基于SMTP會話層的垃圾郵件行為識別技術

２０１０年第４期

中圖分類號：ＴＰ３９３．０８ 文獻標識碼：Ａ 文章編號：１００９－２５５２（２０１０）０４—０１２４—０４

基于ＳＭＴＰ會話層的垃圾郵件行為識別技術

梁雪松

（四川教育學院物理系，成都６１００４１）

摘要：反垃圾郵件問題是當前網絡安全研究的重要課題。現介紹了多種垃圾郵件行為識別技

術，闡述了它們在ＳＭＴＰ會話的不同階段對垃圾郵件進行識別和攔截的方法，分析了它們的技術

特點以及存在的問題，最后提出了在ｓｅｎｄｍａｉｌ郵件服務系統中應用這些技術的基本方法。

關鍵詞：垃圾郵件；行為識別；認證；發送方策略框架

Ｓｐａｒｅ ｂｅｈａｖｉｏｒ ｒｅｃｏｇｎｉｔｉｏｎ ｔｅｃｈｎｏｌｏｇｙ ｂａｓｅｄ ｏｎ ＳＭＴＰ ｓｅｓｓｉｏｎ ｌａｙｅｒ

ＵＡＮＧ Ｘｕｅ．ｓｏｎｇ

（Ｄｅｐａｒｔｍｅｎｔ ｏｆ Ｐｈｙｓｉｃｓ，Ｓｌｃｈｕａｎ Ｃｏｌｌｅｇｅ ｏｆ Ｅｄｕｃａｔｉｏｎ，Ｃｈｅｎｇｄｕ ６１００４１，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：Ｔｈｅ ｑｕｅｓｔｉｏｎ ａｇａｉｎｓｔ ｓｐａｍ ａｌｒｅａｄｙ ｂｅｃｏｍｅｓ ｔｈｅ ｉｍｐｏｒｔａｎｔ ｒｅｓｅａｒｃｈ ｔｏｐｉｃ ｉｎ ｎｅｔｗｏｒｋ ｓａｆｅｔｙ．

Ｔｈｅ ｐａｐｅｒ ｉｎｔｒｏｄｕｃｅｓ ｓｏｍｅ ｓｐａｍ ｂｅｈａｖｉｏｒ ｒｅｃｏｇｎｉｔｉｏｎ ｔｅｃｈｎｏｌｏｇｉｅｓ，ｅｘｐｏｕｎｄｓ ｔｈｅｉｒ ｍｅｔｈｏｄ ｏｆ ｉｄｅｎｔｉｆｙｉｎｇ

ｎｄ ｂｌａｏｃｋｉｎｇ ｓｐａｍ ｉｎ ｄｉｆｅｒｅｎｔ ｐｈａｓｅ ｏｆ ＳＭＴＰ ｓｅｓｓｉｏｎ，ａｎａｌｙｚｅｓ ｔｈｅｉｒ ｔｅｃｈｎｉｃａｌ ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ ａｎｄ

ｌｉｍｉｔａｔｉｏｎｓ．Ａｔ ｔｈｅ ｅｎｄ，ｉｔ ｐｒｅｓｅｎｔｓ ｔｈｅ ｍｅｔｈｏｄ ｆｏｒ ｄｅｐｌｏｙｉｎｇ ｔｈｅｓｅ ｔｅｃｈｎｏｌｏｇｉｅｓ ｔｏ ｓｅｎｄｍａｉｌ ｍａｉｌ ｓｙｓｔｅｍ．

