文/iThome|2004-02-25發表

垃圾郵件(SPAM)問題嚴重嗎?當電子郵件沒那麼普及時,問題自然也不嚴重,直到企業普遍建置郵件伺服器,卻在沒有關閉Mail Relay功能下,成為垃圾轉運站,企業才開始注意到垃圾郵件的存在。1封垃圾郵件值1美元

電子郵件是人類有史以來最迅速、最方便、價格又低廉的溝通方式,理所當然成為市場行銷的最佳手法,卻也是現代人的夢魘。

對個人而言,垃圾郵件最大的影響就是浪費時間去判斷與處理,而且大量的垃圾郵件佔用信箱空間,如果沒有即時清理,連正常的信件都無法接收。根據調查,有25%的使用者已經減少或停止使用電子郵件,原因是垃圾郵件太多,使他們失去耐心。

對企業而言,郵件伺服器每天已經要處理數千封,甚至數萬封的郵件,過多的垃圾郵件不僅造成伺服器癱瘓、網路阻塞,浪費頻寬和郵件伺服器空間,更重要的是,它會導致員工效率不彰與生產力降低。

垃圾郵件泛濫不僅直接影響到個人和企業,也影響到網際網路的正常運作,ISP、入口網站和電子郵件服務廠商必須購買更好的伺服器、儲存設備、過濾軟體及網路頻寬,才能應付日益增加的垃圾郵件。最近,許多病毒利用垃圾郵件技術,將自己偽裝成正常郵件,如果使用者不小心點選,又將引爆另一個問題「病毒泛濫」。

一封垃圾郵件值多少錢?包括刪除訊息的時間、購置大型郵件伺服器和儲存系統,以及垃圾郵件造成網路癱瘓所導致的故障排除成本等,保守估計刪除一封垃圾郵件須花費1美元。

立法解決垃圾郵件問題?
一年要花那麼多錢去刪垃圾郵件,各國政府當然不會坐視不管,包括美國、英國、法國、澳洲、日本及韓國等,都已制定相關的法律。

依照屬性的不同,可將他們分成「選擇加入(Opting In)」及「選擇退出(Opting Out)」等兩派。「選擇加入」著重隱私權的保護,必須取到使用者的直接同意後,才可以寄發行銷郵件,所謂的直接同意是指收信人對於寄件者所提出的清晰且明顯的要求,給予肯定的回應,而且寄件人必須保留相關的記錄,以證明確實取得收件人的同意,包括歐盟的隱私與電子通訊指令、澳洲SPAM Bill 2003及日本的特定電子郵件法,都採用這種方式。

選擇退出則不需經過使用者同意,只要在郵件內文附加退訂的連結,例如美國的CAN-SPAM(Controlling the Assault of Non-Solicited Pornography and Marketing,未經使用者授權之色情暨市場行銷管制法),發信者可傳送數量不限的行銷郵件,只要內文包含有效的美國郵遞住址或郵政信箱,並附有退訂連結,就屬於合法的行銷郵件。這種方式是將寄件人取得同意的舉證責任,轉換到收件人身上,也就是說,日後收件人要控告垃圾郵件的寄發公司,必須舉證已經向寄件人送出通知,而且該通知已送達寄件人。

在臺灣,之前有立委提出「電子廣告信件管理條例」草案,但裡面的規定過於簡略,而且不符合現狀所需,專家建議制訂專法會比較妥當,目前草案正在研擬當中。

制定法律後,真的就能改善SPAM嗎?立法只能減低合法的行銷郵件,規範守法的寄送者,因為Spammer可能會移師海外,逃避制裁,以美國為例,有不少人質疑CAN-SPAM只是折衷方案,除了法條包含不少的漏洞與例外,採證的標準也過高,讓落實執法的難度增高,對消費者的保障有限,根據Brightmail的調查,儘管美國的反垃圾郵件法已經生效,但垃圾郵件的比例卻仍由去年12月的58%,上升到1月的60%,預估今年會達到65%的最高峰。

