垃圾邮件已经成为网络社会的一大公害，是最令用户头痛的问题，也是企业的一大恶梦。为对抗垃圾邮件的肆意横行，AOL、雅虎、微软和EarthLink建立起了反垃圾邮件技术联盟，同时IETF也成立了专门的工作小组，着手建立以域名系统为基础的电子邮件身份认证模式。但时至今日，人们惊讶地发现各巨头都各自忙各自的，整个业界在推动反垃圾邮件的技术标准上几乎看不到什么合作的迹象。

　　微软Sender ID技术受挫

　　今年1月21至25日在达沃斯举办的世界经济论坛上，比尔·盖茨作出了一个份量相当重的承诺，那就是在两年内终结垃圾邮件，不过盖茨的这一目标能否实现目前还很难说。

　　9月12日，微软的反垃圾邮件技术Sender ID提案，遭到了互联网工程工作小组（Internet EngineeringTaskForce，IETF）的投票否决。IETF认为，微软决定要为SenderID保留技术秘密的做法是无法让人接受的，因此不准备接受微软的这项技术提案。此外，包括Apache网页服务器开发小组、Debian版Linux厂商在内的开放源代码组织，也放弃了对SenderID的支持，并炮轰微软的SenderID授权规定太过于严格。

　　IETF的共同主席AndrewNewton解释说，微软的提案也可以用来当作为防制垃圾邮件的标准兼容工具，但IETF组织后来决定采用另一个不会出现专利风险的标准。“反对微软解决方案是因为担心在部署方面，可能会与开放源代码授权出现不兼容的问题。”AndrewNewton表示，“但也有不少会员回应说没有这种困扰。”

　　SenderID技术与SPF一样，都是一种以IP（互联网协定）地址认证电子邮件寄件人身份的技术。这项技术结合了微软的CallerID forE-mailTechnology，以及由Pobox.com电子邮件服务供应商创始人王明（MengWong，音译）所提出的SPF。

　　随后在9月16日，AOL表示将不会支持微软的SenderID技术。AOL除了赞同IETF的结论外，还有自己的原因。AOL批评微软的技术“缺乏”业界支持，而且与AOL所支持的其他反垃圾邮件技术存在着不兼容的问题，比如SPF（SenderPolicyFramework，寄件人政策架构）。AOL的发言人NicholasGraham表示，“AOL对技术存在着很大的疑虑，SenderID似乎已经无法再与原始的SPF规格兼容了，这是因为最近微软改变了这个协定，同时与SenderID计划首次提出时的样子完全不一样。”

　　NicholasGraham还进一步表示，AOL在内寄的信息中将不会检查SenderID，此外还将会发布外寄邮件的记录。随后雅虎的发言人MaryOsako表示，雅虎将继续评估业界各种解决方案的发展，包括以IP技术为基础的SPF和微软的SenderID技术，以及以密码为基础的DomainKeys。MaryOsako表示，目前雅虎的主要精力集中在DomainKeys上，这项技术可以有效地解决网络钓鱼和电子邮件诈骗问题。

　　AOL的这一举动表明，用来对抗垃圾邮件的电子邮件认证技术，正在酝酿着一场标准之争。随着网络的普及而漫延开来的垃圾邮件，现在已经成为了困扰个人用户、企业网络，以及AOL、MSN、雅虎等电子邮件服务商们的严重问题。

　　但在现阶段，这三大网络巨头也都各自拥有自己的反垃圾邮件技术。AOL从2003年开始就采用SPF，微软正在推动SenderID，而雅虎也在支持DomainKey。三大巨头在面对同样的问题，实现同样的目标方面，虽然都公开宣称要展开合作，但却都各自向IETF提出自家的技术标准，并为了能够让自己提出的标准获得业界的支持而各尽其能。

　　微软将继续推动Sender ID

　　SenderID技术遭到标准组织IETF的投票否决后，微软公司发言人SeanSundwall表示，微软将按原定的计划继续开发自己的技术，也就是CallerID for E-mailTechnology（电子邮件来电显示技术）。并称微软也将使用自家开发的PRA（PurportedResponsibleAddress）技术，进行电子邮件信息来源的认证。“微软将继续公布这两种类型”，也就是SPF与用来检查寄件人认证的PRA纪录，“但我们只会检查PRA部分”。

　　今年5月，微软正式向IETF提交了反垃圾邮件技术CallerID，并期望这项技术能够成为业界标准。与此同时，微软在5月25日还宣布，将把SPF整合到CallerID中。SPF最初的名称为SenderPermitted From（寄件人来源认定），后来更名为SenderPolicyFramework（寄件人政策架构），是由Pobox.com电子邮件服务供应商创始人王明创建的一种技术标准。

　　在微软宣布整合SPF之前，SPF技术就已获得了AOL、EarthLink和Google支持，同时IETF对SPF的审查也已经进行了好几个月。微软最终敞开怀抱拥抱SPF，可以说是对SPF技术投下了一张含金量较高的信任票。SPF与CallerID结合后，可以弥补简易邮件传输协定（SMTP）的一项最大弱点，也就是电子邮件收信人无从判断寄信人是不是冒名顶替的。这项先天性的不足之处，让微软MSN、AOL等互联网服务供应商（ISP）大为头痛，一方面非常想把这些意图闯入用户收件箱的伪造电子邮件给拦截下来，一方面又怕殃及无辜而招来用户的抗议。

　　电子邮件认证也有助于避免网络钓鱼骗术现象的发生，因为SMTP的弱点让寄件人随意自称是什么人都行。而把SPF与CallerID整合起来后，将使用可延伸标示语言（XML），让ISP在庞大的域名系统中公告外寄信件服务器和网络服务器的IP地址，并提供给其他的ISP作对比。