Ｋｅｙ ｗｏｒｄｓ：ｓｐａｍ；ｂｅｈａｖｉｏｒ ｒｅｃｏｇｎｉｉｔｏｎ；ａｎｔｈｅｎｔｉｃａｔｉｏｎ；ＳＰＦ

０ 引言

電子郵件是互聯網主要的應用之一，極大方便

應對分布式垃圾郵件攻擊方面，卻很難發揮作用。

１．２實時黑名單技術

了人們的通信與交流。然而隨之而來的垃圾郵件也

日益猖獗。大量的垃圾郵件不但浪費合法郵件用戶

的時間，極大消耗網絡資源，嚴重危害網絡安全，而

且傳播色情、反動等內容，對現實社會造成危害。由

于垃圾郵件問題的嚴重性，垃圾郵件的識別與過濾

成為了當前網絡安全研究的重要課題之一。

現在許多反垃圾郵件組織提供實時黑名單

（Ｒｅａｌｔｉｍｅ Ｂｌａｃｋｈｏｌｅ Ｌｉｓｔ，ＲＢＬ）服務，將已知的垃圾

郵件制造者的地址收集在一起，放置在開放的動態

數據庫（目前主要是ＤＮＳ服務器）中，提供全世界的

郵件服務器查詢使用。目前著名的ＲＢＬ提供商有

Ｓｐａｍｈａｕｓ、Ｓｐａｍｃｏｐ、以及我國的ＣＡＳＡ等。ＲＢＬ技

基于ＳＴＭＰ會話層的垃圾郵件行為識別技術是

目前一種主要的反垃圾郵件手段，通過在ＳＭＴＰ會話

階段對垃圾郵件的連接頻度、ＩＰ地址、發件人地址等

發信特征進行識別，使得收件服務器在垃圾郵件的信

體發送之前就拒絕其投遞嘗試，能很大程度上提高郵

件過濾速度、減少網絡延遲，節省網絡帶寬。

術減輕了郵件管理員自己維護黑名單的負擔。然

而，許多ＲＢＬ提供商采用的是從嚴認定的標準，將

各種可能發送垃圾郵件的ＩＰ地址都列入名單中，其

中包括一些合法的開放代理和動態ＩＰ，導致來自這

些ＩＰ的合法郵件被拒收。由于垃圾郵件制造者經

常會改變其ＩＰ地址，也使得該技術的整體效力大幅

１ 垃圾郵件行為識別技術分析

１．１連接控制 １．３郵件源頭認證技術

下降。因此ＲＢＬ的誤判率與漏判率較高。

短時間內大量發送郵件是垃圾郵件制造者的一

種行為特征。通過限制每個ＩＰ的可用帶寬以及并

ＳＭＴＰ協議缺少必要的身份認證機制，使得郵

收稿日期：２００９一ｏ９—２４

發ＳＭＴＰ連接數，可以達到遏制垃圾郵件的目的。

作者簡介：梁雪松（１９７２一），男，講師，碩士，主要研究方向為計算

機教學和計算機教育研究。

這種技術能較好地防范來源單一的垃圾郵件，但在

一

１２４一

件信封或信頭中的各類地址很容易被偽造，給惡意

用戶發動垃圾郵件攻擊帶來了便利。比如偽造郵件 郵件接收方對該域的認證失敗，出現誤判。此問題

Ｍａｉｌ Ｆｒｏｍ中仍沿用原始郵件發送方的地址，會導致