此外,網路犯罪通常較難判定罪證,例如去年6月通過的「刑法部分條文修正草案」,無故灌爆他人信箱者,將處以3年以下有期徒刑或併科10萬元罰款,我們卻很難加以舉證,因為單封郵件很難灌爆6~10MB的郵件信箱,我們每天又收到各式各樣的郵件,無法確認是哪封電子郵件灌爆信箱。此外,目前垃圾郵件的權責管理單位仍不明,公平交易委員會、新聞局及交通部電信總局都是相關單位,專家認為比較合適的單位是「通訊傳播委員會(NCC)」。

垃圾郵件是一個國際性問題,如果沒有國際性的協同合作,單靠幾個國家制定相關法律,只是浮於表面的口號,無法真正杜絕垃圾郵件。

新的反垃圾郵件技術
立法緩不濟急,新的技術群起對抗垃圾郵件。

已經使用20多年的SMTP協議,在制定之初,肯定沒有考慮到垃圾郵件的問題,所以SMTP從不懷疑寄件者的身分、所發送的內容,不論是正常信、病毒信或廣告信,它都會正常發送,甚至匿名的寄件者也能夠大量發送電子郵件。使用需要認證的SSMTP寄信機制,是比較安全的方式。

黑白名單是最常見的反垃圾郵件技術,但早已被Spammer所識破,他們會利用偽造的IP位址來發信;許多廠商會以關鍵字比對郵件的主旨、內容及附加檔,如果有廣告、DM、性等敏感字眼,就歸為垃圾郵件,但與黑白名單相同,只要避開那些常見的字眼,或在文字中間加個符號(SEX、S-E-X、S_E_X都是不同的文字),就可以輕易閃躲。另外,為了躲避關鍵字比對,現在許多垃圾郵件會將廣告內容變成圖片或網頁超連結。

最近出現的智慧過濾法,採用人工智慧啟發式學習,能自動判斷出垃圾郵件的各種變化,然後加以過濾,例如微軟的SmartScreen 技術,就是以MSN和Hotmail的垃圾郵件為樣本,判斷垃圾郵件的特徵,而且持續更新,以有效過濾垃圾郵件。

檢查寄件者的來源,也是廠商努力的方向之一,像Yahoo!推出DomainKeys技術,使用加密技術驗證寄件者的身分,確認寄送者的身分不是偽造的;Brightmail推出Reputation Service服務,從朋友和有信譽的企業所發出的郵件會通行無阻,而被投訴過的郵件位址則會被攔截。

有不少廠商整合多種過濾技術(多層式過濾),希望將垃圾郵件的數量減到最低,包括SPAM資料庫、關鍵字加權計分、自訂郵件規則等,新的反垃圾郵件技術也不斷推陳出新,微軟更不遺餘力要打擊垃圾郵件,先後發表Computational Puzzles技術與Penny Black計畫,比爾蓋茲更發出豪語,2005年中要消滅垃圾郵件!

既然有人能夠製造出垃圾郵件,相信也一定有人能找到消滅垃圾郵件的最終辦法,但不論是使用哪種技術,廠商永遠都處於劣勢(消費者更是最弱勢的一群),因為Spammer只要比軟體聰明一點,垃圾就進的了我們的信箱,但反垃圾郵件業者卻得非常小心,不能把任何一封合法郵件給排除在外。無法100%反垃圾郵件

許多企業建置反垃圾郵件產品,希望百分百阻隔垃圾郵件,但事與願違,現階段的產品只能降低垃圾郵件比例。

為什麼無法100%過濾垃圾郵件,最大的影響因素就是「需求」,以MCSE認證的廣告信為例,MIS人員認為是有用的郵件,但財務部門則視為垃圾信,如果每個人都有不同的需求,那麼產品勢必須符合所有人的需求,也就是說好的反垃圾郵件產品必須能依使用者需求制訂不同的郵件規則。

客制化規則只是第一步,管理員必須每季定期檢閱郵件規則,才能確保規則符合所需。有些反垃圾郵件產品的規則很簡單,只要打勾就好,但這樣的產品無法加以客製化,不適合大型企業使用。

