HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TPHCM
KHOA CÔNG NGHỆ THÔNG TIN II
  



BÁO CÁO ĐỒ ÁN MÔN HỌC
AN NINH MẠNG


Đề tài :







Giáo viên hướng dẫn : Lê Phúc
Sinh viên thực hiện : Nguyễn Phước Bảo Thành _ 405170065
Hồ Lê Hoàn _ 405170025



Thành phố Hồ Chí Minh
 04/2009 

Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 2

MỤC LỤC

I.Giới thiệu về SPAM 3
1.SPAM là gì? 3
2.Các loại SPAM 3
3.Tác hại của SPAM 4
II.Cơ chế hoạt động của spam 5
1.Thu thập địa chỉ email 5
2.Gửi SPAM 6
III.Các biện pháp phòng chống spam 7
1.Internet mail và spam: 7
2.Các phương pháp phòng chống spam 10
3.Cost – based 11
4.Filter 14
5.Phòng chống spam dựa trên phương pháp nhận dạng 17
a.Nhận dạng dựa trên đường đi của mail 17
b.Xác thực địa chỉ IP dựa vào đường đi 19
c.Xác thực domain dựa vào đường đi 19
d.Chứng thực mã hóa mail 22
6.Ngăn chặn spam sử dụng blacklist 25
a.Sender blacklist 25
b.Domain blacklist 26
7.Lọc mail dựa vào White-list, các dịch vụ danh tiếng và dịch vụ đã được ủy
quyền 27
a.Lọc mail dựa vào Whitelist 27
b.Dịch vụ tin cậy (Reputation Service - RS) 28
c.Dịch vụ ủy quyền (Accreditation Service - AS) 28

8.Một số công nghệ mới: 30
IV.Kết luận 31



Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 3



I. Giới thiệu về SPAM

1. SPAM là gì?
Spam hay còn gọi là UBE (Unsolicited Bulk Email) .
Spam là những email không được sự cho phép của người nhận (unsolicited email)
được gừi đi với số lượng lớn tới hồm thư của người dùng internet.
Spam đôi khi cũng là những email thương mại không được sự cho phép của người
nhận(UCE-Unsolicited Commercial E-Mail).
Vậy Spam làm tràn môi trường Internet bằng cách gửi đi nhiều gói tin với cùng
một nội dung, những gói tin này được truyền đến những người mà họ không thể không
nhận chúng.

Những nội dung quảng cáo hay chiêu dụ người dùng …. Gọi là spam.
2. Các loại SPAM
Có hai loại spam chính, chúng có những ảnh hưởng khác nhau đến người dùng
Internet:
Usernet spam: đây là dạng spam ta thường gặp trên các forum, một gói tin sẽ
được gửi đến trên 20 newsgroup. Qua quá trình sử dụng, người dùng đã thấy rằng bất kỳ

một tin nào được gửi đến nhiều newgroup một lúc thường sẽ mang những thông tin
không cần thiết. Usernet spam cố gắng trở thành một “kẻ giấu mặt” – đọc thông tin trong
các newsgroup nhưng ít khi hoặc không bao giờ post bài hay cho địa chỉ của mình.
Usernet spam chiếm quyền sử dụng của các newsgroup bằng cách làm tràn ngập các
quảng cáo hoặc những bài viết không phù hợp. Ngoài ra, Usernet spam có khi còn làm
ảnh hưởng đến quyền điều khiển của quản trị hệ thống, chiếm quyền quản lý một topic
nào đó.
Email spam: Email spam nhắm đến người dùng riêng biệt trực tiếp qua các thư
điện tử. Các spammer sẽ tiến hành thu thập địa chỉ mail bằng cách duyệt qua hòm thư
Usenet, ăn cắp danh sách mail hay tìm kiếm trên web. Đối với những user sử dụng dịch
vụ điện thoại thì đồng hồ đo vẫn chạy trong khi họ nhận hay đọc mail, chính vì vậy mà
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 4


spam làm họ tốn thêm một khoản tiền. Trên hết,các ISP và các dịch vụ trực tuyến ( online
services) phải tốn tiền để chuyển các email – spam đi, những chi phí này sẽ được chuyển
trực tiếp đến các thuê bao.
Bất cứ ai cũng có thể trở thành người gửi thư rác (spammer) Chẳng hạn, bạn có
một món hàng độc đáo cần bán ngay. Nhưng làm sao để mọi người biết . Trước hết bạn
thông báo cho bạn bè bằng cách gửi email cho 100 người nằm trong sổ địa chỉ của bạn.
Như thế bạn không mất một đồng nào mà vẫn có thể gửi đi 100 email quảng cáo sản
phẩm của mình. Nếu có người biết để mua hàng thì bạn sẽ lời to. Và bạn tự nhủ : "Tại
sao mình không gửi email cho nhiều người khác nữa? Mình sẽ có thể thu được nhiều lợi
nhuận hơn?” Rồi bạn sẽ tìm tòi ứng dụng các giải pháp để gửi đi được nhiều email cho
cả những người bạn không quen biết hơn. Vậy là bạn đã trở thành spammer.
Đó mới chính là vấn đề thực sự của spam. Nó quá dễ để ai cũng có thể gửi đi
trong khi chi phí bỏ ra chẳng đáng là bao, có khi là chả mất đồng nào. Và cho dù tỉ lệ

bán hàng quảng cáo không cao, nhưng spam vẫn có một sức hút đặc biệt với giới tiếp thị.

3. Tác hại của SPAM
Hầu hết các spam đều nhằm
mục đích quảng cáo, thường cho
những sản phẩm không đáng tin cậy
hoặc những dịch vụ có vẻ như hợp
pháp. Tuy nhiên, không phải mọi vụ
gửi SPAM đều là nhằm mục đích
quảng cáo thương mại. Một số vụ gửi
SPAM lại nhằm mục đích bất chính
hoặc cũng có những kẻ gửi SPAM chỉ
để bày tỏ quan điểm chính trị hoặc
tôn giáo. Hình thức gửi SPAM nguy
hiểm nhất là hình thức gửi đi những thông điệp để lừa người dùng tiết lộ thông tin tài
khoản ngân hàng trực tiếp, số thẻ tín dụng … - hay đây chính là một dang phổ biến của
lừa đảo trực tuyến.
Do không có một cách thức hiệu quả nào để lọc spam nhận vào trước khi nó được
nhận bởi server tại ISP cục bộ, ISP phải trả chi phí về băng thông cho các gói tin mà họ
nhận.
Theo thống kê của phần lớn các ISP thì họ thường bị spam chiếm khoảng 25-30%
băng thông. Spam làm tràn bộ đệm của người dùng với các mail quảng cáo, có khi làm họ
không nhận được các mail khác. Qua đó ta thấy spam đã sử dụng một lượng lớn tài
nguyên mà không cần sự cho phép hay có bất kỳ một hành động bồi thường thiệt hại nào,
làm cho cộng đồng Internet phải tốn một chi phí đáng kể.
Những chi phí liên quan khi spam sẽ được trả bởi người nhận chứ không phải là
từ các spammer. Tài khoản của spammer sẽ bị hủy bỏ ngay khi ISP phát hiện ra nó dùng
để gửi spam, vì thế mà hầu hết các spam đều được gửi từ những tài khoản thử miễn phí
(Trial account) để không mất bất kỳ một chi phí nào.
SPAM là một tai hoạ đối với thư điện tử và

nhóm thảo luận (newsgroup) trên Internet.
SPAM có thể gây trở ngại đến sự hoạt động của
các dịch vụ công cộng. Đấy là chúng ta còn
chưa nói đến tác động của nó đối với hệ thống
email. Những kẻ chuyên gửi SPAM lấy đi
những nguồn tài nguyên của người dùng và nhà
cung cấp dịch vụ mà không phải đền bù bất cứ
cái gì.”
(Vint Cerf – Cha đẻ của Internet)
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 5


Do hầu hết các ISP đều có một chính sách giới hạn tự động nhằm tránh sự lạm
dụng hệ thống của họ, các spammer sẽ chuyển gói tin sang các hệ thống ở các nước khác,
chiếm thời gian xử lý và băng thông mà không cần hiểu rõ về các hệ thống đó.
Theo báo cáo vào khoảng tháng 6 năm 2008 thì phần trăm Spam trong tổng số
email trên toàn thế giới có xu hướng tăng lên khá rõ. Và tác hại do nó thì không thể đo
hay tính được, nhưng theo thống kê của Internet Week thì "50 tỉ USD mỗi năm" là số tiền
mà các công ty, tổ chức thương mại trên thế giới phải bỏ ra để đối phó với nạn thư rác
đang hàng ngày tấn công vào hòm thư của nhân viên.
Mỹ là quốc gia chịu nhiều thiệt hại nhất, chiếm 1/3 số tiền nói trên. Đó là tác hại
chung về kinh tế, riêng cá nhân thì mỗi người cũng có ý kiến riêng của mình về tác hại
của Spam. Vậy, biện pháp và cách hạn chế như thế nào để mỗi khi check mail, bạn không
còn phải đối phó với đống thư Spam kia nữa?

