反垃圾邮件技术之“行为识别技术”

　　垃圾邮件的增长速度对全世界来讲都是非常之快的。垃圾邮件对全球造成的损失也是很大的。以下是互联网协会相关的一些统计数据，垃圾邮件已经占到正常邮件的60%，垃圾邮件增长的趋势，在50%左右。另外，垃圾邮件也夹杂了大量的病毒，目前有一些新的病毒攻击个人机器后产生垃圾邮件，垃圾邮件的病毒，基本上是互联网每一个网民每天都直接感受到的危害。企业也好，网民也好，真正重大的黑客事件其实并不是很多， 80%以上的来自互联网安全的威胁是垃圾邮件和蠕虫病毒，这两种危害是最严重的，它会导致企业网络瘫痪。

　　一些病毒出现后，技术非常先进，对微软DDOS进行攻击。现在我讲一下邮件的安全网关。它集成了放在邮件前端的，邮件病毒过滤和邮件敏感信息过滤多重一体的EQ manager的解决方案。我们提出了四层防护的模型，在座的可能会问到，这个解决方案同NEI的有什么区别？目前国际的做法是先把垃圾邮件收进来，然后再过滤。我们分了四个层面，把百分之七八十恶意的攻击直接屏蔽掉，90%左右的垃圾邮件，通过行为识别的数学模式来识别，然后就是做病毒扫描和内容过滤。这里面有一个很重要的概念，敏感信息的过滤不等于反垃圾邮件。如果关键规则就是垃圾邮件的话，垃圾邮件早就解决了，不会像现在这么严重。

　　对反垃圾邮件技术来讲，从关键字内容过滤、内容平分归类、黑名单、行为分别分析，我认为发展方向是行为分别。在这里我讲一下关键字过滤存在的问题，比如对一封信做关键字检索，意味着你必须把整封信的附件收下来，收下来的话，意味着你的流量已经产生了，存储资源已经占用了，事后挑出来这是一封垃圾邮件，并没有解决矛盾，只是治标不治本。关键字过滤也会增加误判率。真正“法轮功”的邮件不会在邮件上写“法轮功”这几个字，一定会写其他的字。反病毒厂商都是沿用防病毒的理念，每天互联网最新的病毒可能是两百多个。两百多个病毒，破解后它的标志码很容易查出来，但是垃圾邮件的内容不一样，可能每天出现的关键字是成千上万的，意味着你用检查病毒的方式检查垃圾邮件，你的容量就越来越大。这种思维要转变，不能采用这种方法反垃圾邮件。

　　我们采用的行为模式，实际上总结了垃圾邮件固有的特征。比如你来发，前期是通讯活动的状态，检测垃圾邮件，利用了统计学的原理，把它固有的特征点扩大到采样，从而构成数学模型，比较典型的做法就是不断攻击。我随便打一个比喻，如果说到“法轮功”大量攻击的话，会出现一个现象，一模一样的信，同时来自500个IP，这明显是恶意攻击的特征，一封信不可能从500个IP发过来，一样的标题，什么都一样。我强调一下这只是单指标的模型，如果新浪网这样做的话就会比较粗暴，某一个IP一分钟发了一万封信，一定是发垃圾邮件吗？不一定的，这就是单指标模型还是多指标模型的不同。这样就构造了行为识别的模型，正常的邮件，基本能穿透邮件网关模型，如果不能穿透邮件网关模型，那就有两种类型，一种是百分之百确定为是垃圾邮件，另外一种，它有某些指标不符合，但有些指标符合很多了，比如一分钟发一万封邮件，可能不是垃圾邮件，但高度疑似，有这样的概念，全世界的垃圾邮件还是一个统计学的概念。

　　另外我讲一下空中拦截的技术，比方说一封“法轮功”的信，我们监测过，差不多每一封在160K到180K左右，如果把这些信都收下来的话，流量就产生了。我们的网关只是接收4K到8K 就要缓冲，只要达到8K的数据，就认为是“法轮功”邮件或垃圾邮件。我们的用户会说装了你的网关用不用防病毒呢？因为很多垃圾邮件跟正常邮件不一样，很多流量屏蔽在网关之外。

