節錄今日的ITHome電子報
立法規範守法寄送者,過濾軟體減低行銷郵件,電子郵件收費,新的過濾
技術,喊出這麼多的口號,只為消滅垃圾郵件。
垃圾郵件(SPAM)問題嚴重嗎?當電子郵件沒那麼普及時,問題自然也不
嚴重,直到企業普遍建置郵件伺服器,卻在沒有關閉Mail Relay弁鄐U,
成為垃圾轉運站,企業才開始注意到垃圾郵件的存在。
1封垃圾郵件值1美元
電子郵件是人類有史以來最迅速、最方便、價格又低廉的溝通方式,理所
當然成為市場行銷的最佳手法,卻也是現代人的夢魘。
對個人而言,垃圾郵件最大的影響就是浪費時間去判斷與處理,而且大量
的垃圾郵件佔用信箱空間,如果沒有即時清理,連正常的信件都無法接收
。根據調查,有 25%的使用者已經減少或停止使用電子郵件,原因是垃圾
郵件太多,使他們失去耐心。
對企業而言,郵件伺服器每天已經要處理數千封,甚至數萬封的郵件,過
多的垃圾郵件不僅造成伺服器癱瘓、網路阻塞,浪費頻寬和郵件伺服器空
間,更重要的是,它會導致員工效率不彰與生產力降低。
垃圾郵件泛濫不僅直接影響到個人和企業,也影響到網際網路的正常運作
, ISP、入口網站和電子郵件服務廠商必須購買更好的伺服器、儲存設備
、過濾軟體及網路頻寬,才能應付日益增加的垃圾郵件。最近,釵h病毒
利用垃圾郵件技術,將自己偽裝成正常郵件,如果使用者不小心點選,又
將引爆另一個問題「病毒泛濫」。
一封垃圾郵件值多少錢?包括刪除訊息的時間、購置大型郵件伺服器和儲
存系統,以及垃圾郵件造成網路癱瘓所導致的故障排除成本等,保守估計
刪除一封垃圾郵件須花費 1美元。
立法解決垃圾郵件問題?
一年要花那麼多錢去刪垃圾郵件,各國政府當然不會坐視不管,包括美國
、英國、法國、澳洲、日本及韓國等,都已制定相關的法律。
依照屬性的不同,可將他們分成「選擇加入( Opting In)」及「選擇退
出(Opting Out)」等兩派。「選擇加入」著重隱私權的保護,必須取到
使用者的直接同意後,才可以寄發行銷郵件,所謂的直接同意是指收信人
對於寄件者所提出的清晰且明顯的要求,給予肯定的回應,而且寄件人必
須保留相關的記錄,以證明確實取得收件人的同意,包括歐盟的隱私與電
子通訊指令、澳洲SPAM Bill 2003及日本的特定電子郵件法,都採用這種
方式。
選擇退出則不需經過使用者同意,只要在郵件內文附加退訂的連結,例如
美國的CAN-SPAM(Controlling the Assault of Non-Solicited Pornogr
aphy and Marketing,未經使用者授權之色情暨市場行銷管制法),發信
者可傳送數量不限的行銷郵件,只要內文包含有效的美國郵遞住址或郵政
信箱,並附有退訂連結,就屬於合法的行銷郵件。這種方式是將寄件人取
得同意的舉證責任,轉換到收件人身上,也就是說,日後收件人要控告垃
圾郵件的寄發公司,必須舉證已經向寄件人送出通知,而且該通知已送達
寄件人。
在臺灣,之前有立委提出「電子廣告信件管理條例」草案,但裡面的規定
過於簡略,而且不符合現狀所需,專家建議制訂專法會比較妥當,目前草
案正在研擬當中。
制定法律後,真的就能改善SPAM嗎?立法只能減低合法的行銷郵件,規範
守法的寄送者,因為 Spammer可能會移師海外,逃避制裁,以美國為例,
有不少人質疑CAN-SPAM只是折衷方案,除了法條包含不少的漏洞與例外,
採證的標準也過高,讓落實執法的難度增高,對消費者的保障有限,根據
Brightmail的調查,儘管美國的反垃圾郵件法已經生效,但垃圾郵件的比
例卻仍由去年12月的58%,上升到1月的60%,預估今年會達到65%的最高峰
。
此外,網路犯罪通常較難判定罪證,例如去年 6月通過的「刑法部分條文
修正草案」,無故灌爆他人信箱者,將處以 3年以下有期徒刑或併科10萬
元罰款,我們卻很難加以舉證,因為單封郵件很難灌爆6~10MB的郵件信箱
,我們每天又收到各式各樣的郵件,無法確認是哪封電子郵件灌爆信箱。
此外,目前垃圾郵件的權責管理單位仍不明,公平交易委員會、新聞局及
交通部電信總局都是相關單位,專家認為比較合適的單位是「通訊傳播委
員會( NCC)」。
垃圾郵件是一個國際性問題,如果沒有國際性的協同合作,單靠幾個國家
制定相關法律,只是浮於表面的口號,無法真正杜絕垃圾郵件。
新的反垃圾郵件技術
立法緩不濟急,新的技術群起對抗垃圾郵件。
已經使用20多年的SMTP協議,在制定之初,肯定沒有考慮到垃圾郵件的問
題,所以SMTP從不懷疑寄件者的身分、所發送的內容,不論是正常信、病
毒信或廣告信,它都會正常發送,甚至匿名的寄件者也能夠大量發送電子
郵件。使用需要認證的 SSMTP寄信機制,是比較安全的方式。
黑白名單是最常見的反垃圾郵件技術,但早已被 Spammer所識破,他們會
利用偽造的IP位址來發信;釵h廠商會以關鍵字比對郵件的主旨、內容及
附加檔,如果有廣告、DM、性等敏感字眼,就歸為垃圾郵件,但與黑白名
單相同,只要避開那些常見的字眼,或在文字中間加個符號(SEX、S-E-X
、 S_E_X都是不同的文字),就可以輕易閃躲。另外,為了躲避關鍵字比
對,現在釵h垃圾郵件會將廣告內容變成圖片或網頁超連結。
最近出現的智慧過濾法,採用人工智慧啟發式學習,能自動判斷出垃圾郵
件的各種變化,然後加以過濾,例如微軟的SmartScreen 技術,就是以MS
N和Hotmail的垃圾郵件為樣本,判斷垃圾郵件的特徵,而且持續更新,以
有效過濾垃圾郵件。
檢查寄件者的來源,也是廠商努力的方向之一,像Yahoo!推出DomainKeys
技術,使用加密技術驗證寄件者的身分,確認寄送者的身分不是偽造的;
Brightmail推出Reputation Service服務,從朋友和有信譽的企業所發出
的郵件會通行無阻,而被投訴過的郵件位址則會被攔截。
有不少廠商整合多種過濾技術(多層式過濾),希望將垃圾郵件的數量減
到最低,包括SPAM資料庫、關鍵字加權計分、自訂郵件規則等,新的反垃
圾郵件技術也不斷推陳出新,微軟更不遺餘力要打擊垃圾郵件,先後發表
Computational Puzzles技術與Penny Black計畫,比爾趙鬻騕o出豪語,
2005年中要消滅垃圾郵件!
