垃圾邮件泛滥成灾SMTP协议将为信用而战
Tuesday,August520039:27AMZDNetChina8月5日报道给电子邮件下了二十年定义的协议将面临一个致命的缺陷:过于信任的原则。
当互联网处于专为技术人员服务的发展阶段时候,简单邮件传输协议(简称SMTP)建立在假定人们的身份和他们所声称一致的基础之上。
SMTP假设的依据是:不怀疑邮件的使用者是否是特洛伊木马病毒的散播者,不怀疑邮件用户利用国外政府信用关系来欺诈钱财,甚至不怀疑邮件用户正在劫持某人的电脑来发送千万封的广告。
换句话来说,SMTP信赖了过多邮件传输者,这些传输者中可能有垃圾虫,安全专家甚至是构建了今天扰乱电子邮件系统检查的高手,假如不对普遍使用的邮件协议进行一个彻底的变革,那么这些情况还会继续延续下去。
作为SMTP方面的前辈,也是SMTP的共同创办人,SuzanneSluizer在参观新墨西克大学时接受采访中表示,“我提议他们重新撰写一个邮件传输协议。”
她补充道,“就我在计算机方面的经验而言,要害的问题是因为协议使用太普及了,所以,尽力去修补目前协议中存在的问题往往比采用新的办法要困难得多。”
Sluizer在1981年参与创办了邮件传输协议,是SMTP的前辈,当时她是南加州大学信息科学院的技术人员,这个学院所在的地区也是基础互联网协议传输控制协议(TCP/IP)的诞生地。
在绞尽脑汁与垃圾邮件奋战数年之后,垃圾邮件的发展毫无衰减之势,于是一些电子邮件专家开始走向穷途末路。
AOL时代华纳下属的美国在线在4月份表示,他们可以在一天之内堵截24亿封垃圾邮件。尽管如此,许多垃圾信息仍可能被发往美国在线的3千4百万用户。分析认为,世界范围内来说,垃圾邮件占合法邮件的一半左右。
垃圾之源
从美国在线这样的大公司到新成立的小公司,很多企业都尝试通过修补测试技术来对付垃圾邮件。这些措施包括联合的垃圾过滤器,所谓反馈确认的方法,这个方法需要用户打字确认,以此来阻止免费邮件账号的自动注册。另外,律师、立法者以及议员们也忙于对付垃圾邮件,例如国家和各州都对垃圾邮件进行惩罚,对垃圾邮件收件人发送垃圾邮件进行惩罚。
然而,垃圾邮件仍然猖獗。这导致技术人员忙于重修造成电子邮件罪恶根源的SMTP,而SMTP协议以传输的卓越性能和普及受到世人广泛赞誉。
问题在于,SMTP协议缺少确认电子邮件发送者身份的全面手段。这使得人们更轻易地通过伪造回复地址以及利用受到侵入的计算机发送垃圾邮件等方式来掩饰身份。
现在一些人认为这个漏洞非常严重,邮件传输协议引起了书写交流时代最重大的变革,因为色情作品发行人、病毒虫以及不道德的垃圾虫的产生,迫使了古登堡开创的文字交流时代不能再为字母艺术的宗旨而继续服务。
Sluizer形容自己是SMTP的“祖母”,她认为,“人们必须记住传输协议诞生的年代,追溯我们开始这项研发的时代,我们当时讨论了成百上千个站点,后来这些站点被称为ARPA网。我们想办法与欧洲一些站点以及与美国小型网络的连接。当时的环境是非常令人信赖的,协议的建立是基于信任的基础上发展而来。所以,我对我们在25年以后使用的还是同样一个协议感到非常吃惊,因为在目前的商业环境中你需要了一个与研究环境完全不同的传输协议。”
虽然批判家普遍认同了SMTP的缺陷,但是,对于假如修订SMTP的漏洞还存在大量的争议。
一些早期使用SMTP协议的人们认为,这个协议是有弹性的,可以在未来进一步拓展,这个协议已经进行了多次的修改和发展,身份鉴定问题可以通过目前的技术被部分解决。
互联网邮件联盟的主管、大量计算机类书籍的作者PaulHoffman在邮件采访中写到,“SMTP中的身份鉴定问题并不是那么困难,已经有了一个处理办法,也就是在SSL/TLS上运行SMTP的协议。这个协议是我写的。”(SSL/TLS上的SMTP协议可以从Internet工程任务组(IETF)网站上下载。)
根据Haffman和其它人的说法,很难建立支持其它计算机身份认证方案的“信任关系”,换句话就是确认一个人的身份是否如他所声称的那样。
Hoffman表示,当试图设计一个系统,用来鉴别邮件服务器而不是个人身份的时候,就会变得格外困难。部分是由于第三方必须查明电子邮件服务器是否要对发送垃圾邮件负责任。假如普及到整个互联网上,那么大量垃圾邮件黑名单的发送人造成的后果是费力和昂贵的。
Hoffman表示,“谁会花时间并承担法律风险付费给第三方独立机构进行研发?”
