自從電子郵件大大降低了信息的傳播成本，垃圾郵件便隨之而產(chǎn)生。
筆者作為國(guó)內(nèi)互聯(lián)網(wǎng)的較早的用戶(hù)，使用的是自己注冊(cè)的域名的電子郵件地址，從一開(kāi)始使用至今一直沒(méi)有變過(guò)，而該郵件地址在國(guó)內(nèi)互聯(lián)網(wǎng)發(fā)展初期曾注冊(cè)過(guò)許多網(wǎng)站服務(wù)，因此成為垃圾郵件的目標(biāo)。
筆者的郵件地址在2000年即每天收到近百封垃圾郵件，因此從那時(shí)即開(kāi)始關(guān)注垃圾郵件的控制方法。
2004年1月底，國(guó)家四部委聯(lián)合發(fā)文整治垃圾郵件和不良信息，快速啟動(dòng)了國(guó)內(nèi)反垃圾郵件的市場(chǎng)，反垃圾郵件產(chǎn)品廠(chǎng)商風(fēng)起云涌，但筆者認(rèn)為許多宣傳僅從郵件安全的某個(gè)局部出發(fā)，失于片面。反垃圾郵件僅僅是郵件安全的一部分技術(shù)，郵件安全至少應(yīng)當(dāng)包括反垃圾郵件、反郵件病毒、內(nèi)容過(guò)濾等功能，還可能包括郵件溯源、郵件審計(jì)等功能。本文由于篇幅所限，只說(shuō)明反垃圾郵件的技術(shù)。
1. SMTP安全漏洞與垃圾分析
1.1 SMTP起源
在互聯(lián)網(wǎng)上使用的郵件傳輸協(xié)議稱(chēng)為SMTP(Simple Mail Transfer Protocol簡(jiǎn)單郵件傳輸協(xié)議，RFC-821)，也許有很多初次了解SMTP協(xié)議的人會(huì)奇怪為什么稱(chēng)為簡(jiǎn)單郵件傳輸協(xié)議，那么復(fù)雜郵件傳輸協(xié)議在哪里？如果這樣考慮，可以理解1984年ISO(國(guó)際標(biāo)準(zhǔn)化組織)和ITU(國(guó)際電信聯(lián)盟)發(fā)布的X.400信件傳遞標(biāo)準(zhǔn)就是復(fù)雜郵件傳輸協(xié)議(當(dāng)然，其相關(guān)協(xié)議早在近十年前就在討論、完善，只是直到1984年才發(fā)布標(biāo)準(zhǔn))。1982年由互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布了基于TCP/IP的SMTP(RFC821)后，隨即發(fā)布了RFC822 ASCII純文本郵件結(jié)構(gòu)，這樣就滿(mǎn)足了人們發(fā)送純文本郵件的需求，隨著需求的增長(zhǎng)，1996年發(fā)布了一系列MIME(Multipurpos Internet Mail Extensions)格式定義，使電子郵件可以傳遞任意格式的文件，大家發(fā)送郵件時(shí)會(huì)發(fā)現(xiàn)，郵件的大小比附件的大小要大很多，原因就是附件可能經(jīng)過(guò)了MIME編碼，導(dǎo)致變大。MIME滿(mǎn)足了人們發(fā)送任意格式郵件的需求，也同時(shí)導(dǎo)致了惡意代碼通過(guò)電子郵件傳遞。
1.2 郵件發(fā)送過(guò)程
一封郵件從發(fā)件人編輯郵件到收件人接收郵件一般要通過(guò)如下四步：
1. 發(fā)送客戶(hù)端‘(smtp)‘發(fā)送郵件服務(wù)器：發(fā)件人在發(fā)送客戶(hù)端(~MUA~，~Mail User Agent~)編輯郵件后發(fā)出，MUA向他定義的發(fā)送郵件服務(wù)器(~MTA~，~Mail Transport Agent~)發(fā)出SMTP請(qǐng)求并握手，發(fā)送郵件服務(wù)器將郵件接收下來(lái)放在相關(guān)的郵件隊(duì)列中。一般來(lái)說(shuō)，MUA在和發(fā)件MTA握手時(shí)，使用的是用戶(hù)在MUA該帳號(hào)上注冊(cè)的郵件帳號(hào)信息作為信封Mail From和信頭From的參數(shù)，是相同的；
2. 發(fā)送郵件服務(wù)器-->(smtp)-->接收郵件服務(wù)器：發(fā)送郵件服務(wù)器根據(jù)郵件的目的地址，如果目的地址不是本地，則會(huì)將郵件轉(zhuǎn)而放到相應(yīng)的發(fā)送隊(duì)列中，MTA將郵件從等候的發(fā)送隊(duì)列中取出，向接收郵件服務(wù)器發(fā)起SMTP請(qǐng)求并握手，接收郵件服務(wù)器將郵件接收下來(lái)，放入相關(guān)的郵件隊(duì)列中。一般來(lái)說(shuō)，發(fā)送MTA會(huì)把郵件的信封部分和郵件部分(data，包括信頭和信體)分開(kāi)保存，這樣在與接收MTA通信時(shí)，Mail From依然使用原來(lái)的信息不變；
3. 接收郵件服務(wù)器dispatch到郵箱：接收郵件服務(wù)器根據(jù)郵件的目的地址(當(dāng)然是本地了)，將郵件由MDA(Mail Deliver Agent)放到用戶(hù)的郵箱中。接收MTA在和發(fā)送MTA握手時(shí)，得到的Mail From數(shù)據(jù)仍然是發(fā)件MUA給出的信息。
4. 郵箱服務(wù)器-->(pop/imap)-->接收客戶(hù)端：最后，接收客戶(hù)端使用POP或IMAP協(xié)議將郵件下載、閱讀。
1.3 模擬收發(fā)過(guò)程
SMTP協(xié)議是TCP/IP協(xié)議的應(yīng)用層協(xié)議，其傳遞的數(shù)據(jù)都是人可讀的數(shù)據(jù)，因此可以使用Telnet來(lái)仿真、觀(guān)察SMTP協(xié)議的握手過(guò)程(假設(shè)郵件服務(wù)器IP是192.168.100.100)。
Telnet 192.168.100.100 25 ; 25是TCP/IP協(xié)議給SMTP定義的端口號(hào)
<<< 220 smtp.my.com ESMTP Service (SMTP server) ready at 日期、時(shí)間 +0800
>>> helo haha.com
<<< 250 smtp.my.com Hello haha.com ([192.168.100.50]), pleased to meet you
>>> mail from:abc@abc.com
<<< 250 abc@abc.com... Sender OK
>>> rcpt to:realname@my.com
<<< 250 realname@my.com... Recipient OK
>>> data
<<< 354 Enter message, end with "." on a line by itself
>>> Reply-to:ccc@ccc.com
>>> From:aaa@aaa.com
>>> To:bbb@bbb.com
>>> Subject:testest
>>>
>>> This is a Test Email.
>>> .
<<< 250 Message accepted for delivery
>>> quit
<<< 221 smtp.my.com SMTP Service closing transmission channel
這樣就用Telnet直接向smtp.my.com送入了一封給realname用戶(hù)的郵件。
讓我們來(lái)看一下收到的這封郵件的源文件：
Received: from haha.com ([192.168.100.50])
by smtp.my.com (SMTP server)
with SMTP id 2004062314152297-16576 ;
Wed, 23 Jun 2004 14:15:22 +0800
Reply-to:ccc@ccc.com
From:aaa@aaa.com
To:bbb@bbb.com
Subject:testest
X-MIMETrack: Itemize by SMTP Server on Mail/my() at 2004-06-23 14:17:10,
Serialize by POP3 Server on Mail/my() at 2004-06-23 14:18:45,
Serialize complete at 2004-06-23 14:18:45
Date: Wed, 23 Jun 2004 14:17:10 +0800
Message-ID: <OF39FF5AC9.A74F14E2-ON48256EBC.00228835@my.com>
This is a Test Email.
從上面的模擬過(guò)程可以看出，該郵件在郵件頭中聲稱(chēng)郵件來(lái)自~aaa@aaa.com~，要發(fā)給bbb@bbb.com；而在SMTP握手中聲稱(chēng)使用計(jì)算機(jī)haha.com，郵件來(lái)自abc@abc.com，要發(fā)給realname@my.com(這是真正收到該郵件的用戶(hù))。郵件頭的說(shuō)法和SMTP握手中的說(shuō)法完全不同，而當(dāng)用戶(hù)(~realname@my.com~)收到此郵件時(shí)，他所能看到的只是郵件頭中所聲稱(chēng)的內(nèi)容和發(fā)送該郵件所聲稱(chēng)的機(jī)器名和IP。然而，要使用戶(hù)realname收到這封郵件，除了SMTP握手中rcpt to必須是真實(shí)的以外，其他所有東西都可以偽造，F(xiàn)rom:和To:都可以不寫(xiě)。尤其不幸的是：為了返回錯(cuò)誤提示郵件，SMTP協(xié)議甚至允許mail from:后面是空白。
上面data后的內(nèi)容是真正的郵件，data之前的內(nèi)容是SMTP握手，或稱(chēng)信封。用戶(hù)收到的郵件已沒(méi)有信封，但SMTP服務(wù)器可能會(huì)根據(jù)信封內(nèi)容在data的信頭部分增加Received數(shù)據(jù)保存一些信封的內(nèi)容。
在郵件客戶(hù)端，用戶(hù)將看到郵件來(lái)自aaa@aaa.com，而回復(fù)時(shí)，自動(dòng)將ccc@ccc.com作為目的地址。
上述郵件模擬發(fā)送過(guò)程中，只有收件人地址是真實(shí)的(呵呵，否則誰(shuí)收啊？)；收到的郵件看到的源文件，只有最后一個(gè)發(fā)件IP是真實(shí)的(前面如果還有，也可能是偽造的)。