Màu xanh là spam tăng theo tháng


II. Cơ chế hoạt động của spam
Để gởi một spam thì các spammer thông qua 2 bước cơ bản là thu thập địa chỉ
email và gửi spam.
1. Thu thập địa chỉ email
Spammer có rất rất nhiều cách để thu thập địa chỉ email.
Biện pháp đơn giản như là họ tạo ra các trang web mà đòi hỏi bạn phải “log on”,
“sign up” để được xem nội dung đầy đủ hay là các trang web với những chủ đề hấp dẫn
để chiêu dụ những người nhẹ dạ như “Bạn muốn là người may mắn sở hữu chiếc laptop
trị giá 30 triệu hảy để lại địa chỉ email của bạn” ,vậy là spammer đã có email của bạn.
Thủ công hơn nữa là họ thu thập địa chỉ email của bạn khi nó “vô tình” hiện diện
trên một trang web nào đó, đơn giản họ dùng chương trình tìm kiếm (google) với key là
“@”,đây là ký tự của địa chỉ email ,ví dụ như “Mình cũng cần tài liệu này,nick của mình
là email@
Ngoài ra họ còn có thể thu thập địa chỉ email dựa trên các phương tiện phi điện
tử, như thông tin in trên danh thiếp, tờ khai… Kiểu thu thập này thì bạn cần có biện pháp
phòng chống khác.
Phương pháp thu thập phổ biến là Dictionary attack(tấn công từ điển), Dictionary
attack là phương thức được lập trình sẵn cho một chiếc máy tính có thể tạo ra rất nhiều
những biến thể từ 1 địa chỉ email bằng cách thay đổi các ký tự:
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 6


+ Ví dụ , …và
Phần mềm này sẽ cũng sẽ tạo một kết nối đến một máy chủ thư
điện tử để gửi lên hàng triệu địa chỉ email bất kỳ và sẽ kiểm tra xem địa chỉ email nào
còn hoạt động hay không,nếu còn hoạt động địa chỉ đó sẽ được cho vào danh sách của
SPAMMER”.



Một công cụ thu thập địa chỉ email bằng phương thức Dictionary attack.
Cách để có địa chỉ email đơn giản nhất là mua lại địa chỉ từ các spammer,hay trao
đổi số email có được với nhau giữa các spammer… Khi đã có một lượng email nhất định
thì hành động tiếp theo của họ là gửi spam.

2. Gửi SPAM
Cũng như việc thu thập địa chỉ email thì việc gởi spam cũng có nhiều cách khác
nhau.
Các spammer trang bị cho mình hệ thống máy tính, modem, kết nối Internet để
gửi spam. Đây là cách thức tốn kém nhưng hiệu quả cao và hợp pháp.
Cách đỡ tốn kém hơn nhưng bất hợp pháp là gửi spam thông qua máy chủ ủy
nhiệm mở (open proxy server). Spammer đột nhập và kiểm soát máy tính của người khác
để xây dựng một botnet. Trước hết spammer dùng các công cụ cũng như các thủ đoạn cần
thiết để cài đặt một phần mềm cho phép kiểm soát máy tính từ xa lên hệ thống của người
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 7


dùng. Các máy tính như thế đã trở thành một “ZombiePC”, đã bị kiểm soát. Sau đó
spammer tiến hành xây dựng một hệ thống các ZombiePC – tức là botnet. Như vậy các
spammer đã có hệ thống như cách thứ nhất mà không cần phải tốn nhiều chi phí. Khi đó
các Zombie này phải liên tục gửi đi các email spam, đường truyền Internet của máy
Zombie sẽ bị chậm đi và các tài nguyên đều bị sử dụng, chưa kể chúng sẽ trở thành nạn
nhân bất đắc dĩ khi bị phát hiện đã gửi email spam.
Cách thức thứ hai là một cách nguy hiểm và độc hại không thua kém các phần
mềm virus, trojan… vì để kiểm soát được máy tính của người khác thì spammer phải

khai thác các lỗi về bảo mật và các phần mềm kiểm soát máy tính người dùng từ xa cũng
là các phần mềm virus, trojan… Như vậy spam đã trở thành công cụ phát tán virus,
trojan… và ngược lại các phần mềm độc hại đó là công cụ gửi spam.

III. Các biện pháp phòng chống spam

1. Internet mail và spam:
Kiến trúc hệ thống mail gồm có 4 thành phần chính:
- Mail User Agents (MUAs): còn được gọi là Email client, được sử dụng ở phía
người dùng để gửi và nhận mail.
- Mail Submission Agents (MSAs): được xem như các Mail server xử lý luồng đi
ra, đây là những server mà MUA truyền thông để gửi mail.
- Mail Delivery Agents (MDAs): được xem là các Mail server xử lý luồng đi vào,
các server này sẽ lưu giữ các mail được gửi tới cho các user cho đến khi họ tải
chúng về MUA hay xóa bỏ.
- Mail Transfer Agents (MTAs): là các Mail server trung gian, giúp cho việc
chuyển tiếp giữa MSA đến MDA được thuận tiện hơn. MTA có thể chuyển tiếp
dữ liệu đến các MTA khác trước khi đến MDA.

Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 8


Trong mô hình thí dụ trên, ta thấy có 2 MUA của 2 người gửi là Alice và Carl, họ
cùng dùng một MSA để gửi dữ liệu đến cho Bob. MSA này sẽ chuyển mail đến cho
MDA của Bob qua MTA A thuộc domain của Alice. Luồng dữ liệu đi trong domain của
Alice có thể qua nhiều MTA, MTA cuối cùng thuộc domain phía gửi có khi được gọi là
MTA ngõ ra biên. Các MTA ngõ ra biên (MTA A) sẽ chuyển dữ liệu đến cho MTA ngõ

vào biên thuộc domain phía nhận (MTA B). Các MDA phía Bob sẽ nhận mail từ các
MTA ngõ vào biên này trực tiếp hay qua các MTA trung gian.
MUA của Bob sẽ liên lạc với MDA để tải mail về, giao thức thường sử dụng là
POP (Post Office Protocol), IMAP (Internet Message Access Protocol) hoặc web-form
đối với dạng web-mail. Quá trình này sẽ được xác thực để ngăn chặn việc đọc và điều
chỉnh trái phép hộp mail của Bob. Dạng web-mail thì thường được đảm bảo bằng cách
gửi đi username và password trên một kết nối bảo mật. POP và IMAP cũng có hỗ trợ vài
cơ chế xác thực bằng câu lệnh USER và PASS hay cải tiến hơn với Keberos và các giao
thức sử dụng S/key
Để đạt được kết nối tốt nhất, không cần bất kỳ một sự sắp đặt trước nào giữa
MTA biên cho luồng mail ra (MTA A) và MTA biên cho luồng mail vào (MTA B). Kết
nối giữa chúng không đòi hỏi quá trình xác thực, MTA B sẽ nhận dạng được MTA A
bằng cách xem trường địa chỉ nguồn trong gói IP nhận được từ MTA A. Nếu MTA A là
giả mạo hay gửi một lượng mail spam lớn, MTA B có thể loại bỏ hoặc từ chối kết nối.
MTA B có thể chuyển lượng spam nhận được từ MTA A sang một dịch vụ chống spam,
dịch vụ này thường sẽ lập một danh sách đen (blacklist) với các địa chỉ IP và tên miền
spam.
Cơ chế này cho phép các MTA biên ngõ vào (MTA B) có thể nhận hay khóa
luồng mail dựa vào địa chỉ phía gửi trong trường hợp nó nhận trúng spam hoặc địa chỉ
này đã có trong blacklist mà nó sử dụng. Người phá hoại có thể sử dụng nhiều địa chỉ IP
khi gửi mail bằng cách sử dụng SMTP, như vậy thì việc khóa địa chỉ sẽ gặp khó khăn.
Tuy nhiên, với IPv4 hiện đang sử dụng thì trường địa chỉ IP sẽ thiếu, một chi phí đáng kể
sẽ kèm theo mỗi địa chỉ IP. Do đó, spammer không thích dùng một lượng lớn địa chỉ IP
và như vậy việc khóa địa chỉ IP vẫn có hiệu quả rất cao.
Spammer có thể sẽ cố gắng sử dụng địa chỉ IP của chính những nạn nhân của
mình. Do giao thức SMTP chạy trên kết nối TCP, đòi hỏi spammer phải chấp nhận những
gói được gửi đến, sau đó gửi gói đi với địa chỉ IP nguồn là địa chỉ của nạn nhân, đây
chính là kiểu tấn công Man In The Middle (MITM). Muốn tấn công MITM, spammer
phải kiểm soát được tuyến đi của gói, tuyến này thường được quản trị domain bảo vệ rất
tốt. Vì vậy mà spammer ít sử dụng kiểu tấn công này do nó khó hơn việc giả địa chỉ IP.

Để giải quyết trường hợp spammer có thể mua cả một miền địa chỉ IP hoặc có khả
năng tấn công MITM trên một tập địa chỉ IP thuộc về một domain, người nhận sử dụng
danh sách đen vẫn có được thuận lợi từ việc địa chỉ IP được phân phối theo các block liên
tục nhau. Xác suất mà server và blacklist nhận spam từ các địa chỉ thuộc cùng một block
là rất lớn, do đó có thể cho toàn bộ block địa chỉ này vào blacklist.
Điều này cũng làm nảy sinh vấn đề là các domain phải kiểm soát được lượng
spam gửi đi để tránh bị liệt toàn domain vào danh sách bị khóa. Domain phải cố gắng
cấm các máy không được cấp quyền (Unauthorized computer) trong domain của mình
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 9


gửi mail trực tiếp đến các domain khác, đặc biệt là hạn chế việc các máy này sở hữu
nhiều địa chỉ IP khác nhau.
Để hạn chế khả năng các mail không thuộc domain được gửi đến cho một MTA
biên chỉ định nào đó, port 25(SMTP sử dụng) giữa hai MTA biên sẽ được khóa, ngăn
chặn các máy truy cập trái phép kết nối ra ngoài domain qua port 25.
Ngoài ra, domain cũng cần giới hạn lượng spam gửi đi bằng cách ủy quyền cho
MTA biên ngõ ra. MTA này sẽ sử dụng một bộ lọc để xác định và loại bỏ luồng spam đi
ra, các phương pháp lọc này thường yêu cầu sự xác thực từ phía người gửi, sẽ rất đơn
giản đối với user thuộc domain nhưng lại phức tạp đối với các user bên ngoài domain.
Để cho phép các user bên ngoài domain vẫn có thể kết nối đến được Mail server,
ví dụ như MUA của Carl kết nối đến MSA thuộc domain A, nhiều domain yêu cầu MUA
của Carl phải sử dụng một kết nối có xác thực. Điều này có thể thực hiện theo nhiều
cách: sử dụng SMTP AUTH mở rộng (password được chuyển đi dưới dạng cleartext) hay
cơ chế xác thực có mã hóa (sử dụng kết nối SMTP cùng giao thức SSL - Secure Socket
Layer). Kết nối có xác thực này thường chạy trên port 587 thay vì 25 nhằm tránh bị khóa
bởi ISP ở xa (Remote ISP).