数字之战
一些人表示假如从头开始重写SMTP将是难以想像的困难,因为根据估计,SMTP协议全球用户基础为几亿人。
欧洲互联网服务提供商的联盟-RIPE的反垃圾邮件组织的主席RodneyTillotson表示,“改变垃圾邮件大量传输问题的技术瓶颈是安装的基础技术。”
Tillotson表示,“有成千上百万的SMTP服务器传输投递邮件,假如要改变这些服务器需要许多年,在这期间,垃圾邮件的投递可能仍然没有办法解决,改变台式机邮件软件的提议甚至更难展开。”
Sluizer提出了两个协议来解决垃圾邮件问题,SMTP和一个更严格身份认证的新协议,通过电子邮件软件程序相互支持的方式,这两个协议可能比较轻易共存。这种方式下,一个协议的使用者可以与另外一个协议的使用者交换邮件。
RIPE反垃圾邮件组织并不是倡导在线讨论的唯一一个组织,这些在线讨论试图通过改变基础协议的方式连根拔除垃圾邮件。Internet工程任务组(IETF)也在今年春天建立一个研究小组专门研究解决协议基础的问题。
但是批判家认为IEFT的研究姗姗来迟,他们表示解决垃圾邮件的实践不能因为主流组织的探讨而延误。
EPRivacy公司的主要执行官RayEverett-church在邮件采访中表示,“假如IETP花了六年时间才考虑到垃圾邮件是一个严重的问题,他们应该投入研发小组进行研究,那么我认为IETE不可能在十年终结时对SMTP进行重大的修改。”
IEFT的反垃圾邮件研究组织(ASRG)主席PaulJudge拒绝回答问题,引述了两个组织都愿意继续保持“关注”,考虑提议。
有观点认为,一个全新的电子邮件规范不应该在IETF内部进行撰写。许多组织讨论认为,一个应用的解决方案可能会超出现有的协议,或者至少是与现有的协议兼容。
是修补还是重写?
EPrivacy公司的修改方案不是那么激进,他们向互联网服务提供商行销SpamSquelcher垃圾邮件控制软件。在4月份,这个公司发布了信用邮件公开标准(TEOS)。这个协议建立在SMTP之上,而不是完全取代SMTP。
据作者介绍,TEOS让个人和组织更可靠地确认身份,包括对于电子邮件内容进行机器易读的描述和“确认”。TEOS也建立了一个加密,通过邮件内信息的信用标记来防止欺诈。EPrivacy组织推出了一个全球跨产业的实体来维护该标准。
一些人采取措施来修订SMTP以外的其它协议。诸如微软公司认为改变主域名系统(DNS)将使得垃圾虫更难伪装真实的身份。
主域名系统是一个分布式数据库,由许多不同的公司进行维护,这些公司提供用于网站和电子邮件地址的主域名。反垃圾邮件专业人士表示,这个系统存在的问题类似SMTP,它也没有身份认证系统。
微软服务器部门的程序经理HarryKatz表示,“我们在其中需要解决是欺诈行为,这是抑制垃圾邮件的工作之一,我们认为我们可以通过小幅度的改善主域名系统来解决这个问题。”
微软正预备公布的“小幅度改善”措施将可以让个人、企业以及其它组织在主域名系统数据库里公布邮件服务器的鉴定数。
这可以让邮件接受设备对垃圾邮件实际发出地址和邮件头显示的地址进行对比。两者的不同将帮助过滤器查明哪个邮件头是假的,两者差别程度越大也就越增加了邮件内的信息是垃圾邮件的可能性。由此,这样的垃圾信息更轻易被过滤和拒收。
IETF的反垃圾邮件研究小组在小组春天成立的时候就进行了自身在主域名系统上的改善。
主域名系统有足够的扩展性,这一扩展性可以答应人们不进行大规模变革系统协议可以实现改善,但是,主域名系统需要由许多不同的互联网邮件企业共同协商执行。随着微软公司掌管了Hotmail网络邮件服务和MSN邮件服务,微软有可能单独对主域名系统的运行进行大幅度改善。
Katz表示,“有些人在嘀咕这个改善注定要失败,由于扩展性不足,微软被迫从头开始,然而我不同意这样的说法。这些类似的说法是非常危险的,我们当然会对这些问题进行合理的关注,但是我们非要反对这些反面的观点吗?我的回答是不用,我们可以作一些工作来解决问题,随着时间的推移,我们将取得重大的突破。”
产业风险
Katz警告,在修改电子邮件的浪潮中,产业的风险是有可能损害了开放性,而开放性最初造就了互联网的成功。
例如,他认为,垃圾邮件解决方案不应该堵截所有未经过诉求而主动投递的邮件。因为这样可能阻止了长期分开的朋友和亲戚之间的重逢,就像在有关许多电子邮件的好报道中描述的那样。而解决方案的本质也不应该是终止大量的邮件投递。
即使是微软即将提出的主域名系统修改方案也必须小心翼翼来确保他们不会阻止第三方发送合法的广告邮件。
Katz表示,“我们不得不为平衡而努力,我们是为了确保人们可以在互联网上可以更轻易、更高效地交流。也就是说,随着时间的推移,人们可以看到比今天更严密的系统。因为垃圾邮件和病毒的困扰,这个系统必须产生。但是你仍然需要为一些可能出现的情况留有余地,诸如当长期失散的中学密友通过电子邮件和你联系的例子。而这是也正是互联网伟大的力量之一。”