　　我讲一下SMTP IPS的技术，SMTP要逐渐取代IPS的技术。IPS对于突发的攻击，比如500IP 攻击邮件，如果利用天王星的防病毒去阻断，你的邮件就会瘫痪掉。你怎么做呢？要自动攻击，自动识别出来，中间不需要人为干预，是一个完全自动化的过程。我讲的这一个功能，对我们很多朋友非常的有用。我们经常发现，比如浙江大学，正常的流量是一万封信，如果攻击的话，当天涨到65万封信。如果大家不把这个当一回事的话，遭到攻击的那一天是会到来的。

　　我再讲一讲几个核心的、原创的技术，一个是行为识别、一个是空中拦截，一个是IPS的技术。另外在病毒引擎上介绍一下，这个引擎就是多线程的引擎，可以嵌入在Email上面，美国雅虎的Email怎么杀毒的呢？是一个完全分布式的部署方案。这是一个网关的实际效果图，大家看到从信号学的角度讲，上面的信号在遭受攻击的情况下，是波涛汹涌的，但最底下的流量不超过六千封信，把底下放大流量就是这样一个效果，每天不超过六千封信的流量，从信号角度来讲是非常好的。

出处：中国网

反垃圾邮件技术之“Sender ID”

　　邮件传输协议SMTP允许伪造发信人特征信息，给垃圾邮件制造者以可乘之机，造成了大量的网上垃圾肆虐。

　　Sender ID是目前诸多反垃圾邮件技术中的后来者。2004年6月底，美国微软公司和Pobox.com公司联合向IETF（Internet Engineering Task Force，互联网工程任务组）提出一个关于反垃圾邮件技术Sender ID的标准提案，并成为IETF草案。该技术还得到了得到了美国在线、Yahoo、Sendmail、VeriSign等诸多知名公司的支持。

　　SMTP 缺陷帮了垃圾邮件制造者

　　垃圾邮件之所以能够如此猖獗，与上个世纪70年代制定的电子邮件协议SMTP协议（简单邮件传输协议）本身的缺陷有关。SMTP协议本身是一个简化的邮件递交协议，缺乏必要的身份认证，这是造成垃圾邮件泛滥的原因之一。由于SMTP协议中，允许发信人伪造绝大多数的发信人特征信息，如：发信人、信件路由等，甚至通过匿名转发、开放转发和开放代理等手段，可以近乎完全地抹去垃圾邮件的发信人特征，这对于发现并制止垃圾邮件的传播造成了很大的困难。

　　虽然SMTP的缺陷在互联网发展初期并不是一个严重的问题，甚至是符合当时的实际情况的，但是随着互联网的发展，其先天不足越发凸显。但是，出于兼容性的要求，几乎不可能采用新协议替代它。为了解决认定邮件真实来源的问题，人们提出了各种解决方案，如根据 SMTP 通讯中所声称的发信人信息（HELO信息和MAIL FROM信息）和实际的连接 IP 地址反向解析结果相比较。但是，IP反向解析往往由于很多DNS没有正确配置和涉及虚拟域名的一些技术障碍，这种方法有较大的局限性。

　　针对这种情况，人们提出了一系列的方法，如RMX（反向邮件交换记录）、SPF（发信人策略框架）、CallerID（呼叫者身份认证）和DomainKey（域键）等。目前得到较多支持的是由 Pobox.com提出的SPF技术和Microsoft提出的CallerID技术融合形成的Sender ID（发信人身份认证）技术。该技术已经被IETF下属的MARID工作组（DNS扩展MTA认证记录）审核，随后将它提交给IESG（互联网工程指导组）审核。如果没有问题则把它提交给IETF作为互联网标准发布。

　　Sender ID抓住“漏网之鱼”

　　所谓Sender ID技术，是指SMTP通信过程中对邮件来源进行检查的一种技术，主要归类于连接控制型技术的DNS信息检查类。其基本的工作流程如下：

　　第一步，发信人使用自己的PC机撰写一封邮件；第二步，撰写完毕，PC机通过SMTP协议，路由发送该邮件到接收邮件服务器；第三步，接收邮件服务器通过Sender ID技术对发信人所声称的身份进行检查（该检查通过DNS的特定查询进行）；第四步，如果通过检查，发现发信人所声称的身份和其发信地址相匹配，那么接收该邮件，否则对该邮件采取特定操作，比如直接拒收该邮件。

　　Sender ID技术主要包括两个方面：发送邮件方的支持和接收邮件方的支持。其中发送邮件方的支持主要有三个部分：发信人对其DNS的修改，增加特定的DNS资源记录以表明其发信身份；发信人在其外发邮件服务器的发信通信协议中增加SUBMITTER扩展；发信人根据情况在其邮件中增加Resent-Sender、Resent-From、Sender和From等信头。