有人會說,只要在個人端安裝SPAM過濾軟體就好,何必浪費錢建置伺服器端的過濾軟體。除非你不擔心伺服器癱瘓、網路阻塞、浪費頻寬和郵件伺服器空間等問題,不然,企業的反垃圾郵件必須從閘道端著手,在進入郵件伺服器之前就予以清除,降低對網路頻寬和郵件伺服器的負擔。

由於技術仍在發展,產品也有很多種選擇,以關鍵字比對為例,有的產品僅支援英文,有的使用自然語言處理,有的用貝氏演算法,實際試用是最佳的評估方式,體驗真實的操作介面,測試產品能為你抵擋多少垃圾郵件。

在測試時,需注意到攔截率與誤攔率的高低,雖然產品大都號稱有90%以上的攔截率,不過一般的攔截率標準是80%以上,誤攔率則必須低於5%,也就是說,一個垃圾郵件攔截率90%的產品,若誤攔率高達10%,那也不算是好產品。

值得注意的是,Gartner認為反垃圾郵件技術正處於宣傳期,市場上充斥著不實的過度期待,企業很容易被不完整的垃圾郵件偵測產品及設備廠商所混淆,他們預估今年會出現比較先進的產品。

寄件者自律,經濟手段解決垃圾郵件問題
如果你有處理過垃圾郵件,相信會發現不少郵件是在販賣「郵件軟體」和「郵件名單」,當Spammer購買這些軟體和名單後,不僅只是發送垃圾郵件,之後又再次出售這些名單牟利,惡性循環之下,我們是最倒霉的人,每天都有收不完的垃圾。

如果任何人都無法從垃圾郵件中獲利,那麼也就不會發生垃圾郵件泛濫了!

也許解決垃圾郵件問題的最佳方法不是法律、技術或軟體,而是透過經濟手段,對電子郵件收費。如果每發一封要收一定的金額,那Spammer將無利可圖,不過這樣的方式,幾乎也將電子郵件的好處全部抹煞,實行難度頗高。

要停止寄送廣告行銷郵件,應該是不可能的事,但寄送「合適」的廣告行銷郵件,就比較容易達成。我們建議在寄發郵件前,最好先取得收件者的同意,以免被歸類為Spammer,列入黑名單;在郵件的主旨標示廣告、DM等關鍵字,而不使用讓人誤解的主旨;內文中,寄件者必須提供正確有效的寄件人資料,包含公司資料、電子郵件信箱及退訂的連結。畢竟,為了省一點小錢,而賠上整個公司信譽,只會偷雞不著蝕把米。

SPAM的歷史
我們一般稱垃圾郵件為SPAM或Junk Mail,更繞口的說法是Unsolicited Commercial Email(未經邀約的商業電子郵件)或Unsolicited Bulk E-mail(未經邀約的大量電子郵件),就是將一份內容相同的電子郵件,未經收件人同意,大量寄送給許多人,其內容大多是與收信人無關的商業廣告,而且收件人無法拒收。

其實SPAM不是現代的產物,早在1975年,就有關於垃圾郵件的記錄,1985年8月出現第一封透過電子郵件傳送的「連鎖信」。

1994年4月,Canter & Siegel法律事務所向6000多個新聞群組發送同樣內容的垃圾郵件,也就是著名的「綠卡樂透(Greencard Lottery)」事件。

1995年5月,第一個專門發垃圾郵件的軟體Floodgate誕生,能夠自動發送大量郵件,同年8月,已經有數百萬個電子郵件地址在市面上販售。

1996年3月,專家提出過濾垃圾郵件的方法,並研發一些簡單的過濾工具。1996年4月,垃圾郵件出現另一個名稱UCE(Unsolicited Commercial Email),而且漸受企業重視,人們也開始想辦法阻檔垃圾郵件的氾濫。

