垃圾电子邮件是指那些未经收件人
许可,同时也是不受收件人欢迎的,以强迫性广告或宣传为目的的 电子邮件。它的产生是由于现有的电子邮件系统对邮件发送者没有什么限制,发送者可以用虚假的发件人 地址发送数量不受限制的邮件,于是有些人就将其作为强迫性广告或宣传的媒体,并以此牟利。垃圾电子 邮件干扰了人们对电子邮件系统的正常使用,由于需要从大量垃圾邮件中找出有用的邮件,工作效率大大 的降低了。因此产生了反垃圾电子邮件的技术,也就是以遏制垃圾电子邮件为目标的技术。
现有的技术中比较常用的一种是基于来件特征(如发件人地址、标题和内容等)进行过滤的技术。其 基本方法是让用户设置一些过滤规则,其中每个过滤规则都包括一个邮件特征描述以及当来件匹配该特征 描述时应该自动执行的操作(如拒绝、接收或放到审查区等),这样电子邮件系统就可以在接收邮件时根 据这些过滤规则自动过滤邮件,从而减少了用户需要处理的无用邮件的数量。黑白名单过滤法就是这样的 一种技术,用白名单列出可靠的用户的邮件地址,用黑名单列出不可靠的用户的邮件地址。来件人地址处 于白名单中的邮件会被接收,而处于黑名单中的则会被过滤掉。
过滤技术的主要问题是往往难于设置出理想的过滤规则,也就是说无法让过滤规则只过滤掉垃圾邮件 或是只选择有用邮件。要么由于过于宽松而接收了垃圾邮件,要么由于过于严格而拒绝了有用邮件。而且 由于担心拒绝了重要邮件,人们往往使用一种简单的过滤策略:除了被规则明确拒绝的都认为是有用邮件。 垃圾邮件的制造者利用了这种情况,他们不断的加强对自己的垃圾邮件的伪装来避免被过滤掉,如不断地 更换发件人地址和邮件标题等,因此现有的垃圾邮件过滤系统效果并不理想。
有鉴于此,本发明提供了一种补充技术来改进现有垃圾邮件过滤系统的有效性,它通过消除电子邮件 作为强迫性广告或宣传媒体的有效性,来使得发送垃圾邮件无利可图,从而打击垃圾邮件发送者。
本发明描述了一种改进的电子邮件系统,它采用了本发明提供的方法来遏制垃圾邮件,具体处理步骤 如下:
1、用户甲希望向用户乙发送电子邮件,但由于以前甲没有给乙发送过邮件,而且甲知道乙的邮件系 统会将自己的邮件过滤掉,所以甲决定向乙发送一个
申请邮件(申请邮件是一种拥有某种规定格式的特殊 邮件,它只有标题而没有具体内容)。甲事先通过某种途径知道向乙发送申请时可以提供一个密码以获得 优先处理,于是他使用该密码提交了申请邮件,他还提供了一个申请说明(一个很短的说明性信息,如甲 的姓名,以方便乙处理该申请)。
2、甲的邮件系统会依照申请邮件应具备的格式(比如标题应为某种格式,或邮件中应包含某种特殊 的头部信息等)以及甲所提供的申请密码和申请说明等信息构造一个申请邮件并发送给乙的邮件系统。甲 的邮件系统还会记录这一申请
请求以供步骤4使用,同时甲的邮件系统会自动更改甲的过滤规则,使得乙 发送给甲的邮件不会被过滤掉。
3、乙的邮件系统收到邮件时,会根据乙所配置的过滤规则进行过滤,不满足条件的邮件都会被过滤 掉。但由于甲发送的是申请邮件,乙的邮件系统会对其另做处理,它会判断甲是否在黑名单中,若是则拒 绝该申请,否则乙的邮件系统会根据申请信中是否拥有正确的密码来决定是否给甲发送一个申请确认信件 (申请确认信件是用于确定乙确实拥有他所声称的邮件地址,它包含了一个随机生成的申请确认密码)。 邮件系统会将申请确认密码和申请邮件暂时保存起来以供步骤5使用。在我们所描述的场景中甲提供了正 确的申请密码,因此处理步骤4、5不会进行,而是直接执行步骤6。