　　接收邮件方的支持有：收信人对收到的邮件通信信息进行DNS查询，通过特定的DNS资源记录检查其发信身份。这些检查的通讯信息包括EHLO/HELO信息、MAIL FROM信息、信头中特定的字段信息等。

　　由于Sender ID技术目前还没有通过IETF成为标准，所以一些部分还在不断地改变。比如，Sender ID技术最重要的环节——DNS相应资源记录的修改就进行过大的改变。因此，下面所描述的DNS修改有可能在实际标准发布时候有所变动，请参考将来发布的具体标准内容（以下信息来自2004年8月30日提交的最新标准草案）。

　　为DNS增加SPF2记录

　　发信人对其DNS的修改，主要是对相应的发信域加特定的SPF2资源记录来申明发信域的发信服务器地址。比如对于example.com域，增加：example.com.IN SPF2：“spf2.0/pra +mx +a: 11.22.33 .44/24 -all”，其意思是，该记录是SPF2版本的记录，该域的外发邮件服务器的地址包括接收邮件服务器（MX）的地址和11.22.33.44/24这个网段（举例说明），除此之外没有其他的外发邮件服务器。现行版本的DNS服务器软件大多尚未支持新的SPF2资源记录，出于兼容的原因，允许使用同样内容的TXT资源记录来出版SPF2信息。检查该信息的MTA会检查 SPF2资源记录和TXT资源记录，并在SPF2资源记录不可用的情况下使用TXT资源记录。

　　MTA对DNS的SPF2/TXT记录的检查是通过IP地址（IPv4或IPv6）、域名和发信人邮箱来检查的，检查结果可能有4种：不明确、允许、拒绝、准拒绝。如果结果是允许，那么该邮件应该被正确接纳。

　　为邮件服务器软件增加SUBMITTER扩展

　　发信人要在邮件通信的MAIL FROM指令中增加SUBMITTER扩展，它需要对邮件服务器软件进行修改才能支持。比如，在通常的MAIL FROM指令：MAIL FROM:alice@example.com后面增加SUBMITTER部分： MAIL FROM:SUBMITTER=alice@example.com。通过这个扩展，可以告诉支持 SUBMITTER 扩展的接收邮件服务器用于参考的发件人。

　　如果不是普通的邮件发送，发信人还要针对特定的邮件发送行为增加特定的邮件信头，它也需要对邮件服务器软件进行修改才能支持。比如在邮件列表服务器发信时，应在信头中增加 Sender字段；在邮件转发时，应在信头中增加Resent-From字段；在发送来自手机、旅馆、网吧等移动式用户的邮件时，应在信头中增加Sender字段。通过这些字段，接收邮件服务器能有效地甄别发信人信息，并据此进行验证。接收邮件服务器也要对邮件服务器软件进行修改，以支持SUBMITTER扩展和对SPF资源记录的检查。

　　目前只有Sendmail正式宣布支持Sender ID，其他的MTA软件厂商和开发者还在观望中，这个情况有望在Sender ID通过审核成为标准后改变。

　　Sender ID也有缺陷

　　SenderID技术抓住了垃圾邮件发送的一个重要特征，那就是垃圾邮件总是想方设法地掩盖其发送来源，通过这一点可以避免被阻挡、追踪和逃避法律责任。因此，广泛实施的Sender ID技术可以对垃圾邮件的生存造成致命的打击。

　　那么，是不是SenderID技术就是垃圾邮件的的克星了？不是。因为Sender ID技术只是一个解决垃圾邮件发送源的技术，从本质上来说，并不能鉴定一个邮件是否是垃圾邮件。比如，垃圾邮件发送者可以通过注册廉价的域名来发送垃圾邮件，从技术的角度来看，一切都是符合规范的；还有，垃圾邮件发送者还可以通过别人的邮件服务器的漏洞转发其垃圾邮件，这同样是 SenderID 技术所不能解决的。

　　Sender ID有效打击垃圾邮件

　　如果IETF能够及时通过Sender ID标准的话（目前来看，该技术获得通过的可能性很大），那么，在主要的ISP的支持下获得大范围的应用后，可以说，现在的这种通过伪造发信身份以躲避垃圾邮件追踪的垃圾邮件发送方式将不再可行。再辅助以法律手段和国际间的合作，可以有效降低现有的垃圾邮件数量。

　　 反垃圾邮件工作是一个长期而艰苦的工作，垃圾邮件发送者也会因为根本的利益驱动来想方设法地绕开反垃圾邮件手段来继续寻求新的垃圾邮件发送方式。但是，至少Sender ID是一个在SMTP协议出现以来最直接的反垃圾邮件手段，我们对其发展抱有良好的期望。

出处：赛迪网

反垃圾邮件技术之“互免技术”

定义：

　　普通服务器：使用 smtp/esmtp 协议进行收发信的电子邮件服务器。

　　互免服务器：兼容并使用 esmtp ，同时采用互免垃圾邮件技术进行收发信的电子邮件服务器。

　　邮件位置指示：指明邮件的 URI 。
　　
　　邮件指针：互免服务器之间的传递物。

关于发信过程

　　（1）双方服务器握手，测试收信方是否也为互免服务器

　　（2）如收信方不是互免服务器（即为普通服务器），则按正常的发信过程发送邮件本身（此时作为发信方的互免服务器退化为普通服务器）

　　（3）如收信方是互免服务器，则仅仅传递邮件的指针，而不传递该邮件本身，邮件本身放在发信者的发信箱内。

关于收信信箱

　　互免服务器的用户的收信信箱内有两种格式的邮件

　　一种是来自普通服务器的正常邮件。

　　另一种是来自互免服务器的邮件指针。邮件指针含正常的邮件头部（内有发信者的电子邮件地址及标题信息等）和邮件位置指示。收信者可以根据发信者的电子邮件地址及标题信息，初步判断其是否为垃圾邮件。如判断是，则不阅读/不下载，并拒绝签收；如无法判断，则阅读/下载邮件（系统根据邮件位置指示信息下载邮件），阅读后如判断是垃圾邮件，则拒绝签收；如不是垃圾邮件，则可签收，也可以不动作（对方服务器默认签收）；如无法阅读/下载该邮件，则说明该邮件已经被对方删除/回收。

关于发信信箱

　　互免服务器的用户的发信信箱内有两种格式的邮件

　　一种是发往普通服务器的邮件（用户选项中可以选择不保存此类邮件）。

　　另一种是发往互免服务器的邮件，由于只发送了邮件指针，邮件本身就存放与此（邮件指针中的邮件位置指示的 URI 也定位与此）。发信者可查看邮件被阅读（指被收信者阅读）的状态，未被阅读和被拒绝签收的状态一致，均为未被阅读；已被阅读为已被阅读状态（用户选项可以选择自动删除此类邮件）。对于未被阅读的邮件，发信者可以对邮件进行修改，或者删除来回收该邮件。注意：当邮件被收信者阅读/下载后没有签收动作的，系统自动添加入签收的信息。

关于转发邮件

　　转发邮件是用户开启的功能，在实施时会遇到四种情况

　　（1）是互免服务器A向互免服务器B转发来自互免服务器C的邮件。此时互免服务器A收到的一定是邮件指针，而由于邮件位置指示放在邮件指针的头部，所以转发时检查头部已有邮件位置指示则不再产生新的邮件位置指示。

　　（2）是互免服务器A向互免服务器B转发来自普通服务器C的邮件。邮件被留在互免服务器A的用户的发信信箱内。同时互免服务器A根据该邮件产生邮件指针发向互免服务器B。

　　（3）是互免服务器A向普通服务器B转发来自互免服务器C的邮件。此时互免服务器A收到的一定是邮件指针，互免服务器A根据邮件位置指示下载该邮件转发给普通服务器B。

　　（4）是互免服务器 A 向普通服务器B转发来自普通服务器C的邮件。此时互免服务器A已经退化为普通服务器，转信过程同普通服务器。

关于群发邮件

　　转发邮件是用户开启的功能，存在发垃圾邮件风险，系统可选择稍作限制。

　　互免服务器在群发邮件的投递过程中将邮递列表中的普通服务器的用户按正常收发过程操作，邮递列表中的互免服务器的用户按互免垃圾邮件技术只发送邮件指针，并且重复占用发信者发信信箱的空间。如：同一封邮件发给互免服务器的三个用户，则在发信信箱内保存三个分别针对三个用户的邮件拷贝。

关于反垃圾邮件的效果

　　（1）反垃圾邮件的效果依赖于收信者拒绝签收（特别是阅读后仍拒绝签收）。这些被拒绝签收的邮件和未被阅读的邮件状态相同，使发信者如果是垃圾制造者很难知道发送垃圾邮件的目的是否已经达到（不知道对方未阅读还是阅读完后拒绝签收）。如果这样的邮件多了（这正式垃圾邮件的一个特征），最终会占满垃圾制造者的发信空间，使之自己阻碍自己继续制造垃圾邮件。而如果发信者发送的是正常业务的邮件未被签收，那么根据常理推测收信方未阅读；

　　（2）采用了只传送邮件指针的方法，而且一些垃圾邮件没能被阅读/下载就被拒绝签收，使得网络的流量下降；

　　（3）再者未被阅读的垃圾邮件的增多也使垃圾制造者维护发信信箱的维护量变大，无形中增加了发送垃圾邮件的成本；

　　（4）同时尽管几经转发，但是仍能从邮件指示得到邮件发送者，这也有助于威慑垃圾邮件的发送者。

　　此外现在电子邮件的信箱日益增大，有时甚至1G以上，为不影响反垃圾的效果，应限制发信信箱的容量，而增加用户收信信箱的容量。

关于使用范围

　　互免垃圾邮件技术必须要求双方都要使用互免服务器，才能互相免去垃圾邮件。因此实际应用时至少需要两个大型ISP支持，才能有效果。随着互免垃圾联盟的壮大，才有可能杜绝垃圾。

反垃圾邮件技术之“贝叶斯技术”

一、 贝叶斯介绍

　　贝叶斯是基于概率的一种算法，是Thomas Bayes：一位伟大的数学大师所创建的，目前此种算法用于过滤垃圾邮件得到了广泛地好评。贝叶斯过滤器是基于“自我学习”的智能技术，能够使自己适应垃圾邮件制造者的新把戏，同时为合法电子邮件提供保护。在智能邮件过滤技术中，贝叶斯（Bayesian）过滤技术取得了较大的成功，被越来越多地应用在反垃圾邮件的产品中。

二、 贝叶斯过滤算法的基本步骤


　　1. 收集大量的垃圾邮件和非垃圾邮件，建立垃圾邮件集和非垃圾邮件集。

　　2. 提取邮件主题和邮件体中的独立字符串，例如 ABC32，￥234等作为TOKEN串并统计提取出的TOKEN串出现的次数即字频。按照上述的方法分别处理垃圾邮件集和非垃圾邮件集中的所有邮件。

　　3. 每一个邮件集对应一个哈希表，hashtable_good对应非垃圾邮件集而hashtable_bad对应垃圾邮件集。表中存储TOKEN串到字频的映射关系。

　　4. 计算每个哈希表中TOKEN串出现的概率P=（某TOKEN串的字频）/（对应哈希表的长度）

　　5. 综合考虑hashtable_good和hashtable_bad，推断出当新来的邮件中出现某个TOKEN串时，该新邮件为垃圾邮件的概率。数学表达式为：

　　A 事件 ---- 邮件为垃圾邮件；

　　t1,t2 …….tn 代表 TOKEN 串

　　则 P （ A|ti ）表示在邮件中出现 TOKEN 串 ti 时，该邮件为垃圾邮件的概率。

　　设

　　P1 （ ti ） = （ ti 在 hashtable_good 中的值）

　　P2 （ ti ） = （ ti 在 hashtable_ bad 中的值）

　　则 P （ A|ti ） =P2 （ ti ） /[ （ P1 （ ti ） +P2 （ ti ） ] ；


　　6. 建立新的哈希表hashtable_probability存储TOKEN串ti到P（A|ti）的映射

　　7. 至此，垃圾邮件集和非垃圾邮件集的学习过程结束。根据建立的哈希表 hashtable_probability可以估计一封新到的邮件为垃圾邮件的可能性。

　　当新到一封邮件时，按照步骤2，生成TOKEN串。查询hashtable_probability得到该TOKEN 串的键值。

　　假设由该邮件共得到N个TOKEN 串，t1,t2…….tn,hashtable_probability中对应的值为 P1 ， P2 ， ……PN ， P(A|t1 ,t2, t3……tn) 表示在邮件中同时出现多个TOKEN串t1,t2……tn时，该邮件为垃圾邮件的概率。

　　由复合概率公式可得
　　P(A|t1 ,t2, t3……tn)=（P1*P2*……PN）/[P1*P2*……PN+（1-P1）*（1-P2）*……（1-PN）]

