LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。是基于X.500标准的。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

　　简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。

　　LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用，不过根据组织者的需要，它可以做得更加强大。

　　LDAP其实是一电话簿，类似于我们所使用诸如 NIS（Network Information Service）、DNS（Domain Name Service）等网络目录，也类似于你在花园中所看到的树木。

　　不少LDAP开发人员喜欢把LDAP与关系数据库相比，认为是另一种的存贮方式，然后在读性能上进行比较。实际上，这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念，后者是存贮方式（同一层次如网格数据库，对象数据库），前者是存贮模式和访问协议。LDAP是比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果，不过在其它方面，例如更新，就慢得多。

　　从另一个意义上LDAP是实现了指定的数据结构的存贮，它是一种特殊的数据库。但是LDAP和一般的数据库不同，明白这一点是很重要的。LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。

　　就象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但不是关系型数据库。要特别注意的是，LDAP通常作为一个hierarchal数据库使用，而不是一个关系数据库。因此，它的结构用树来表示比用表格好。正因为这样，就不能用SQL语句了。

　　现在LDAP技术不仅发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

　　LDAP目录的优势

　　如果需要开发一种提供公共信息查询的系统一般的设计方法可能是采用基于WEB的数据库设计方式，即前端使用浏览器而后端使用WEB服务器加上关系数据库。后端在Windows的典型实现可能是Windows NT + IIS + Acess数据库或者是SQL服务器，IIS和数据库之间通过ASP技术使用ODBC进行连接，达到通过填写表单查询数据的功能。后端在Linux系统的典型实现可能是Linux+ Apache + postgresql，Apache和数据库之间通过PHP3提供的函数进行连接。使用上述方法的缺点是后端关系数据库的引入导致系统整体的性能降低和系统的管理比较繁琐，因为需要不断的进行数据类型的验证和事务的完整性的确认；并且前端用户对数据的控制不够灵活，用户权限的设置一般只能是设置在表一级而不是设置在记录一级。

　　目录服务的推出主要是解决上述数据库中存在的问题。目录与关系数据库相似，是指具有描述性的基于属性的记录集合，但它的数据类型主要是字符型，为检索的需要添加了BIN（二进制数据）、CIS（忽略大小写） CES （大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现 All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。

　　现在该说说LDAP目录到底有些什么优势了。现在LDAP的流行是很多因数共同作用的结果。可能LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的 LDAP 的客户端程序访问 LDAP 目录。而且也很容易定制应用程序为它加上 LDAP 的支持。

LDAP 协议是跨平台的和标准的协议，因此应用程序就不用为 LDAP 目录放在什么样的服务器上操心了。实际上，LDAP得到了业界的广泛认可，因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的 LDAP目录服务器（或者还可能是具有LDAP界面的关系型数据库），因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。不象很多商用的关系型数据库，你不必为LDAP的每一个客户端连接或许可协议付费大多数的LDAP服务器安装起来很简单，也容易维护和优化。

　　LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。LDAP允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。

　　大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的 LDAP目录服务器并不适合存储需要需要经常改变的数据。例如，用LDAP服务器来存储电话号码是一个很好的选择，但是它不能作为电子商务站点的数据库服务器。

　　安全和访问控制

　　LDAP提供很复杂的不同层次的访问控制或者ACI。因这些访问可以在服务器端控制，这比用客户端的软件保证数据的安全可安全多了。

　　LDAP目录树的结构

　　LDAP目录以树状的层次结构来存储数据。如果你对自顶向下的DNS树或UNIX文件的目录树比较熟悉，也就很容易掌握LDAP目录树这个概念了。就象DNS的主机名那样，LDAP目录记录的标识名（Distinguished Name，简称DN）是用来读取单个记录，以及回溯到树的顶部。

　　在LDAP目录中的所有记录项都有一个唯一的“Distinguished Name”，也就是DN。每一个LDAP记录项的 DN是由两个部分组成的：相对DN（RDN）和记录在LDAP目录中的位置。

　　RDN是DN中与目录树的结构无关的部分。在LDAP目录中存储的记录项都要有一个名字，这个名字通常存在 cn（Common Name）这个属性里。因为几乎所有的东西都有一个名字，在LDAP中存储的对象都用它们的cn值作为RDN的基础。

　　LDAP协议常见的命名格式

　　LDAP协议中采用的命名格式， 因为我们需要通过名字信息访问目录对象，所以名字格式对于用户或者应用程序非常重要。活动目录支持大多数的名字格式类型。较为常用的格式有以下两种：

　　 （1）RFC822命名法

　　这种命名法的标准格式为：object_name@domain_name，形式非常类似于电子邮件地址。活动目录为所有的用户提供了这种式的好名字，所以用户可以直接使用该友好名字当作电子邮件地址，也可以用作登录系统时的账户名。

