美国《反垃圾邮件法》的5年之痒

      美国2003反垃圾邮件法的全称是《控制未经请求的色情和营销材料攻击的法案》( Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003,简称CAN-SPAM),这项法令自实施之初就备受争议。笔者认为没人会觉得这项法规能解决垃圾邮件的问题,但也有很多人认为它能有所帮助。

      这项法规能解决垃圾邮件的问题吗?当然不能,它对制约垃圾邮件会有所帮助吗?是的。

      从两方面来看这项法规能有所帮助:首先检举垃圾邮件有法可依,这对那些通过其他欺诈形式发起攻击的垃圾邮件发送者来说是鲜明的警告。在某些情况下,美国反垃圾邮件法对检举人至少能起到参考作用,但是这种作用非常微小。

      美国反垃圾邮件法的另外一项好处是为那些群发邮件的企业制定了必须遵循的规则来实现制约的目的。而这些正是美国反垃圾邮件法中最受争议的部分,因为它行使的是否决权,而不是参与权。评论家们批判说这种方式实质是给垃圾邮件披上了合法的外衣。但是这项法令也确实规定这些企业在进行外部通讯时加以审查。不过通过观察,这比过去还有所改进。

      有人会说某些企业通过这种否决权的要求而不遵守反垃圾邮件法的规定,但是实际上垃圾邮件的问题并不属于这类范畴。大量散播垃圾邮件的人在法规遵循方面根本就毫不掩饰。

      因此到底该怎么做才能遏制这种垃圾邮件的猖獗之势呢?电子邮件服务器公司Sendmail的首席信息官Greg Shapiro呼吁对邮件发送者进行授权并对邮件域名的信誉进行审核。多年来我们只是支持胜利者,不过最近我通过这种授权和审核机制让网络邮件形式的垃圾邮件肆虐之势有所缓和。这些邮件必须通过正确的网络途径发送,这就意味着网络服务提供商和包括网络邮件提供商在内的其他电子邮件供应商都必须通过过滤器和网络图样分析来严厉监控往外发送的邮件,在邮件离开他们的网络之前切断垃圾邮件的通道。

      无论如何这并不是十全十美的方法,但笔者也没有更好的建议。事实上,笔者假设网络邮件提供商按照游戏规则在既定的成本和包括其他考虑因素的范围内遵循网络礼节。但他们面临的实际问题是他们用于帐号标记的验证码测试会无法发挥作用,这样攻击者就会建立无数帐号在网络礼节中照旧游刃有余。

      多年前笔者也曾经尝试过放弃简单邮件传输协议(SMTP)的做法,不管这种优势有多大,但结果是没有成功。

      因此笔者和Shapiro讨论什么能取代验证码。一种可能性是采用过去PGP加密方式的变种。PGP的支持者指出他们的系统能提供身份认证的强制执行。这样你就能证实信息的来源和他们没有篡改。但是PGP的应用却非常困难。

      想象一下新注册电子邮件帐户,验证帐户,能为SSL应用软件和视觉反馈提供加强型身份验证的EV-SSL,都以绿色地址屏障的形式出现在网站上。在这种情况下,在得到这些帐户中的一个之前,用户必须首先从可信任验证授权方处获得一个数字证书。这可能有很多形式,比如SSL证书,或者只有一种。几年前美国邮政局就采用过这种方法。

      要或者这些新帐号中的一种,你必须向电子邮件提供商提交证书,此时电子邮件提供商扮演的是中间人的角色。这些证书必须驻留在你的计算机中或者以安全的方式提交到网络,每个证书上有乱码的信息都会被打上标记。

      结果是PGP类型的系统要对每个邮件发送者进行一一认证。如果有多数用户接接受这种系统认证,然后收件人就可以利用可靠的白名单和黑名单来收信。

      笔者可以假设技术问题已经得到解决,这样我们将技术因素忽略不计。那么多数问题就集中在信息的私密性和易于使用上。一名普通的互联网用户应该要求什么样的认证信息呢?这就必须足够强大来保证验证的准确性,而且还要保证不会违反隐私权或受到打扰。如果我丢失了认证码,我就必须重新向CA提交身份认证来获得证书。

      那么系统需要所有的用户都得到证书认证吗?对此也存在争议,尽管它能遏制某些匿名信息的发布。不管我使用什么地址都能被验证,即不通过姓名而是通过公匙作为独特的个体来使用其他的电子邮件地址进行认证。

      美国反垃圾邮件发颁布已经5年过去了,垃圾邮件的问题在很大程度上更加恶化。反垃圾邮件法可谓功过相抵。只要通过发送电子邮件能赚钱,规则就无法真正制约散播垃圾邮件的行为发生。