的ＨＥＬＯ／ＥＬＨＯ主機名、Ｍａｉｌ Ｆｒｏｍ地址，隱藏郵件 的解決方案包括：在郵件接收方中部署可信的轉發

的真實來源；或仿冒郵件信封中的Ｍａｉｌ Ｆｒｏｍ地址， 系統白名單；或在郵件轉發系統中使用ＳＲＳ＿３ 等技

并利用合法郵件系統的退信機制將其垃圾郵件反彈 術改寫郵件的Ｍａｉｌ Ｆｒｏｍ地址。

給被仿冒的用戶，造成該用戶收到從未發送過的郵

件的響應郵件，既反向散射郵件（ｂａｃｋｓｃａｔｔｅｒ） Ｊ。

因此在ＳＭＴＰ會話階段，對郵件的ＨＥＬＯ／ＥＬＨＯ主

機名和Ｍａｉｌ Ｆｒｏｍ地址進行認證，能在很大程度上

解決垃圾郵件問題。主要的技術有正向ＤＮＳ解析、

反向ＤＮＳ解析、ＳＰＦ等。

正向ＤＮＳ解析利用ＨＥＬＯ／ＥＨＬＯ主機名或

Ｍａｉｌ Ｆｒｏｍ域名去查詢ＤＮＳ，判斷郵件來源的真實

性。如果查詢獲取的ＩＰ地址與發件方的實際ＩＰ不 目前主要采用對稱加密機制，要求一個郵件系統的

匹配、主機名不可解析、Ｍａｉｌ Ｆｒｏｍ域名不存在或域

內沒有有效的ＭＸ或Ａ記錄時，郵件就被認定為偽

造的。

反向ＤＮＳ解析根據發件方的ＩＰ地址去查詢

ＤＮＳ中的ＰＴＲ記錄，如果查詢獲取的主機名與發件

方在ＨＥＬＯ／ＥＨＬ０命令中所聲稱的主機名不一致， 果該郵件的Ｒｃｐｔ Ｔｏ地址中不包含ＢＡＴＶ標記，或

就可以基本確認郵件的來源是非合法的。

ＳＰＦ（Ｓｅｎｄｅｒ Ｐｏｌｉｃｙ Ｆｒａｍｅｗｏｒｋ，發送方策略框

架） 用于驗證郵件Ｍａｉｌ Ｆｒｏｍ或ＨＥＬＯ／ＥＨＬＯ域

名的真實性。該技術依賴郵件發送方通過ＤＮＳ對

外公布ＳＰＦ記錄，說明本域中外發郵件服務器的ＩＰ

地址列表。在每次接收郵件時，收件方服務器首先

從郵件的Ｍａｉｌ Ｆｒｏｍ地址中提取發件域，若Ｍａｉｌ

Ｆｒｏｍ地址為空，則從ＨＥＬＯ／ＥＨＬＯ主機名中獲取發

件域，然后通過查詢ＤＮＳ中的ＳＰＦ記錄獲取該域公 許多郵件系統在其前端部署了安全郵件網關，

布的ＩＰ地址列表，并與發件方實際的ＩＰ進行比較， 所有外來郵件需經過網關過濾后才轉送到后端郵件

根據校驗的結果判定發件域是否為偽造的。 服務器。如果郵件網關不知道本郵件系統所有的收

上述郵件認證機制的主要缺陷表現為：（１）是 件人賬號，就可能出現郵件網關向后端郵件服務器

一

種點到點的認證方式，在使用郵件列表、郵件轉發 轉發郵件時，因收件人賬號未知導致郵件投遞失敗

等服務的多跳郵件投遞路徑中，必須所有的中間郵

件服務器都承擔驗證工作，才能構建一個完整的信

任鏈。（２）只負責核實郵件是否來自其聲稱的發件 解決方法是在郵件系統中部署數據庫系統或輕型目

域，但無法保證發件人以該域的真實郵件地址發送

郵件。（３）垃圾郵件制造者也可能注冊廉價的域名

并發布ＰＴＲ、ＳＰＦ等記錄。（４）很多合法的郵件系統 存在的外來郵件。

沒有正確設置ＤＮＳ，使得這種認證機制存在一定的

局限性。（５）高度依賴ＤＮＳ系統的可靠性、安全性。 灰名單（Ｇｒｅｙｌｉｓｔｉｎｇ） 是一種利用基于郵件重

此外，不同的認證方式也存在自身的不足，主要表現

為：（１）對于ＨＥＬＯ／ＨＥＬＯ主機名未遵循ＲＦＣ所規

定的ＦＱＤＮ形式的郵件，無法進行ＨＥＬＯ／ＨＥＬＯ身

份認證。（２）傳統的郵件轉發系統在轉發郵件時，

１．４收件人地址過濾

對郵件的Ｒｃｐｔ Ｔｏ地址進行過濾，能有效解決

兩個方面的問題：（１）過濾外來的反向散射郵件；

（２）防止郵件系統成為垃圾郵件制造者發動反向散

射郵件攻擊的跳板。以下介紹兩種主要的技術。

１．４．１ ＢＡＴｖ

ＢＡＴＶ（Ｂｏｕｎｃｅ Ａｄｄｒｅｓｓ Ｔａｇ Ｖａｌｉｄａｔｉｏｎ，反彈地址

標記驗證） 用于驗證反彈郵件的合法性。該技術

發件與收件服務器中必須部署相同加密密鑰。發件

服務器負責生成并插入一個標記到外發郵件的Ｍａｉｌ

Ｆｒｏｍ地址的＜ｌｏｃａｌ－ｐａｒｔ＞中，標記中包括密鑰序

號、時問戳、以及對郵件原Ｍａｉｌ Ｆｒｏｍ地址的ＨＭＡＣ－

ＳＨＡ１數字簽名；收件服務器接收到反彈郵件時，如

標記中的簽名驗證失敗，就會作為非法的反彈郵件

被拒收。

由于插入到Ｍａｉｌ Ｆｒｏｍ地址中的標記與郵件的

正文不存在必要的聯系，因而ＢＡＴＶ易受郵件重放

攻擊。ＢＡＴＶ還與一些郵件服務或反垃圾郵件技術

（比如挑戰／響應系統、以及某些郵件列表服務等）

發生沖突。

１．４．２拒絕收件人不存在的郵件

而產生退信。這一弱點很可能致使郵件系統成為垃

圾郵件制造者發動反向散射郵件攻擊的跳板。一種

錄服務ＬＤＡＰ，實現郵件網關與后端郵件服務器的

郵件賬號同步，使得郵件網關能直接拒絕收件人不

１．５灰名單

發機制的反垃圾郵件技術。采用灰名單技術的收件

服務器接收郵件時，先提取郵件的ｔｒｉｐｌｅｔ，即ＩＰ地

址、ＭＡＩＬ ＦＲＯＭ地址和Ｒｃｐｔ Ｔｏ地址的統稱。如果

該ｔｒｉｐｌｅ在此之前未登入灰名單的歷史記錄中，那

一

】２５—

么就認定相應的郵件為初次投遞。于是收件服務器

將此ｔｒｉｐｌｅｔ記下，同時向發送方回送臨時性拒絕碼

ｍｃ中使用命令“ＨＸ—ＲＤＮＳ—Ｒｅｓｕｌｔ：Ｓｌ ｃｌｉｅｎｔ—ｒｅｓｏｌｖｅ｝”，