4、假设甲没有提供正确的申请密码,他的邮件系统就会收到申请确认信件。这时他的邮件系统会检 查甲是否发送过该申请,若是则自动回应一个申请确认应答信件(携带从申请确认信件中获得的申请确认 密码),否则自动回应一个申请否认应答信件。
5、假设步骤4执行了,则乙的邮件系统将收到一个申请确认应答信件或申请否认应答信件。若是后 者或应答信件所携带的申请确认密码不正确则拒绝甲的申请,否则继续以下步骤。
6、乙的邮件系统将甲的申请邮件加入一个待审批申请队列并等待乙的处理。在加入队列时,系统会 根据申请邮件是否携带正确的申请密码、以及申请时间等来决定将各个申请呈现给乙时的先后次序。
7、乙检查自己的待审批申请队列,并逐一判断是否接受申请,是否将申请者列入黑名单。假设乙决 定接受甲的申请,乙的邮件系统会自动更改过滤规则以使甲发送给乙的邮件不会被过滤掉。同时乙的邮件 系统还会自动生成一个说明申请是成功还是失败的申请结果报告邮件给甲。
8、甲的邮件系统接收到申请结果报告邮件时会自动删除步骤2中的申请请求记录。
9、甲接收到表示申请成功的申请结果报告,他知道自己发给乙的邮件不会被过滤掉了,因此开始与 乙的邮件通信。至此双方都准确的更新了自己的过滤规则,即可让双方正常通信,又不会给垃圾邮件发送 者以可乘之机。
当采用了本系统后,垃圾邮件发送者的对抗途径有:
1、假冒成接收者信任的用户。但由于每个用户信任的用户都不一样,而且这一信任信息难以获取, 因此这一对抗途径难于生效。
2、通过申请邮件进行广告或宣传。由于申请邮件没有内容,而且可以对其主题进行限制(如长度限 制等),所以申请邮件不适合作为广告或宣传的媒体。
3、大量发送虚假申请来打击本系统。由于难于知道正确的申请密码(用户可以隔一段时间就更改一 次自己的申请密码),他们必须进行申请确认应答才可以进行申请,这样就迫使他们必须拥有发送时使用 的地址,同时还需要正确的应答对应的大量申请确认信件,这很困难也很容易被发现,同时黑名单技术也 进一步削弱了这一攻击手法的有效性。
综上所述,可见改进后的系统可以有效地遏制垃圾邮件。
在实际应用该方法的过程中,需要考虑如下问题:
1、标准:为了保证使用了本发明的系统能够互通信,需要规定具体的通信标准,如各种申请审批相 关邮件的格式和确切处理方式等。
2、兼容性:由于不可能一下就将所有现有的电子邮件系统都替换成新系统,在一开始往往只有少数 系统采用本发明所提供的技术,所以需要考虑使用了这个发明的邮件系统的用户与旧系统的用户的互通信 问题。
3、成本:为了促进本发明的广泛应用,升级为新系统的成本应该比较低廉,因此对现有系统的更改 应尽可能的小以降低实施成本。
针对标准问题,本文提供了一个标准的草案以供参考,它规定了各种申请审批相关邮件的具体格式, 并对处理方式加以要求:
1、各个申请审批相关邮件都只有标题而没有内容,它们的标题都具有如下格式:
消息名称:辅助信息:密码
若某一字段不适用则可忽略,但相应的“:”要保留;
辅助消息长度应小等于8个字节,密码应小等于8个字节,这是为了消除其作为广告或宣传的有 效性。
2、其中消息名称描述了该邮件的类型,具体的取值和含意如下:
SubRQ 申请邮件
SubRQC 申请确认邮件
SubRQR 申请确认应答邮件
SubRQD 申请否认邮件
SubRPT 申请结果报告邮件
3、每种邮件类型的具体标题格式及说明如下:
SubRQ:申请提示信息:申请密码
说明:申请提示信息由发送者提供,用于帮助接收者处理申请,申请密码可忽略。
SubRQC∷申请确认密码
说明:申请确认密码是随机生成的。
SubRQR∷申请确认密码
说明:申请确认密码应与收到的申请确认密码相同。
SubRQD∷
