支撑反垃圾邮件工作。

    6  垃圾邮件防范体系

    根据目前垃圾邮件的现状与特征，我们根据实际工作经验总结出了基于预防与过滤拦截相结合的多层防范体系（见图3）。

    图3  垃圾邮件防范体系图

    一封邮件的送达需要从邮件用户代理（MUA）到邮件传输代理(MTA)再到邮件投递代理(MDA)多个环节，我们可以针对每个环节进行多层次的防范。垃圾邮件发送者制造一封垃圾邮件要通过MTA传播出去，因此首先关闭MTA到MTA之间开放式转发（Open Relay），不给垃圾邮件跳转传播的机会。在MTA（Mail Transport Agent，邮件传输代理）将电子邮件传送至MDA（Mail Deliver Agent，邮件投递代理）的时候，应该采取行为过滤的方式对垃圾邮件进行过滤，通过行为过滤可以去除A型和B型垃圾邮件，此后再将剩余的邮件采取“内容过滤”的方式进行过滤。从网络分层的角度讲，可以在网络层进行如IP并发连接限制、IP连接频率限制、IP连接速率控制、动态黑白名单等行为识别过滤。在会话层进行DNS反向查询、HELO域名有效性查询、行为模式判断等行为识别。最后，在应用层进行基于自定义规则库、贝叶斯过滤或其它算法的内容过滤等。如果相关发件源头认证技术能够形成统一的标准并予以广泛推广，从MTA到邮件MDA之间引入适当的认证也会大大抑制垃圾邮件。

    在进行拦截过滤的同时，用户应及时向邮件服务提供商提供个人垃圾邮件样本和反馈过滤情况，以便邮件服务提供商适时做出适当调整。各个具备内容过滤功能的产品需要大量垃圾邮件样本，丰富自己的规则库，理论上垃圾邮件样本库趋于无限大，过滤效果趋近于100%。同时，各个具有过滤功能的服务器或其他设备应定期将本系统垃圾邮件动态信息逐级上报，并根据上一级垃圾邮件信息处理中心下发的策略对本系统进行调整（见表1）。

    表1  垃圾邮件分层过滤表

    先采取“行为模式”识别后采取“内容过滤”的好处是，“行为模式”在协议扫描时是不接受邮件信体数据的，也就是说付出较小的代价进行初筛，过滤掉大部分垃圾邮件后再采取“内容过滤”的方式分析剩余信件的内容进行再次筛查。

    邮件服务器过滤的效果无法达到绝对准确，当用户收到通过过滤的信件时，可以根据个人偏好判断、分辨出漏判信件，并通过查看过滤报表找出误判信件并将信息反馈至过滤设备，过滤设备根据用户反馈信息进行调整。

   7  结束语

    本文从垃圾邮件的产生原因与传播特点论述了垃圾邮件的技术防范体系。我国《中华人民共和国电信条例》明确把电子邮件服务归类为增值服务，鉴于垃圾邮件对网络安全的巨大危害和对广大用户工作生活的侵扰，应积极推动电子邮件技术及其相关标准和协议的演进，加大对与发送垃圾邮件者的惩处力度。