基于微软公司支持的这一电子邮件发件人身份认证协议的目的是通过使发件人在伪造地址上难度更大和由改进过滤机制等来阻止垃圾邮件和钓鱼式攻击。然而直到目前为止,使人感到遗憾的是它缺乏合法企业的支持而未被采用,相反,这项旨在打击垃圾邮件的技术却已经在被垃圾邮件发送者采用。这将很可能会招致很多麻烦。随着滥用电子邮件进行网络诈骗的事例的增加,消费者对电子邮件的信心指数正在下降。如果合法的企业不采用Sender ID或类似的技术,那么这一恶劣形势将会继续发展下去,破坏电子邮件的有效性。据微软公司经营战略部门的经理萨曼塔表示,就目前状况对电子邮件来说,存在着一个认同危机。电子邮件的基础设施构建于不同的时代,实际上当你知道谁在向自己发送电子邮件时,就没有必要担心对方的身份了。
钓鱼式欺诈利用具有一个伪装了的发件人的名字、指向一个欺诈性网站的链接,企图诱骗用户供出诸如密码等机密性的个人资料。像这类的欺诈行为和其它电脑犯罪活动在很大程度上正在降低消费者的信心指数。据市场调研厂商Gartner公司预测,这将抑制着未来3年内美国电子商务的最高达3%的增长。在同样的调查中,这一市场调研公司还发现,在美国,80%以上的网络购物者对来自他们不熟悉的人的电子邮件不敢相信。
基本上,Sender ID能够检查电子邮件是否来自它自己声称的某种互联网域(诸如“customerservice@anybank.com”),它在做出判断时要用到域名系统或称DNS。“Sender Policy Framework”也使用了相同的方法。 如果被广泛采用,象Sender ID这样的电子邮件认证技术会有助于人们确认电子邮件来自它自己所声称的地址。而单独依靠认证技术并不能阻止垃圾邮件和欺骗性的电子邮件,但它可以使垃圾邮件过滤技术更加有效,例如,通过过滤鉴定基于被发送邮件的域名等。
然而,认证技术的使用要求电子邮件基础设施发生一个大的变化。任何运营一台电子邮件服务器的机构━━其中包括企业、学校,互联网服务运营商以及其它厂商等,都必须发布SPF或Sender ID记录,或者同时发布这两种记录,以鉴定它们的电子邮件服务器。据SPF的开发者Meng Wong表示,这种大范围的变化正是电子邮件基础设施所需要的。他表示,如果电子邮件系统坏了,我们就需要立即采取措施去修正它。只要能够解决出现的问题,我们就可以尽最大可能采取相应的措施。
然而,直到目前为止,Sender ID和与此相关的技术还没有兑现它们的诺言。缺乏足够的合法电子邮件发件人的采用,然而,垃圾邮件发送者却已经采用了Sender ID以及SPF。据专家指出,如果Sender ID等认证技术没有被足够的合法电子邮件发件人采用,那么这一技术就将意味着失败。据微软公司认为,对于那些希望这样做的机构来说,发布Sender ID、SPF记录是很简单的,这并不需要新的硬件或软件。据微软公司经营战略部门的经理萨曼塔表示,在这当中最困难的部分是制作电子邮件服务器清单,以及此后的维护工作。据Gartner公司表示,大型机构通常拥有复杂的电子邮件系统,它需要有位于不同位置的人管理。部分的电子邮件或DNS基础设施可能已进行了外包,这就为发布Sender ID、SPF记录增加了一定的难度。除此之外,许多规模较小的企业都缺乏在DNS记录中发布电子邮件服务器信息所需要的技术。然而,使事情更加复杂化的是多种标准的存在。
这些都可能是为什么这种技术尚未在企业中普及的原因所在。据Gartner公司的分析师莉迪亚预计,在近期的这一阶段,企业是不会采用这种技术的。由于采用这一技术的速度将是很慢的,因此许多企业可能直到2007年才会发布相关的记录。据微软公司表示,大约有100万家企业目前发布了SPF记录,与到去年年底时7140万的注册域名相比,这一数字要少得多。但有迹象表明,颇有一些垃圾邮件发送者采用了这一技术。据垃圾邮件过滤厂商MX Logic表示,在1770万份电子邮件样本中,略微超过9%的电子邮件来自发布了Sender ID或SPF的域,在这些电子邮件中垃圾邮件大约占84%。据MX Logic的技术总监斯科特表示,采用这一技术的主要是希望它们的垃圾邮件取得合法身份的垃圾邮件发送者。这对于垃圾邮件发送者来说,发布有效的记录意味着他们能够顺利地通过部分的电子邮件检查关卡。据微软公司于今年早些时候表示,其Hotmail电子邮件服务将把没有有效认证记录的电子邮件标识为垃圾邮件。Forrester的分析师保罗也表示,相对于其他的大多数人来说,垃圾邮件发送者更具有采用这一措施的动机。
据分析人士和专家们表示,这一技术若想被广泛普及,Sender ID就需要变得更加易于采用,向用户提供更明显的益处。据StrongMail公司营销部门的副总裁戴夫表示,如果采用认证技术的合法发件人达不到临界值,其后果将是灾难性的。他表示,应当使企业能够更简便地使用电子邮件认证技术。例如,电子邮件服务器软件厂商应当在产品中包含简单的向导,收集所需要的信息等。除此之外,如果存在不恰当的认证发生,还应当通知发件人。尽管Sender ID可能不是最完美的解决方案,但如果我们为此而停滞不前,消费者对电子邮件的信任就会继续降低。
其次,这一问题还不只是局限在垃圾邮件上。而钓鱼式攻击也正在使受害者遭受着现实的经济损失,据Gartner公司表示,大约有242万美国成年人在于今年5月份结束的时间为12个月的期限内因钓鱼式攻击而受到经济损失,总损额几乎达9.29亿美元,这对消费者对电子商务的信心是一个很大的打击。据加特纳的分析师莉迪亚表示,目前,认证技术对于企业的真正价值在于钓鱼式攻击。这也是为什么像eBay公司等这样的电子商务巨头、以及美国银行等银行首先采用电子邮件认证技术的一个原因。
尽管微软公司一直都努力推动Sender ID成为业界标准,但其这一举措却遭到了业界人士的批评,一些批评人士指责微软公司试图胁迫业界接受Sender ID,特别是Hotmail将把没有采取认证技术的电子邮件标识为垃圾邮件。他们指出,Sender ID不是一种可以接受的标准,有些人认为它的弊病很多。因特网工程工作小组在去年就曾解散了一个Sender ID工作组。另外,除了Sender ID和SPF外,业界还存在其它的电子邮件认证技术,例如雅虎和思科公司的DomainKeys Identified Mail(DKIM)。而且很多机构都同时支持Sender ID和DKIM,如果Sender ID最终必须与其它技术共存的话,那么这一灵活性被证明在打击垃圾邮件中将会发挥更好的作用。
据分析人士迪安表示,目前,尽管缺乏热情和技能阻止了电子邮件认证技术的广泛普及,但我认为,未能立即获得回报才是阻止大多数合法电子邮件发件人使用电子邮件认证技术的真正原因。他表示,直到大家都采用了它,这一问题才能够得以解决。
, ,| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |