赵晓力:治理垃圾邮件,不要等到关闭端口25的那一天

一、我国反垃圾邮件立法采用“选择加入”机制有利电子邮件用户

事先未取得他人同意发送大宗邮件是否算发送垃圾邮件?还是只有向那些明确表示不愿接受的人发送大宗邮件才算发垃圾邮件?各国在对垃圾邮件进行立法时都必须回答这个问题。规定发送者必须事先取得接受者同意的机制称为选择加入机制(opt-in),规定接收者须申明退出才能退出的称为选择退出机制(opt-out)。在前一种机制下,电子邮件广告商必须承担取得受众同意的成本;在后一种机制下,电子邮件用户必须承担申明退出广告邮件列表的成本。正是由于成本负担的不同,但凡电子邮件广告的经营者都喜欢opt-out机制,而电子邮件用户则倾向于opt-in机制。一个国家的反垃圾邮件立法究竟采取哪种方式,与电子邮件广告商还是电子邮件用户在立法中占上风有关。

在美国,显然是电子邮件广告商占了上风。美国各州,除加利福尼亚之外,都采取了选择退出机制。2004年1月1日美国联邦《反垃圾邮件法》(CAN-Spam Act)实施之后,加利福尼亚的州法也被禁止适用了,因为联邦法律也采用了选择退出机制。采取有利于广告商的选择退出机制的还有韩国、日本、阿根廷等国家。[1]虽然我们不能说宽松的法律是垃圾邮件泛滥的唯一原因,但这些采取选择退出机制的国家,无一例外都是垃圾邮件猖獗的国家。比如,在SPAMHAUS2004年8月十大垃圾邮件国排行榜上,美国、韩国、日本、阿根廷分别排名第一、三、八、十名,而采用较严厉法律的欧盟国家,则一个都没有上榜。[2]

相比较而言,在欧洲是电子邮件用户的声音占了上风。2003年10月,《欧盟关于隐私和电子通讯的指令》[3]生效了。其中规定,在发送未经请求的营销邮件时,发送者必须事先取得接收者的明示同意,除非他们之间已经存在客户关系;欧盟这个指令不光涵盖电子邮件,对即时通讯和手机短信也适用。

澳大利亚于2004年4月10日起实施的《反垃圾邮件法》(Spam Act)也采用了有利于电子邮件用户的选择加入机制;除此之外,它还规定对职业垃圾虫可以每天处以上百万元的罚款。据反垃圾邮件组织SPAMHAUS的观察,在该法实施之后,澳大利亚的垃圾邮件运营商已经开始低调行事,许多减少了活动,其中至少有一人已经离开了这个国家。[4]

我国信息产业部在起草《互联网电子邮件服务管理办法》的过程中,也发生了究竟采取选择加入还是选择退出的争论。经过一段反复,2004年7月7-9日,在日内瓦召开的国际电联(ITU)反垃圾邮件的主题会议上,我国信息产业部官员宣布中国将采取对垃圾邮件较为严格的选择加入机制[5]。在2004年9月2日中国互联网大会国际反垃圾邮件高层论坛上,信息产业部官员再次确认,“在接收者没有明确表示同意接收时继续发送广告电子邮件”将作为一种发送垃圾邮件的行为予以禁止。[6]

看来,在我国,目前还是广大电子邮件用户的意见占了上风。对于用户同意接受的广告邮件,信息产业部于2004年3月也发布了一个相关的行业标准《互联网广告电子邮件格式要求》(YD/T1310-2004),主要规定了广告电子邮件的词法、头部字段和消息体的格式以及头部字段的语法,比如,它规定“广告邮件的消息体长度不应超过10K字节”,“广告邮件发布者应使用在管理机构统一备案的邮件服务器(IP地址固定)发送广告邮件”,“广告电子邮件的subject头部域体必须以中文的‘广告’或英文缩写‘ad’开头,且不能为空”,[7]等等。在《互联网电子邮件服务管理办法》的起草中,也要求发送广告邮件时必须在邮件标题中添加“广告”等提示性字样。这些行业标准和部门规章,表面看起来对广告电子邮件提出了更多的规制,但长远看来,还是有利于这个行业的健康发展的。就好像治理街头小广告,也会促进合法广告业的发展一样,减少非法广告业供给,就等于增加合法广告业的需求。

二、邮件服务期IP地址备案要求可以用技术方案代替

即将出台的《互联网电子邮件服务管理办法》还将要求电子邮件服务提供者的邮件服务器使用静态IP地址并将IP地址向主管部门备案,据说,这样是为了便于追查垃圾邮件发送者。