Khi một MTA nhận một email, nó sẽ chuyển đến cho một mail agent nào đó trên
con đường đến đích, do chức năng chuyển tiếp này mà nó được xem như một Relaying.
Trước đây, hầu hết các Mail server đều cho phép chuyển tiếp các email mà không quan
tâm đến nguồn gửi cũng như đích đến, các Mail server như vậy được gọi là một Open
relay.
Ngoài ra, hầu hết các Mail server (MTA B) sẽ từ chối tất cả các message đến từ
một Open relay mà nó biết (MTA X) hoặc từ bất kỳ một MTA thuộc về domain chuyên
gửi spam. Có thể dễ dàng thực hiện bằng cách so sánh địa chỉ IP của MTA gửi mail với
địa chỉ IP của Open relay trong blacklist.
Khi phát hiện ra spam, nên liên hệ với MTA biên nhận spam(MTA B) để xác định
MTA biên phát tán spam (MTA A). Để làm được đòi hỏi phải biết được các Mail agent
mà spam đã đi qua(Trace-back), mỗi khi nhận được một mail, Mail agent sẽ lưu giữ lại
thông tin nhận dạng của server gửi mail đi, nó sẽ thêm vào dòng RECEIVED trong
Header của mail các thông tin như: thời gian nhận mail, tên domain cũng như địa chỉ IP.
Đây là cơ sở xác thực của các Mail agent, giúp blacklist ngăn chặn luồng mail spam.
Tuy vậy, quá trình này không đảm bảo. User sẽ xác nhận được account của người
gửi mail nhờ vào MUA. MUA điền thông tin của người gửi ở trường FROM hoặc
SENDER trong header của các lá mail. Trên thực tế, nhiều MSA cho phép người dùng
đầu cuối sử dụng địa chỉ bất kỳ trong trường FROM hoặc SENDER của header. Điều này
cho phép user sử dụng cùng một địa chỉ trong khi sử dụng nhiều MSA để tiếp nhận mail
này. Do đó, khi một MTA nhận mail từ một domain khác nó sẽ không căn cứ vào địa chỉ
người gửi trong trường FROM của mail header, nó phải có một cơ chế để xác thực địa chỉ
người gửi hoặc địa chỉ domain. Như vậy địa chỉ người gửi trong mail header là không
đáng tin cậy, địa chỉ này có thể dễ dàng bị giả mạo. Những địa chỉ này được dùng để gửi
spam, chúng hiển thị dưới dạng một sender quen thuộc với người dùng, đi qua được các
bộ lọc tự động và khiến user sẽ đọc mail thay vì xóa bỏ. Các mail giả này thường làm cho
người dùng nhầm lẫn khi dựa vào địa chỉ nguồn, chẳng hạn như tấn công Phishing. Các
Đồ án môn học An ninh mạng



Mail Spam cơ chế và các biện pháp phòng chống 10


địa chỉ giả có thể dễ dàng có được từ các trang web, các forum hoặc lấy danh sách địa chỉ
từ các máy tính bị xâm nhập. Trong một số trường hợp, địa chỉ giả chính là địa chỉ của
một nạn nhân nào đó, như vậy nạn nhân sẽ bị hiểu nhầm là người gửi spam.

2. Các phương pháp phòng chống spam
Có rất nhiều cơ chế phòng chống spam, nhìn chung được phân loại như sau:

Theo cách phân loại trên, phương pháp Identity-based và Cost-based đòi hỏi sự
chấp nhận giữa hai bên gửi, nhận hoặc các mail agent, trong khi đó phương pháp Content
filtering chỉ đòi hỏi phía người nhận.
Ba hướng chính giúp xử lý spam là:
- Content filtering
- Identity – based
- Cost – based
Content filtering là một phương pháp được sử dụng rộng rãi nhất, phía nhận sẽ cố
gắng phân biệt giữa spam với các mail mong đợi. Tuy vậy, bộ lọc này sẽ gặp phải hai vấn
đề về lỗi, thường được đề cập đến là lỗi âm (false negatives) và lỗi dương (false
positives)
Lỗi âm xảy ra khi một mail spam không bị phát hiện bởi bộ lọc mail và được phân
phối đến cho user. Lỗi âm này có khi làm cho bộ lọc loại bỏ hoặc đưa vào danh sách đen
những mail không phải là spam. User rất dễ bị ảnh hưởng bởi lỗi âm, họ có thể bị mất
những mail quan tâm. Bộ lọc thương mại và thí nghiệm luôn cố gắng giảm tỉ lệ lỗi âm
này xuống còn khoảng 0,03%.
Phương pháp Content filtering rất dễ triển khai, nó chỉ đòi hỏi sự chấp thuận từ
phía nhận và giúp loại bỏ tức thời một lượng mail spam. Do tính chất dễ triển khai, tỉ lệ
lỗi âm và lỗi dương thấp nên phương pháp này được sử dụng rộng rãi. Tuy nhiên phương
pháp này có hạn chế trong việc mở rộng và tái triển khai

Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 11


Cơ chế xử lý spam mà không dựa trên Content filtering có thể chia thành hai
hướng là:
- Cost – based : phương pháp này hướng đến việc đảm bảo người gửi spam sẽ mất
một chi phí đáng kể. Chi phí này có thể áp dụng trên mỗi thông điệp gửi đi(mỗi
loại sẽ có một mức phù hợp), hoặc chỉ cho các mail spam hay cho tất cả các mail
nhưng có kèm theo cơ chế hoàn trả lại chi phí cho các mail không phải là spam.
- Identity – based: xử lý dựa trên việc nhận dạng mail agent, có 2 hướng tiếp cận:
+ Identification: nhận dạng sender hoặc các thành phầ
spa .
+ Identity – based Filtering


3. Cost – based
Email là kỹ thuật truyền thông tương đối rẻ, đó là một trong những lý do biến
spam là công cụ kinh doanh sinh lợi. Do đó, một hướng điều khiển spam là tính chính xác
giá cả, tiền tệ và một số mặt khác khi gởi một thông điệp để làm giảm nạn spam. Thông
thường, khi giá phải trả là tiền tệ, nó cũng có thể quy định đền bù chi phí đến người nhận
và/hoặc nhà cung cấp dịch vụ khi chấp nhận spam.
Tuy nhiên, việc đưa chi phí khi gởi email là khó khăn, có thể còn hơn thế khi mà
chi phí được tính toán bằng tiền. Cụ thể, người sử dụng cảm thấy khó chịu khi phải trả
phí email, trong khi email là miễn phí. Điều này có thể giải quyết bằng giao thức chắc
chắn rằng người dùng chỉ trả phí cho spam, hoặc được trả lại tiền khi không phải là thông
điệp spam.
Người dùng phản đối lại việc trả phí cho email sẽ được giảm đi khi ta dùng

payment, nó không là tiền tệ, nhưng nó đòi hỏi sự nỗ lực của người dùng và/hoặc tài
nguyên máy tính. Hơn nữa payment yêu cầu thao tác giữa người gởi và người nhận, và
chấp nhận những chi phí khá nhỏ.
Kỹ thuật Non-monetary được sử dụng cho nhiều người, không lệ thuộc tài chính,
không phải trả chi phí. Dưới đây là một dạng của kỹ thuật Non – monetary.
Human Effort và Human Interaction Proofs (HIP): Một trong những lý do spam
khá rẻ, là trên thực tế nó được gởi vào “in bulk” một cách tự động bằng chương trình,
thao tác tay ít nhất. Theo đó, một phương pháp để điều khiển spam là chắc chắn rằng bạn
đang cố gắng một số thao tác tay để gởi email, việc này thực hiện dễ dàng với người và
sẽ khó khăn nếu là chương trình máy tính. Điển hình là HIP. HIP được áp dụng trong
nhiều trường hợp, chắc chắn rằng máy không thể làm tự động đầy đủ yêu cầu được. Có
thể ứng dụng trong khi bạn gởi mail đặc biệt, mở một tài khoản webmail miễn phí, gia
nhập vào forum, … HIP được đề xuất đầu tiên sử dụng tên CAPTCHA (Completely
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 12


Automated Public Turing test to tell Computers and Humans Apart). HIP dạng quen
thuộc thường là ảnh chứa một chuỗi, nhưng chuỗi hiện thường dưới dạng nham nhỡ, méo
mó, và chỉ có con người mới nhận ra các mẫu tự. Ví dụ như dạng chuỗi dưới đây.

