公安部对一家软件公司的产品检测,居然引发了业界从客户端制定反垃圾邮件的行业标准。
“6月25日,这个行业规范已经正式得到公安部认可。此后,只要在中国境内销售客户端反垃圾邮件产品的厂商都得遵从这个标准。”上海极软公司总经理刘玉亭对记者说。
他指的是《信息技术反垃圾邮件产品(客户端)安全检验规范》。该规范由公安部公共信息网络安全监察局提出,由公安部计算机信息系统安全产品质量监督检验中心(以下简称“检验中心”)起草。
此前,这个规范的最初方案由上海极软公司在今年5月提交,极软公司是一家专业的反垃圾邮件解决方案提供商。
7月15日,检验中心产品检测负责人李毅表示,“据我所知,国外目前还没有类似的针对客户端应用的反垃圾邮件产品标准出台,极软公司是第一个提出这个检测标准的。”同时他强调,“在公安部没出台关于客户端的新标准之前,开发此类软件的厂商都要向它看齐。”
标准出台的幕后
极软公司参与客户端反垃圾邮件产品标准的制定纯属偶然。
刘玉亭介绍,“今年3月初,我们和检验中心联系如何检验反垃圾邮件产品,该中心工作人员发Email告知了目前的检验标准。我们分析后,发现他们是针对服务器解决方案制定的,而极软公司开发的是客户端产品,如何通过检验呢?他们说暂时没有客户端的标准出来,让我们等待标准出来。”
“直到5月,他们感觉我们很积极,就先让我们提出一个建议来,希望我们作为厂商能积极出建议。在随后的试运行中,经过多次沟通,渐渐形成了目前这个标准。”
据统计,全球10大垃圾邮件最严重的国家和地区中,中国仅次于美国高居第二。
据艾瑞市场咨询公司2004年3月有关中国反垃圾邮件的调查显示,我国用户现在平均每人每周发送电子邮件9.8封,收到正常电子邮件12.6封,收到垃圾电子邮件19.3封。收到的垃圾邮件量占收到的总邮件60.5%,较去年的26.27%上涨了34.23个百分点。
刘玉亭说:“今年下半年将出现反垃圾邮件产品的开发高潮,我们希望公安部牵头规范这个行业,而极软公司也将成为规范制定的积极参入厂商。”
2004年2月18日,中国互联网协会连同其他会员单位,共同倡议加快关于“反垃圾邮件”的立法进程,希望通过法律手段,给予垃圾邮件发送者相应的制裁,从根本上减少垃圾邮件的数量。
但业界人士表示,治理垃圾邮件是一个非常复杂的问题,单靠立法无法解决这一问题。
7月9日,国际电信联盟专家会议发表公报说,网络垃圾邮件每年给世界经济造成的损失高达250亿美元。
公报同时指出,国际电信联盟计划用两年的时间控制网络垃圾邮件的泛滥。与会专家特别提出,业界应该积极推出反垃圾邮件的新技术。为此,国际电信联盟敦促各国政府加紧进行相关立法。
对客户端的忽视?
实际上,随着垃圾邮件散发者的手段越来越狡猾,垃圾邮件过滤技术也越来越成熟。据业内人士介绍,目前阻击垃圾邮件的方案主要有两大体系:服务器端垃圾邮件解决方案和客户端解决方案。
“服务器端主要的工作是让不法分子不要通过代理服务器发送垃圾邮件;而客户端的做法是,把已经发送出来的垃圾邮件从邮箱里过滤掉。事实上,大部分垃圾邮件都不是通过ISP(互联网内容运营商)的邮件服务器直接发送出来的,不法分子很多是通过建立自己的邮件服务器发送垃圾邮件的。”刘玉亭说。
中国反垃圾邮件联盟负责人王兴宇告诉记者,“今年初颁布的公安部4号令并不全面。”
据他介绍,公安部三所就是根据关于电子邮件服务器具备清理垃圾邮件的7条规定,制定了各服务器端的检验规范(资料附后)。
“可能当时呼声最高的是服务器端的原因吧。当时没有考虑到客户端的标准。”王宇兴说。
目前国内最关心垃圾邮件的是一些ISP服务商,但他们需要的解决方案是基于服务器端的,互联网协会以及反垃圾邮件协调小组的成员主要也是各地的电信运营商和各大门户站点。
不过,中国互联网协会反垃圾邮件协调小组负责人说:“要消灭垃圾邮件,不能只靠一两个反垃圾邮件软件厂商,而是需要整个业界的联合行动。此前,业界在服务器端已经做出了不懈努力,今后,针对客户端的邮件过滤技术开发,应当是‘重头戏’。”
技术“打头阵”
今年3月,在北京举行的“2004反垃圾邮件技术与综合防治研讨会”上,金山软件、新浪、网易等公司的专家们一致呼吁,应尽快组建反垃圾邮件技术联盟,以共同对付这个可怕的“敌人”。
网易公司邮件组高级经理裴宇鹏对组建反垃圾邮件技术联盟持赞同态度。他认为,将那些经常发送垃圾邮件的用户列入“黑名单”并限制其使用权限,是各大服务商目前普遍采用的办法。如果服务商之间相互信任,将各自掌握的“黑名单”资源实现共享,势必会对垃圾邮件发送者形成威慑。
“但立法只是垃圾邮件清理工作的前提,具体执行上,技术仍是重中之重。”刘玉亭说。
邮件服务提供商北京亿中邮公司认为,单凭立法还无法解决垃圾邮件的所有问题。因为我国的法律无法制裁来自国外的邮件,所以虽然长远来看立法是一种必然,但短期来看,技术还是要“打头阵”。
趋势科技反垃圾邮件专家刘彬认为,尽管对于垃圾邮件发送者除了法律可能给出的约束外,还没有行之有效的措施加以控制,但仅此一招显然是远远不够的,特别是对于商业利益驱动的垃圾邮件,根本不可能从道德和法律层面进行遏制。
他认为,垃圾邮件的防范工作主要应该从技术方面着手,即通过安全产品在企业网关和客户端设置行之有效的邮件过滤系统。
“垃圾邮件是全球性的问题,且已经成为一种社会现象,单靠纯粹的反垃圾邮件技术的发展是无法解决的。”中国互联网协会反垃圾邮件小组技术组组长孙东红博士认为,还是应当采用管理与技术相结合的方式,以先进的技术手段为基础,以完善的管理制度和法律法规为依托,对社会各主体的邮件活动进行规范。
她说,通过建立国家级的反垃圾邮件公共服务体系,完善国内的垃圾邮件举报平台,促进各运营商和邮件服务商的协调合作,这一系列举措将再次推动反垃圾邮件技术的更新和快速发展。
公安部4号令中关于电子邮服务器
具备清理垃圾邮件的若干要求:
(一) 具备对发送垃圾电子邮件的特定网络地址、电子邮箱进行屏蔽的功能;
(二) 具备限制来自相同客户端网络地址的并发连接数量超过最大限制值的功能;
(三) 具备限制来自相同客户端网络地址的连接频率超过最大限制值的功能;
(四) 具备限制本地电子邮件用户一次性发送同一电子邮件发送数量的功能;
(五) 具备判别电子邮件虚假路由,对伪造虚假路由的电子邮件限制发送的功能;
(六) 具备关闭电子邮件服务器匿名转发或采取用户身份认证、电子邮件转发授权控制措施的功能;
(七) 具备对大量群发、连发同样特征的已知垃圾电子邮件进行拦截的功能,其中特征指电子邮件长度、信头字段、信体符合特定条件。(丁弃文)