　　 （2）LDAP URL和X.500名字

　　任何一个支持LDAP的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL 名字那么直观，但是LDAP名往往隐藏在 应用系统的内部，最终用户很少直接使用LDAP名。LDAP名使用X.500命名规范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

　　采用规则匹配的邮件过滤技术，对用户要求高，易用性差。采用机器学习、文本分类的反垃圾邮件技术易用性好，却无法阻挡图片垃圾邮件。新兴的OCR指纹分析技术则能有效阻挡图片垃圾邮件。然而我们只有将各种技术融合才能全面有效阻挡各种垃圾邮件。

　　字典型攻击

　　垃圾邮件的发送者常会使用所谓的字典式攻击，就是挑选一些常见的英文名字，重新组合，再将组合过后的单词当作收件者，全部寄出。Spammer通常会挑选拥有最多的使用会员的电子信箱服务提供者，因此字典式攻击的命中率会相对比较高。

　　伪装邮件主题

　　垃圾邮件发送者使用假的邮件标题，让邮件看起来不像是广告信。此类邮件一般都带有请求阅读回执的功能，阅读者只要打开这些邮件，很有可能进入Spammer的投放命中数据库。

　　冒充熟悉的朋友

　　垃圾邮件的传送者也会伪装认识收件者，寄件主题上使用熟悉的字眼吸引收件者注意。这样的伎俩是诱骗使用者开启广告邮件。

　　连锁信

　　很多人收到连锁信时都被告知要将收到的内容继续转发给你的朋友。有时候它们会告诉你每发一次信就可以有多少钱的收入或者告诉你若没有转寄超过10个人你的噩运即将来到。这些邮件有些可能是恶作剧，但你绝对不要异想天开转寄邮件后会收到金钱。

　　也许你每天早上打开邮箱的时候，会利用一半的时间处理莫名其妙的邮件；

　　也许你不经意间打开了陌生人的邮件，你的电脑便成为了病毒的傀儡；

　　也许客户的邮件一直没有收到，投诉电话打到老板的办公室。

　　造成上述恶行的罪魁祸首就是垃圾邮件。自从1971年Arpanet发出第一封以“@”作为标志的电子邮件，直到垃圾邮件泛滥成灾的今天，谁也没有想到，这将是互联网一个大“Bug”。

　　融合技术反垃圾

　　我们将目光定位到现阶段的反垃圾邮件的技术细节上，从基础的邮件结构和相对成熟的技术上将其分类，大致可以分为：邮件服务系统的安全加固技术、过滤技术、特征分析、可信度评测、内容识别技术等。但是，上述技术中的任何一项单独拿出来，在SPAM面前就好像螳臂挡车，技术融合才是治理垃圾邮件的有效手段。

　　用户首先需要对服务器端进行安全配置，如Access Control List、Tcp Wrappers、主机路由表防护、阻止Open Relay等；然后根据早期的白名单、黑名单的技术优势，再选择加入Domain Key和Sender ID的邮件系统，形成比较全面的反垃圾邮件系统。

　　首先出现的是Domain Key技术，它的核心思想是每个域名都申请一个PKI证书，然后把公钥存储在DNS服务器中。发件服务器对每一封使用这台服务器密钥的电子邮件进行签名，收件服务器验证发件服务器签名是否有效，通过这样的方式来防范垃圾邮件。

　　Sender ID利用了SPF记录格，这有助于减少电子邮件域的伪造现象，并可更好地防范网络钓鱼阴谋。减少域的伪造现象有助于保护合法发信人的域名和声誉，并且帮助收件人更有效地识别和筛选垃圾邮件以及钓鱼攻击。

　　技术解决的问题是邮件地址是否合法有效，不但可以拒绝邮件地址和签名不一致的邮件，还可辅助黑白名单进行过滤。但由于这两项技术的缺陷是需要对现在所有的邮件服务器进行升级改造，因此推广实施进度并不像我们预期的那么快。

　　邮件过滤短板

　　很多邮件服务器在网关层面针对一些敏感的词语进行过滤。若邮件内容中出现了这类词语，则该邮件将被拒收。此技术可有效地阻止利用电子邮件进行非法、反动、色情宣传，但如果发送者将这些词汇稍微改变就可以轻易地突破这道防线，而一些正当往来的业务邮件，如果包含了设定的词汇也可能被屏蔽。

　　早期过滤技术所依赖的就是规则匹配。规则匹配技术指邮件服务器或用户可制订一些硬性规则，拒收或过滤符合规则的邮件。该项技术的问题在于：一是采用规则匹配，尤其是正则表达式匹配，对用户要求较高，且易用性不好；二是规则的制订总是落后于垃圾邮件特征的变化。

　　随之改进的技术是采用机器学习、文本分类技术自动进行邮件阻挡。这项技术的优势在于可以根据垃圾邮件内容特征的变化，自适应地更新过滤器，从而使过滤器和垃圾邮件自动同步。该类技术易用性好，不需要用户过多参与。但只能针对邮件的文本内容进行处理，对邮件附件中的图像、声音等内容无法分析。