Mục đích của việc sử dụng HIP chống lại Spam là Spammer sẽ tiêu tốn nhiều tài
nguyên để thực hiện các tác vụ, làm pam không sinh lợi (hoặc ít nhất). Một
hạn chế của phương pháp này là trở ngại cho người sử dụng, một số người cự tuyệt hoặc
làm sai thao tác, đến mức xấu hơn khi người sử dụng là những người khiếm thị hoặc
khuyết tật. Hơn thế nữa, nó luôn là lời cảnh báo rằng có chương trình và thuật toán tự
động hóa với HIP, không cần sự tương tác của con người. Một báo gần đây đã cho thấy
rằng tối thiểu được thao tác để nhận dạng ra một ký tự nham nhỡ, méo mó; chương trình

cho kết quả còn tốt hơn cả con người thực hiện.
Trong trường hợp đặc biệt, một kẻ tấn công, chẳng hạn như site xxx (site thu hút
nhiều người tham gia), nó hiển thị HIP cho khách viếng thăm, và lại sử dụng hồi đáp đó
của khách để giải quyết HIP trên trang web thật. Loại này được biết đến như là kiểu tấn
công Man In The Middle (như hình dưới đây). Hơn nữa, kẻ tấn công có thể thuê cá nhân
nào đó giải quyết HIP với giá khá rẻ.

Theo cách hoạt động như thế thì HIP phải thay đổi các chuỗi ký tự để tránh việc
dùng lại chuỗi trước. Như vậy spammer sẽ phải tốn nhiều tài nguyên để thực hiện tính
toán, làm cho lợi ích họ thu được không nhiều (tối thiểu nhất). Tuy nhiên, với những
spammer dùng zombies để gởi spam thì họ không quan tâm đến việc tính toán chi phí,
trong khi các nạn nhân bị tàn phá tài nguyên (trong mỗi email không hợp pháp hoặc là
spam gởi bằng máy tính của họ). Chưa hết, kỹ thuật này ngăn chặn việc gởi mail từ các
thiết bị giới hạn tính toán hoặc các thiết bị client dễ bị hư hỏng, chẳng hạn như thiết bị di
dộng.
Secure Automated Resolution Protocol (SeARP):
SeAR là một giao thức mật mã để điều khiển spam, với điều kiện đền bù từ người
gởi spam đến người nhận (miễn cưỡng), spam được nhận dạng bằng 1 hay nhiều resolve
agent (RA).
SeARP được xây dựng bằng cách xác thực thông điệp mã hóa, và xác thực
domain (DKIM), ngoài ra còn có một vài chức năng mở rộng như:
- Xác thực trường nội dung nhãn (content – label), ví dụ, nội dung nhãn có thể chứa
1 trong 2 giá trị ADV (quảng cáo/thương mại), và non – ADV.
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 13


- SeARP cho phép các domain mail – originating xác thực thông điệp bằng chữ ký

số, hoặc Message Authentication Code (MAC), sử dụng MAC thích hợp khi
domain nguồn và domain nhận thư có mối quan hệ tin cậy lâu dài.
- SeARP cho phép địa chỉ email người gởi thuộc nhiều domain khác nhau từ ký
hiệu hoặc xác thực domain. Khi địa chỉ của người gởi thuộc domain khác, nó có
thể bị bắt chước hoặc được cấp sử dụng; người nhận có thể tùy quyết định, nhận
hoặc bỏ nếu sợ bị giả mạo. Trong nhiều trường hợp, SeARP chỉ bảo đảm cho mối
quan hệ giữa thông điệp và nội dung nhãn gắn với nó.
- SeARP đính kèm theo trường xác thực trong thông điệp.
RA là một thực thể chính trong SeARP. Nó dễ thấy tại mail agent của người gởi
và người nhận. Tuy nhiên, người gởi và người nhận có thể chấp nhận (hoặc không) cho
sự phán xét của RA (nội dung nhãn l có phù hợp với thông điệp m hay thông điệp là
spam?).
Giao thức SeARP chạy giữa 3 thực thể: agent gởi mail, agent nhận mail, và RA.
Để đơn giản, ta giả sử chỉ có 2 agent, là Mail Submission Agents (MSA) của Alice duyệt
thông điệp, và Mail Delivery Agents (MDAs) phân phát thông điệp cho Bob, và giả sử
agent gởi mail biết agent nhận hỗ trợ SeARP.
Mỗi SeARP agent tương tác với nhau bằng cách trao đổi thông điệp, và tương tác
giữa người gởi, người nhận và người phân tích – resolver (giả sử ta gọi là Ros). Ros sẽ
thực hiện dịch vụ giải quyết cuối cùng cho RA.
Ba người (Alice, Bob, Ros) sẽ chịu trách nhiệm cho việc ánh xạ từ thông điệp
sang nhãn: Alice cung cấp nhãn của thông điệp, Bob lẫn Ros xét nhãn nếu nó đúng. Một
lưu ý rằng, khi đề cập đến thực thể “human”, để hiểu đơn giản hơn, trong thực tế chúng
có thể là các module phần mềm và phần cứng giữa các agent và bất kỳ một người thật
nào. Đúng ra RA và người nhận sẽ sử dụng kỹ thuật lọc nội dung để thực hiện ước lượng
ban đầu.
Hoạt động của SeARP:

Hình: mô tả hoạt động của SeARP.
Đồ án môn học An ninh mạng



Mail Spam cơ chế và các biện pháp phòng chống 14


Hình trên là một ngữ cảnh đơn giản, SeARP được sử dụng để điều khiển spam từ
Alice và Bob, đi qua mail agent có SeARP, một là của Alice và một của Bob, và sử dụng
một agent phân tích do Ros điều khiển.
Trong hình trên có 3 agent là MSA của Alice, MDA của Bob, RA của Ros; và 3
người kết nối đến từng agent: Alice (người gởi), Bob (người nhận), và Ros (người phân
tích). Hoạt động của giao thức SeARP thực hiện theo từng bước sau:
Bước 1: Khởi tạo, Bob chỉ định rõ thiết lập tập “nhãn chấp nhận” L, MDA của
Bob sẽ chỉ phân phát đến Bob các nhãn l thuộc tập L.
Bước 2: Alice gởi thông điệp m với nhãn l đến MSA của Alice.
Bước 3: MSA của Alice gởi m, l, σ đến MDA của Bob, với σ = Sign
A
(m, l, T,

,
Bob) là chữ ký của MSA phía Alice ghi trên thông điệp m, nhãn l, cùng với thời hạn cho
thông điệp là T, cộng thêm thông tin α cho phép MSA của Alice để phục hồi lại chi tiết
lần gởi thông điệp đó. Và cuối cùng là nhận dạng của Bob.
Bước 4: MDA của Bob xác định thông điệp vẫn còn giá trị (so sánh thời gian T
với hiện tại), và l có thuộc tập L. Nếu hợp lệ, nó phân phát m, l cho Bob.
Bước 5: Bob đưa cho MDA của mình nhãn “thật” của thông điệp, l’. Nếu l’ = l,
thông điệp sẽ được dán nhãn hợp lý, nếu không thì thông điệp đó là spam.
Bước 6: Nếu Bob khẳng định đó là spam (l

l’), MDA của Bob gởi một
σ’=Sign
B

(σ, l’) cho RA, là khóa ký hiệu của nó.
Bước 7: RA forward m, l, l’ đến cho người phân tích Ros.
Bước 8: Ros tính toán m, l, l’ và gởi kết quả r cho RA. Kết quả quyết định hình
phạt dành cho spam hoặc do Bob đã kết tội cho Alice gởi spam, làm hao tốn tài nguyên
người phân tích.
Bước 9: RA gởi phân tích Sign
R
(σ’, r) cho MSA của Alice và MDA của Bob. Nếu
RA cũng là nhà cung cấp dịch vụ Payment cho Alice và Bob, nó sẽ cập nhật cho phù hợp
với điều khoản đặt trước của Alice và Bob.
Bước 10: Nếu phân tích cho thấy thông điệp là spam (l không phải là nhãn của
m), MSA của Alice gởi kết quả cho Alice. Nhờ sử dụng α, có thể giúp MSA xác định
được người gởi là Alice. Từ đó MSA của Alice có thể hạn chế số lượng thông điệp gởi
trong ngày.

4. Filter
Ý tưởng của biện pháp này là đánh giá nội dung của email, sau đó quyết định loại
bỏ nó nếu nó là một spam. Biện pháp này có hiệu quả với các mail virus. Tuy nhiên nó
vẫn còn hạn chế vì có một số mail hợp pháp bị loại bỏ, ví dụ như mail xác thực đặt vé
máy bay, mail tin tức hay các mail quảng cáo bán hàng đã lựa chọn…
Phương pháp filter có 4 hướng tiếp cận:
- ISP: việc ngăn chặn spam đầu tiên được thực hiện tại nhà cung cấp dịch vụ. Bạn
có thể đăng ký các dịch vụ phòng chống spam cho mình. Trên cơ bản các dịch vụ có thể
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 15


nhận dạng ra hầu hết spam và giữ họ lại mail server, email sẽ được kiểm tra trước khi gởi

đến hộp thư của bạn.
- Commercial (dịch vụ thương mại): là các dịch vụ cho phép bạn tùy chọn ngăn
chặn spam, ví dụ như dịch vụ peer-to-peer của tại Cloudmark.com.
- Mã hóa: áp dụng tương đối ít, TMDA ( Tagged Message Delivery Agent) ngăn
chặn spam bằng phương pháp mã hóa để xác nhận tính hợp lệ của các người gởi không rõ
danh tánh.
- Và cuối cùng là các ứng dụng lọc spam riêng của mỗi người, được xây dựng kết
hợp với email.
Các biện pháp filter thường được sử dụng:

