新闻分析：当垃圾邮件数量超过正常邮件

CNET科技资讯网 7月5日 国际报道：当电子邮件最初问世时，互联网还是一个很友好的地方。

大多数用户是研究人员，他们对使互联网很好地运行有很大的兴趣。他们中的大多数人都相互认识，事实上，当时存在一个印刷在纸张上、重量不足2磅的所有网络用户的目录，其中包括他们的姓名、实际地址、电子邮件地址、电话号码。

当时的安全措施只不过是简单的密码，加密很少使用。

事实上，互联网的前身━━Arpanet首次投入运行是在1969年，但互联网安全方面的首批重大进步之一━━RSA算法到1977年才被发明出来。即使是重量级用户，每天也不过收发10封电子邮件。

但情况已经发生了变化。有时，现在有时10分钟就能够收到10封电子邮件━━大多数都是垃圾邮件和用于钓鱼式攻击的恶意邮件。事实上，我每天收到1000封“不请自到”的电子邮件。垃圾邮件售价讨厌，钓鱼式攻击邮件更坏，会给企业和个人造成经济和秘密资料的损失。

Gartner估计，2006年，350万美国人向钓鱼式攻击者泄露了自己的个人资料，几乎相当于2005年的2倍。每起攻击给受害者造成的经济损失约为1244美元，比2005年翻了一番还多，只有半数消费者挽回了经济损失。

2006年钓鱼式欺诈攻击造成的经济损失约为28亿美元。因此，大多数个人和企业都不大信任他们的电子邮件系统，电子邮件系统管理员面临的挑战已经由过滤恶意电子邮件变为找出好的电子邮件了。

目前，发送电子邮件并伪装成任何人━━即使是不存在的人，是很容易的。这与互联网早期的田园牧歌式景象有关，当时认证在技术上不可行，也没有必要，就象小城镇的人初次来到大城市不锁门一样，电子邮件仍然维持着小城镇的思维。犯罪分子也在迫不急待地利用这些没有上锁的门。

为了恢复对电子邮件系统的信任，我们现在是应当安装门锁的时候了。电子邮件认证就是这样的门锁之一。

数年来，DKIM电子邮件认证技术一直在不断取得进展。DKIM是由包括思科、雅虎、Sendmail、PGP在内的数家公司联合开发的。

DKIM使用数字签名认证电子邮件。这些签名使你或你的电子邮件服务提供商确认自称是由银行发送的电子邮件确实是由银行发送的。没有认证，如果我收到一封声称我的银行帐户受到威胁、要求确认我个人资料，我会不理睬它。如果我收到能够证明确实是来自银行的电子邮件，就会认真对待它。

DKIM能够提供这一证明。它已经被Internet Engineering Task Force发布为一种正式标准。DKIM需要发件人和收件人的合作。发件人将推动DKIM的普及，因为他们有雄厚的财务，而且品牌形象有受损的危险。

钓鱼式攻击发动者获利的一种方式是通过伪装成银行诱骗受害者泄露他们的银行帐户资料，这令金融服务机构非常担忧，许多金融服务机构已经开始部署DKIM。由于DKIM运行在企业或服务提供商的电子邮件服务器而非个人用户的台式机上，因此它不要求对互联网上的每台系统进行升级。

仅仅靠数字签名不足以证明电子邮件是合法的。钓鱼式攻击者肯定会使用这一技术，有时，他们的域名会与合法机构的域名非常相似。我们可以将认证比做是驾照，它能够证明人的身份，但我们却无法从驾照了解持证人的安全记录。

在电子邮件世界，我们称之为“信誉”，这对于评估一封电子邮件的价值是至关重要的。要恢复对电子邮件信任的下一个重要步骤是建立信誉服务器，使我们能够了解众多不太知名网站的“驾驶历史”。

DKIM本身确实是一种有价值的技术，但要使其价值真正显现出来，还需要其它技术的配合，有些技术还正在开发中。

但我们必须从部署DKIM技术开始。电子邮件发件人应当尽可能早地部署DKIM，使它们和它们的客户能够获得DKIM带来的好处。收件人应当验证DKIM签名，使新一代的反垃圾邮件和反钓鱼工具能够利用这些资料实现更好的性能。