騷擾者必須首先混入服務器中。擎空霹靂劍就如同一把倚天劍，斬斷他們伸向郵件服務器的臟手。企業用戶或家庭用戶的郵件都是通過服務器轉發過來的。企業網中一般有專用的電子郵件服務器，而經常通過Internet上網的家庭則通過ISP的電子郵件服務器接收郵件。通常來說，可在郵件服務器端或是在客戶端采用一定的方法來阻隔垃圾郵件。相比之下，在郵件服務器端的防御會更為有效。因此，每個企業應該首先拿起這把利劍，以達到事半功倍的效果。
與在服務器端相比，在客戶端防范垃圾郵件將要花費更多的時間。公司的網絡管理員需要在每臺客戶端的機器上都安裝、配置反垃圾郵件軟件，并定時更新和升級反垃圾郵件軟件的過濾文件。而且，在客戶端的防御并不能阻止垃圾郵件到達客戶端的郵件服務器上。其實在客戶端反垃圾郵件軟件清除那些垃圾郵件之前，它們已經消耗了郵件服務器上寶貴的網絡帶寬和存儲資源。而且，許多垃圾郵件發送者都已熟知當今主要的客戶端反垃圾郵件軟件所用的檢測方法，他們能使用一些技巧（如隱藏郵件中某些關鍵字），繞過反垃圾郵件軟件的防范措施。
抓住要害解決問題，就可以做到事半功倍。在服務器端阻止垃圾郵件是效率最高的方式。所以，為了有效地阻止垃圾郵件，并將其所造成的損失減小到最少，需要在郵件服務器端采取相應的防范措施。在郵件服務器端阻隔垃圾郵件主要有以下優點。
1．可以在僅與Internet相連的前端服務器（或郵件轉發網關）上采取防范措施，從而省去了在每個客戶端進行安裝和配置的繁瑣工作。
2．在垃圾郵件進入客戶端的郵件系統前就將其阻隔，節省了網絡帶寬和存儲資源。
3．基于郵件服務器端的防范手法更為多樣，結合使用，更為有效。
盡管市場上已經出現一些企業級的防垃圾郵件產品，但一般價格較高（像支持1000個以上用戶的產品價格通常超過10萬元），而且有些效果并不十分理想（漏判率較高，有些甚至超過20%，導致很多垃圾郵件"蒙混過關"）。所以，對很多用戶來講，在服務器端防范垃圾郵件主要是開發已有郵件服務器內嵌的相應功能。
企業郵件服務器主要有基于Windows操作系統平臺的Exchange郵件服務器，基于Unix/Linux操作系統平臺的Sendmail服務器，以及其他廠商的產品和一些共享軟件。在這些郵件服務器中，都提供了抵御垃圾郵件的功能。我們可以充分利用這些功能，筑起阻止垃圾郵件的第一道防線。此外，結合企業網自身的結構，基于硬件的反垃圾郵件服務器也可有所作為。
掐起Exchange劍訣
Exchange 2000 Server（以下簡稱為Exchange）是目前微軟在郵件服務器領域的旗艦產品，在企業中得到廣泛應用。下面就介紹在Exchange服務器上防范垃圾郵件的主要方法。
一、切斷惡意轉發通道
不看不知道，在Exchange服務器上，還真有不少防范垃圾郵件的神奇招數，可采取防止惡意轉發、控制郵件來源與數量、過濾等各種手段。
探明來路
到底什么是垃圾郵件呢？簡單來說，垃圾郵件是那些收信人并不希望收到、并且也從未訂閱過，但是卻被人利用電子郵件可以隨意發送的特點，強行塞入收信人的郵箱的電子郵件。以下電子郵件都被視為垃圾郵件：（1）收信人事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件；（2）收件人無法拒收的電子郵件；（3）隱藏發件人身份、地址和標題等信息的電子郵件；（4）含有虛假的信息源、發件人和路由等信息的電子郵件。
垃圾郵件一次發給很多人，在Internet上同時傳送很多副本。在英文中垃圾郵件通常稱為Spam或Junk Mail，也有的叫做不請自來的商業電子郵件（Unsolicited Commercial Email，UCE）和不請自來的批量電子郵件（Unsolicited Bulk Email，UBE）。
首次關于垃圾郵件的記錄是1985年8月一封通過電子郵件發送的連鎖信，一直持續到1993年。1993年6月，在Internet上出現了"發財之道（Make Money Fast）的電子郵件。歷史上比較著名的事件是1994年4月，兩名從事移民生意的律師Laurence Canter和Martha Siegel，把一封信發到6000多個新聞組，向公眾宣傳獲得美國國內綠卡的法律支持。垃圾郵件開始引起了人們的注意和反感。一些敏銳的商人立刻意識到了電子郵件帶來的商機，許多人開始利用電子郵件作商業廣告，1995年5月有人寫出了第一個專門的應用程序Floodgate，一次可以自動把郵件發給很多人。緊接著在同年8月份，就有人拿200萬個郵件地址出售。