將其值插入到一個自定義的郵件頭ｘ－ＲＤＮＳ－Ｒｅｓｕｌｔ

中，然后再使用內容過濾器Ｓｐａｍａｓｓａｓｓｉｎ對該報頭進行

評分。

４ｘｘ。在灰名單指定的時間間隔后，郵件發送方使用

相同的ｔｒｉｐｌｅｔ再次投遞該郵件，才能順利通過灰

名單。

大多數垃圾郵件群發軟件考慮的是發送效率，

希望在最短時問內發送盡量多的郵件，不會花時間 的訪問數據庫指定ｓｅｎｄｍａｉｌ可以接收來自１９２．１６８．１．

去檢測郵件是否已成功投遞，當然也就不會去實現

（３）訪問（ａｃｃｅｓｓ）數據庫：允許根據ＩＰ地址、Ｍａｉｌ

Ｆｒｏｍ地址和Ｒｃｐｔ Ｔｏ地址對郵件進行過濾。例１所示

０／２４網絡的郵件、但拒收Ｍａｉｌ Ｆｒｏｍ地址為ｕｓｅｒ＠

ｓｐａｍ．ｏｒｇ以及Ｒｃｐｔ Ｔｏ地址為ｕｓｅｒ＠ｈａｃｋｅｒ．ｏｒｇ的

延遲重發，因而發送的垃圾郵件會被灰名單完全阻

擋。由于灰名單設定了重傳時間間隔，因而能阻止

通過在短時間向同一用戶大量發送垃圾郵件來繞過

灰名單檢測的企圖。另外，灰名單也能有效地對付

來自動態ＩＰ的垃圾郵件。

灰名單也會產生一些負面作用，主要表現在：

（１）會造成正常郵件的延遲送達。（２）一些大型的

郵件系統部署了郵件服務器集群，由于每次投遞嘗

試可能使用不同的郵件服務器，因而灰名單會讓郵

件送達的時間成倍增加。（３）一些郵件服務器（比

如某些Ｍａｉｌｉｎｇ Ｌｉｓｔ Ｓｅｒｖｅｒｓ）對每一次重發的郵件都

郵件。

例１：訪問數據庫舉例：

Ｃｏｎｎｅｃｔ：１９２．１６８．１ ＯＫ

Ｆｒｏｍ： ｕｓｅｒ＠ｓｐａｒｎ．ｏｒｇ ＲＥＪＥＣＴ

Ｔｏ： ｕｓｅｒ＠ｈａｃｋｅｒ．ｏｒｇ ＲＥＪＥＣＴ

（４）ＤＮＳＢＬ（ＤＮＳ－ｂａｓｅｄ Ｂｌａｃｋｈｏｌｅ）：查詢基于

ＤＮＳ的實時黑名單，拒收ＩＰ地址被列入該名單的郵

件。由于該技術的誤判率較高，本文改寫了ｓｅｎｄ—

ｍａｉｌ實現該功能的代碼，僅將驗證的結果存放在自

定義的ｓｅｎｄｍａｉｌ變量與郵件頭中，以便后續的過濾

器用來決定如何處理郵件。

例２：設置ｓｅｎｄｍａｉｌ．ｍｃ文件，使用ＣＡＳＡ提供

的黑名單服務ＣＢＬ Ｊ，并將驗證的結果（ＮｏＦｏｕｎｄ／

Ｆｏｕｎｄ／ＴｅｍｐＥｒｒｏｒ）存放在自定義的ｓｅｎｄｍａｉｌ變量

采用不同的信封發件人，這會使得郵件永遠也無法

通過灰名單。

１．６ ＳＭ ＩＩＰ Ｔａｒｐｉｔ

ＳＭＴＰ Ｔａｒｐｉｔ技術是指收件服務器在ＳＭＴＰ會

話階段加入延遲，減緩ＳＭＴＰ會話進程，使得郵件制

