中国互联网协会发布近期《垃圾邮件服务器黑名单》

中国将使用“电子邮票”防控垃圾邮件

　　中国互联网大会绿色网络文化建设论坛25日在江苏省昆山市举行。中国互联网协会反垃圾邮件工作委员会主任委员王秀军在会上透露，一旦条件成熟，中国将使用“电子邮票”技术，即电子邮件发送源头识别技术，提高垃圾邮件防控效率。

　　据介绍，中国互联网协会反垃圾邮件工作委员会正在与上海交通大学等科研机构联合进行 “电子邮票”技术的研发工作。这项技术能够从源头识别电子邮件身份，从而判断其是否为正常邮件，以便在其发送过程中采取有效措施，从源头减少垃圾邮件的产生，并对群发邮件起到有效的控制作用。

　　王秀军表示，“电子邮票”技术还可以将商业邮件与垃圾邮件进行有效区分，从而更好地保障互联网用户的利益，同时也能起到促进邮件产业发展的作用。

出处：中国互联网协会反垃圾邮件中心

如何正确预防垃圾邮件与网络钓鱼诈骗

　　垃圾邮件已经不是新玩意。擅自发送广告、霸占频宽以及影响生产力等问题已困扰使用者多年—而2006年垃圾邮件数量仍持续上扬。垃圾邮件数量增长背后的原因之一是傀儡程序主控者利用他们的傀儡网络来散发垃圾邮件。在这种情况下，电子邮件散布来源经常在傀儡网络成员之间变换，导致采用黑名单作为防御策略几乎完全失效。我们也观察到使用恶意程序作为垃圾邮件散发平台的类似案例。STRAT蠕虫的散布便是一个最好的例子，这个事件发生在2006年第三季与第四季。这只蠕虫的行为模式非常像典型的蠕虫，散播速度极快且会散发大量邮件，但它有一个特别的新花招：它会利用每一个遭感染的主机散发在线药商的广告垃圾邮件。之前曾提过的NUWAR蠕虫也会利用遭感染的机器作为垃圾邮件发送平台。趋势科技预测，同样的情节必定会一再重演，这对所有电子邮件使用者与他们的收件箱而言并不是个好消息。

　　此外，这些垃圾邮件散发者还会运用最新的技巧散发大量邮件：视频垃圾邮件。2006年，垃圾邮件散发者为了避免被垃圾邮件过滤器拦截，因而重施故技，使得这种手法目前变得相当热门：将电子邮件的广告内容放在视频当中，并且在字里行间夹杂各种随机产生的元素，像是点或线等。这类垃圾邮件所衍生出的复杂性，使得启发式智能型扫瞄引擎与其它垃圾邮件防护技术难以侦测到垃圾邮件。

　　根据趋势科技的分析，截至2006年二月为止，每个月新增的网络钓鱼攻击事件平均可达4000件。虽然样本的处理每天都持续未间断，但是在处理这些真实样本期间，仍有将近60%的网络钓鱼网站不是因为被发现而关闭，就是改变型态以躲避侦测。这突显出我们有必要采用具备永久性联机或智能型启发式技术的产品，才能有效侦测及封锁钓鱼网站。

出处：中国互联网协会反垃圾邮件中心

反垃圾邮件技术之过滤技术的介绍

　　目前最主要的对抗垃圾邮件的技术是邮件过滤技术（Mail Filter）。实时黑名单技术只是其中的一种特定的方法。

　　邮件过滤按照在邮件系统结构中的角色可以分为三类：

　　MTA（邮件传输代理）过滤

　　MDA（邮件递交代理）过滤

　　MUA（邮件用户代理）过滤

　　MTA过滤是指MTA在会话过程中对会话的数据进行检查，对于符合过滤条件的邮件进行过滤处理。邮件会话过程中有两个阶段可以进行过滤：

　　邮件发送邮件数据前，即在发送DATA指令前的过滤。在发送DATA指令前，邮件对话可以在 SMTP连接开始、HELO/EHLO指令、MAIL FROM指令和RCPT TO指令中对会话数据进行检查。

　　SMTP连接时，可以检查客户端IP地址是不是特定的不允许连接的地址，如被列入黑名单IP 就会被立刻拒绝连接。这里的黑名单可以是实时黑名单（RBL），也可以是访问列表。

　　对HELO/EHLO指令所提供的身份，可以检查是不是FQDN（完全限定域名，包括完整的主机名、域名的地址）、是不是要求的身份等。

　　对MAIL FROM指令所提供的邮件来源，可以检查是不是有效域（可以通过DNS反向查询检查）、是不是FQDN、是不是符合RFC822格式等。

　　对RCPT TO指令所提供邮件接收者，可以检查是不是属于允许转发的域、是不是符合RFC822格式、是不是通过认证的发信人等。

　　如果在检查中该会话符合过滤的条件，就可以按照过滤规则采取相应的动作，如直接在会话阶段断开连接、发出警告代码等。

　　邮件发送邮件数据前的检查也叫做信封检查。

　　邮件发送邮件数据后，即在发送DATA指令后的过滤。在通过一个点的单行结束DATA指令后，可以对DATA指令接收到的数据进行检查，这包括信头检查和信体检查。在DATA指令所传送的数据中，信头和信体是通过一个空行分隔开的。

