跳到主要內容區塊

計資中心電子報C&INC E-paper

校務服務

廣告郵件(SPAM Mail)之介紹與因應建議
  • 卷期:v0010
  • 出版日期:2009-09-20

作者:張傑生 / 臺灣大學計算機及資訊網路中心作業管理組程式設計師兼副組長


廣告郵件氾濫是所有電子郵件使用者感到最大的困擾。身處於這個資訊爆炸的時代,本文從技術面、法規面及實務面說明,讓使用了解面對信箱內滿滿的廣告訊息該如何因應。

 

無孔不入的廣告郵件是所有電子郵件使用者公認最大的困擾。面對信箱內滿滿的廣告訊息,想要一眼找到重要的資訊有如大海撈針。使用者每日花費在刪除廣告郵件的人力時間成本十分可觀,甚至因為誤刪重要郵件所衍生的損失更是難以估算。根據Symantec公司於2009年8月公佈的統計數字[1]顯示,廣告郵件已佔郵件總量89%;簡單來說,平均每十封信裏面,大概就會有九封信都是無用的廣告資訊。這個數字十分驚人,也不難解釋為什麼信箱內總是被廣告郵件所佔滿。身處於這個資訊爆炸的紛擾時代,因應紛至沓來的各式騷擾,我們勢必得著手準備因應措施,以求取自保之道。

  1. 廣告郵件(SPAM Mail)介紹
    廣告郵件泛稱垃圾郵件(SPAM Mail),由此名稱不難看出人們對這類郵件的厭惡程度。比較精準的定義有兩種,即UCE(Unsolicited Commercial Email)與UBE(Unsolicited Bulk Email),簡單來說,凡是「不請自來」的商業活動郵件,皆屬此類。目前Internet上約定俗成可被接受的廣告信發送方式,必須於郵件本文明顯處提示「退訂」機制,而且退訂步驟必須清楚簡單,不得故意刁難。如果違反此種慣例,發送者的帳號或IP位址,很容易就會被列入黑名單,遭到大部分的郵件伺服器拒收做為懲罰。

    收到廣告信的使用者常感疑惑,為什麼廣告業者知道我的Email位址?回想現實生活中的狀況,接到莫名其妙的推銷電話、甚至詐騙電話是許多人的共同經驗,個人的姓名、身份證字號、聯絡電話等基本資料,很容易經由辦理會員證或信用卡申請而外流,甚至許多不肖業者勾結資料保管單位盜賣個人基本資料的事件也是時有所聞。每年過了七八月考季,許多考生及家長都會收到補習班宣傳文宣,資料的來源想當然爾也是大有疑問。在網路虛擬世界裡,Email名單的蒐集工作更為簡單,具備初等程式撰寫能力的技術人員,可以輕易開發一組spider/crawler程式,透過持續不斷的網頁瀏覽,即可將網頁上出現的所有Email位址一網打盡。更別提坊間多如牛毛專門出售Email位址名單的地下經濟活動,幫助業者迅速有效填補缺乏技術人員的鴻溝。

    相較於發送實體廣告文宣,業者必須負擔印刷及人工成本,電子郵件類型的廣告可說是物美價廉。只須申請ADSL寬頻線路,配上筆記型電腦,執行網路下載取得的郵件發送程式,再輸入事先取得的Email位址名單,廣告信發送個人工作室即可順利開張。為了規避國內法律,避免遭受ISP電信業者斷訊懲處,進階業者甚至可以在中國或者國外申請網站主機,跨海營運,成為無拘無束不受控管的「外商」。拜Internet之賜,上述國外網站主機從申請到程式執行,都不用親自出國辦理,所有業務都可透過網路遠端完成。正是因為手續簡便,初期投資成本低廉,技術門檻幾無限制,造就了廣告郵件發送行業如雨後春筍般地在世界各地萌芽成長。