- Bayesian:Bộ lọc Bayesian hoạt động dựa trên định lý Bayes để tính toán xác
suất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự như
vậy được sử dụng để phân loại spam. Nếu một số phần văn bản xuất hiện thường xuyên
trong các spam nhưng thường không xuất hiện trong các email thông thường, thì có thể
kết luận rằng email đó là spam
Trước khi có thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở dữ
liệu từ khóa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền ) sưu tầm từ các spam
và các email không hợp lệ khác.
Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị này
dựa trên việc tính toán có bao nhiêu từ thường hay sử dụng trong spam, mà trong các
email hợp lệ thường không sử dụng. Việc tính toán này được thực hiện bằng cách phân
tích những email gửi đi của người dùng và phân tích các kiểu spam đã biết.
Để bộ lọc Bayesian hoạt động chính xác và có hiệu quả cao, cần phải tạo ra cơ sở
dữ liệu về các email thông thường và spam phù hợp với đặc thù kinh doanh của từng
công ty. Cơ sở dữ liệu này được hình thành khi bộ lọc trải qua giai đoạn “huấn luyện”.
Người quản trị phải cung cấp khoảng 1000 email thông thường và 1000 spam để bộ lọc
phân tích tạo ra cơ sở dữ liệu cho riêng nó.
- Heuristic: tìm kiếm các dạng mẫu biết trước của một vài các thông điệp spam
thường gặp, ví dụ, một vài từ (XXX, FREE…) hoặc file chứa virus. Các mẫu được chọn
lọc qua sử dụng heuristic và các tiến trình thông thường. Cách lọc các mẫu có sẵn thế này

khá yếu, spammer có thể tránh được các mẫu thông điệp được cài đặt mặc định bằng cách
chèn thêm các ký tự khoảng cách (từ spam thành s*p*a*m) hoặc viết sai chính tả của từ
(sppam). Cách này phân tích hành vi của trang web, kiểm tra kỹ thuật mà kẻ làm giả
thường thực hiện.
- Adapter: lọc các tập hợp thống kê từ tập hợp email và hành động của người
dùng khi nhận thông điệp, nó sẽ tự động phân loại và nhận dạng ra spam. Hiện nay, các
thống kê lọc khá hiệu quả, được đánh giá chỉ có 0.03% là nhầm lẫn (giữa email hợp pháp
và spam), 0.5% là không phát hiện được spam.
Tuy nhiên, đến khi các thống kê lọc này trở nên khá phổ biến, spammer có thể
dần dần điều chỉnh bằng cách tránh hoặc làm sai lệch bất kỳ chuỗi gần giống chuỗi bị lọc.
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 16


Hơn nữa, spammer có thể dùng thuật toán học giống nhau để kiểm tra thông điệp
của họ và sửa đổi chúng nếu cần thiết để tránh bị phát hiện, nhất là cách nhận dạng và
thêm vào các từ hoặc đoạn trích mà chúng thường thấy trong thông điệp bình thường.
Spammer có thể phá hỏng cách lọc adapter này bằng cách cố tình cộng thêm các từ hoặc
cụm từ của các mail hợp pháp cho spam, bằng cách đó chúng sẽ làm tăng dần đánh giá
tính “xác thực sai” của phương pháp đến mức không chấp nhận được. Xa hơn thế nữa, có
thể nghiên cứu để xác nhận lại về sự đánh giá của phương pháp này, việc đánh giá đó dù
thế nào đi nữa thì spammer cũng đã thích ứng và tránh bị phát hiện đồng thời cũng làm
tăng đánh giá về tính xác thực sai của phương pháp.
- Collaborative: hoạt động bằng cách cộng tác nhiều người dùng, họ nhận dạng
spam bằng đánh giá tay nội dung của thông điệp. Tin cậy vào khả năng nhận dạng spam
của mọi người. Phương pháp này đơn giản chia sẻ việc lọc spam (thường là trong các
mail nhận được) giữa mọi người. Ví dụ, khi bạn nhận dạng và đánh dấu lên spam trong
hộp thư của bạn, thì MUA (Mail User Agent) sẽ tự động cảnh báo cho các người dùng

khác (sử dụng mỗi MUA hoặc một dịch vụ nào đó trong cùng mail server). Phương pháp
này rất hữu dụng như là bổ sung của phương pháp lọc adapter, nó cập nhật đúng lúc để
ngăn chặn các biến thể của spam.
- Honeypots: đây là hệ thống được xây dựng với mục đích giả dạng Mail server,
Web server… để đánh lừa các đối tượng là các lưu lượng bất thường, trực tiếp tương tác
với chúng (hay các phần mềm tấn công). Lưu lượng được xem là bất thường và được
phân loại dựa vào việc lấy mẫu trên từng phiên và tập hợp chúng lại. Có 2 loại Honeypot:
loại tương tác cao (high interaction) thiết lập các dịch vụ giống như dịch vụ cung cấp thật
sự với mục đích thu thập tất cả những dữ liệu liên quan đến việc sử dụng dịch vụ này. Kỹ
thuật này trên nguyên tắc ghi nhận tất cả các cuộc tấn công vào hệ thống và như vậy cung
cấp các dữ kiện quan trọng trong việc điều tra. Vì khả năng tương tác nhiều với hệ thống
cho nên bản thân dễ có sơ hở và dễ bị hư hại . Do đó, loại này thường được cài đặt trên
các máy ảo kiểu như Vmware để tiện điều khiển và khôi phục trong trường hợp bị hư hại
do tấn công. Kiểu honeypot thứ hai là loại tương tác yếu (low interaction). Đó là hệ thống
giả lập dịch vụ. Nó được xây dựng chủ yếu để đáp ứng các âm mưu tấn công xác định hệ
thống (fingerprinting) hay dò tìm dịch vụ chạy trên hệ thống (scanning). Ví dụ về hệ
thống này là phần mềm mở honeyd. Lợi điểm của hệ thống này là an toàn hơn hệ thống
honeypot tương tác mạnh. Tuy nhiên, bất lợi chính là hệ thống này dễ bị phát hiện. Kẻ
tấn công có thể phát hiện các dấu hiệu và hành vi bất thường của hệ thống giả lập và
không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm.
Kết quả của việc lọc nội dung là cuộc chiến giữa spammer và người lọc, spammer
thiết kế thông điệp làm sao để qua mặt bộ lọc, kiểm tra chúng và chống lại chúng. Một
vài công nghệ mà các spammer đã khai thác để tránh lọc nội dung như là gởi các thông
điệp thật ngắn, hầu hết là chứa lời hướng dẫn đến trang web, “ẩn” đi thông điệp…
Ví dụ cách lọc mail đơn giản trong Yahoo! Mail:
 Mở yahoo mailbox.
 Click Mail Option.
 Click Filters.
Đồ án môn học An ninh mạng



Mail Spam cơ chế và các biện pháp phòng chống 17


 Click Add Filter.
 Tại dòng trên cùng, nhãn có tên là “From header”: xác định chắn chắc nội dung
được chọn trong menu. Có 4 loại:
o Contain: lọc mail có chứa từ mà bạn muốn.
o Does not contain: lọc mail chứa những từ không muốn.
o Begin with: lọc mail chứa bắt đầu với từ bạn muốn.
o End with: lọc mail kết thúc với từ bạn muốn.
 Tương tự cho “To/Cc header”, “Subject”, “Body”.
 Dưới cùng, “Move the Message To”: chọn nơi mà bạn sẽ cất mail được lọc trên.
Có thể tạo một forder riêng để xem lại chúng.
 Click vào nút Add Filter lần nữa.
Ngoài ra trong Yahoo! Mail còn có mục Spam Protection, tùy chọn cất spam vào
Bulk (tự delete sau một tháng) hoặc là không cất vào Bulk mà delete ngay.

5. Phòng chống spam dựa trên phương pháp nhận dạng
Phương pháp này được áp dụng cho các thành phần liên quan đến mail gửi đi như
máy nguồn gửi mail, các MTA biên cho luồng thư ra hoặc các agent trung gian. Việc
nhận dạng được thực hiện theo 2 cơ chế là Identication (nhận dạng) và Au
–
nhận thư từ một đối tượng nào đó hay không
Môi trường Internet đã làm nảy sinh các vấn đề cho các cơ chế nhận dạng mail
như sau:
- Địa chỉ mail của người gửi là không tin cậy(không liên quan hoặc không thuộc về
domain gửi)
- Do phải qua nhiều agent trước khi đến đích nên các trường nhận dạng trong
header của dữ liệu ban đầu có thể bị thay đổi, chẳng hạn các trường FROM,

SENDER, MAIL FROM, RESENT FROM.
- Các MTA được phép thêm hoặc chỉnh sửa nội dung tiêu đề, thậm chí cả nội dung
của mail.
- Các server MTA nhận mail sẵn sàng chấp nhận các mail từ một domain bất kỳ
4 phương pháp nhận dạng đầu tiên là cơ chế nhận dạng các thực thể liên quan đến
mail nhận được, những cơ chế này giúp tránh nhận thư từ các domain hoặc user gửi spam
và chống lại các tấn công sử dụng địa chỉ người gửi giả, tấn công phishing… Phần còn lại
đề cập đến các cơ chế lọc giúp xử lý luồng mail từ một đối tượng xác định (phân phối
hay loại bỏ).
a. Nhận dạng dựa trên đường đi của mail
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 18