造者群發郵件以及實施郵件地址探測攻擊需要花費

相當長的時間，這將有力于阻止他們以后不再企圖

｛ＣＡＳＡ—ＣＢＬ｝與郵件頭Ｘ—ＣＡＳＡ－ＣＢＬ—Ｒｅｓｕｌｔ中。

Ｋｄｎｓｂｌ ｄｎｓ—ＲＡ．Ｔ＜ＴＭＰ＞

Ｋｓｔｏｒａｇｅ ｍａｃｒｏ

對該服務器進行同樣的操作。該技術也存在不足，

可能會減緩合法郵件的投遞速度。

ＳＬｏｃａ１ ｒｅｌａｙ

ｃｈｅｃｋ

．

——

２ 在Ｓｅｎｄｍａｉｌ中應用垃圾郵件行為

識別技術

Ｓｅｎｄｍａｉｌ是目前應用最為廣泛的郵件服務系

統，主要提供了以下幾種垃圾郵件行為識別功能。

Ｒ￥女￥：￥＆｛ｃｌｉｅｎｔ—ａｄｄｒ｝

Ｒ￥．．￥．．￥．．￥．￥：＜？＞￥（ｄｎｓｂｌ￥４．￥

３．￥２．￥１．ｃｂ１．ａｎｔｉ—ｓｐａｍ．ｏｒｇ．ｃｎ．￥：ＯＫ￥）

Ｒ＜？＞ＯＫ￥：￥（ｓｔｏｒａｇｅ｛ＣＡＳＡ—ＣＢＬ｝￥＠

ＮｏＦｏｕｎｄ￥）

Ｒ＜？＞￥＋＜ＴＭＰ＞￥：￥（ｓｔｏｒａｇｅ｛ＣＡＳＡ—

ＣＢＬ｝￥＠ＴｅｍｐＥｒｍｒ￥）

Ｒ＜？＞￥＋￥：￥（ｓｔｏｒａｇｅ｛ＣＡＳＡ—ＣＢＬ｝￥

＠Ｆｏｕｎｄ￥）

ＨＸ．ＣＡＳＡ．ＣＢＬ—Ｒｅｓｕｌｔ：￥｛ＣＡＳＡ—ＣＢＬ｝

（５）Ｍａｉｌ Ｆｒｏｍ域名正向解析：對Ｍａｉｌ Ｆｒｏｍ域

（６）ＬＤＡＰ郵件路由：可部署在郵件入站網關

中，根據Ｒｃｐｔ Ｔｏ地址查詢ＬＤＡＰ服務器決定郵件的

轉發路徑，拒收收件人不在ＬＤＡＰ中的郵件。 失敗）、ＦＡＩＬ（永久性失敗，比如ＰＩＲ記錄不存在）和

（１）連接控制：提供了一些配置參數與特性，對

服務器并發生成的子進程數、每秒的最大ＳＭＴＰ連

接數目、每個ＩＰ每分鐘的ＳＭＴＰ連接數以及并發連

接數等進行限制，可用于處理拒絕服務攻擊。

（２）反向ＤＮＳ解析：根據發件方的ＩＰ地址進行

正向ＤＮＳ解析，并將獲取的ＩＰ地址與發件方的實際

進行比對，校驗的結果可以是ＯＫ、ＴＥＭＰ（臨時性

反向ＤＮＳ解析，然后再依據查詢返回的主機名進行

名進行正向ＤＮＳ解析，拒收該域不可解析的郵件ｏ

ＦＯＲＧＥＤ（偽造，即ＩＰ地址不匹配），并保存在ｓｅｎｄ—

（７）ＳＭＴＰ Ｔａｒｐｉｔ：提供了以下兩種ＳＭＩＰ Ｔａｒｐｉｔ技術ｏ

ｄｅｆｉｎｅ（ ｃｏｎｆＢＡＤ—ＲＣＰＴ—ＴＨＳＯＴｒＬＥ ， ｎ）：設

ｍａｉｌ的變量｛ｃｌｉｅｎｔ—ｒｅｓｏｌｖｅ｝中。用戶可依據該變量

來確定郵件的處理方式，比如在配置文件ｓｅｎｄｍａｉｌ．

定一旦“收件人未知”錯誤數超過閾值ｎ，將在該

一