    然而,造成廣告郵件氾濫的主要原因卻是「回收成效」令業者滿意[2]。只要超過某種程度比例的消費者真的願意付錢購買,業者在有利可圖的前提下,這類廣告活動就永遠不會停止。

  2. 廣告郵件(SPAM Mail)防制的困難
    雖然廣告郵件猖獗流竄的亂象眾所皆知,真正有效可行的阻絕方案卻尚未問世,主要原因可分為以下幾個面向探討。

    2.1 技術面
    常見的惡意電子郵件通常是利用附加檔案方式夾帶病毒或木馬等程式,而防毒軟體僅需針對附加檔案進行偵測掃瞄,即可獲得非常準確的攔阻成功率。然而廣告郵件的手法千變萬化,除了可能利用附加圖檔、Word檔、PPT檔、PDF檔進行宣傳之外,信件標題及本文更是絕佳的廣告看板,除此之外,如何根據內文斷定廣告與否,又是更深一層問題,也因此判讀廣告郵件的技術門檻長久以來都是無法突破的一道高牆。舉例來說,一封宣傳特殊實驗儀器的廣告郵件,對於相關領域的研究人員來說,可能是即為有用的寶貴資訊,然而對於一般大眾來說,絕對是毫無意義的資訊。

    根據觀察,廣告郵件發送業者的技術演進速度大幅超前現有偵測軟體。為了突破以Bayesian關鍵字統計方法,聰明的業者知道在郵件內容中加入許多正常文章,包括勵志小品或新聞、笑話等,藉以稀釋廣告標的物關鍵字出現的頻率與次數,讓軟體誤判為正常信件。更進一步的技巧,可以利用字體顏色與背景之搭配,讓上述正常文字在讀者眼前消失,於是軟體看到的是全篇文字,而收信人卻只看到廣告標的物。PDF及圖檔類型的廣告郵件則是欺負許多軟體僅能閱讀文字,因此業者將廣告文字變成圖片,規避偵測軟體,而廣告資訊卻依舊完整呈現於收信人眼前。

    參考賽門鐵克公司公布的報告[1],並分析本校電子郵件伺服器的系統記錄,我們發現在2009上半年,有絕大部分的廣告郵件是來自Botnet及免費電子郵件服務商,例如:Yahoo、AOL、Hotmail及Google。Botnet的發送來源都是被植入木馬的僵屍電腦(Zombie),這類電腦數量龐大,而且發送者經常使用打帶跑戰術,每次挑選不同電腦發送郵件,避免重複使用相同電腦。由收信端的郵件伺服器看來,業者發送信件的IP位址更換頻繁,既有的黑名單機制不易發生效用,造成阻擋困難。另一方面,許多具備技術能力的業者,已經破解免費電子郵件服務商常用的CAPCHA註冊驗證機制,因此得以輕易產生大量帳號,姿意盡情發送廣告郵件。類似的情況,也發生在Yahoo與Google的討論群組,業者得以輕易產生大量群組,再將蒐集得來的收信名單加入群組成員,最後透過群組mailing list電子報的方式,將廣告信件寄給每一位無辜受害成員手上。由於廣告業者都是透過「成功」註冊的帳號或群組發信,所以信件都會從免費電子郵件服務商的主機送出。對收信者來說,廣告郵件的寄件者看起來都是合法的Email位址,例如:ooo@yahoo.com或xxx@gmail.com等;對程式來說,這類信件都能正常通過DNS、SPF、DomainKey及DKIM等各式檢測,應當屬於合法正常郵件。事實上,我們幾乎不可能阻擋來自這些世界知名免費電子郵件服務商所送出的信件,否則招致的反彈保證更為強烈。

    廣告郵件過濾機制的另一項根本問題在於使用者對於信件誤判的反應程度。許多研究顯示,相較於廣告信件突破過濾機制,進入使用者信件匣(False Negative),使用者對於正常郵件被誤判為廣告郵件(False Positive)更無法接受。主要原因是在大部分的情況下,使用者很可能因此漏失重要訊息,衍生更多損失。因此對於電子郵件系統的管理人員來說,過濾門檻的設定往往是最不容易拿捏掌握的難題。