Thông tin giúp nhận dạng người gửi thường chỉ là địa chỉ email có được trong
trường FROM của header, tuy nhiên địa chỉ mà các spammer sử dụng thường là giả hoặc
gây nhầm lẫn cho người nhận. Do đó, có một số cơ chế xử lý spam thường xác thực
người gửi bằng địa chỉ email. Các cơ chế này thường dựa trên việc xác thực mã hóa:
Nhận dạng bằng địa chỉ của mail người gửi:
Cơ chế nhận dạng này chủ yếu dựa vào trường FROM hoặc SENDER trong mail
header. Spammer có thể sử dụng địa chỉ giả, do đó cơ chế này chỉ hoạt động hiệu quả khi
Spammer không chắc biết hoặc chỉ đoán địa chỉ mail gửi đi. Chẳng hạn, một hệ thống có
thể chỉ cho phép nhận luồng mail mà địa chỉ người gửi có trong sổ địa chỉ của user, với hi
vọng spammer không sử dụng những địa chỉ này. Điều này dẫn đến việc bảo mật đường
đi của mail để cho spammer không thể xem được thông điệp gửi đi hay nhận vào ở user,
tuy nhiên spammer có thể lấy địa chỉ này từ những mail spam gửi đến cho user.
Mức bảo mật cho những cơ chế này là không cao. Khi spammer xâm nhập được
vào một máy tính, nó có thể sử dụng sổ địa chỉ và đọc thông tin trong các mail ở những

máy này. Để ngăn ngừa việc bị phát hiện, spammer thường gửi mail bằng các địa chỉ
trong mail mà nó đọc được chứ ít khi sử dụng địa chỉ mail của máy bị xâm nhập.
Challenge – response validation:
Trong cơ chế này, đối với những mail “đáng nghi”, phía nhận sẽ gửi trở lại cho
nguồn kèm với một thông điệp yêu cầu nguồn gửi lại mail này với những hướng dẫn rõ
ràng. Khi nhận được phúc đáp, phía thu sẽ xác định xem đây có phải là một phúc đáp hợp
lệ không để tiến hành phân phối mail (bằng cách kèm theo địa chỉ email đặc biệt hoặc
một số nhận dạng ngẫu nhiên). Một số hệ thống sử dụng cơ chế Challenge – Response
chỉ cho quá trình khởi tạo kết nối, sau đó dựa vào nhận dạng sử dụng địa chỉ mail phía
gửi hoặc địa chỉ mail duy nhất của phía nhận.
Mục đích của cơ chế Challenge – response là chứng thực rằng một lá mail được
gửi từ một account xác định, các account này có khả năng nhận và gửi được các thông
điệp Bounce.
.
ững spammer
sử dụng bounces và địa chỉ nguồn giả sẽ không thể phúc đáp thông điệp Challenge được.
Tuy nhiên phương pháp này không có tác dụng nếu spammer sử dụng một địa chỉ
có thật trong trường hợp spammer xâm nhập được vào một máy tính và sử dụng địa chỉ
của máy này và gửi spam. Ngoài ra, còn có thể gây phiền toái cho
người gửi trong trường hợp gửi lại mail mà không thành công và làm tăng thời gian trì
hoãn cũng như lượng overhead.
Để giấu các spammer không biết được địa chỉ của mình, một user sẽ chỉ cho các
đối tác tin cậy biết địa chỉ mail của mình mà thôi. User này thường sử dụng một địa chỉ
mail phụ trong các forum. Tuy nhiên cách thức này là không an toàn, spammer có thể lấy
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 19



được địa chỉ bằng cách scan các mail server liên quan theo phương pháp Dictionary
attack.
b. Xác thực địa chỉ IP dựa vào đường đi
Mail được gửi đi trong môi trường Internet theo giao thức SMTP, agent gửi mail
phải phúc đáp một cách đầy đủ cho agent phía nhận để có thể truyền dữ liệu thành công.
Hơn nữa, SMTP là một giao thức có kết nối, truyền thông điệp trên kết nối TCP (TCP có
giai đoạn thiết lập kết nối, đòi hỏi phía gửi phải gửi phúc đáp cho gói tin từ phía nhận).
TCP truyền gói đi theo giao thức IP, sử dụng trường địa chỉ trong mỗi gói tin để định
tuyến đến đích. Do đó ta có thể nhận dạng agent gửi mail qua địa chỉ IP của nó theo hai
cách:
- Trực tiếp tại agent nhận mail
- Sử dụng thông tin tracking có trong header, thông tin sẽ bao gồm địa chỉ của các
agent tham gia vào việc chuyển mail đi
Phương pháp này không an toàn với tấn công MITM, tuy nhiên trong trường hợp
spammer không chặn được gói tin thì phương pháp này hoạt động rất hiệu quả, bởi địa
chỉ IP của người gửi không liên quan đến địa chỉ mail được thể hiện trong mail header.

c. Xác thực domain dựa vào đường đi
Mô hình Internet cho
1,
MTA B có thể chấp nhận luồng mail từ MTA A (vd: ), những mail này là
hợp lệ nếu Alice có một tài khoản tại domain ex.net. Do đó mà Alice sẽ sử dụng địa chỉ
làm địa chỉ mail chính của mình.
Tuy nhiên có khi domain ex.net không muốn các domain khác sử dụng địa chỉ
người gửi và địa chỉ bounce trong domain này. Bằng việc ngăn ngừa sử dụng
như một địa chỉ bounce, domain sẽ tránh được việc nhận thông
bounce . Tương tự như vậy, một ngân hàng sẽ không
muốn những domain khác có thể chuyển đi các “phishing mail”, chỉ định mà không có
xác thực mail người gửi thuộc domain của ngân hàng, vd:
Trong phần này, ta bàn đến các cơ chế cho phép nhà quản trị của một domain chỉ

định một chính sách cấp phép (Email authorization policy), chính sách này chỉ rõ MTA
biên ngõ ra nào được cho phép gửi mail có địa chỉ nguồn và địa chỉ bounce thuộc domain
này. Nhờ đó có thể chống giả mạo địa chỉ bằng cách thiết lập một mail server cho phép
gửi đi các mail của các sender thuộc về domain nguồn được chỉ định. Cơ chế thường
được sử dụng là cơ chế cấp phép dựa trên đường đi (Path based email authorization),
MTA ngõ ra được xác định bởi địa chỉ IP của nó, gây khó khăn cho các spammer khi gửi
địa chỉ IP giả. Cơ chế này dễ thực thi, đòi hỏi ít tính toán và lượng overhead truyền
thông.
Thành phần chính của cơ chế này là bản ghi chính sách mail (Email policy
record). Bản ghi chính sách cho một domain bao gồm danh sách các địa chỉ IP được cho
phép gửi các mail có địa chỉ thuộc domain này. Các bản ghi này được phân tán như một
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 20


bản ghi trong hệ thống tên miền DNS, được lựa chọn như một chính sách phân tán tiện
lợi và hiệu quả. Tuy nhiên, hiện tại DNS không bảo mật trước tấn công MITM khi kẻ tấn
công làm sai lệch thông điệp reply. Chính vì vậy cơ chế cấp phép này có thể gây ra lỗi âm
và lỗi dương.
Ở cuối mỗi bản ghi chính sách, domain có kèm thêm những thông tin gồm tất cả
các địa chỉ IP được cho phép gửi mail đến domain này. Những tùy chọn chính bao gồm:
- all: Danh sách địa chỉ IP này đã hoàn chỉnh, chỉ có những server có tên trong
danh sách mới được phép gửi mail từ domain này
all: danh sách gần hoàn chỉnh nhưng không chắc chắn hoàn toàn. Có thể chỉ có
vài server được cho phép gửi mail từ domain này, những server này có địa chỉ IP bị quên
và không được liệt kê trong danh sách
+ all: danh sách là chưa hoàn chỉnh, chỉ có rất ít server được cho phép gửi mail từ
domain, những server này ko được liệt kê trong danh sách.

Hiện tại có 2 cơ chế nhận dạng dựa vào đường đi phổ biến được đề xuất bởi
Microsoft là SPF (Sender Policy Framework) và Sender ID. Sự khác nhau chủ yếu ở hai
cơ chế này là việc nhận dạng domain chịu trách nhiệm về một mail và cách thức xử lý
những mail không thuộc về domain (chuyển tiếp và Mailing list)
Việc nhận dạng domain rất phức tạp, do đó cần đến một số trường liên quan đến
mail trong header để nhận dạng người gửi và những thành phần liên quan trong quá trình
truyền thông. Các trường bao gồm:
- FROM: cho biết nguồn xuất phát mail
- SENDER: cho biết agent nào đại diện cho nguồn giử mail đi(nếu không trùng với
nguồn)
- MAIL FROM: cho biết địa chỉ
- HELO/EHLO: đây là nội dung của câu lệnh SMTP HELO hoặc EHLO, chứa
những đặc tả chuẩn để là tên miền của một SMTP agent phía gửi (SMTP client).
Chú ý rằng trường này có thể khác với domain của người gửi, ví dụ như khi ISP
a.com đang chuyển mail của
Cả SPF và Sender ID đều cho phép nhận dạng và cấp phép sử dụng địa chỉ trong
trường MAIL FROM, nhận dạng địa chỉ bounce . Quá trình diễn ra như sau: Giả sử
MTA biên ngõ vào giả sử như MTA B nhận mail thuộc một domain khác từ MTA A, có
địa chỉ trong trường MAIL FROM là MTA B sẽ dò tìm bản ghi chính sách
mail của domain ex.net bằng cách sử dụng một truy vấn DNS thích hợp. Nếu như bản ghi
này tồn tại, MTA B sẽ xem trong danh sách này có địa chỉ IP của MTA A được cho phép
gửi mail cho ex.net hay không. Nếu không có địa chỉ này, bản ghi chính sách kết thúc với
tùy chọn –all và mail bị từ chối, MTA B sẽ hiểu là mail có trường MAIL FROM không
hợp lệ này không có mối liên quan gì đến , có thể là virus hoặc spammer đã
sử dụng trái phép địa chỉ này. Nếu MTA B vẫn chuyển mail này đi và
, sẽ nhận được một cho một mail
chưa từng gửi. Việc phát đi một bản ghi chính sách như vậy cho phép domain ex.net
tránh nhận phải những thông điệp bounce không đúng.
Đồ án môn học An ninh mạng



