過濾虛假發信人地址郵件

維普資訊

■二÷Ｉ三 Ｉ＿ｊ

ｌ一’＿；０蘭 ｉｊＩ一；

研究與發展

過濾虛假發信人地址郵件

■文／劉武段海新張洪

當初人們設計電子郵件系統之時，基

于一個基本的假設就是發信人是可信的，

著關鍵作用。

如圖１所示是一封正常郵件的部分郵

郵件域ＭＤ和Ｒｅｃｅｉｖｅｄ字段中的郵件域ＤＮ

（２）比較ＭＤ與ＤＮ，如果ＭＤ不在ＤＮ

中出現，則為ＦＳＡ～Ｓｉａｍ，否則為正常郵件。

因而很少考慮郵件系統的安全性。隨著互

聯網的迅速發展，電子郵件系統越來越普

及，隨之而來的就是越來越嚴重的安全問

ＦＳＡ—Ｓｐａｍ檢測／過濾的

挑戰與對策

由于不同的郵件系統在實現細節上并

圖１正常郵件的郵件頭結構

題，其中最主要的就是垃圾郵件的泛濫，

給社會、集體和個人帶來了巨大的損失和

未嚴格遵循電子郵件的相關協議與標準如

錯，在具體實施ＦＳＡ—Ｓｐａｍ的檢測與過濾 件進行斗爭，如黑白名單技術、過濾技術、

不便。目前人們想盡了一切辦法與垃圾郵

件頭信息，郵件頭中的Ｆｒｏｍ字段記錄了 ＲＦＣ８２２等，以及郵件系統自身的配置差

郵件發送人的Ｅ ｍ ａ ｉ ｌ地址（Ｍ Ａ）：

斷上升的趨勢。

增強認證技術等。然而垃圾郵件仍然呈不 ｓｐｒｉｎｇｅｒ＠ｓｃｉｅｎｔｉｆｉｃ—ｄｉｒｅｃｔ．ｎｅｔ，表明郵件

時可能會遇到一些問題。比如，有些非標

ｖｅｄ字段 準郵件系統發送郵件時，在Ｒｅｃｅｉ

發送人來自郵件域（ＭＤ ｓｃｉｅｎｔｉｆｉｃ—ｄｉｒｅｃｔ．

中寫入的不是域名而是ＩＰ地址；另外，有

在郵件頭中有一個或多個Ｒｅｃｅｉｖｅｄ字 些郵件系統支持虛擬郵件域（即一個郵件系

現有電子郵件系統所存在的諸多安全 ｎｅｔ，其賬號名（ＭＣ）為ｓｐｒｉｎｇｅｒ。

問題，歸根到底是由于缺乏對發信人的源

地址進行認證所造成的。垃圾郵件制造者 段，它記錄了郵件在投遞過程中所經過的

統同時管理多個郵件域），發送郵件時寫入

的主要目的是發送廣告與其它有害信息， Ｒｅｃｅｉｖｅｄ字段中的郵件域ＮＤ不一定是

郵件服務器的域名（ＤＮ）或ＩＰ地址。在正常

無需收件人進行回復，所以每次都以不同 郵件中，我們會在Ｒｅｃｅｉｖｅｄ字段中發現與 Ｆｒｏｍ字段中的郵件域ＭＤ。這樣就可能給

的虛假發信人地址發送郵件，使得黑白名 ＦＳＡ－Ｓｐａｍ的檢測帶來一些操作上的困

ＭＤ相同的ＤＮ，在圖１所示的例子中，我

單技術與基于內容和特征的過濾技術失效， 難，出現誤殺正常郵件的情況。

們會發現ＭＤ＝ＤＮ＝ｓｃｉｅｎｔｆｉｉｃ～ｄｉｒｅｃｔ．ｎｅｔ。

我們稱這類垃圾郵件為虛假發信人地址垃 對于上述問題，可以通過ＤＮＳ正向查 對于ＦＳＡ—Ｓｐａｍ而言，垃圾郵件發送

ＦＳＡ—Ｓｐａｍ）

圾郵件（Ｆｏｒｇｅｄ Ｓｅｎｄｅｒ Ａｄｄｒｅｓｓ Ｓｐａｍ，

者為了逃避檢測與追蹤，總是偽造發信人 詢、反向解析以及通過ＮＳＬＯＯＫＵＰ查詢

地址，這樣就會出現ＭＤ與ＤＮ不相同的

ＭＸ記錄等技術手段得到較好的解決。

異常情況，反而成了我們檢測與過濾

ＦＳＡ—Ｓｐａｍ的基本依據。如圖２所示即為

ＦＳＡ—Ｓｐａｍ檢測技術的

基本原理

現有垃圾郵件檢測與過濾技術主要針 郵件系統具體實現ＦＳＡ—Ｓｐａｍ的檢

ＦＳＡ—Ｓｐａｍ檢測／過濾的

實現考慮

測與過濾時，需要選擇一個最佳的切入點。

對郵件主題（Ｓｕｂｊｅｃｔ）與郵件內容進行，沒

有考慮對發信人的源地址進行驗證，因而

無法阻止虛假發信人地址的垃圾郵件。

一

圖２ ＦＳＡ－Ｓｐａｍ的郵件頭結構

本文以Ｑｍａｉｌ郵件系統為例加以說明。

如圖３所示，郵件系統處理的郵件包 封典型的ＦＳＡ－Ｓｐａｍ的郵件頭特征，

（１）從外部郵件域發往其它外部郵件域

事件上，郵件頭（Ｈｅａｄｅｒ）中的相關字 括４種：

Ｆｒｏｍ字段中的郵件域ＭＤ與Ｒｅｃｅｉｖｅｄ字

段記錄了郵件傳輸過程的詳細信息，其中

段中的ＤＮ不相同。

包括發信人的郵件地址，發信人的郵件域， 但需要經過本郵件服務器進行中轉的郵你

器等信息，對于檢測與過濾ＦＳＡ—Ｓｐａｍ有

據此我們可以總結出ＦＳＡ—Ｓｐａｍ檢

以及郵件在傳輸過程中所經過的郵件服務 （２）從外部郵件域發往本域的郵件；

測的基本原理：

（１）分析郵件頭，解析出Ｆｒｏｍ字段中的 （３）從本域發往外部郵件域的郵件；

２∞７ １１中國教育網絡３７