    2.2 法規面
    Internet一向被稱為Cyberspace,主要原因就是真實世界的法律永遠無法追趕虛擬世界的問題。由於社會各界對於廣告郵件的關切,NCC日前已將「濫發商業電子郵件管理條例草案」送入立法院審理,可惜各方對於條文內容尚未獲得共識,導致該草案於2009/04遭退回[2][3]。於是在此法律空窗期間,業者又可繼續肆無忌憚大顯身手。事實上,以廣告郵件來說,除了上述「濫發商業電子郵件管理條例」之外,業者可能觸及的相關法律包括刑法(色情)、民法(舉證遭受損失)及個人資料保護法。由於電子郵件位址被認定為個人隱私,因此業者的不當蒐集、濫用,符合個資法內的賠償條款。可惜截至本文撰寫時(2009/09),該法仍舊躺在立法院內等候三讀。

    除了法律的制訂,另一項非常重要的參考依據則是法院的判例,如果未來法院能夠針對不當廣告信發送行為給予明確判例,相信業者可以有清楚的遵循方向。然而,法院的判例不見得能夠盡如人意,如果做出不起訴處分,那麼未來Internet上的廣告信生意相信會更加熱絡蓬勃發展。

    2.3 實務面
    處理廣告郵件,除了上述技術面與法規面的困難之外,實務上也有許多難以突破的困境。舉例來說,許多精明的廣告業者都會透過國外的主機進行發送,以規避查緝,如此一來,即便我們向其ISP檢舉,也不見得能夠獲得正面回應。此外,由於各國法律、國情、文化不同,廣告信件發送行為是否違法,存在模糊解釋空間。最後,即便各國法律制訂完善,試問有多少公司或個人具備足夠時間財力,得以發起跨國興訟?想想一個極端的情況:註冊於法屬XX群島的A公司位於S國的分公司,透過英屬YY群島上的ISP主機發送廣告信至T國,該如何提告?
     
  3. 為何學校信箱收到的廣告郵件量特別多?
    對於商業公司來說,記載組織架構與員工資料的通訊錄乃是機密資料,員工都會被要求妥善保管通訊錄,不得外流。透過公司網站或其他公開資料,往往只能得到公司總機或客服專線,幾乎無法更進一步得知人員的聯絡資訊。如果有廣告業者想要發信滲透該公司,除了買通內部員工之外,恐怕難以採用其他方法取得名單資料。

    基於便民服務,許多政府機關都會將該單位的「組織架構」與「業務執掌」公開於網頁之上,某些單位甚至更進一步連員工的姓名與聯絡電話一併對外公佈。這種情況在學校特別明顯,為了強調優秀師資,幾乎每所大學的每個系所,都會把教師個人資訊鉅細靡遺地呈現於網頁資料。如此一來,有心人士光是從公開頁面就能輕易蒐集全校同仁的姓名、電話與Email等個人聯絡資訊。請見圖一。不難想像,當這些同仁的Email名單被不同業者重複蒐集之後,每日接收到的廣告郵件量保證十分可觀。
    Art editor Img
    圖一、臺灣大學政治學系師資列表,並以文字呈現使用者電子郵件位址。

     
  4. 學校計算機中心因應廣告郵件之政策與措施
    肩負提供全校師生網路服務的任務,計中扮演的角色類似電信業者及ISP公司。對於電子郵件服務的品質與要求,更是以郵局水準的高規格看待。無論是電信業者或是郵局,最基本的服務要求就是將傳送訊息原封不動地忠實送到客戶手中。即便當前社會詐騙活動層出不窮,電信業者與郵局仍舊無法扮演上帝的角色,進行思想檢查(censorship),過濾客戶傳輸內容,替客戶決定是否接收。以電子郵件服務來說,使用者的期待應該是正確迅速的信件交換,任何信件的漏失都是不被允許與接受。

