10、主动防御：邮件反垃圾技术全解析

主动防御：邮件反垃圾技术全解析

1. 灰名单技术原理

灰名单技术主要是对当前 SMTP 标准进行细致解读，并添加一个善意的“谎言”来简化操作。垃圾邮件发送者常使用他人设备发送邮件，其未经授权安装的软件需轻量级以避免被发现。而且，他们通常不认为单个邮件很重要，这导致典型的垃圾邮件和恶意软件发送软件可能无法正确解析 SMTP 状态码。

当被入侵的机器发送垃圾邮件时，发送应用程序往往只尝试发送一次，不检查结果或返回码。而真正的 SMTP 实现会解析返回码并据此行动，若初始尝试因临时错误失败，真正的邮件服务器会重试。

互联网邮件传输的当前标准在 RFC 2821 中定义，该文档规定：
- 无法立即传输的邮件必须排队，发送者需定期重试。
- 一次尝试失败后，发送者必须延迟重试特定目标，重试间隔通常至少 30 分钟。
- 重试会持续到邮件发送成功或发送者放弃，放弃时间一般至少 4 - 5 天。

灰名单技术的巧妙之处在于它是一个方便的善意谎言。当声称有临时本地问题时，就像“管理员告诉我不要和陌生人说话”。行为良好的发件人会稍后重试，但垃圾邮件发送者因成本问题不会等待。这就是灰名单技术仍然有效的本质，且由于其严格遵循标准，误判情况非常罕见。

OpenBSD 的 spamd 从 OpenBSD 3.5 开始具备灰名单功能，从 2007 年 5 月 1 日发布的 OpenBSD 4.1 起，spamd 默认以灰名单模式运行。

2. 设置 spamd 的灰名单模式

在 pf.conf 中设置必要规则后，配置 spamd 的灰名单模式相对简单。操作步骤如下：
1. 在 /etc/r