隨著垃圾郵件的逐漸增加，這一問題也慢慢得到重視。由于過濾垃圾郵件技術的發展，垃圾郵件發送者不得不采取更為隱蔽的技術，比如偽造信頭中的發件人、域名和郵件地址等。然而這些方法還是逃不出IP地址的過濾。于是，垃圾郵件發送者又開始尋找其他方法，1997年3月，他們開始把目光轉向開放轉發（Open Relay）。開放轉發是解決Internet路由的一種很好的方法，但是存在以上安全漏洞。很快，大部分商業垃圾郵件就開始利用別人的服務器使用郵件轉發的辦法發送。這樣做的原因是可以盜用別人的資源。
這里的惡意轉發（Relay）是指一個Internet上的SMTP服務器連接到企業郵件服務器，試圖發送郵件到另外一個外部的電子郵件域。例如，某公司的郵件服務器A負責接收的是a.com的郵件地址，如果一臺Internet上的外部SMTP服務器B連到該服務器，并想通過該郵件服務器來轉發一封到c.com的郵件，這就是一種轉發。如果該公司的郵件服務器允許這種轉發，那么它就處于轉發開放狀態。許多垃圾郵件發送者并不用他們自己的郵件服務器來發送垃圾郵件，而是尋找Internet上那些開放轉發的郵件服務器來轉發垃圾郵件。
默認情況下Exchange不是，也不應該是開放轉發。處于開放轉發狀態的郵件服務器會造成很大的危害性，主要有兩點。第一，收信方會認為該郵件服務器在散播垃圾郵件，從而在他們的服務器端阻隔所有來自該服務器或其所在域的連接請求。這樣該服務器就不能向那些域發信了。更糟的是，該郵件服務器的IP地址還很有可能會被加入到Internet上公開的開放轉發服務器黑名單上，所造成的后果是許多外部域都拒收來自該服務器的郵件，企業需要花費一定的人力財力才能將自己的服務器從黑名單上去除；第二，一般垃圾郵件是群發的，收件人會有成百上千個。垃圾郵件發送者通過企業郵件服務器轉發垃圾郵件，他們只需用很少的網絡帶寬向您的服務器發一封信，此后該服務器若是允許轉發，那么它將會占用大量的網絡帶寬，將這份信轉發到所有的外部收信人那里。由于正常的網絡帶寬被過度占用，情況嚴重時會造成服務器停止響應，影響內部用戶的正常通信。
二、堵住垃圾郵件來源
對于從Internet上收到的垃圾郵件，可以查看其Internet信頭。從信頭中可以得到發送這封垃圾郵件的服務器的IP地址，從而可以在Exchange服務器上限制來自這個IP地址的連接。
三、控制郵件數量
我們知道，垃圾郵件通常是以群發的形式發給大量的收件人。因此，在Exchange服務器上，可以通過限制每個SMTP連入請求所能發送的最大郵件數和每封郵件的最大收件人數，在一定程度上制止垃圾郵件的蔓延。
四、嚴格過濾
另外，Exchange服務器還提供了過濾器功能，可用于阻隔來自特定郵件地址、域名的郵件或是發件人為空的郵件（發件人為空是許多垃圾郵件的特征之一）。
五、自制武器
通過使用VB或VC等編寫Event Sink，能夠檢測郵件標題或是信體中的特定內容，從而阻隔垃圾郵件。如果讀者對此有更多的興趣，可以參考微軟知識庫文檔中的代碼樣例和Exchange 2000 SDK（Software Development Kit）上的內容。
查清危害
垃圾郵件可以說是Internet帶來的嚴重危害之一，它對于個人、對企業和ISP，甚至對社會都造成了非常嚴重的損害。
從個人用戶來看，垃圾郵件浪費了人們的大量時間、精力和金錢。一般人們需要至少10秒鐘的時間來判斷一封郵件是否為垃圾郵件，如果每天收到幾十份垃圾郵件，就得花大約10分鐘的時間來處理它們，實在是非常痛苦的事情。
更重要的是，垃圾郵件侵犯收件人的隱私權，侵占收件人信箱空間。個人郵件箱中充斥的垃圾郵件可能裝載了供人跟蹤您網上行蹤的軟件，而您甚至無法意識到一切秘密都呈現在別人眼前。有的垃圾郵件還盜用他人的電子郵件地址做發信地址，嚴重損害了他人的信譽。
