2. 反垃圾邮件技术
   
   　 从我们对已有反垃圾技术的研究，分类如下：
   
    2.1 传统技术
   
    2.1.1 关闭OpenRelay
   
    　关闭OpenRelay并不是最简单的技术，之所以把它放在传统技术的第一个，是因为OpenRelay是发送垃圾邮件的方法，而关闭OpenRelay是防止自己的邮件服务器发送垃圾邮件，而本书后面的内容基本上都是防止接收垃圾邮件。
   
    　但关闭OpenRelay是非常重要的，应该说是整个反垃圾邮件体系的基础，OpenRelay的存在，使邮件可以任意转发，导致发件人完全不可追查，无论是技术手段还是法律手段都无法起作用。
   
    　另外下面要提到，关闭OpenRelay也是下面要介绍的内部可追查检查的基础。
   
    　关闭OpenRelay和发件认证原本是两件事、两个概念，但一般都是一起使用的，因为仅仅关闭OpenRelay，邮件服务器就成为CloseRelay，只能从某些指定的IP发送邮件，或者只能将邮件发送到某些邮件域，这在实际使用中是极不方便的，甚至可以说CloseRelay是基本不可用的，只能用于机构内部邮件。关闭OpenRelay并增加了发件认证后，所有该邮件服务器的合法注册用户都可以任意发送邮件，而非本邮件服务器的邮件地址只能向该邮件服务器发送邮件，不能通过该邮件服务器向未允许的其他邮件域发送邮件。
   
    2.1.2 静态黑白名单
   
    　静态黑白名单对反垃圾邮件实际上没有任何意义，作为内容过滤、内容监控、内容审计还可以作为一个初步技术。
   
    2.1.3 静态内容过滤
   
    　静态内容过滤实际上只针对"规矩"的垃圾邮件有效，这些规矩的垃圾邮件常常是网络营销公司的广告，有些更规矩的广告在邮件主题上提示"ADV:"，这种邮件其实反而不是我们要主要防范的邮件，如果用户不想接收广告邮件，只需简单过滤邮件主题，发现ADV即拒收。而目前的用程序自动生成和发送的垃圾邮件对于发件人、收件人、邮件主题甚至邮件内容都是随机生成的，在邮件内容中经常被过滤的词汇，例如"免费"、"赚钱"、"性感"或者一个和政治相关的词汇，经常被随机变种，比如"免费"被变为"免...费"或"免\_\_费"等等，令防垃圾过滤防不胜防，同时导致了正常邮件如果使用了这些词汇也被拒绝。实际上，静态内容过滤无法在反垃圾邮件中实用。
   
    2.1.4 实时黑名单及改进
   
    　RBL(Realtime Blackhole List)
   
    　实时黑名单是使用最早的技术，但这种技术存在巨大的局限性，无法防止宽带用户自行发出的邮件，尤其是动态IP的(比如拨号用户和ADSL)，这样经常导致整个IP区域被列入黑名单，因此有时反而形成了垄断和不正当竞争。中国互联网协会就曾因国外将中国大片IP列入黑名单而提出抗议。
   
    　基于RBL的优点和问题，国际上产生了许多改进的方案，不仅针对IP地址，而且针对URL和邮件内容等，产生了多个可用的类RBL服务网站。
   
    　大部分下述黑名单都属于所谓的DNSbl(DNS BlockList)，是通过DNS查询的方式来查询Blocklist结果，并且许多新的邮件服务器都支持标准的DNSbl。一般的类RBL是针对IP地址的，有些是针对域名的，这时成为RHSbl。
   
    　笔者认为，实际上实时黑名单存在的意义在于如下事实：据统计，全球可能有80%以上的垃圾邮件来自200个左右的垃圾邮件发送团体，无论他们如何变更IP地址和托管服务商，追踪这200个团体还是一个可能完成的任务。而实时黑名单追踪小型的团体或垃圾邮件发送者，是力不从心且容易误判的。
   
    2.2 数量控制
   
    2.2.1 带宽/连接限制
   
   　 这是网络层的重复限制。使用QoS策略限制每一个IP向自己发送邮件的可用网络带宽，用防火墙策略限制每个IP向自己发送邮件的并发SMTP连接数目。
   
    2.2.2 邮件重复限制
   
    　这是应用层的重复限制。一般根据发件IP、发件人、邮件主题三个元素在一段时间内的重复速率做限制。这种限制虽然技术简单，但对从一个IP发出的大量邮件非常有效。
   
    2.3 新型技术
   
    2.3.1 贝叶斯分析
   
    　贝叶斯过滤器是根据贝叶斯准则和贝叶斯定理，以已知垃圾邮件和非垃圾邮件为样本、来判断下一封邮件是垃圾邮件的概率。
   
    　因此贝叶斯过滤器需要已知的邮件作为样本进行自学习。
   
    2.3.2 分布协作的内容指纹分析
   
    　分布协作分析是基于这样的实际情况：垃圾邮件发送者将相同的邮件发送给巨大数量的邮件地址，可能试图从中取得某些商业、政治利益。
   
    　这种邮件绝大部分是使用假的邮件地址、伪造了邮件头或利用了OpenRelay发送的，只有内容是这种垃圾邮件要传递的信息。但每个收件人必须看了内容以后才知道这是垃圾邮件。因此分布协作分析是基于这样的方法：从邮件中提取出可以代表内容的指纹数据(一般是利用加密哈希算法或检查和的算法来产生指纹特征)，不同的内容会产生不同的指纹(为了防止垃圾邮件发送者利用小的变化，比如大小写等，来躲避反垃圾系统，一般还做模糊指纹，使相似内容的邮件产生相同的指纹)，用这些指纹代表邮件，全球的兼容用户会提交邮件(或只提交垃圾邮件)的指纹，从服务器得到响应以知道有多少封相同的邮件在全球传播，这样来识别邮件是否垃圾邮件。
   
    　分布式Hash数据库是分析邮件内容并根据指纹算法产生指纹。分布式Hash数据库是将认为是垃圾的邮件(或全部邮件)的指纹特征提交给分析服务器，由分析服务器根据提交总数量、频率等参数认定它是垃圾邮件的可能性。这样的系统可以集合全球的邮件特征，将大范围发送、但局部数量并不多的垃圾邮件甄别出来。所有支持分布式Hash数据库的防垃圾邮件系统都回互相促进、提高准确性。
   
    2.3.3 集中的分领域内容分析
   
    　智能内容分析是根据目前垃圾邮件的主要内容特征认定其是垃圾的可能性。