过滤虚假发信人地址邮件

维普资讯

■二÷Ｉ三 Ｉ＿ｊ

ｌ一’＿；０兰 ｉｊＩ一；

研究与发展

过滤虚假发信人地址邮件

■文／刘武段海新张洪

当初人们设计电子邮件系统之时，基

于一个基本的假设就是发信人是可信的，

着关键作用。

如图１所示是一封正常邮件的部分邮

邮件域ＭＤ和Ｒｅｃｅｉｖｅｄ字段中的邮件域ＤＮ

（２）比较ＭＤ与ＤＮ，如果ＭＤ不在ＤＮ

中出现，则为ＦＳＡ～Ｓｉａｍ，否则为正常邮件。

因而很少考虑邮件系统的安全性。随着互

联网的迅速发展，电子邮件系统越来越普

及，随之而来的就是越来越严重的安全问

ＦＳＡ—Ｓｐａｍ检测／过滤的

挑战与对策

由于不同的邮件系统在实现细节上并

图１正常邮件的邮件头结构

题，其中最主要的就是垃圾邮件的泛滥，

给社会、集体和个人带来了巨大的损失和

未严格遵循电子邮件的相关协议与标准如

错，在具体实施ＦＳＡ—Ｓｐａｍ的检测与过滤 件进行斗争，如黑白名单技术、过滤技术、

不便。目前人们想尽了一切办法与垃圾邮

件头信息，邮件头中的Ｆｒｏｍ字段记录了 ＲＦＣ８２２等，以及邮件系统自身的配置差

邮件发送人的Ｅ ｍ ａ ｉ ｌ地址（Ｍ Ａ）：

断上升的趋势。

增强认证技术等。然而垃圾邮件仍然呈不 ｓｐｒｉｎｇｅｒ＠ｓｃｉｅｎｔｉｆｉｃ—ｄｉｒｅｃｔ．ｎｅｔ，表明邮件

时可能会遇到一些问题。比如，有些非标

ｖｅｄ字段 准邮件系统发送邮件时，在Ｒｅｃｅｉ

发送人来自邮件域（ＭＤ ｓｃｉｅｎｔｉｆｉｃ—ｄｉｒｅｃｔ．

中写入的不是域名而是ＩＰ地址；另外，有

在邮件头中有一个或多个Ｒｅｃｅｉｖｅｄ字 些邮件系统支持虚拟邮件域（即一个邮件系

现有电子邮件系统所存在的诸多安全 ｎｅｔ，其账号名（ＭＣ）为ｓｐｒｉｎｇｅｒ。

问题，归根到底是由于缺乏对发信人的源

地址进行认证所造成的。垃圾邮件制造者 段，它记录了邮件在投递过程中所经过的

统同时管理多个邮件域），发送邮件时写入

的主要目的是发送广告与其它有害信息， Ｒｅｃｅｉｖｅｄ字段中的邮件域ＮＤ不一定是

邮件服务器的域名（ＤＮ）或ＩＰ地址。在正常

无需收件人进行回复，所以每次都以不同 邮件中，我们会在Ｒｅｃｅｉｖｅｄ字段中发现与 Ｆｒｏｍ字段中的邮件域ＭＤ。这样就可能给

的虚假发信人地址发送邮件，使得黑白名 ＦＳＡ－Ｓｐａｍ的检测带来一些操作上的困

ＭＤ相同的ＤＮ，在图１所示的例子中，我

单技术与基于内容和特征的过滤技术失效， 难，出现误杀正常邮件的情况。

们会发现ＭＤ＝ＤＮ＝ｓｃｉｅｎｔｆｉｉｃ～ｄｉｒｅｃｔ．ｎｅｔ。

我们称这类垃圾邮件为虚假发信人地址垃 对于上述问题，可以通过ＤＮＳ正向查 对于ＦＳＡ—Ｓｐａｍ而言，垃圾邮件发送

ＦＳＡ—Ｓｐａｍ）

圾邮件（Ｆｏｒｇｅｄ Ｓｅｎｄｅｒ Ａｄｄｒｅｓｓ Ｓｐａｍ，

者为了逃避检测与追踪，总是伪造发信人 询、反向解析以及通过ＮＳＬＯＯＫＵＰ查询

地址，这样就会出现ＭＤ与ＤＮ不相同的

ＭＸ记录等技术手段得到较好的解决。

异常情况，反而成了我们检测与过滤

ＦＳＡ—Ｓｐａｍ的基本依据。如图２所示即为

ＦＳＡ—Ｓｐａｍ检测技术的

基本原理

现有垃圾邮件检测与过滤技术主要针 邮件系统具体实现ＦＳＡ—Ｓｐａｍ的检

ＦＳＡ—Ｓｐａｍ检测／过滤的

实现考虑

测与过滤时，需要选择一个最佳的切入点。

对邮件主题（Ｓｕｂｊｅｃｔ）与邮件内容进行，没

有考虑对发信人的源地址进行验证，因而

无法阻止虚假发信人地址的垃圾邮件。

一

图２ ＦＳＡ－Ｓｐａｍ的邮件头结构

本文以Ｑｍａｉｌ邮件系统为例加以说明。

如图３所示，邮件系统处理的邮件包 封典型的ＦＳＡ－Ｓｐａｍ的邮件头特征，

（１）从外部邮件域发往其它外部邮件域

事件上，邮件头（Ｈｅａｄｅｒ）中的相关字 括４种：

Ｆｒｏｍ字段中的邮件域ＭＤ与Ｒｅｃｅｉｖｅｄ字

段记录了邮件传输过程的详细信息，其中

段中的ＤＮ不相同。

包括发信人的邮件地址，发信人的邮件域， 但需要经过本邮件服务器进行中转的邮你

器等信息，对于检测与过滤ＦＳＡ—Ｓｐａｍ有

据此我们可以总结出ＦＳＡ—Ｓｐａｍ检

以及邮件在传输过程中所经过的邮件服务 （２）从外部邮件域发往本域的邮件；

测的基本原理：

（１）分析邮件头，解析出Ｆｒｏｍ字段中的 （３）从本域发往外部邮件域的邮件；

２∞７ １１中国教育网络３７