主动防御:邮件反垃圾技术全解析
1. 灰名单技术原理
灰名单技术主要是对当前 SMTP 标准进行细致解读,并添加一个善意的“谎言”来简化操作。垃圾邮件发送者常使用他人设备发送邮件,其未经授权安装的软件需轻量级以避免被发现。而且,他们通常不认为单个邮件很重要,这导致典型的垃圾邮件和恶意软件发送软件可能无法正确解析 SMTP 状态码。
当被入侵的机器发送垃圾邮件时,发送应用程序往往只尝试发送一次,不检查结果或返回码。而真正的 SMTP 实现会解析返回码并据此行动,若初始尝试因临时错误失败,真正的邮件服务器会重试。
互联网邮件传输的当前标准在 RFC 2821 中定义,该文档规定:
- 无法立即传输的邮件必须排队,发送者需定期重试。
- 一次尝试失败后,发送者必须延迟重试特定目标,重试间隔通常至少 30 分钟。
- 重试会持续到邮件发送成功或发送者放弃,放弃时间一般至少 4 - 5 天。
灰名单技术的巧妙之处在于它是一个方便的善意谎言。当声称有临时本地问题时,就像“管理员告诉我不要和陌生人说话”。行为良好的发件人会稍后重试,但垃圾邮件发送者因成本问题不会等待。这就是灰名单技术仍然有效的本质,且由于其严格遵循标准,误判情况非常罕见。
OpenBSD 的 spamd 从 OpenBSD 3.5 开始具备灰名单功能,从 2007 年 5 月 1 日发布的 OpenBSD 4.1 起,spamd 默认以灰名单模式运行。
2. 设置 spamd 的灰名单模式
在 pf.conf 中设置必要规则后,配置 spamd 的灰名单模式相对简单。操作步骤如下:
1. 在 /etc/r