為了閃避各種對垃圾郵件的抵制,Spammer開始偽造寄件人及郵件地址,1997年3月,他們把目標轉到Mail Relay,利用其他人的郵件伺服器寄送垃圾郵件。

在過去幾年,世界各地成立許多反垃圾郵件組織,例如ORBS、DSBL、MAPS、SPAMHAUS、UXN等。不過,這些組織也是Spammer攻擊的對象,如SPEWS、Osirusoft(relay.osirusoft.com)及SORBS(www.dnsbl.sorbs.net),在去年就傳出被Sobig蠕蟲攻擊的消息。 我們可以預期,這場戰爭仍會持續多年,正對邪的對抗將持續下去。反垃圾郵件從個人著手

生活在「垃圾堆」之中的你我,該起身尋求自保自道。

SPAM從何而來呢?依據我們的經驗,有的是不請自來(垃圾郵件軟體派送),有的是電子報的附加產物,也有因為貪小便宜而上勾(填問卷、贈獎)。我們常常會因為某些贈品的引誘,而填寫電子郵件信箱,甚至是身分證字號,這時你已將隱私曝露在網路中,最近比較常見的例子是大陸網站「http://www.tv8848.com/index_big5.html?user=XXX」,聲稱只要5個人開啟帳號後,就可以免費下載電影,它得目的只為了騙取你的電子郵件信箱,可千萬不要以為註冊後就可以免費下載。

如果你真的受不了誘惑,我們提供幾個處置方式給你參考:

垃圾郵件過濾軟體
郵件過濾軟體是最實用的反垃圾郵件工具,依筆者的經驗,將Outlook 2003的垃圾郵件設定在「高」等級,大約可以過濾9成左右的垃圾郵件,相當簡單易用,不過就如同它的選項描述一般,有一些電子報和郵件會誤判為垃圾郵件。最近推出的個人端防毒軟體也都有整合反垃圾郵件功能,包括Symantec的Norton Internet Security 2004和趨勢的PC-Cillin 2004,都可以過濾垃圾郵件。

制定過濾規則
有了郵件過濾軟體並不能解決所有的問題,因為每個人的認知不同,你認為是垃圾,別人或許當它是黃金,所以還是要再自制過濾規則,例如你在某網站註冊後,可能就會定期收到行銷信,這時可將該廠商的郵件伺服器(xxx.com.tw)列入黑名單,並將「廣告」、「行銷」等關鍵字加入過濾規則,在收信時直接刪除。

帳號命名有訣竅
許多垃圾件軟體在發信時,會以字典檔自動寄送郵件,如果使用單純的英文名(Bill、Peter)做為帳號,很容易就遭到毒手,最好使用混合英數的帳號,如Bill 1234、Peter 2004,能避免許多垃圾信。

SPAM專用信箱
在填寫網站的註冊資料,往往要求填寫真實的身分證字號和電子郵件信箱,但填寫真實資料有一定的風險,包括資料被盜用、收不完的廣告信等,這時如果有專收垃圾郵件的免費信箱,將大大減少私人信箱收到垃圾信的數量,我們推薦使用MSN或Yahoo!的信箱,因為他們都已經具備反垃圾郵件功能。

良好使用習慣
許多人寄信時,常把收件人的信箱位址清清楚楚列在內文,特別是一些連鎖信,內文附加一大串的郵件名單,如果你有收到這樣的信件,請不要成為Spammer的幫手,最好直接刪除該連鎖信,若是要寄出,也請使用密件副本,保護收件者的權利。自動回信功能也是很容易落入圈套的功能,Spammer很清楚的知道這是有效的名單,他可以用來發垃圾件。

最近還出現很多置入性行銷的電子郵件,內文大概有幾個重點,首先,它能躲過Outlook 2003的垃圾郵件過濾,讓你有機會可以看上一眼;其次,它的郵件主旨不清不楚,希望你能回信給他,但想當然爾,如果你回信後,將會永遠成為郵件名單的一員;最後,因為內文大部分都是勵志性文章,只是在前面或最後附加一段廣告詞,也許希望你在感動之餘,能順手按了一下廣告連結。文⊙陳世煌

熱門新聞

Advertisement