Anti-SPAM標準爭相出頭天

SenderID、DomainKeys、SPF2，你選哪邊站？

由於SMTP的一些漏洞，讓Spammer可以偽造發信者的相關資訊（發信人、信件路由），為了解決這個問題，廠商不斷研發新的過濾技術，包括RMX、SPF、CallerID、DomainKeys和SenderID等。

今年6月，微軟和Pobox.com向IETF（Internet Engineering Task Force）提出SenderID提案，不過，由於這一版SenderID的授權方式不為各方所接受，有人認為微軟將藉由專利權向使用者收取權利金，而且系統無法與之前的SPF記錄相容。在無法獲得廣泛的支持的情況下，IETF於日前退回SenderID提案，並且撤掉審核工作小組。之後，微軟又將SenderID做了部分修改，在Mail From的檢查部分改為不需授權，並且可回溯到已經公布的10萬多筆SPF紀錄，或是自行選擇已經公布的SPF紀錄，也能夠採用PRA（Purported Responsible Address）紀錄。微軟再次將新版本的SenderID送到IETF，希望能夠讓它起死回生。

只是，Apache和Debian GNU/Linux已經拒絕這項新的草案，他們認為在授權條款的部分沒有任何改變，而這方面才是關鍵所在。Debian表示，SenderID的「Microsoft Royalty-Free Sender ID Patent License」授權條款，違反Debian的Debian Free Software Guidelines（DFSG），所以他們拒絕這項草案。

另一方面，Yahoo!所支援的DomainKeys則有比較好的進展，Google的Gmail已經採用這項技術。DomainKeys使用「公鑰和私鑰」的加密技術，可以驗證電子郵件的寄件者身份。以Gmail為例，打開Gmail電子郵件的表頭就可以看到標示「Domainkey-Signature 」的一段字串，它就是用來驗證電子郵件的來源。

其實，不論是SenderID、SPF2或DomainKeys，都是不錯的技術，功能也差不多，但由於各家廠商和開放原始碼組織之間的意識型態之爭，所以，在今年9月IETF退回SenderID提案之後，又演變成三強鼎立的狀態，目前AOL支持SPF2及DomainKeys，微軟支持SenderID，Yahoo!則支持DomainKeys。哪種技術會成為標準？對於垃圾郵件的攔截率？企業該試用嗎？相信你會有一堆疑惑，讓我們聽聽專家怎麼說。技術難度與導入門檻仍偏高

中華數位技術支援部經理祝祥峰表示，不論是SenderID和DomainKeys，他們都還不是標準，所以在推廣上並不容易。他認為SenderID的問題出在授權和專利的使用上，特別是許多開放原始碼團體強烈的反對；加上現今的郵件系統尚未支援這些標準，自然也就沒有內建這些功能，在建置時有一定的技術難度。

此外，DomainKeys的導入的門檻會更高，因為MIS必須製作公私鑰，並修改DNS和相關的設定，不過，它的每封郵件都會經過認證，可預防郵件遭到竄改。有研究報告指出，使用DomainKeys技術會增加郵件伺服器7%的寄件負擔，和15%的收件負擔。SenderID則只要比對DNS，不會增加郵件伺服器太多的負擔。

目前中華數位的產品尚未支援這些技術。祝祥峰認為，雖然這些技術是熱門的議題，有些企業會詢問這方面的技術，但其實大家都還是在觀望，除了技術本身還存在著一些問題，也尚未普及化，至少要等到明年中之後，才會漸漸被企業所接受。他以DomainKeys為例，現在Yahoo!也只有「@yahoo.com」支援DomainKeys，而且仍是在「測試模式（Test Mode）」，只會在郵件表頭加上一些字串，並沒有阻攔的效果。另外，仰賴DNS伺服器的DomainKeys，尚要面對DNS缺乏安全性的問題。更簡單、更開放的技術，才會成為主流

網護科技技術部經理蕭朝文表示，不論是SenderID和DomainKeys技術，如果要普及的話，必須做到簡單化與使用群組（User Base）極大化。現在是人本需求與網路科技相結合的時代，越簡單的東西越能普及，例如簡單又易用的電子郵件和瀏覽器，同樣的，垃圾郵件過濾技術必須讓MIS很容易就能學得會；使用這些技術的群組也要夠大，包括開放原始碼團體、ISP及內容提供者（Content Provider）是否支援，假如使用這種技術的人不多，那麼一切都只是空談，另一方面，開放原始碼的郵件系統是市場上的主流，如果未獲得他們的支持，也很難成功。目前使用者申請這些驗證服務並不需付費，未來為了要維持這些團體的發展與經營，是否需要付費，收費是否會降低企業的使用意願，這也值得觀察。

蕭朝文以自己試用SenderID的經驗表示，由於現在使用它的企業並不多，因此不可能將沒有用這種技術的電子郵件，一律歸為黑名單，所以只能當作參考用的白名單。目前SenderID的資料庫內都是知名的企業，所以沒有大問題，未來當資料庫越來越大，管理方面就要更加謹慎。

在垃圾郵件過濾產品支援上，他認為臺灣產業有個很有趣的特性：「廠商永遠不會做第一隻白老鼠」，所以目前尚未有支援這些技術的垃圾郵件過濾產品，即使現在有廠商支援，企業也不一定就敢用。未來應該會有一種技術成功，蕭朝文說：「不一定是SenderID或DomainKeys，也許會出現更簡單、更開放的技術。」只能減少，無法消除

要特別注意的是，這些技術都只是比對寄件者的身分，並不是完整的垃圾郵件解決方案，因為要防禦垃圾郵件，不單只是比對寄件者身份而以，必須整合其他的過濾技術（黑白名單、貝氏演算、關鍵字過濾），所以企業仍需要垃圾郵件過濾產品。不過，他們倒是可以有效的過濾掉網路釣魚的詐騙郵件。

國外有調查指出，有32%的垃圾郵件是符合SPF規則，也就是說，有1/3的垃圾郵件是漏網之魚，祝祥峰表示，其實這跟產業有很大的關係，例如IT廠商會希望收到研討會的資料，但對其他產業而言，這可能就是垃圾信。

即使IETF通過相關的標準，也只有可能某種類型的垃圾郵件會減少，但垃圾郵件並不會就此消失，因為這些技術只能夠避免Spammer偽造發送來源，它仍無法判斷電子郵件是否為垃圾郵件，只要發送者註冊不同的網域名稱，或利用別人的郵件伺服器，他們就可以繼續發送垃圾郵件。垃圾郵件大戰才正剛開始而已！文⊙陳世煌