垃圾郵件氾濫 SMTP該壽終正寢？

[winxp2600]

CNET新聞專區：Paul Festa　　04/08/2003




用了20年多的這套e-mail傳輸協定有個重大瑕疵：太過信任使用者。

簡單郵件傳輸協定(SMTP)當初開發出來時，網際網路都還侷限在學術界的使用，它會認定你所提供的身份為真，不會懷疑你可能是要傳送特洛伊木馬病毒，或者你是盜用他人帳號來大量寄送垃圾郵件。






由於SMTP太過信任使用者，使得反垃圾郵件人士與原始email架構創始人都認為email系統需要重新翻修，甚至直接替換這套協定。

「我會建議重頭開發一套新通訊協定。」SMTP前身協定的作者Suzanne Sluizer受訪時表示。「根據我從事電腦工作多年的經驗，與其修改現行的，不如想一套新的來得快。」目前在新墨西哥大學任教的她表示。Sluizer是在1981年共同參與SMTP前身「郵件傳輸協定」的撰寫。

由於垃圾郵件氾濫程度每況愈下，e-mail專家對於防堵垃圾郵件之道幾乎已經到了黔驢技窮的地步。

AOL時代華納旗下的網路部門美國線上(AOL)四月時曾表示，一天擋下來的垃圾郵件最高曾達24億封信，但即使如此，AOL的3400萬用戶還是經常收到垃圾郵件。部分人士估計全球垃圾郵件佔了總email數的50%。

專家表示，追根究底，SMTP可說是這一切email罪惡的根源，因為此一通訊協定無法確認發信人的身份，因此大家都可捏造一個不實身份。

「當年使用SMTP有其學術性的時空背景，但我很訝異這協定還可存活25年之久，因為商業環境跟學術環境畢竟有差別。」自稱SMTP祖母的Sluizer說。

雖然大部分人士都同意SMTP有先天不良之處，但要如何修改則還有爭議。

部分曾參與早期SMTP的人士認為修改既有協定會比重頭撰寫來得容易。

「在SMTP中加入認證並沒那麼困難。」網際網路郵件協會總監Paul Hoffman表示。「現在就已經有一套協定可這麼做，就是在SSL/TLS上執行SMTP，我就是原作者。」(SMTP over SSL/TLS協定可從Internet Engineering Task Force的網站上下載。)

Hoffman認為，比較困難的地方在於如何建立認證所需的「信任關係」，也就是證實使用者為本人無誤？更困難的是如何設計出一套可檢驗mail伺服器，而非個人而已。這是因為第三方也必須決定哪些email伺服器是否有在寄送垃圾郵件。

「第三方所耗費的時間與法律風險應由誰來負擔呢？」Hoffman如此表示。

有些專家則認為，網路網路使用人口太多，重新撰寫一套傳輸協定並不實際。

「現在用來接收或傳送郵寄的SMTP多不可勝數，若要全部轉換可能得花上好幾年，而這在轉換期間，垃圾郵件的問題依然無解。」歐洲ISP協會RIPE旗下的反垃圾郵件工作小組主席Rodney Tilloston表示。

另外有些則主張比較溫和式的改革。例如 ePrivacey Group在四月份公佈了一份TEOS(信賴電子郵件開放標準)草案，它是建立在SMTP協定之上，而非意在取代。

有些廠商則尋求SMTP以外的解決方式，例如微軟便主張修訂DNS(網域名稱系統)，讓垃圾郵件發送者難以偽裝身份。

DNS是由數家不同廠商共同維護的分散式資料庫，負責提供網站的網域名稱或email位址。專家表示，DNS的問題在於它無須經過認證。

「我們首先要解決的是偽裝身份的問題。」微軟Exchange伺服器經理Harry Katz表示。「我們認為只需做一些小小的強化動作就可達到效果。」

微軟打算推出一個強化版本，讓個人/企業得以公布DNS資料庫中的郵件伺服器辨識號碼。如此一來，收件一方便可比對訊息的實際發送處與標頭(header)中的記載是否相符。若兩者有差異，則垃圾郵件過濾軟體便幾乎可判斷該郵件屬於大量寄發的垃圾訊息。

「我們常聽到有人認為重頭寫一個新的比較快，」Katz表示，「但我不這麼認為，雖然有許多流量的確值得關切，但這不代表我們要把交流道給拆了。我們還是可以利用漸進式的改善來解決問題。」

Katz警告，若一意孤行急著解決電子郵件問題，則產業可能會傷害到網際網路的開放性。即使微軟即將推出的DNS修改草案也非常小心，不得阻止第三方寄送合法的廣告郵件。

「這需要有個平衡點。」Katz說。「我們希望大家都能有效地透過網際網路作聯繫，但未來此一系統的約束會越來越嚴格，這是因為垃圾郵件與病毒太過猖獗之故。但你還是不能一股腦趕盡殺絕，因為總有些例外狀況我們必須敞開大門，比如許久不見的朋友突然主動寄信給你，而這正是目前網際網路最大的優勢之一。」(陳奭璁)
_________________
我的論壇~http://netd.idv.tw