既然有人能夠製造出垃圾郵件,相信也一定有人能找到消滅垃圾郵件的最
終辦法,但不論是使用哪種技術,廠商永遠都處於劣勢(消費者更是最弱
勢的一群),因為 Spammer只要比軟體聰明一點,垃圾就進的了我們的信
箱,但反垃圾郵件業者卻得非常小心,不能把任何一封合法郵件給排除在
外。
無法 100%反垃圾郵件
釵h企業建置反垃圾郵件產品,希望百分百阻隔垃圾郵件,但事與願違,
現階段的產品只能降低垃圾郵件比例。
為什麼無法100%過濾垃圾郵件,最大的影響因素就是「需求」,以MCSE認
證的廣告信為例, MIS人員認為是有用的郵件,但財務部門則視為垃圾信
,如果每個人都有不同的需求,那麼產品勢必須符合所有人的需求,也就
是說好的反垃圾郵件產品必須能依使用者需求制訂不同的郵件規則。
客制化規則只是第一步,管理員必須每季定期檢噤l件規則,才能確保規
則符合所需。有些反垃圾郵件產品的規則很簡單,只要打勾就好,但這樣
的產品無法加以客製化,不適合大型企業使用。
有人會說,只要在個人端安裝SPAM過濾軟體就好,何必浪費錢建置伺服器
端的過濾軟體。除非你不擔心伺服器癱瘓、網路阻塞、浪費頻寬和郵件伺
服器空間等問題,不然,企業的反垃圾郵件必須從閘道端著手,在進入郵
件伺服器之前就予以清除,降低對網路頻寬和郵件伺服器的負擔。
由於技術仍在發展,產品也有很多種選擇,以關鍵字比對為例,有的產品
僅支援英文,有的使用自然語言處理,有的用貝氏演算法,實際試用是最
佳的評估方式,體驗真實的操作介面,測試產品能為你抵擋多少垃圾郵件
。
在測試時,需注意到攔截率與誤攔率的高低,雖然產品大都號稱有 90%以
上的攔截率,不過一般的攔截率標準是 80%以上,誤攔率則必須低於5%,
也就是說,一個垃圾郵件攔截率90%的產品,若誤攔率高達10%,那也不算
是好產品。
值得注意的是, Gartner認為反垃圾郵件技術正處於宣傳期,市場上充斥
著不實的過度期待,企業很容易被不完整的垃圾郵件偵測產品及設備廠商
所混淆,他們預估今年會出現比較先進的產品。
寄件者自律,經濟手段解決垃圾郵件問題
如果你有處理過垃圾郵件,相信會發現不少郵件是在販賣「郵件軟體」和
「郵件名單」,當 Spammer購買這些軟體和名單後,不僅只是發送垃圾郵
件,之後又再次出售這些名單牟利,惡性循環之下,我們是最倒霉的人,
每天都有收不完的垃圾。
如果任何人都無法從垃圾郵件中獲利,那麼也就不會發生垃圾郵件泛濫了
!
也雩悃M垃圾郵件問題的最佳方法不是法律、技術或軟體,而是透過經濟
手段,對電子郵件收費。如果每發一封要收一定的金額,那 Spammer將無
利可圖,不過這樣的方式,幾乎也將電子郵件的好處全部抹煞,實行難度
頗高。
要停止寄送廣告行銷郵件,應該是不可能的事,但寄送「合適」的廣告行
銷郵件,就比較容易達成。我們建議在寄發郵件前,最好先取得收件者的
同意,以免被歸類為 Spammer,列入黑名單;在郵件的主旨標示廣告、DM
等關鍵字,而不使用讓人誤解的主旨;內文中,寄件者必須提供正確有效
的寄件人資料,包含公司資料、電子郵件信箱及退訂的連結。畢竟,為了
省一點小錢,而賠上整個公司信譽,只會偷雞不著蝕把米。
SPAM的歷史
我們一般稱垃圾郵件為SPAM或Junk Mail,更繞口的說法是Unsolicited C
ommercial Email(未經邀約的商業電子郵件)或Unsolicited Bulk E-ma
il(未經邀約的大量電子郵件),就是將一份內容相同的電子郵件,未經
收件人同意,大量寄送給釵h人,其內容大多是與收信人無關的商業廣告
,而且收件人無法拒收。
其實SPAM不是現代的產物,早在1975年,就有關於垃圾郵件的記錄,1985
年8月出現第一封透過電子郵件傳送的「連鎖信」。
1994年4月,Canter & Siegel法律事務所向6000多個新聞群組發送同樣內
容的垃圾郵件,也就是著名的「綠卡樂透( Greencard Lottery)」事件
。
1995年5月,第一個專門發垃圾郵件的軟體Floodgate誕生,能夠自動發送
大量郵件,同年 8月,已經有數百萬個電子郵件地址在市面上販售。