１２６一

ＳＭＴＰ會話所收到的每條后續Ｒｃｐｔ Ｔｏ命令后延遲１

秒。該特性能有效阻止郵件地址探測攻擊。另外，

也可以使用配置參數“ｃｏｎｆＭＡＸ—ＲＣＰＴＳ—ＰＥＲ—

ＭＥＳＳＡＧＥ”直接限定每封郵件的Ｒｃｐｔ Ｔｏ命令數。

ｆｅａｔｕｒｅ（ ｇｒｅｅｔ—ｐａｕｓｅ ，～ｎ）：設定在ＳＭＴＰ連接

建立后，收件服務器延遲回送歡迎信息（ｗｅｌｃｏｍｅ

ｇｒｅｅｔ）的時間。對于在此延遲期間發出任何命令的

發件方，其郵件會被拒收。

（８）Ｍｉｌｔｅｒ接口提供了功能強大的Ｍｉｈｅｒ郵件

過濾ＡＰＩ，定義了一組用于ＳＭＴＰ不同會話階段的

回調函數，使得第三方郵件過濾程序可以通過該接

口在ＳＭＴＰ會話的各個階段對郵件進行訪問處理，

包括：郵件接受、丟棄、暫時拒絕、拒絕、日志記錄，以

及修改郵件頭或郵件的正文信息等。目前已有許多

基于Ｍｉｈｅｒ接口的郵件過濾軟件，其中開放源碼的

ｂａｔｖ—ｍｉｌｔｅｒ與ｍｉｌｅｒ—ｇｒｅｙｌｉｓｔ能分別實現ＢＡＴＶ、ＳＰＦ

和灰名單技術。

ｂａｔｖ—ｍｉｌｅｒ ７ Ｊ實現ＢＡＴＶ認證，能直接拒收認證

失敗的郵件，并提供白名單功能，對發往或來自該白

名單所列站點的郵件免予簽名或驗證，解決ＢＡＴＶ

與其它郵件系統可能存在的沖突問題，減小誤判的

概率。

ｍｉｌｔｅｒ—ｇｒｅｙｌｉｓｔ 集成了ＳＰＦ與灰名單兩大功

能，并提供了訪問控制列表（例３所示），以應對這

兩種過濾技術存在的負作用。

例３：ｍｉｈｅｒ—ｇｒｅｙｌｉｓｔ訪問控制列表范例：

ｌｉｓｔ”ｖａｌｉｄ ｍｔａ ａｄｄｒ ｊ

１９２．１６８．１．１＼＃ｍａｉｌ ｇａｔｅｗａｙ

｝

ｒａｃｌ ｗｈｉｔｅｌｉｓｔ ｌｉｓｔ ｖａｌｉｄ ｒａｔａＨ

馓定可信主機的白名單（包括可能被列入

ＲＢＬ的合法主機、可信的轉發系統等）

ｒａｃｌ ｂｌａｃｋｌｉｓｔ ｓｐｆ ｆａｉｌ ｍｓｇ ｆＳＰＦ ｆａｉｌｅｄ

＃直接拒收ＳＰＦ認證結果為“Ｆａｉｌ”的郵件

ｇｒｅｙｌｉｓｔ １５ｍ

＃設定郵件初次投遞嘗試后，被灰名單暫時拒收

的時間為１５分鐘

ｒａｃｌ ｇｒｅｙｌｉｓｔ ｓｐｆ ｎｅｕｔｒａｌ

ｒａｅｌ ｇｒｅｙｌｉｓｔ ｓｐｆ ｓｏｆｆｆａｉｌ

ｓｍ

—

ｍａｃｒｏ”ＲＤＮＳ ＦＯＲＧＥＤ””｛ｃｌｉｅｎｔ—ｌ＇ｅｓｏｌｖｅ｝”

”Ｆ０ＲＧＥＤ”

ｒａｃｌ ｇｒｅｙｌｉｓｔ ｓｍ ｍａｃｒｏ ＲＤＮＳ ＦＯＲＧＥＤ

ｓｍ

—

ｍａｃｒｏ ＣＡＳＡ

ＣＢＬ ＼ＣＡＳＡ—ＣＢＬ＼ ”