    計中對於電子郵件服務的管理政策是—保持郵件傳輸穩定暢通,盡量避免更動使用者信件。更重要的原則是,計中無權主動替使用者刪除信件。由於學校屬於多元化學術研究環境,校內研究方向涵蓋各種不同領域。過去曾經發生從事性別議題研究同仁的信件被當成色情廣告而遭攔阻,原因是該信件包含過多特殊關鍵字,導致過濾程式誤判。這類誤判事件往往影響使用者對於本校電子郵件服務的信心與觀感,也因此在廣告信件處理議題上,計中必須十分謹慎,除了堅守既定政策之外,也得適度回應使用者要求處理廣告信件的心聲。中心目前採取折衷方案有二:首先,在信件寄送至本校之前,先參考Internet及中心自建之黑名單資料庫(Realtime Black Lists),若發現信件發送者素行不良登記在案,旋即拒絕收信,並明確給予相關提示。倘若發生誤檔情況,發信者得以參考回覆訊息,得知如何與本校聯絡。此外,對於已經進入本校伺服器之信件,透過廣告郵件偵測程式進行判讀,若該信件符合若干廣告郵件特徵,則於信封郵戳(envelope headers)處加入註記標籤(tags),並修改信件主旨(Subject)欄位,加入***SPAM***字串。透過此類建議資訊,使用者可以按照自由意志自行決定後續處理方式,包括建立規則進行郵件分類等。

    此外,由於學校風氣開放自由,同仁習慣使用的電子郵件收信方式大不相同,某些人偏好Webmail簡單方便,某些人卻喜歡Outlook、Thunderbird等Windows軟體功能強大。受限於POP3傳輸協定僅能存取INBOX信件匣,因此計中無法比照Yahoo、Google等免費電子郵件服務商的作法,主動替使用者分類可疑廣告信件,集中存放於SPAM信件匣,否則將造成Outlook、Thunderbird等使用者漏失信件,衍生更多的不滿與抱怨。
     
  5. 面對廣告郵件的因應建議
    5.1 徹底有效杜絕廣告郵件

    想要徹底有效杜絕廣告郵件,最根本的作法仍是保護個人Email位址,避免遭到廣告業者蒐集、濫用。
    5.1.1 信箱帳號取名考量
    為了避免廣告業者利用字典攻擊法或窮舉猜測的方式猜測使用者帳號名稱,進行「盲目」發送,現今許多郵件系統都會要求使用者註冊超過某一長度的帳號名稱,以提升安全性。舉例來說:Google Mail的帳號長度就限制至少六碼以上。因此,如果預備註冊一組新的郵件信箱,建議考量帳號名稱的長度與複雜度。

    5.1.2 降低個人基本資料不必要的公開暴露。
    如果情況允許,請移除公開網頁上的個人聯絡資訊,或者是利用IP位址或者是帳號密碼進行管控,限制僅組織內同仁得存取完整資料。然而若是基於組織文化考量,必須於網頁公開郵件位址,建議避免採用「純文字」的方式公布(如圖一),改以圖檔方式呈現(如圖二),以避免廣告業者利用簡單程式即可蒐集名單。此外,別忘了移除網頁上的mailto://連結,以免功虧一簣。自我檢測方式不難,透過網頁瀏覽器,試試看可否以copy/paste或者是按右鍵複製連結的方式取得Email位址,即可得知成效。

    5.1.3 額外註冊一組免費信箱,專門用以網站註冊之用。
    許多服務網站都會要求使用者輸入基本資料以完成註冊,然而註冊時所提示的使用者條款,通常暗藏玄機,包括同意日後接收相關廣告郵件,甚至允許基本資料提供給其他服務網站使用。許多使用者都會發現,一旦在某些服務網站(例如:拍賣、購物)註冊後,廣告郵件自此源源不絕。建議避免將個人真正重要的公務用信箱用以作為網站註冊用途。

