特别报道：中国垃圾邮件 治理还赖技术

导语：垃圾邮件除了给人们带来时间上的损失外，甚至还为犯罪分子所利用。12月4日，美国政府官员向美国本地的金融服务机构发出警告称，基地组织很可能以“大量发送垃圾邮件”的攻击方式令金融机构及证券交易所的网页瘫痪。

还有一些犯罪分子的欺诈故事以垃圾邮件开头，它向用户讲述一个冗长、令人摸不着头脑的故事，然后骗取用户银行帐户和密码。曾经一名欺诈分子在巴西甚至挤跨了一家银行。

至于垃圾邮件附带的电脑病毒给人们带来的危害更是众所周知了。

更有意思的说法是，垃圾邮件严重打击了生产力。相关研究表明，每个办公室人员每天平均接到13.3封垃圾邮件，这需要耗费6分半钟时间来处理，大约浪费了他们每天工作时间的1.4%。

文 / 张丹

每天早晨，听到最多的抱怨就是垃圾邮件太多。办公室内经常因垃圾邮件而发出共鸣：“80封新邮件中除了2封以外，其余全是垃圾邮件。”事实上，对于很多用户来说，这个数字根本不足以引起他们的惊讶。

12月1日，中国互联网协会在北京举办“2006反垃圾邮件国际高层论坛”,中国互联网协会反垃圾邮件中心发布调查报告称，中国网民一年接收的垃圾邮件有500亿封。互联网协会反垃圾邮件工作委员会常务副理事长李红表示，如果把垃圾邮件给人们带来的时间浪费换算成金钱，这个数字达到了63.8亿元。

垃圾邮件给人们带来的外在及潜在的危害都不容小视，来自垃圾邮件跟踪机构Spamhaus的信息表示，中国正在成为世界垃圾邮件第二大国。所以，我们对于垃圾邮件的治理，刻不容缓。去年，中国互联网协会成立了反垃圾邮件工作委员会，这一年中，他们使得中国的垃圾邮件所占比例首次跌破了60%。中国互联网协会反垃圾邮件工作委员会常务副秘书长李红认为，解决垃圾邮件首先要法律规范，然后是行业监管、行业自律，再其次是技术保障，最后还需要国际合作。

中国互联网协会反垃圾邮件工作委员会一方面在协助政府，促进政府的立法出台；一方面开展了主题宣传教育工作。具体工作有制定业界标准规范，号召行业自律；推出反垃圾邮件指南，教网民如何反垃圾邮件；以及设立投诉电话等等。

在他们的工作初见成效的今天，对付垃圾邮件到了用技术施展拳脚的时候了。

理由一：起诉不如拦截实际

清华大学法学院副教授赵晓力对CNET记者表示：“我们不可能为了每一封垃圾邮件去进行诉讼，而用技术手段可以成批的阻拦或查杀垃圾邮件。”

这种说法很有道理，最近统计表明，中国一年收到500亿封垃圾邮件，而人们当然不可能进行500亿次诉讼。以反流氓软件联盟起诉恶意软件厂商为例，有恶意软件行为的厂商有100多家，反流氓软件联盟希望用诉讼的方式维护网民的权利，至今他们起诉了易趣、猫扑、雅虎中国等十几家公司，已经耗时几个月，并且在告雅虎中国的诉讼中还败诉，而其余诉讼还未获结果。

实际上，起诉的价值只是在于使得流氓软件引起了广泛的关注，一定程度上帮助促进立法的进行。不过诉讼过程中，他们耗费了大量的人力、物力以及财力，但是恶意软件问题至今也没有解决，甚至连法律上的定义也还没出台。

而垃圾邮件问题在经过几年的呼吁后，已经有法可依。今年2月21日，信产部颁布《互联网电子邮件服务管理办法》，3月30日《互联网电子邮件服务管理办法》正式实施，信息产业部归纳称，凡是收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；收件人无法拒收的电子邮件；含有虚假的信息源、发件人等信息的电子邮件；含有病毒、恶意代码、色情、反动等不良信息或有害信息的邮件等，都属于垃圾邮件。

所以，对于垃圾邮件，人们没有必要再去用起诉方式以达到促进立法的目的。尽管人大立法还未能出台，但是《互联网电子邮件服务管理办法》的出台已经为人大立法做了前期铺垫。实际上，人大立法也不能在短期内出台，因为立法需要长期的研究讨论，而研究的基础则源于长期的实际案例；另外，业内人士认为，仓促立法也未必好，否则就需要不断的修改来完善，而修改人大立法并不是一件简单的事情。

当然，赵晓力也毫不否认法律对于治理垃圾邮件的重要性，“治理垃圾邮件应该法律、技术双管齐下”，但是他同时表示，当法律已经存在时，就应该采取技术措施了。

理由二：虽有法可依但取证难

实际上，在中国有法可依的时候，执法却遇到了困难。从3月30日《互联网电子邮件服务管理办法》正式实施时起，至今中国只处置了一家发送垃圾邮件的厂商，中国互联网协会反垃圾邮件工作委员会常务副秘书长李红表示，主要是取证困难。

今年8月，广东省通信管理局依据《互联网电子邮件服务管理办法》，对一家名为深圳市合生智慧企业管理咨询有限公司发送垃圾电子邮件的事实，给予了行政处罚——勒令其停止发送垃圾电子邮件，并罚款5000元，这是国内第一次公开处罚垃圾电子邮件的发送者。

“实际上当时提供给广东省的可疑信息有30多起，但是最终只查出了一起”，李红说，“取证过程是一个非常复杂、困难的，需要多部门合作。”

