上期我们提到，应用邮件系统自动回复的漏洞，伪造大量的发件人给某个邮箱发信，从而使用自动回复反弹发送大量的垃圾邮件。这种伪造就是mail from伪造，目前在整个行业里，受SMTP协议本身实现的限制，技术上还无法根本杜绝"mail from"伪造。因而263网络通信的"反垃圾"攻防实验室就这一问题展开了全面的研究与分析，并制定解决方法。

    当你碰巧收到朋友发过来的垃圾邮件时，而你的朋友也确实没有发过这样的垃圾邮件，这就是垃圾邮件发送者对"mail from"进行了伪造。垃圾邮件发送者可以用任意的一个"mail from"来发送垃圾邮件，之所以伪造是为了让垃圾邮件更加隐蔽，但是他所发送的垃圾邮件内容是不变的，也正是这个原因暴露了垃圾邮件的特征之一：即mail from与from地址的不一致。

    263网络通信的反垃圾专家TONY，推了推眼镜，点头道：“垃圾邮件发送者太狡猾了，这mail from好比传统邮件信封上的寄件人地址，而from好比传统邮件信纸上的写信人地址。正常的邮件发送是两个地址都一样的，如果这两个不一样，就有垃圾邮件的嫌疑”。

    在技术专家们的配合下，一套SMTP检查系统很快上线，凡是应用263服务器发送的邮件，都必须核准mail与mail from的地址，垃圾邮件发送者在进行邮件地址伪造的时候就会被263邮件服务器跟踪。一旦发现两个地址有不一致的情况，就可以判定属于垃圾邮件。

    那么，是不是所有的垃圾邮件都是伪造mail from造成和from地址不一致呢？显然不是的，反垃圾专家TONY再次陷入了深思：邮件系统中负责传送邮件的服务器有两个角色，一种是接收用户发送的邮件，另一种是负责接收别的邮件服务器投递给本服务器用户的邮件。在发送端可以发现垃圾邮件的蛛丝马迹，在接收端是不是也可以呢？敬请关注下期内容：《同域认证，识别伪造同域垃圾邮件》

    “反垃圾”攻防实验室友情提示：mail地址与mail from地址的不一致是垃圾邮件的重要特征之一，反垃圾工作者通过对邮件的mail与mail from进行比较来识破伪造的垃圾邮件，从而实现“反垃圾”。

    mail地址与mail from地址的不一致是垃圾邮件的重要特征之一，这是针对发送端采取的防范措施。那么对接收端来说，有没有更有效的识别方法呢？

    带着这样的疑问，我们来到了263反垃圾攻防实验室。正巧，反垃圾专家Tony刚好在处理一个有关同域认证的问题。

    什么是同域认证呢？Tony微笑着从一堆文件中抬起头来：“我们先来解释清楚同域用户这个概念：同一个域名下的用户，比如同一个公司的员工，使用的企业邮箱后缀相同，这就是同域用户。”伪造成同域用户，是垃圾邮件传播者惯用的伎俩，以此来降低接收方的警惕性。对于这样的垃圾邮件，263网络通信的“反垃圾”攻防实验室同样制定了周密的解决方法——同域认证。

   “正常情况下，邮件系统中负责传送邮件的服务器有两个角色，一种是接收本系统用户（同属于一个服务提供商的用户）发送的邮件，替用户把相应的邮件投递到别的邮件服务器或者是本服务器用户的邮箱中，叫做SMTP服务器；另一种是负责接收别的邮件服务器投递给本服务器用户的邮件，叫做MX服务器，这组服务器只接收收件人本系统内用户的邮件。”Tony接着解释道，“也就是说，同一个系统的用户往来的邮件，只可能经过SMTP服务器组，而不会经过MX服务器组。因此，那些通过MX服务器收下来、而Mail地址却是同系统用户的邮件，就可以被判定为伪造的垃圾邮件。”

    经过263同域认证技术的过滤，凡是那些伪装成同域用户的邮件，只要是经过263 MX服务器接收到的，就会被系统打入垃圾邮件之列，绝不会让它骚扰到263的用户。

    伪造mail from地址或是伪装成同域用户，还是比较初级的手段。如今，垃圾邮件制造者的手段越来越狡猾，单靠地址一重过滤一道拦截关卡已经远远不够了。如何通过邮件内容的智能分析来识别那些更善于伪装的垃圾邮件呢？敬请关注下期内容：《垃圾邮件智能内容分析》

   “反垃圾”攻防实验室友情提示：对于本系统用户发来的邮件，也不能轻信哦。而选择了263邮件服务的用户则可以高枕无忧了，同域认证技术可以帮我们有效地识破垃圾邮件，从而实现“反垃圾”。 

    263的同域认证技术能够将那些通过MX服务器接收下来的、却伪装成同域用户的垃圾邮件及时捕获、并过滤出来。至此，前三期我们谈的都是如何根据地址（或者说信封、邮戳）来分辨垃圾邮件的方法。那么从本期开始，我们将深入垃圾邮件的内部，剥开它们更狡猾的伪装，再来看看263反垃圾系统是如何利用智能内容分析技术来识破它们的——

    周一上午 。

    263反垃圾攻防实验室里一片繁忙。中秋结束、临近国庆假期又有一批垃圾制造者利用老友节日问候等形式发送垃圾信件，实验室的技术人员都严阵以待，从内容上严把“反垃圾”闸门。

    针对内容，263有三重过滤系统来拦截垃圾邮件。其中第一重是网关，也就是根据关键字来进行粗略的筛选。这种方法比较武断，只要出现认为是垃圾邮件的关键字，就直接被封杀了。这种技术比较简单，一般的邮件服务商都在使用，但基本可以过滤掉93%的垃圾邮件。

    263的技术优势在于第二重——智能内容分析技术。

    Tony挠了挠头，试图寻找一种通俗的语言来向我描述难以理解的技术概念：“智能分析技术就是根据垃圾邮件的一些内容所呈现的特征来进行判断的一种识别方法，比如主题、内容、格式、图片、段落和关键字等信息技术特征，是一种综合的手段。”看我一脸困惑，他接着解释道，“内容和语义的过滤分析不是一个绝对的判断，不能靠一两个关键字就完成过滤，比如，邮件里出现了‘法轮功’这个词，但你不能因此就把它打入垃圾邮件之列，还需要根据整封邮件的语义来综合分析。智能分析技术的难点正在于此。

   “简单地说，智能分析就如同一个打分系统。比如，如果‘法轮功’在这封邮件中出现了一次，我们就给它计一分；又出现了一个‘护法’之类语义相关的词或者图片就再多加一分……如此累计到一个特定的分值分，就可以断定这是一封垃圾邮件了。这样一来，经过综合分析判断的智能分析过滤后，拦截的准确率大概能达到85％以上。”

    那么，垃圾邮件的种类和内容如此庞杂，这些关键词又是从哪里来的呢？能否适应时刻变化中的垃圾邮件形式呢？原来，智能内容分析技术之所以能够智能地识别垃圾邮件，是由于其背后有一套庞大的、并且具有自学习功能的垃圾样本库。那么，这个垃圾样本库是如何不断提高自身智能分析的准确率呢？敬请关注下期内容：《智能分析：样本库的收集》

   “反垃圾”攻防实验室友情提示：网关只能武断地过滤掉一些“道行”较浅的垃圾邮件。而对于那些老奸巨滑的垃圾邮件来说，263的智能内容分析技术则可以做到棋高一招。