然而,在对这样的规定叫好之前,我们需要预测这样的要求是否现实。根据中国互联网络信息中心(CNNIC)第14次互联网发展状况统计,到2004年6月30日,中国接入互联网的计算机已达到创纪录的3,630万台。[8]垃圾邮件发送者自然不会去主管部门备案。而难以计数的架设邮件服务器的中小企事业单位和个人,可以预计,也将抱着法不责众的心态藐视备案的要求。主管部门对于这种不配合的做法,估计很难有足够的时间和精力去逐一纠正。

而且,这种建立在国内部门规章效力基础上的备案要求对国外的邮件服务器也没有任何约束力。而众所周知,互联网是没有国界的,垃圾邮件的发送,在很多情况下也是跨国界的。

比起亲历亲为建立这种不切实际的备案制度来,主管部门是否应该把精力放在技术标准的推广与制定上呢?

眼下,旨在打击冒名邮件的SenderID标准正在按照IETF的程序审议。SenderID由Meng Wong提出的SPF(Sender Policy Framework)和微软的CallerID合并而来。它要求用户在自己的域名体系中增加一条记录,指明本域中被授权发送电子邮件的IP地址,这样,接受者在接受一封号称由该域发出的电子邮件的时候,可以用这个授权IP地址去比对验证发出该邮件的IP地址,如果不符就可以拒绝接收。这种办法,除了鉴别经常冒充他人域名的广告邮件,对鉴别蠕虫病毒制造的邮件和假冒(phishing)邮件也很管用。

实际上,SenderID就是一种在域名系统中对邮件服务器IP地址进行“备案”的制度,只不过它是通过技术手段实现的。这些IP地址“备案”在全球互联网上分布式的域名数据库中,可以动态更新,随时查询,这比由政府主管部门出资去维护一个单一国家的集中数据库是否更为便捷、安全、节省、有效呢?

据报道,由于微软坚持对自己的验证算法PRA (purported responsible sender)享有专利权,SenderID成为互联网标准的进程减缓了。9月16日,AOL宣布,对于从AOL发出的邮件,AOL将同时支持PRA和SPF两种方法,但对其接收的邮件,AOL只支持SPF。微软针锋相对,宣布从10月1日起,对从Hotmail发出的邮件同时支持PRA和SPF,但对发给Hotmail的邮件,则只支持PRA。[9]

不过,互联网商业巨头的明争暗斗,并不会阻止SenderID最终称为互联网标准。IETF将会使这两种验证算法同时都成为标准。

我国信息产业主管部门和行业协会,为了防止国内的邮件服务器被垃圾邮件发送者利用,曾经统一组织国内邮件服务器关闭开放转发(open-relay)和开放代理(open-proxy)功能,成效显著,据说,一次行动曾关闭4036台,最后只剩下18台没有关闭。在推行技术标准和行业规范方面,我们的体制更有优势。如果主管部门能把精力转移到跟踪互联网最新标准和推广这些标准方面,我国的反垃圾邮件事业可能取得更大的成效。但可惜的是,在信息产业部2004年3月发布的《互联网广告电子邮件格式要求》(YD/T1310-2004)、《防范互联网垃圾电子邮件技术要求》(YD/T1311-2004)这两个技术标准中,似乎都没有这方面的内容。

我国电子邮件服务者在这方面的动作似乎也不甚积极。在http://spftools.infinitepenguins.net/register.php查阅的结果,在国内几大电子邮件服务商中,现在只有TOM.com和网易旗下的163.com和126.com发布了自己的SPF记录,其他如SINA、SOHU、263等,现在还没有发布他们的SPF记录[10],这意味着,它们现在与AOL之间的通信可能会出现问题,如果在10月1日之后不发布符合SenderID标准的反向MX记录,和Hotmail之间的通信也可能出现问题。据不完全统计,到9月23日,采用SPF的域名已达到116104个,其中com域名40372个,紧随其后的是LU,26596个,和CH,19519个,分别属于两个欧洲小国卢森堡和瑞士。而在前50名中,还没有代表中国的CN域名的影子。[11]

三、行动起来,不要等到关闭端口25的那一天

用SPAM这个猪肉罐头的商标命名垃圾邮件始于10年前。1994年4月12日,美国亚利桑那州的一位移民事务律师Laurence Canter,写了一个很小的计算机程序,散发了数千封电子邮件为自己的移民业务做广告,Canter的广告很成功,为他带来了数千美元的业务,但也激怒了当时的互联网网民,从此也定下了用SPAM贬称垃圾邮件的惯例。