　　综合SPF和Caller ID两套技术后，微软又向IETF提交了SenderID（寄件人身份识别）技术提案。SenderID可以让电子邮件接收者检验发件人的IP地址，以便确定所收到的电子邮件是否是垃圾邮件。当时微软发言人SeanSundwall称，整合SPF和CallerID的技术精华，是对全球对垃圾邮件抗战的一大里程碑。“我们预计这项提案将获得整个业界的一致支持，以消灭域名造假行为，让全球各地饱受垃圾邮件之苦的用户松一口气。”

　　今年8月12日，微软在其华盛顿州Redmond总部，召集了80多家电子邮件服务商联盟（ESPC）的成员，举行了一次反垃圾邮件高峰会，并向与会者大力鼓吹SenderID的好处，希望其能够成为反垃圾邮件与网络钓鱼诈骗邮件的标准。在这次会议上，包括Cloudmark、DoubleClick、IronPortSystems、Sendmail、赛门铁克、Tumbleweed和VeriSign在内的多家公司，均表示将支持SenderID技术。

　　现在，面对Sender ID遭IETF投票否决，SeanSundwall不愿意表示这是否会阻碍微软力求让SenderID成为业界实质性标准的决心，不过他认为许多人都没有参与这次微软提案的表决。IETE组织的相关人士表示，微软或许很满意于让PRA当作标准中的一种选择，但除非电子邮件接收软件支持PRA格式作为验证机制，否则这该提议的协定势必胎死腹中。

　　“微软现在有几条路可走”，IronPortSystems副总裁CraigTaylor表示，“微软可以继续推动PRA成为实质的标准，或者捐出专利给开放标准组织。”而如果微软愿意解除授权方面的限制，那么这一决定还有协商的空间。IETE组织的共同主席AndrewNewton表示，IETE认为如果微软愿意变更专利声明或者是相关授权规定，那么工作小组的共识将可以大幅转变，今后也就可以重新考虑进行这方面的工作。

　　反垃圾邮件标准任重道远

　　无论SenderID最终能否成为业界的实质性标准，都向人们表明了反垃圾邮件任重而道远。早在2003年4月份，AOL、雅虎、微软和EarthLink等业界巨头，就已经携手成立了反垃圾邮件技术联盟（Anti-SpamTechnicalAlliance，ASTA），共同致力于制订打击垃圾邮件的技术策略和指引。虽然这些巨头之间，现在已经基本达成了用技术标准解决垃圾邮件问题的共识，但在如何控制电子邮件的伪造问题上，又各自有各自的提案，在技术阵线上没有什么联手举措，而这也成了反垃圾邮件大战所面临的最主要问题。

　　最近几年来，垃圾邮件已经成为了电子邮件用户最头痛的问题，同时也是企业的一大噩梦。垃圾邮件的攻击，已让美国企业在改进安全防护、人力投入，以及生产效率降低等方面的损失超过10亿美元。据统计，目前过半数的电子邮件都是用户不想要的垃圾邮件，害得邮件服务供应商不但浪费网络频宽和储存空间，还得花钱采取防护措施。而在业界制定反垃圾邮件技术标准的全面合作中，所迈出的重要一步就是IETF组织同意成立工作小组，专门着手建立以域名系统为基础的电子邮件身份认证模式。

　　但令人们惊讶的是，到目前为止整个业界在推动反垃圾邮件标准方面，还几乎看不到有什么合作迹象。目前已经提交给IETF的标准中，除了已经遭到否决的微软SenderID外，还有AOL的SPF、雅虎的DomainKeys，其他已经公布的反垃圾邮件技术还包括“信赖电子邮件开放标准”（TrustedE-mailOpen Standard）。问题的关键在于，雅虎、AOL、微软所支持的技术标准都不一样。

　　AOL从2003年就采用了SPF，并在今年3月份开始测试以域名系统为基楚的SPF，参与测试的用户包括AOL在全球各地的3300万用户，这也是上述几项反垃圾邮件技术中，唯一进行过大规模测试的。微软SenderID被IETF否决后，已经得到AOL、Google和EarthLink支持的SPF，成为了风头最劲的技术标准。

　　采用SPF可以改变DNS数据库，电子邮件服务器公司可以借此发布寄件人的IP地址，而收信的ISP就可以立即鉴别邮件来源是否与所显示的地址一致。比如，收件人可以看到AOL的SPF记录，确保显示来自等AOL服务器的邮件，实际发送地址与显示的地址完全一致。收件人可以通过SPF记录再确认与AOL的IP地址相关的DNS系统资料。

　　雅虎支持的DomainKeys身份认证系统，也获得了反垃圾邮件业界的注意。DomainKeys系统在每封发出的电子邮件上附加加密的“钥匙”（keys），其中一把钥匙放在公共数据库，另一把私密的钥匙则与电子邮件结合。一旦邮件信息传出，提供接收邮件服务的ISP将把邮件中的私密钥匙，与公共数据库中的公共钥匙进行比对，以确认发信者的真实身份。如果公共钥匙不能证实邮件署名的真实性，那么这封电子邮件将会被看作是垃圾邮件。

　　这些反垃圾邮件技术之所以到现在都还没有得到应用，其中的责任主要归咎于巨头们都各自为政地，发展自己的反垃圾邮件技术方案。ASTA联盟的成员一方面承诺要找出共同的解决方案，但同时也承认目前的进展缓慢，原因除了反垃圾邮件的复杂性外，各项技术彼此之间相互敌对较劲，也是无法有效达成共同标准的原因。因而，尽管ASTA联盟的成员表示他们正努力达成共识，但要解决各种标准提案之间的纷争恐怕是旷日费时。