业界第一次采用SMTP是早在互联网成为流行的通讯方式之前。从那之后,网络中出现过无数的安全威胁,但是SMTP还是保持原来面貌,一成不变。Jonathan
Yarden给出了他认为是时候寻找SMTP替代品的原因,并提出了一个解决方案。
当业界首次采用SMTP为通用电子邮件的传送标准时,还不存在危害电子邮件传输的互联网安全问题。虽然连锁电子邮件和一些小的垃圾邮件时不时地出现,但是第一次公众了解到了未经许可的垃圾邮件是从垃圾邮件大量发送给USENET用户开始的,该事件打破了互联网中不成文的规则,引起了当时的各个小互联网社区的愤慨。
这种未经许可的邮件发展为真正的垃圾邮件并没有经历太长时间。自动电子邮件地址收集器开始从USENET贴子中收集电子邮件地址,垃圾贴子最后扼杀了作为开放讨论论坛的用户新闻组(USENET)。以往无限制的新闻组发现他们自己被迫对贴子进行管制,以阻止那些交叉张贴在各流行新闻组中的广告的泛滥成灾。
本人于1985年开始使用互联网,当时只有各种协议实现的少数"参考"。当时,SMTP服务器的事实实现是Eric
Allman的Sendmail程序(事实上,许多人仍然将Sendmail当作电子邮件的参考实现)。
当Sendmail开始涌现安全问题时,其它用户则开始写他们自己的SMTP服务器执行程序。而且随着其它选择的出现,Sendmail自身也成熟起来,变得更加安全可靠。
然而,不管安全性如何提高,SMTP在当前的垃圾邮件问题上仍然存在漏洞。当垃圾邮件占了互联网所有邮件流量的90%时,使用一个明显过期的电子邮件协议看来并不是最好的选择。
许多人都认为是时候使用新电子邮件协议标准更换SMTP,或者SMTP至少不再依赖其它方法来阻止垃圾邮件。垃圾邮件的猖獗已经为各种垃圾邮件过滤产品和服务创建了一个繁荣的市场。
和包括Sendmail、Postfix和Qmail在内的流行开源SMTP服务器实现一样,多数商业电子邮件服务器软件都具有拦截垃圾邮件的功能。另外,我们还可以找到一些开源垃圾邮件过滤解决方案,如SpamAssassin、DSPAM和MailScanner。
因此目前,我们更有可能将安全层应用到SMTP和电子邮件中,从而帮助遏制垃圾邮件的泛滥。但是,这是最好的解决方案吗?而且,我们能确保新增加的安全层多长时间不会出现新的漏洞呢?
只有在SMTP的开销大于其价值时,才有可能使用更新的电子邮件协议替代SMTP。但是,这一时刻快要来临了。我们已经使用了尽可能多的"邦迪创可贴"和安全层来阻止垃圾邮件和邮件蠕虫。但是,这些解决方案并没有从治表不治本:SMTP已经苟延孱喘了。
业界需要认识这一事实,并接受是时候更换SMTP的想法。如果替换SMTP是一个不切实际的建议,那么我认为唯一可行的长期解决方案是采纳一种类似于用来获得安全套接字(SSL)认证的方式。
一个SMTP服务器注册的过程将证明一个邮件服务器属于某指定组织或公司。将这种概念同邮件服务器强迫注册、发送/接收邮件地址的MD5
Hash算法的全球注册表(如全球白名单)结合在一起,那么垃圾邮件将不复存在。
谈到这时,技术实际上并不是障碍,主要问题是大家不能接受修复垃圾邮件需要改变成千上万的电子邮件用户的标准操作程序这一事实。该解决方案需要发送电子邮件的所有用户和公司进行大幅度的调整,这也意味着该方案可能将会永远"不见天日"。