　　信头检查。通常垃圾邮件在信头中都有一定的特征可供识别。通过这些特定信头字段可以很快地识别为垃圾邮件。

　　信体检查。有时候通过信头检查还不足以判断一封邮件是否是垃圾邮件，往往还要针对情况进行信体检查。

　　信头一般都比较小，通常在1KB－10KB之间，检查信头也比较快。而信体检查就要检查大量的数据，会给邮件服务器带来很大的负载，所以通常信体检查放在其他检查的后面进行。目前最流行的信体检查是贝叶斯（Bayes）算法的内容概率检查。

　　邮件发送邮件数据后的检查实际上是在邮件数据传输基本完毕后进行的，因此并不能节省被垃圾邮件占用的带宽和处理能力，只是可以让用户不再收到这些已被过滤的垃圾邮件。

　　MDA过滤是指MDA在从MTA中接收到信件，在本地或远程进行递交时进行检查，对于符合过滤条件的邮件进行过滤处理。

　　很多的MDA都支持在这个过程进行过滤，如Procmail、Maildrop和Cyrus-IMAP等，甚至它们本身就是作为过滤器使用的。这些过滤器使用过滤语言（如Sieve，它是一个标准化的邮件过滤语言，现在已成为IETF标准）来制订过滤规则，因此配置比较灵活、功能强大。但是由于是在邮件递交阶段进行过滤，同MTA的邮件发送邮件数据后的检查一样，并不能节省被垃圾邮件占用的带宽和处理能力，只是可以让用户不再收到这些已被过滤的垃圾邮件。

　　MTA和MDA过滤都是邮件服务器端的过滤，而MUA过滤是邮件用户的客户端的过滤。多数流行的邮件客户端，如Outlook、Outlook Express、Netscape Mail、Foxmail等都支持MUA过滤。

　　邮件过滤是一项应用的相当早也相当广泛的技术，因而也发展的比较完善。绝大多数的主流邮件系统都支持邮件过滤，一些不直接支持该功能的邮件系统也可以通过补丁或外置的邮件过滤器来实现邮件过滤。

出处：中国互联网协会反垃圾邮件中心

谨慎使用电子邮件附件

　　尽管电子邮件附件是一种流行且简便的传送文件的方式，它们通常也是病毒的来源。谨慎打开邮件附件，即使它们看起来象某个你认识的人发送的。

　　为什么电子邮件附件会很危险？

　　使得电子邮件简便又流行的特点，同时也令它们成为攻击者的方便工具：

　　电子邮件很容易发送—发送邮件是如此简单使得病毒可以迅速感染很多机器。大部分病毒甚至不需要用户发出邮件—它们扫描用户电脑里的邮件地址，并自动将病毒信息发送给所有它们找到的地址。攻击者利用了用户普遍轻信从他们认识的人那里发送来的信息并自动打开附件的弱点来进行攻击。

　　邮件程序试图解决用户的所有需求—几乎任何类型的文件都可以粘贴到电子邮件上。因此攻击者在选择病毒类型方面获得了更大的自由。

　　邮件程序对用户提供了很多方便使用的特点—有的邮件程序有自动下载邮件附件的选项，这会使你的电脑瞬间暴露于附件中携带的任何病毒的威胁之下。

　　采取什么措施保护你和你地址簿中的其他人？

　　对未经要求主动发送来的附件要特别警惕—只是看起来象从你的妈妈、奶奶或者老板那里发送的，并不代表它们真的如此。很多病毒能够“哄骗”回复地址，让信息看起来象从别人那里发送的。如果可以，联系最有可能发送给你这封邮件的人，确保它合法后再打开附件。这样的邮件包括也看起来象从你的ISP服务商或软件厂商那里发送来的，称包含反病毒软件补丁的信件。ISP和软件厂商是不会通过电子邮件发送软件补丁的。

　　在打开任何一个附件之前先进行保存和扫描—如果你不得不在能够确定来源之前打开附件，请按下面的步骤操作：

　　1.确保你的反病毒软件里的数字签名保持更新。

　　2.将文件保存到你的电脑或磁盘中。

　　3.用你的反病毒软件手动扫描文件。

　　4.打开文件。

　　5.关闭自动下载附件的选项—为了简化读取电子邮件的过程，很多邮件程序提供了自动下载附件的特色选项。检查你的软件里的此项设置，并关闭它。

出处：中国互联网协会反垃圾邮件中心