根据Brightmail的统计,2001年的时候,垃圾邮件只占美国全部邮件总量的8%,2002年,这个数字上升到36%,[12]到2003年7月,网上传输的邮件中垃圾邮件占到50%,到2004年7月,垃圾邮件已占总邮件数的65%[13],也就是垃圾邮件是正常邮件的两倍。在各种技术的、法律的、国际合作的措施不断出台的时候,垃圾邮件的数量仍然在世界范围内稳定增长。

2004年9月3日,中国互联网协会公布了两年来的第3次垃圾邮件调查报告,调查表明,2004年8月,在客户收到的全部邮件中,垃圾邮件的比例已达到65.7%。而在今年1月份发布的调查中,这个比例是58%。而这些只是用户收到客户端的比例。实际上50-80%的垃圾邮件已经在服务器端被过滤了。[14]如果算上那些被过滤的垃圾邮件,网上传输的垃圾邮件实在是一个惊人的数字。

倘若垃圾邮件比例按照每个月一个百分点稳定上涨——这正是中国目前的现状——大概到2007年年中,垃圾邮件的比例将占到99%。

我们想像一下,如果用户收到的100封邮件中,99封是垃圾,那他还会继续使用电子邮件吗?

或许,到那时候,为了保证人们还对使用电子邮件有信心,只让少数经过许可和认证的邮件服务器为大家发送邮件可能成为唯一的选择。未经许可的计算机,无论在哪个国家、接入什么网络,一律封锁其25端口。端口25是SMTP(简单邮件传输协议)服务的标准端口,如果封锁了一个网络中所有计算机的25端口,这些计算机将不能向外发送邮件。

这是最后的办法,也可能是最有效的办法。

可以想像,到那个时候,免费邮件服务将大大减少;因为奇货可居,提供邮件服务将成为非常赚钱的互联网服务业。

当然,只有一个国家采取这样严厉的措施是无济于事的。互联网是没有国界的,要封锁一个国家的25端口,其他国家和地区的联网计算机的25端口也应该封锁,除非得到许可和认证。或许到那时候,我们应该让国际电联(ITU)负责处理全球范围内的使用端口25的申请。

当然,那些承诺提供一定数量的免费邮件服务的公司应首先得到准许。不过,到那时候,就不要指望什么免费1G大邮箱了,那些是用来赚钱的。一个10M的无垃圾邮箱,比一个1000M,但999M都将被垃圾占用的邮箱,是不是更吸引人一些?

就像一场梦,我们又回到了起点。10M的邮箱,很小,但没有垃圾。就像一些地方,在疯狂的发展之后环境污染,垃圾遍地,污水横流,人们又重新怀念青山绿水少人烟的田园时代一样。

治理垃圾邮件就像治理环境污染一样,需要采取技术的、法律的、教育的、国际合作的种种综合措施,而且,这些措施之间还必须互相配套。如果垃圾邮件不能得到有效的遏制,也许有一天,我们门就不得不在放弃电子邮件和在全球封锁端口25之间做一个选择。

希望那一天永远不要到来。

—————————————————————
[1] http://www.itu.int/osg/spu/spam/law.html

[2] http://www.spamhaus.org/

[3] http://europa.eu.int/eur-lex/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf

[4] http://www.spamhaus.org/news.lasso?article=154

[5] http://www.itu.int/osg/spu/spam/presentations/FU_Session%208.pdf

[6] http://www.spam.com.cn/ppt/yxy.ppt

[7] http://www.spam.com.cn/ppt/yk.ppt

[8] http://www.cnnic.net.cn/html/Dir/2004/07/20/2397.htm

[9]http://www.cbronline.com/article_feature.asp?guid=B1721863-ECB3-4644-A270-A978BAA179EA

[10] http://spftools.infinitepenguins.net/register.php

[11] http://spftools.infinitepenguins.net/register.php

[12] http://www.michaelgeist.ca/geistspam.pdf

[13] http://www.brightmail.com/spamstats.html。Brightmail现在已经被Symantec公司收购,这个网页现在在Google的缓存(cache)里还能访问到。

[14] http://it.sohu.com/20040903/n221872028.shtml

原载《互联网法律通讯》第5期。

1 Comment

  1. as · 2005-10-18 Reply

    谁说smtp端口一定是25了

Leave a Reply