Mail Spam cơ chế và các biện pháp phòng chống 21


Phương pháp này rất hiệu quả đối với những mail hợp lệ được gửi trực tiếp từ
domain gửi đến domain nhận. Tuy nhiên không phải khi nào trường hợp này cũng xảy ra,
mail có thể đi qua một hoặc nhiều domain trung gian trước khi đến được đích, cụ thể là:
- Mail được gửi bởi
- Mail được chuyển tiếp, chẳng hạn từ đến account hiện tại là
Bobs.com
- Mail được phân phối bởi một danh sách mail (Mailing list)
Trong hầu hết các trường hợp, ngoại trừ một vài danh sách mail, các mail agent
trung gian thường không thay đổi địa chỉ trong trường MAIL FROM. Điều này có thể
dẫn đến việc mail bị MTA B từ chối. Các đặc tả của Sender-ID quy định rằng các domain
trung gian nên thay đổi trường MAIL FROM thành một địa chỉ dưới sự điều khiển của
nó, địa chỉ này sẽ nhận một thông điệp bounce, sau đó thông điệp này sẽ được chuyển
đến cho địa chỉ ban đầu trong trường MAIL FROM. Địa chỉ được thay đổi này nên từ
chối nhận bất kỳ một thông điệp nào ngoại trừ thông điệp bounce của mail gốc.
Cơ chế Sender ID cũng cho phép nhận dạng và cấp phép sử dụng địa chỉ danh
tiếng (Purported Responsible Address - PRA). PRA không phải là một trường trong
header, nó là kết quả của một thuật toán đơn giản áp dụng vào header, mục đích của thuật
toán này là nhận dạng thực thể chịu trách nhiệm về mail, đó là người gửi, hoặc một mail
agent nào đó.
Tuy nhiên, hầu hết các mail client hiện tại chỉ hiển thị thông tin của trường
FROM hoặc SENDER, những thông tin này là không có giá trị đối với Sender ID (hoặc
SPF). Sender ID quy định rằng mail client nên hiển thị PRA và xem Microsoft là đề xuất
chính của Sender ID, nó có thể sẽ được thực thi trên mail client của Microsoft trong
tương lai.
Ngay cả khi khả năng xấu nhất xảy ra là một vài Mail client có thể sẽ hiển thị
những mail được công nhận là đã xác thực của Sender ID, chỉ với giá trị của trường

FROM trong header, ngay cả khi PRA là khác nhau có thể làm cho kẻ tấn công giả mạo
địa chỉ người gửi (tấn công phishing)
Giống như việc xác thực trường MAIL FROM, xác thực PRA cũng rất hiệu quả
khi các mail hợp lệ chuyển trực tiếp từ domain gửi đến domain nhận, tuy nhiên độ khó sẽ
tăng lên khi mail phải đi qua một domain trung gian. Sender ID quy định rằng các trạm
trung gian này phải thêm thông tin vào trường RESENT – FROM hoặc SENDER trong
header, cho phép thuật toán PRA hoạt động. Tuy nhiên không phải trạm trung gian nào
cũng thực thi đặc tả này.
SPF cho phép ngoài MAIL FROM còn sử dụng những đặc tả về domain trong câu
lệnh SMTP HELO hoặc EHLO, đây là những câu lệnh đầu tiên được gửi từ SMTP client
đến SMTP server. Theo chuẩn SMTP, những đặc tả về domain chính là domain phía gửi,
mặc dù không phải tất cả trường hợp SMTP đều thực thi nó. Tuy nhiên, khi việc thực thi
hoàn tất, đây luôn là nhận dạng của domain chuyển mail đi, có thể là domain trung gian
hay domain gốc. Những thông tin nhận dạng này sẽ không bao giờ được hiển thị cho
người nhận.
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 22


Việc tồn tại của một bản ghi chính sách cho bất kỳ một thông tin nhận dạng của
SPF hay sender ID(MAIL FROM, PRA, HELO/EHLO) và cả việc thêm địa chỉ IP của
MTA gửi vào bản ghi cũng không thể mang lại sự đảm bảo là mail nhận được có an toàn
hay không. Spammer có thể thiết lập một bản ghi chính sách cho chính domain của mình.
Hơn nữa, việc thiết lập một domain mới có thể dễ dàng thay đổi địa chỉ IP.
Tuy nhiên trong thực tế thì các domain không nhằm mục đích spam thường sử
dụng tên miền trong một thời gian dài. Do đó mà tên domain cũng thường được chứng
thực sử dụng một bản ghi chính sách ngược với địa chỉ IP của người gửi, tên domain
cũng được sử dụng để xếp hạng một domain

d. Chứng thực mã hóa mail
Một cách thức hạn chế spam rất quan trọng là dựa trên việc chứng thực mã hóa
của người gửi hay domain gửi maill. Cơ chế này thực hiện 2 hàm chính:

)(mautht
a
k

: nhận khóa k
a
và thông điệp m, qua hàm xác thực để tính tag t

v
k
validate
nhận khóa k
v
(giống hoặc có liên quan đến khóa k
a
), thông điệp m,
tag t và ngõ ra là đúng nếu:
)(mautht
a
k


Có hai cơ chế mã xác thực mã hóa thông điệp thường được sử dụng:
Message Authentication Code (MAC)
Cơ chế này sử dụng một cặp khóa bí mật được chia sẻ k
a

= k
v
. Hầu hết các cơ chế
MAC (vd: HMAC) đều khá hiệu quả và lượng overhead trong toàn quá trình lưu chuyển
mail là hợp lý với server và không đáng kể đối với hầu hết các người dùng đầu cuối. Tuy
nhiên cơ chế này đòi hỏi người gửi và người nhận phải chia sẻ khóa bí mật và giữ chúng
an toàn trước những kẻ tấn công. Trong trường hợp người gửi truyền thông với nhiều
người nhận (mailing list) thì phải sử dụng một cơ chế chứng thực khác, chẳng hạn như
chữ ký số
Một giao thức thường được sử dụng là Signed Envelope Sender (SES), SES sử
dụng cơ chế MAC để xác thực thông điệp nhận được, sau đó trả kết quả về cho các MTA
biên. Người nhận tin tưởng vào kết quả xác thực, do đây chính là kết quả của việc truy
vấn một địa chỉ IP đã biết và dựa trên độ khó của việc chặn lại các gói được gửi đến địa
chỉ IP của server mà không dựa vào việc mật mã hóa.
Digital signature (Chữ ký số):
Loại mã hóa dùng chữ ký số thường được sử dụng là RSA, một khóa bí mật k
a
sẽ
được dùng để mã hóa thông điệp trước khi gửi đi, phía nhận sẽ dùng khóa công khai k
v
để
chứng thực thông điệp nhận được. Thuật toán sử dụng chữ ký số thường có độ phức tạp
trong tính toán cao, do đó có thể tạo nên một lượng overhead đáng kể. Tuy nhiên cùng
một chữ ký số có thể được xác thực bởi nhiều người nhận. Ngoài ra, giữa người gửi và
người nhận không cần phải chia sẻ khóa bí mật trước. Hầu hết các cơ chế dùng chữ ký số
có thể được chứng thực off-line, tức việc xác thực diễn ra trong khi và sau khi thông điệp
được nhận, có khi được thực hiện bởi các thành phần trung gian (không phải là phía
nhận)
Đồ án môn học An ninh mạng



Mail Spam cơ chế và các biện pháp phòng chống 23


Sử dụng cơ chế xác thực mã hóa để nhận dạng thành phần liên quan đến spam có
thể dễ dàng thực hiện do chỉ đòi hỏi người gửi ký số vào email. Tuy nhiên, nó cũng mang
lại một số thử thách như sau:
- Những thay đổi nhỏ hợp lệ thông điệp trong quá trình truyền mail đi có thể làm
cho chữ ký số không còn đúng
- Người nhận cần phải biết chính xác khóa công khai của người ký. Một chứng
nhận khóa công khai (Public Key Certificate - PKC) được cấp bởi một CA
(Certificate Authority) là giải pháp khả thi. Tuy nhiên việc chờ sự đồng ý của CA
và việc gửi đi một chứng nhận cho người gửi hoặc MTA của họ là khó khăn và
tiêu tốn nhiều thời gian tính toán.
- Để nhận dạng người gửi, khóa công khai thường được sử dụng để chứng thực chữ
kí số, nhưng khóa này không có ý nghĩa đối với người nhận. Người nhận chỉ quan
tâm đến địa chỉ email của người gửi, tuy nhiên các mail agent có thể thay đổi các
trường trong header như FROM, SENDER, MAIL FROM. Hơn nữa, người ký
thường là thành phần chịu trách nhiệm cho thông điệp gửi đi, như vậy có đảm bảo
đó luôn là người gửi chính (Original sender) hay chỉ là những thành phần trung
gian
Mục đích chính của phương pháp chứng thực mã hóa thông điệp để hạn chế spam
là xác thực các thành phần chịu trách nhiệm cho mỗi thông điệp m (thường là phía người
gửi). Điều này được thực hiện bằng cách thêm vào mỗi thông điệp m một tag xác thực
authk
a
(m). Do đó mỗi MTA phải có một cách thức để xử lý tag như việc xác thực và loại
bỏ nó từ thông điệp nhận được để hiển thị cho user.
Hiện tại đã có một số cơ chế chứng thực mã hóa thông điệp mail ra đời, tag
thường được kèm theo trong các trường của header, tag này thường không được MUA