据悉，当时通过对样本分析，发现发送垃圾邮件的服务器IP毫无规律可寻，既有在国内又有通过境外IP传播的。而且每隔一段时间，发送的地址就会变化，发送者相当狡猾。最后在多部门的配合下，广东省通信管理局才最终确定了这个垃圾电邮服务器的物理IP就在深圳地区，经过进一步筛选，确定了这个IP地址位于福田区某处。

实际上，一些隐匿很深的垃圾邮件的发送者，常常利用国外的一些邮件服务器来发送，所以很难确定其准确的物理位置。微软中国战略安全顾问裔云天对CNET记者表示，垃圾邮件发送者利用跳板技术，将IP地址跳转到多个国家，这样追查起来就需要国际上合作，所 以增加了调查难度。

于是很多的垃圾邮件发送者难被绳之以法，或许就在这取证过程中，又有数以百万的垃圾邮件被发送出去。

理由三：中国只是垃圾邮件爆发地

根据中国只是垃圾邮件爆发地的现状，阻击垃圾邮件的技术将成为关键的解决手段。

日前，垃圾邮件跟踪机构Spamhaus评出了2006年度垃圾邮件最多的国家，截至2006年11月17日，美国是全球垃圾邮件最多的国家，而中国位居第二。对此，李红觉得很冤枉，她说：“我们不是发送源的第二大国家，而是爆发地。首先，我们国家企业多，服务器多，所以疏忽就比较多，国外的垃圾邮件利用了这个疏忽向我们发送垃圾邮件。另外，国外一些反垃圾邮件措施做的比较好，比如韩国，他们的反垃圾邮件法规比较全，制订的处罚额度也是比较高，韩国的垃圾邮件制造者受到威慑，他们不再往本国发送垃圾邮件，转而把垃圾邮件发向了国外。”

李红举了一个例子：“曾经澳大利亚的ACMA对我们一大段IP地址提出警告，这个地址发送了大量关于广告、枪击、药、甚至涉黄涉赌的垃圾邮件，后来经调查我们发现是因为企业的管理疏忽导致我们的计算机被国外垃圾邮件制造者利用了。实际上这样的例子还有很多。”

而之所以会有管理漏洞，一方面是“软件”问题，电子服务器管理员不够专业、不够细心；另方面就是“硬件”问题，使用的服务器容易出现漏洞。对此，李红表示，中国互联网协会反垃圾邮件工作委员会已经做了一些工作，比如对电子服务器管理员做了培训，让他们管好服务器。

服务器漏洞的填补只能防范被国外垃圾邮件制造者所利用，但这不能帮助阻止用户收到垃圾邮件。李红强调，中国只是垃圾邮件爆发地。所以必须在拦截垃圾邮件技术上下功夫。李红认为微软的Sender ID（邮件发送者身份认证），是比较领先、比较有效的一个措施。据悉，Sender ID能检查IP地址是否与邮件域名相匹配，从而判断邮件是否为垃圾邮件。

实际上，那些业界领先的邮件服务器提供商、或者邮件运营商，他们理所当然的应该承担起减少垃圾邮件的责任、为用户提出可能的解决方案。微软在线安全策略和行业关系部高级总监Craig D. Spiezle对记者表示：“和政府、业界、和其他机构的合作是非常重要的，可以让我们互相获得一些信息，更好地打击非法的行为。同时，微软在技术上也不断地创新，以开发最新的技术来提高我们产品的安全度。”

长期以来，微软对反垃圾邮件机制的技术研发是投入了很大力度。就在微软发布最新操作系统vista的当日，Exchange Server 2007也随之出炉。它通过安全发件人集合、Outlook电子邮戳、垃圾邮件隔离、发件人的信誉、边缘服务器上的内容过滤，层层阻击垃圾邮件这些多种方式来阻击垃圾邮件。Exchange Hosted Filtering则使用多重过滤来保护用户远离垃圾邮件、病毒、网络钓鱼陷阱和违反政策的电子邮件。

李红表示：“作为一个企业，微软很重视垃圾邮件问题，首先保护好自己不被别人利用，然后再做一些公益事业。微软在立法的建议研究上给了我们很多资助，包括经济上的资助和怎么开发管理方面，为行业树立了很好的榜样。”

微软对自己用户的保护可以从一个例子略见一斑。2003年，美国“垃圾邮件大王”斯科特•里克特因向hotmail用户大规模发送垃圾邮件被判罚5万美元，而在微软“穷追猛打”了两年多以后，斯科特•里克特同意向微软支付700万美元，以求庭外和解，更重要的，是里克特“保证不再向没有表示愿意接受意愿的人发送邮件”。

结束语

垃圾邮件需要一个生态系统来解决，需要政府、企业、网民的通力合作。

很多人认为法律是解决垃圾邮件的重中之重，实际上法律固然重要，没有人怀疑完善它是很有效的惩治垃圾邮件的方法之一。但凡事要看情况，惩治垃圾邮件也要根据中国垃圾邮件的现状采取措施。

因为中国只是垃圾邮件爆发地；因为起诉需要时间；因为立法也需要时间。

或许还会有人认为，垃圾邮件制造者的出现是因为巨大的利益推动，所以，应该加大法律力度。不过对此，清华大学法学院副教授赵晓力表示，“从灰色产业链看，中国远不如美国，美国的利益集团甚至能影响立法，而中国都是些小公司。”
 
中国没有因为灰色产业链不如美国而有所轻视，李红表示，中国互联网协会反垃圾邮件工作委员会正在收集信息，将做为未来立法研究的资料。这表明，中国已经在法律上已经在行动。

所以，根据中国垃圾邮件的现状，是在技术上采取措施的时候了。