Ｆｏｕｎｄ“

ｒａｃｌ ｇｒｅｙｌｉｓｔ ｓｍ ｍａｃｒｏ ＣＡＳＡ ＣＢＬ

鍛定對疑似垃圾郵件（比如ＳＰＦ認證結果為

“

ｓｏｆｔｆａｉｌｆｎｅｕｔｒａｌ”、未通過ｓｅｎｄｍａｉｌ的反向ＤＮＳ解析

認證、或被列入ＲＢＬ等）需要進行灰名單過濾處理。

ｒａｃｌ ｗｈｉｔｅｌｉｓｔ ｄｅｆａｕｌｔ

＃指定在默認情況下，郵件將免予灰名單過濾

處理。

利用ｍｉｌｔｅｒ—ｇｒｅｙｌｉｓｔ對疑似垃圾郵件進行灰名單

處理，雖然降低了該技術的效能，但能大大減小誤判

的概率，并能保證絕大多數合法郵件的投遞不會被

灰名單延遲。

３ 結束語

分析了基于ｓＴＭＰ會話層的垃圾郵件行為識別

技術，在垃圾郵件的信體發送之前就對其實施過濾，

是對當前郵件過濾技術的一種有益補充。然而，要

解決垃圾郵件問題，不僅需要依靠技術措施，還應當

采取法律手段以及提高用戶的安全意識，才能取得

良好的防范效果。

參考文獻：

［１］Ｗｉｋｉｐｅｄｉａ．Ｂａｃｋｓｅａｔｔｅｒ（ｃ－ｍａｉｌ）［ＥＢ／ＯＬ］ ｈｔｔｐ：／／ｅｎ．ｗｉｋｉｐｅｄｉａ．

ｏｒｇ／ｗｉｋｉ／Ｂａｃｋｓｅａｔｔｅｒ

一

（ｅ．ｍａｉｌ），Ａｕｇ ２００９．

［２ ３ Ｗｏｎｇ Ｍ，Ｓｅｈｌｉｔｔ Ｗ．ＲＦＣ ４４０８，Ｓｅｎｄｅｒ Ｐｏｌｉｃｙ Ｆｒａｍｅｗｏｒｋ（ＳＰＦ）

ｆｏｒＡｕｔｈｏｒｉｚｉｎｇ Ｕｓｅ ｏｆ Ｄｏｍａｉｎｓ ｉｎ Ｅ－Ｍａｉｌ Ｖｅｒｓｉｏｎ １［Ｓ］．ＩＥＴＦ，

Ａｐｒｉｌ ２００６．

［３］ｌｉｂｓｒｓ２．ｏｒｇ．Ｓｅｎｄｅｒ Ｒｅｗｒｉｔｉｎｇ Ｓｃｈｅｍｅ［ＥＢ／ＯＬ］．ｈｔｔｏ：／／ｗｗｗ．１ｉｂ－

ｓｒｓ２．ｏｒｇ／ｓｒｓ／ｓｒｓ．ｐｄｆ，Ｊｕｎｅ ２００５．

［４］Ｌｅｖｉｎｅ Ｊ，Ｃｒｏｃｋｅｒ Ｄ，Ｓｉｌｂｅｒｍａｎ Ｓ，ｅｔ ａ１．Ｂｏｕｎｃｅ Ａｄｄｒｅｓｓ Ｔａｇ Ｖａｌｉ?

ｄａｔｉｏｎ（ＢＡＴＶ）［ＥＢ／ＯＬ］．ｈｔ￡ｐ：／／ｍｉｐａｓｓｏｃ．ｏｒｇ／ｂａｔｖ／ｄｒａｆｔ?ｌｅ—

ｖｉｎｅ－ｌｎｉｔｙ－０３．ｔｘｔ．Ｊｕｌｙ ２００７．

［５］Ｈａｒｒｉｓ Ｅｖａｎ．Ｔｈｅ Ｎｅｘｔ Ｓｔｅｐ ｉｎ ｔｈｅ Ｓｐａｍ Ｃｏｎｔｒｏｌ Ｗａｒ：Ｇｒｅｙｌｉｓｉｆｎｇ

［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．ｇｒｅｙｌｉｓｉｆｎｇ．ｏｒｇ／ａｒｔｉｄｅｓ／ｗｈｉｔｅｐａｐｅｒ．ｓｈｔ—

ｍｌ，Ａｕｇ ２００３．

［６］中國反垃圾郵件聯盟．黑名單服務［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．ａｎ—

ｔｉ－ｓｐａｍ．ｏｒｇ．ｃｎ／ＣＩＤ／１，Ｄｅｃ ２００７．

［７］Ｇｓｈａｐｉｒｏ，Ｒｒｏｇｎｌｉｅ，Ｓｎｉ－ｕｒｓｋ．ｂａｔｖ－ｍｉｈｃｒ［ＥＢ／ＯＬ］．［２ｏｏ９￣ｓ一１６］．

ｈｔｔｐ：／／ｓｏｕｍｅｆｏｒｇｅ．ｎｅｔ／ｐｒｏｊｅｅｔｓ／ｂａｔｖ－ｍｉｌｔｅｒ／，Ａｐｒ ２００９－８?１６．

［８］ Ｅｍｍａｎｕｅｌ Ｄｒｅｙｆｕｓ．Ｔｉｒｅｄ ｏｆ ｓｏｒｔｉｎｇ ｙｏｕｒ ｓｐａｒｅ？Ｔｒｙ ｏｕｔ ｍｉｈｅｒ?

ｇｒｅｙｌｉｓｔ［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｈｃｐｎｅｔ．ｆｒｅｅ．ｆｒ／ｍｉｈｅｒ－ｇｅｒｙｌｉｓｔ／，Ａｕｇ

２００９．

責任編輯：肖濱

一

１２７—