    5.1.4定期利用Google或Bing等搜尋引擎,輸入個人電子郵件信箱,檢視查詢結果。如果發現仍舊出現於許多公開網頁,或者公開的文件之上,建議逐一通知網站管理者,參考前文建議修改網頁,選擇以圖檔方式呈現,或者甚至完全移除電子郵件信箱資訊。此舉對於過去早已掌握名單的業者完全無效,但是可避免未來遭受新廣告業者蒐集名單。長遠來看,對於廣告信件減量是有絕對助益。

    5.2 廣告信直接刪除,避免瀏覽、點選或回信。
    為了確認使用者收信狀況,部分廣告業者會在信件內容加入超連結圖檔,開啟信件時,郵件軟體(Webmail、Outlook)通常會提醒並詢問是否「下載」圖檔。建議不要執行下載,如果信件本文內有商品連結,甚至有「退訂」、「我不想收到廣告信」等連結,也請一併忽略。原因在於,一旦點選之後,業者就能得知這個電子郵件信箱處於有效狀態,日後必定會加強發送。

    5.3 設定「過濾條件」,進行廣告郵件分類。
    如果信箱經常收到廣告郵件,為了維持INBOX信件匣的閱讀方便,可以參考計中網頁[4],針對各式郵件軟體(Webmail、Outlook)設定過濾條件,將「疑似廣告郵件」集中放置於某一特定SPAM信件匣,除了保持INBOX信件匣之清爽乾淨外,也可定期檢視SPAM信件匣,找尋是否有遭誤判的正常信件。除此之外,倘若固定收到某一來源的廣告郵件,也可藉由過濾器設定,直接刪除或忽略該來源所送出之信件。

    5.4 主動舉報廣告郵件
    以學校計中Webmail系統來說,使用者可針對廣告信件,選取「這是廣告信」的檢舉機制。系統自動蒐集使用者舉報的廣告信件後,定期分析產生黑名單及關鍵字資料庫,作為後續阻擋與判斷之用。同時,一旦發現發送來源是知名ISP或免費郵件提供者,將透過程式向對方回報,希望透過群策群力的方式,共同防堵廣告郵件。

    5.5 更換電子郵件信箱
    假使上述建議方式都無法解決現在遇到的廣告郵件問題,唯一的辦法只剩下「重新來過」。請記得務必妥善保護個人電子郵件信箱位址,避免不必要之暴露與洩漏,以免陷入無止盡「信箱更換」的循環。
    Art editor Img
                    圖二、臺灣大學資訊工程系以圖片顯示電子郵件位置。
     

結論

觀察目前世界各國對於廣告郵件發送管制規範的制訂進度,並參考廣告郵件發送業者與偵測軟體間的纏鬥狀況,看起來想要在短期內解決廣告郵件不當發送的問題似乎不甚樂觀。閱讀本文後相信讀者對於廣告郵件已有初步認識,對於如何保護個人資訊也有基本概念。即便大環境無法改變,我們仍舊可以由自身做起,透過種種個人資料自我保護的措施,降低成為廣告郵件發送對象的機會,希望藉以減少出現在信箱的廣告郵件數量,還給信箱一方潔淨。
 

參考資料

  1. State of SPAM, A Monthly Report, August 2009, Symantec
    http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_report_08-2009.en-us.pdf

  2. NCC版防垃圾郵件法案,罰不到垃圾郵件發送元兇。
    http://www.ithome.com.tw/itadm/article.php?c=52984

  3. 立院退回「濫發商業電子郵件條例」。
    http://www.ithome.com.tw/itadm/article.php?c=54515

  4. 計算機中心廣告郵件過濾設定說明
    http://jsc.cc.ntu.edu.tw/ntucc/email/spam