對于企業，垃圾郵件占用網絡帶寬，造成郵件服務器擁塞，進而降低整個網絡的運行效率。垃圾郵件也威脅企業網絡的安全。某單位在2003年曾經發現，他們的服務器在以每秒60封的速度轉發郵件，占用了大量的系統資源，其他正常運作被迫終止。還有某單位的網絡管理員發現出國流量突然增加，檢查后發現該服務器轉發了200萬封國外的來源不明的郵件，而且在發現時還在轉發。
垃圾郵件對ISP的危害更加深重。首先，垃圾郵件嚴重影響ISP的服務形象。在國際上，頻繁轉發垃圾郵件的主機會被上級國際因特網服務提供商列入國際垃圾郵件數據庫，從而導致該主機不能訪問國外許多網絡。而且收到垃圾郵件的用戶會因為ISP沒有建立完善的垃圾郵件過濾機制，而轉向其他ISP。
其次，被黑客利用成助紂為虐的工具。如在2000年2月，黑客攻擊雅虎等5大熱門ISP就是一個例子。黑客先是侵入并控制了一些高帶寬的網站，集中眾多服務器的帶寬能力，然后用數以億萬計的垃圾郵件猛烈襲擊目標，造成被攻擊網站網路堵塞，最終癱瘓。
最后，從整個 Internet 的資源利用來看，目前帶寬資源還比較有限。垃圾郵件里的信息幾乎沒有什么價值，每次發送上萬、上百萬，甚至上億份，占用了大量的帶寬資源，嚴重時甚至擁塞整個Internet鏈路，中斷Internet的部分線路的運營。
妖言惑眾、騙人錢財和傳播色情等內容的垃圾郵件，已經對現實社會造成了危害。
六、下一代更出色
認證方法雖然很古老，但卻是阻止垃圾郵件的有效手段。
將于2003年年中發布的Exchange 2003（開發代號為Titanium，目前版本為Beta2測試版）是微軟Exchange Server的下一代版本。下面簡單介紹Exchange 2003中所增強的部分反垃圾郵件的功能。
在Exchange 2000中有過濾器可通過檢測郵件中的發信人地址來阻隔垃圾郵件。在Exchange 2003中，這一功能進一步被細化為發信人過濾器、收信人過濾器和連接過濾器。
通過新增的連接過濾器，Exchange 2003支持使用Internet上的即時黑名單列表（Real-time Blacklist，RBL）來作為過濾連接請求的判斷規則。RBL中包含了大量已知的垃圾郵件散播者和處于開放轉發狀態服務器的IP地址。Exchange 2003可以將發送連接請求的遠端SMTP服務器的IP地址與RBL中的信息進行比較，如果發現其與黑名單中的IP地址相符，則拒絕此連接請求。由于RBL供應商都會即時地更新他們的RBL中的信息，所以Exchange 2003采用這種方式將能頗為有效地阻隔大量的垃圾郵件。
祭起Sendmail番天印
基于Unix/Linux平臺的Sendmail系統使用非常廣泛，它雖然非常實用，但在安全方面都有著明顯的不足，它們在默認模式下都不具備SMTP認證功能，這也是垃圾郵件散發者最容易利用的漏洞。
SMTP服務有一個與生俱來的缺點，那就是沒有任何的認證機制，這是歷史原因造成的。因為在設計這些SMTP服務器時，全球范圍的Internet主機還不是很多，彼此間都有很高的可信任級別，所以沒有全面考慮安全性問題。利用這一缺陷，非法用戶可以在郵件頭放置任何信息和任何郵件地址，而SMTP根本不檢查這些，一律發出。因此垃圾郵件可以順利地從這些服務器上轉發。
在新版的Sendmail中（Sendmail 8.10以后）已經增加了SMTP認證。如果在編譯時將SMTP認證加進了Sendmail服務，那么在用戶發送郵件時，服務器就會要求用戶輸入口令。如果口令正確，則服務器為他發送郵件，如果口令錯誤，服務器將拒絕為他發送郵件。這將有效地遏制垃圾郵件的傳播。
在具體實現時，需要首先安裝Sasl庫(cyrus-sasl-X.X.X)，該函數庫提供了安全認證所需的功能，然后配置Sendmail，增加認證用戶，并更改密碼，并在客戶端進行設置即可。
妖術揭秘
垃圾郵件危害深重，引起了人們極大的反感，已經成為過街老鼠。但是，為什么還會有人樂此不疲呢？利益驅動是最直接的原因。垃圾郵件具有低成本和易于匿名的特點。在國外，發送10萬封電子郵件的成本低于200美元，花100美元就可以買到100萬個郵件地址列表。