　　当 P(A|t1 ,t2, t3……tn) 超过预定阈值时，就可以判断邮件为垃圾邮件。


三、 贝叶斯过滤算法举例

　　例如：一封含有 “ 法轮功 ” 字样的垃圾邮件 A 和一封含有 “ 法律 ” 字样的非垃圾邮件 B 。 根据邮件 A 生成 hashtable_bad ，该哈希表中的记录为

　　法： 1 次

　　轮： 1 次

　　功： 1 次

　　计算得在本表中：

　　法出现的概率为 0.3

　　轮出现的概率为 0.3

　　功出现的概率为 0.3

　　根据邮件B生成hashtable_good，该哈希表中的记录为：

　　法： 1 次

　　律： 1 次

　　计算得在本表中：

　　法出现的概率为 0.5

　　律出现的概率为 0.5

　　综合考虑两个哈希表，共有四个 TOKEN 串：法 轮 功 律

　　当邮件中出现“法”时，该邮件为垃圾邮件的概率为：

　　P = 0.3/ （ 0.3 + 0.5 ） = 0.375

　　出现“轮”时，该邮件为垃圾邮件的概率为：

　　P = 0.3/ （ 0.3 + 0 ） = 1

　　出现“功”时，该邮件为垃圾邮件的概率为：

　　P = 0.3/ （ 0.3 + 0 ） = 1

　　出现“律”时，该邮件为垃圾邮件的概率为：

　　P = 0/ （ 0 + 0.5 ） = 0

　　由此可得第三个哈希表 hashtable_probability ，其数据为：

　　法： 0.375

　　轮： 1

　　功： 1

　　律： 0

　　当新到一封含有“功律”的邮件时，我们可得到两个TOKEN串：功 律

　　查询哈希表 hashtable_probability 可得：

　　P （垃圾邮件 | 功） = 1

　　P （垃圾邮件 | 律） = 0

　　此时该邮件为垃圾邮件的可能性为：

　　P= （ 0*1 ） /[0*1+ （ 1-0 ） * （ 1-1 ） ] = 0

　　由此可推出该邮件为非垃圾邮件。

四、总结

反垃圾邮件技术之“邮件分拣技术”

　　【赛迪网讯】 IBM日前宣布，它已开发出对付垃圾邮件的锐利武器——邮件分检技术，该技术通过对域名的分析可直接降低垃圾邮件来源电脑的运行速度。

　　该项反垃圾邮件技术主要针对垃圾邮件发送源头，代号为FairUCE的软件对垃圾邮件来源进行确认之后，向源头回敬大量邮件信息，直至该电脑的运行速度减下来而无法再发送邮件为止。也就是说，发送的垃圾邮件越多，也会遭遇同等数量的垃圾信息。

　　据IBM研究显示，二月份垃圾邮件比例高达76%，每46封邮件中就有一封包含病毒等恶意代码。尽管比例如此之高，与一月份相比还是有所下降，一月份以垃圾邮件比例高达83%。

　　IBM表示，FairUCE过滤技术的核心是网络领域的身份管理工具，通过建立邮件档案信息追踪到其源头。追踪到具体的IP地址后，系统自动生成记录，并将垃圾邮件原路返回，直至其系统无法运转。

　　IBM推广试验FairUCE等新技术的在线社区AlphaWorks部门经理Marc Goubert表示，主要目的与其说是惩罚垃圾邮件肇事者，还不如说是帮助人们对付垃圾邮件之害。他说，“该技术的出发点是让用户免受垃圾邮件之扰，也可能是更有威力的措施，但并不会产生更大的网络流量，我们不愿望干涉正常的邮件往来。我们并非试图攻击垃圾邮件制造者，而是在净化用户的邮箱。”

　　此前一系列反击垃圾邮件来源机器的做法引来了互联网监管机构的批评，其中最大的担忧是类似反击工具可能影响正常的商务邮件。欧洲网络门户Lycos推出的反垃圾邮件工具遭到了包括反病毒软件提供商在内的业界观察人士的谴责，该工具对垃圾邮件源头采取了轰炸的极端做法，一些无辜用户受到牵连。Lycos随后将该免费产品撤出。

　　业界分析师、Hurwitz集团总裁Judith Hurwitz对IBM的举动表示称赞，他说，FairUCE工具有利的一面要胜过对正常商业交往的不利影响。