说明:无。
SubRPT:申请结果:
说明:申请结果为“Y”表示申请成功,“N”表示失败。
4、建议实现者依据前文所述的处理步骤提供完整的实现,但只要不影响
互操作性,可以采用不同的 处理步骤。
针对兼容性和成本问题,本文提供了一个具体例子来说明本发明的实施方式:
假设有甲、乙、丙三个用户,其中甲和乙的邮件系统支持本发明提供的方法,丙的邮件系统不支持本 发明提供的方法。
甲的邮件系统提供了完整的实现,无论是邮件
服务器还是客户端
软件都进行了升级。他的邮件服务器 会提供邮件过滤、申请密码检查、自动发送申请确认,申请确认应答检查、申请者黑名单检查和根据申请 邮件或申请结果报告邮件自动更新过滤规则等功能;而他的邮件客户端软件则能够区分申请邮件和普通邮 件,并以不同方式呈现给用户,还提供了申请审查的
用户界面,能根据审查结果自动构造和发送申请结果 报告邮件。
乙的邮件系统的邮件服务器没有进行升级,因此所有所需增加的处理功能都在他的邮件客户端软件中 实现。
甲和乙之间的申请审批过程如下,其中甲是申请者:
1、甲用他的邮件客户端软件向乙提交一个申请请求,并将自己的名字作为申请提示信息,客户端软 件构造了合乎上述标准的一个申请邮件,并交给甲的邮件服务器发送。
2、甲的邮件服务器发现这是一个申请邮件,它记录这个申请事件,自动将乙加入甲的信任用户列表, 然后发送该邮件给乙的邮件服务器。
3、当乙收取邮件时,他的客户端软件从邮件服务器上获取所有邮件的标题和发件人邮件地址,然后 它会根据乙配置的过滤规则自动过滤普通邮件,而对于甲的申请邮件,它会进行申请者黑名单检查,检查 通过后会自动构造一个带有密码地申请确认邮件发送给甲,并暂时保存该申请及对应的申请确认密码以等 待甲的回应,因此这时该申请不会呈现给乙。
4、当甲的邮件服务器收到申请确认时,它发现有对应的申请记录,因此自动构造了一个带有正确的 申请确认密码的申请确认应答邮件并发送给乙的邮件服务器。
5、当乙收取邮件时,他的客户端软件收到了甲的申请确认应答邮件,它会找出以前保存的对应申请 邮件和申请确认密码,如果申请确认应答中的密码正确,则保存的申请邮件将呈现给乙。
6、乙看到自己收到了一个申请,他通过邮件客户端的提供的界面审查该申请,发现申请提示信息是 甲的名字,因此他决定接受该申请,邮件客户端获知乙的审批决定后就会自动构造和发送一个申请结果 报告邮件给乙,并且自动将甲加入乙的信任用户列表。
7、甲的邮件服务器收到申请结果报告邮件后就会删除对应的申请记录。
8、当甲收取邮件时,他的客户端软件就会收到申请结果报告邮件并通告他,于是甲知道自己的申请 成功了,他就可以开始发送普通邮件给乙了。
丙和甲之间的申请审批过程如下,其中丙是申请者:
1、丙发送一个普通邮件给甲,甲的邮件服务器发现要把丙的信过滤掉,于是将原信退回,并自动构 造一个说明邮件告诉丙该如何处理。其中会说明甲已经使用了垃圾邮件过滤系统,丙需要向甲进行申请才 可以让他发的邮件不会被过滤掉,可以说明丙进行申请的具体方法和步骤,可告知需使用的客户端软件, 或者详细描述手工构造申请邮件、申请确认应答邮件等时所需遵循的格式等,最后还可以提供一个替代的 通信方式信息(如电话号码等)。
2、假设丙收到了退信和说明邮件并决定手工构造申请邮件和申请确认应答邮件,那么接下来的步骤 与甲乙间的申请审批过程类似,差别只在于丙要代替邮件系统完成所需的各个操作。
由上述实施示例可见,本发明对现有系统的兼容性很好,用户可以根据自己的需要选择实施方式,成 本也可以很低,而且可以有效的过滤掉垃圾邮件又不影响正常通信。