例如，一個業余的郵件廣告人只需要一臺普通的電腦，一個Internet帳戶加上一個免費的郵件客戶端軟件就足夠了。更為專業一點的，投資幾百美元就可以買到專門的應用軟件，每小時可以發送25萬個郵件，并且自動偽裝了郵件的信頭；并且還可以不斷的從Web上截獲郵件地址。由于低廉的成本，即使只有很少很少的部分得到了反饋，就足以支付這些費用了，比起昂貴的其他方式廣告自然很劃算。然而，事實上成本低只是針對于那些用郵件做廣告的人，其他的成本由ISP和收件人承擔了。國內就收到過若干起因為轉發垃圾郵件而承擔每月幾萬元的國際流量的事故報告。
因此，垃圾郵件這種公害還呈現越演越烈之勢。美國一家從事電子郵件服務的公司的統計表明，2002年Internet上"垃圾郵件"數量比2001年激增150％。一家為ISP或企業提供電子郵件過濾服務的公司發表報告說，2002年底公司每天處理的4000萬封電子郵件中，60％為"垃圾郵件"，而這個數字在一年前還是20％。一般認為，垃圾郵件在最近一兩年內會保持上升的趨勢。照此發展下去，很多人可能會放棄使用電子郵件作為聯絡手段。
軟硬雙刃劍
通過反垃圾郵件服務器硬件來解決"信騷擾"，漏判率一般會比純軟件方式要低很多，像國外的一些產品（譬如CipherTrust IronMail 210）的漏判率不到6%，但是價格很高（將近25萬元），因此更適合大中型企業。對于在反垃圾郵件上預算有限（幾萬元以下）的單位而言，我們以浪潮集團為例，介紹利用通用服務器硬件反垃圾郵件的解決方案。
一、信息系統概況
采用硬件服務器，可以把反垃圾郵件措施造成的影響降到最小。
浪潮集團郵件服務器分別架設在北京和濟南兩地，北京辦公區和濟南辦公區員工通過郵件服務器進行集團內部的郵件交流和集團外部的郵件聯系。通過分析，集團郵件服務的主要威脅如下。
1．兩地的郵件服務器均位于防火墻的中立區，由于防火墻基于網絡層實現，無法對具體協議的內容進行控制，因此兩地的郵件服務器均有受到來自外網或者內網的垃圾郵件攻擊的可能。
2．兩地郵件服務器均有可能受到來自協議層或應用層的攻擊，考慮到集團內部已經采用了防火墻對郵件服務器進行保護，來自外網攻擊的成功幾率將會大大降低。
根據以上情況，在北京和濟南兩地的郵件服務器和防火墻之間放置反垃圾郵件系統，如附圖所示。反垃圾郵件系統要求反垃圾郵件網關必須具備以下要求：（1）對原郵件系統配置沒有任何要求、透明的接入網絡；（2）100Mbps網絡下，處理能力80Mbps以上；（3）1000Mbps網絡下，處理能力500Mbps以上；（4）支持負載均衡、流量控制、多機并行處理。
二、服務器的選擇
由于所有來往郵件的過濾、監控都要通過反垃圾郵件系統來處理，所以對反垃圾郵件系統網關的處理數據的性能要求很高。浪潮公司信息管理部采用NF160服務器作為反垃圾郵件網關。該服務器針對高性能、高可靠性的密集計算而設計，采用Pentium Ⅲ 1.13GHz-S處理器，超薄低于1U高度，更利于散熱，保持系統穩定。高密度硬盤倉設計，可容納多達3塊高性能熱插拔SCSI硬盤，可支持RAID 0/1/3/5，數據更可靠，速度更快捷，完全能夠滿足反垃圾郵件系統多級過濾、動態過濾的需求。
在反垃圾郵件服務器上，運行紅旗Linux操作系統，應用軟件也是國產的，反垃圾郵件功能比較強大。除了通過地址過濾和各種規則等常用方式外，還可以通過內容過濾實現對來機郵件的控制。
NF160主板集成2塊網卡，一塊為主網卡，另一塊為備用網卡。當主網卡工作時，智能軟件通過備用網卡對主網卡及其連接狀態進行監測。若主網卡連接失效，立即將工作移交給備用網卡。由于所有配置信息是在瞬間轉到備用網卡上，網絡用戶不會察覺到任何變化，同時也不會對服務器操作系統造成壓力。NF160網卡冗余功能大大提高了服務器的可靠性，同時也提升了網絡通信的速度。
三．實施后的效果
浪潮集團在實施反垃圾郵件系統后，效果是顯著的。每天通過反垃圾郵件服務器阻截的垃圾郵件達到400～600封，提高了員工的工作效率，節約了網絡帶寬和郵件服務器存儲空間。同時由于NF160擔任反垃圾郵件系統的網關，反垃圾郵件系統的處理速度始終保持在72Mbps或9MBps，對郵件系統的速度幾乎沒有影響。