　　经历了一段时间的势均力敌的较量，狡猾的垃圾邮件发送者通常会改变他们的垃圾邮件发送方法。只包含图片的垃圾邮件开始盛行起来，现有的过滤系统很难发现或进行智能重组，因为原有的反垃圾邮件技术根本无法知道图片的内容。

　　新兴技术与特点

　　一般的垃圾邮件防火墙产品，可以拦截住95%以上的普通文字垃圾邮件，但对于图片型邮件的防范力度都显得不足。在针对此类邮件的防治技术中，OCR(光学字符识别)指纹分析技术和可变陌生访问限制技术值得我们关注。

　　指纹分析

　　指纹分析系统的核心一般是OCR技术。目前，很多厂商都是配合蜜罐系统及用户的举报来收集垃圾邮件并予以分析，在此基础上形成垃圾邮件指纹库。分析邮件并与指纹库中的数据进行比较，自动地阻断、隔离、标记邮件，这样指纹分析就能够阻断图片垃圾邮件，提高识别率与命中率。

　　可变陌生访问限制

　　可变陌生访问限制是一种控制垃圾邮件发送的技术，但它并不只是一种单纯的发送端控制技术，而是一个需要邮件发送与接收处理各个环节共同参与的新一代邮件构建体系。它的核心思想是：根据邮件接收人对垃圾邮件的投诉，计算发信人的信用，以此控制垃圾邮件的发送，采用邮件服务器与邮件地址两级白名单控制垃圾邮件的接收。

　　面对汹涌而来的垃圾邮件，“自扫门前雪”已经不足以宣泄很多互联网用户胸中的愤懑，对垃圾邮件的深恶痛绝和思维中流淌的公益道德使得很多用户正在行动起来，向垃圾邮件发起最有力的反击。事实上，我们每一个受到过垃圾邮件侵害的用户都应该积极响应这种行动，以法律、道德的两把利剑惩罚那些忽视消费者利益的厂商和个人。

　　3G时代，收发电子邮件功能将成为手机的基础功能之一，手机邮件服务也将成为3G运营商一项基础服务。

　　手机邮件服务是在手机上可以收发文本、图像等文件，扩大了通信的范围，具体包括以下业务：

　　图片邮件，用户可以将拍摄的静止图片插入邮件中，发送到PC和任何手机用户。如果图片大小超出限制也没关系，服务器会发给接收用户一个URL链接，只需下载就可以查看图片。

　　动画邮件，允许用户发送动画和视频，用户不仅可以发送用手机拍摄的动画，也可以发送从SP网站下载的动画。接收端用户将看到一个带有URL链接的信息，只需通过该链接下载信息内容，就可以通过终端看到图片或者视频。

　　多彩邮件，即DIY邮件，通过使用不同的模版，用户可以像编辑网页一样方便快捷地制作个性化的邮件，如改变背景颜色、文字大小 颜色，插入图片，编辑排版等。编写的邮件符合HTML标准，各种终端也可以毫无障碍地接受多彩邮件。

　　从互联网的发展历史来看，电子邮件始终是最普及的应用之一，表明人们对于“非同步沟通”的沟通模式（即通讯双方不需要同时在线）有着高度的需求。很有趣的是，在移动上网高度发达的日本，短信反而没什么人使用，甚至是必须额外付费跟电信运营商申请才能享受的服务。原因很简单，因为电子邮件在手机上面的使用，比短信应用更早成熟，因而反过来挤压到短信的生存空间。

　　随着3G的发展，原来的短信和彩信用户将逐渐就转向了电子邮件这样的互联网应用。3G运营商对电子邮件是按流量收费的，用户包月的费用中都包括流量费用，邮件的使用渐渐普及，将会替代了现在的短信和彩信。电子邮件使用非常方便，如果大家都用电子邮件，用短信回复的话，速度肯定跟不上。同时，在电子邮件的发展基础上，可以增加一些能体现出设计或者艺术的东西，包括一些动态的东西，包括一些人物的设计。日本现在的Decomail就是这个应用，超越了现在所说的彩信。

　　Decomail是一种可以在手机上使用更先进的电子邮箱的服务，它可以包括静态和动画图片，支持Compact HTML标准（cHTML），相当于个人电脑上的HTML邮件。Decomail不仅可以随意更改邮件的背景颜色，文字的大小和颜色，更可以加入修饰用的图画。此外，Deco-mail同样可以发送到电脑上。2004年下半年，这项服务在 NTT、DoCoMo的手机上使用，到2006年，大约40%的移动电话使用了此项功能。在2006年底，KDDI公司开始提供相同的服务，自那以后，Decomail已迅速成为畅销日本移动电话的功能。

　　无论从邮件功能、数据安全还是稳定性上来讲，电子邮件已经是一个成熟的服务。在3G时代，电子邮件作为互联网发展重要的组成部分，将迎来更大的发展机遇。