1996年3月,專家提出過濾垃圾郵件的方法,並研發一些簡單的過濾工具
。1996年4月,垃圾郵件出現另一個名稱UCE(Unsolicited Commercial E
mail),而且漸受企業重視,人們也開始想辦法阻檔垃圾郵件的氾濫。
為了閃避各種對垃圾郵件的抵制,Spammer開始偽造寄件人及郵件地址,1
997年3月,他們把目標轉到Mail Relay,利用其他人的郵件伺服器寄送垃
圾郵件。
在過去幾年,世界各地成立釵h反垃圾郵件組織,例如ORBS、DSBL、MAPS
、 SPAMHAUS、UXN等。不過,這些組織也是Spammer攻擊的對象,如SPEWS
、 Osirusoft(relay.osirusoft.com)及SORBS(www.dnsbl.sorbs.net)
,在去年就傳出被 Sobig蠕蟲攻擊的消息。 我們可以預期,這場戰爭仍
會持續多年,正對邪的對抗將持續下去。
反垃圾郵件從個人著手
生活在「垃圾堆」之中的你我,該起身尋求自保自道。
SPAM從何而來呢?依據我們的經驗,有的是不請自來(垃圾郵件軟體派送
),有的是電子報的附加產物,也有因為貪小便宜而上勾(填問卷、贈獎
)。我們常常會因為某些贈品的引誘,而填寫電子郵件信箱,甚至是身分
證字號,這時你已將隱私曝露在網路中,最近比較常見的例子是大陸網站
「 http://www.tv8848.com/index_big5.html?user=XXX」,聲稱只要5個
人開啟帳號後,就可以免費下載電影,它得目的只為了騙取你的電子郵件
信箱,可千萬不要以為註冊後就可以免費下載。
如果你真的受不了誘惑,我們提供幾個處置方式給你參考:
垃圾郵件過濾軟體
郵件過濾軟體是最實用的反垃圾郵件工具,依筆者的經驗,將Outlook 20
03的垃圾郵件設定在「高」等級,大約可以過濾9成左右的垃圾郵件,相
當簡單易用,不過就如同它的選項描述一般,有一些電子報和郵件會誤判
為垃圾郵件。最近推出的個人端防毒軟體也都有整合反垃圾郵件弁遄A包
括 Symantec的Norton Internet Security 2004和趨勢的PC-Cillin 2004
,都可以過濾垃圾郵件。
制定過濾規則
有了郵件過濾軟體並不能解決所有的問題,因為每個人的認知不同,你認
為是垃圾,別人或雪磳收O黃金,所以還是要再自制過濾規則,例如你在
某網站註冊後,可能就會定期收到行銷信,這時可將該廠商的郵件伺服器
(xxx.com.tw)列入黑名單,並將「廣告」、「行銷」等關鍵字加入過濾
規則,在收信時直接刪除。
帳號命名有訣竅
釵h垃圾件軟體在發信時,會以字典檔自動寄送郵件,如果使用單純的英
文名( Bill、Peter)做為帳號,很容易就遭到毒手,最好使用混合英數
的帳號,如 Bill 1234、Peter 2004,能避免釵h垃圾信。
SPAM專用信箱
在填寫網站的註冊資料,往往要求填寫真實的身分證字號和電子郵件信箱
,但填寫真實資料有一定的風險,包括資料被盜用、收不完的廣告信等,
這時如果有專收垃圾郵件的免費信箱,將大大減少私人信箱收到垃圾信的
數量,我們推薦使用MSN或Yahoo!的信箱,因為他們都已經具備反垃圾郵
件弁遄C
良好使用習慣
釵h人寄信時,常把收件人的信箱位址清清楚楚列在內文,特別是一些連
鎖信,內文附加一大串的郵件名單,如果你有收到這樣的信件,請不要成
為 Spammer的幫手,最好直接刪除該連鎖信,若是要寄出,也請使用密件
副本,保護收件者的權利。自動回信弁鄐]是很容易落入圈套的弁遄ASp
ammer很清楚的知道這是有效的名單,他可以用來發垃圾件。
最近還出現很多置入性行銷的電子郵件,內文大概有幾個重點,首先,它
能躲過Outlook 2003的垃圾郵件過濾,讓你有機會可以看上一眼;其次,
它的郵件主旨不清不楚,希望你能回信給他,但想當然爾,如果你回信後
,將會永遠成為郵件名單的一員;最後,因為內文大部分都是勵志性文章
,只是在前面或最後附加一段廣告詞,也釦⑺瑽A在感動之餘,能順手按
了一下廣告連結。文⊙陳世煌
垃圾郵件保衛戰,誰會是贏家
版主: fred