phía nhận hiển thị về cho user. Lực lượng chuyên trách nghiên cứu mạng (IETF) vừa
công bố một kỹ thuật mới giúp người sử dụng có thể ngăn chặn thư rác trên mạng. Hiệu
quả mang lại của phương pháp mới sẽ làm cho các nhà cung cấp dịch vụ email cũng như
công ty sản xuất phần mềm có thể bảo vệ những khách hàng sử dụng thư điện tử của
mình. Kỹ thuật mới có tên gọi là "Xác định khóa tên miền (DKIM – Domain Key
Identication Mail)" dựa trên việc xác định "tên thực" của người đang gửi mail. Theo đó,
thay vì sử dụng địa chỉ IP truyền thống để xác định người gửi email thì DKIM sẽ dùng
các chữ ký số đã được mã hóa để nhận dạng "địa chỉ" của người gửi.
Theo đó, với phương pháp DKIM, khi một người gửi thư đi thì máy chủ sẽ tự
động cung cấp một chữ ký số đã được mã hóa. Ở đầu tiếp nhận thư, máy chủ sẽ so sánh
chữ ký số của máy chủ gửi để đánh giá tính đúng đắn của thư gửi đến. Nếu là thư rác thì
thường phải gửi qua một địa chỉ trung gian và địa chỉ này thường không xác định do đó
khi gặp chữ ký số không xác định (không đúng với máy chủ gửi) thì máy chủ nhận sẽ tự
động ngăn thư đó lại.
Để sử dụng được kỹ thuật mới này thì cả người gửi và người nhận đều phải đăng
ký với nhóm thực hiện DKIM. "Xác định khóa tên miền (DKIM)" được Yahoo nghiên
cứu đầu tiên. Sử dụng DKIM sẽ hạn chế rất nhiều các thư rác cho người dùng thư điện tử.
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 24


Một vấn đề đặt ra cho việc chứng thực mã hóa mail là việc đọc sai mail (Mail
mangling), việc này xảy ra do nhiều nguyên nhân, chủ yếu là do Mail server (MTA). Cụ
thể là, Mail server có thể có những bổ sung nhất định vào thông điệp, chẳng hạn thêm
khoảng trắng như <cr><lf> để ngắt những dòng dài ra, có khi nội dung mail bị thay đổi
trước những định dạng đơn giản, ví dụ như việc thêm các tiền tố hay hậu tố vào(vd: “this
message was scanned by…”). Ngoài ra, các mail agent thường thêm vào các trường trong
header, có thể loại bỏ (để cải thiện hiệu quả hay ẩn giấu thông tin định tuyến), bổ sung

hay sắp xếp lại những trường này. Giải pháp đưa ra là nên đánh dấu tất cả hoặc một số
trường dễ bị thay đổi trong mail header thay vì đánh dấu toàn bộ phần dữ liệu của mail.
Xác thực mã hóa thường rất nhạy với bất kỳ một sự thay đổi nào trong thông điệp, ngay
khi m’ là thông điệp sau khi thêm vào các ký tự <cr><lf> thì kết quả xác thực
))(,'( mauthmvalidate
a
k
sẽ trả về kết quả là false, tức thông điệp nhận được là không hợp
lệ.
Có hai giải pháp được đưa ra là tiêu chuẩn hóa (Canonicalization) và phạm vi giới
hạn (Limited scope). Bằng cách giới hạn phạm vi phần dữ liệu được đánh dấu, ta có thể
tránh được những phần không cần thiết và có thể bổ sung được. Có nhiều chuẩn đánh dấu
mail đã áp dụng việc xác thực chỉ trên một số phần đặc biệt của thông điệp. Vd: S/MIME
và PGP giới hạn chỉ trên phần dữ liệu, trong khi DKIM và SES cho phép mở rộng phạm
vi đến bất kỳ một trường header nào. DKIM cũng cho phép xác định số byte phần thân
dữ liệu của mail dùng để tính toán cho tag, sử dụng thông số L. Khi L = a, bất kỳ byte dữ
liệu nào sau a byte đầu tiên đều không được xác thực, cho phép các trạm trung gian loại
bỏ các trailer được thêm vào bởi các mailing list hay chương trình chống virus
Trong cơ chế tiêu chuẩn hóa, các mail agent dọc đường đi vẫn có thể thay đổi nội
dung của phần thông điệp đã được đánh dấu, do đó có thể làm cho chữ ký số không còn
hợp lệ. Đối với hầu hết các thông điệp, việc thêm các khoảng trắng phân cách hay ngắt
các dòng header dài đều không làm thay đổi nội dung chính của thông điệp và có thể
được chấp nhận. Các sender có thể sử dụng hàm chuẩn hóa NOWSP, DKIM được xem là
hàm chuẩn hóa SIMPLE.
Quá trình chuẩn hóa diễn ra như sau: mail agent đóng vai trò xác thực sẽ áp dụng
một hàm chuẩn hóa cannon cho phần dữ liệu đã được đánh dấu (scope(m)) và xác thực
kết quả (signs). Hàm chuẩn hóa có một đặc tính là trả về cùng một kết quả đối với các
biến đổi của scope(m). Cụ thể là với mọi thông điệp m’ là biến đổi của m sẽ có:
cannon(scope(m’)) = cannon(scope(m))
Đối với những biến đổi của m làm thay đổi nội dung thực sự của thông điệp, hàm

canon sẽ không trả về kết quả như trên.
Cơ chế xác thực mã hóa thông điệp được áp dụng vào các giai đoạn của quá trình
truyền email như sau:
 Hop by hop: xác thực xem có nhận hay chuyển mail đi hay không
Nhiều MSA yêu cầu việc tiếp nhận mail phải được xác thực, thường là sử dụng
cách thức mật mã hóa, ít nhất là khi nhận mail không thuộc domain quản trị. Một MTA
cũng có thể xác thực thông điệp nhận được từ MSA hay MTA đã gửi cho mình nhằm đẩy
lùi các tấn công MITM. Quá trình xác thực này được thực hiện trên từng chặng, chỉ có 2
Đồ án môn học An ninh mạng


Mail Spam cơ chế và các biện pháp phòng chống 25


mail agent tham gia vào một kết nối SMTP đơn. Do đó có thể sử dụng các giao thức xác
thực khác nhau như IP-Sec AH hoặc ESP, SSL/TLS… Do quá trình xác thực hoàn thành
trước khi được xử lý bởi Mail server nên việc thay đổi thông điệp không ảnh hưởng và cơ
chế chuẩn hóa là không cần thiết.
 End to end: xác thực người gửi và nội dung mail
Đây là quá trình xác thực thông điệp tại MUA phía gửi và chứng thực tại MUA
phía nhận. Xác thực phía người gửi là một cơ chế hiệu quả giúp người nhận mail phát
hiện ra được spam. Trong bối cảnh này, người nhận biết được địa chỉ của người gửi và tin
tưởng rằng không nhận phải spam. Hơn nữa, cả 2 phía đều sử dụng các dịch vụ mã hóa
mail cải tiến. MUA phía gửi có thể sử dụng cơ chế MAC hoặc chữ ký số, sau đó mail
được gửi đi và phía nhận sẽ chứng thực nó. Giải pháp này giúp chống lại việc giả mạo
email và vì vậy chống được spam
 Authentication email domain: chứng thực domain gửi mail đi
Việc chứng thực domain mà mail xuất phát có thể đảm bảo MTA biên phía nhận
hoặc các mail agent khác (thường là MUA phía nhận hoặc MDA) nhận mail từ một
domain xác định.Thông điệp được bảo vệ bởi cách thức mật mã hóa nên quá trình chứng

thực tại phía nhận đảm bảo rằng dữ liệu không bị sửa đổi trong quá trình định tuyến đến
đích. Do đó có thể chống lại các tấn công như phishing hay việc thêm vào các trailer
quảng cáo, tuy nhiên đòi hỏi phải xác thực lại sau khi mailing list hay các bộ quét virus
bổ sung vào thông điệp (ngoại trừ trường hợp có sự ngăn cấm bởi cơ chế giới hạn phạm
vi hay dùng hàm chuẩn hóa)
Hiện tại chưa có một cơ chế nào gọi là chuẩn cho việc xác thực domain. Giao
thức hiện nay thường được sử dụng là DKIM, DKIM đòi hỏi domain phía xác thực phải
giống hoặc là domain cha của domain phía gửi mail. Do đó sẽ giúp cho domain tránh việc
xác thực thông điệp của các user có địa chỉ thuộc một domain khác, điều này là không
phù hợp với ngữ cảnh mail được lưu chuyển trên hệ thống Internet như hiện nay. DKIM
xác thực một domain bằng cách sử dụng một truy vấn DNS thích hợp tương tự như SPF
hay Sender ID. Động lực của nó là đơn giản hóa hệ thống DNS, cung cấp các mức điều
khiển cho mỗi domain qua các bản ghi và cơ chế truy vấn DNS hiệu quả. Tuy nhiên hệ
thống DNS hiện tại là không an toàn, các hồi đáp có thể bị tấn công. Do đó có nhiều cơ
chế bảo mật được sử dụng, chẳng hạn như dùng một chứng thực khóa công khai CA đáng
tin cho phía nhận.
6. Ngăn chặn spam sử dụng blacklist
Blacklist hay còn gọi là blocklist là cơ chế lọc dựa trên việc nhận dạng cơ bản
nhất, giúp một Mail server xác định xem có tiếp nhận hay từ chối mail. Blacklist là một
danh sách bao gồm thông tin về các domain hay sender có khả năng gửi spam.
a. Sender blacklist
Người gửi thường duy trì một danh sách chứa các địa chỉ email của các spammer
mà họ biết. Tuy nhiên số lượng blacklist là có hạn do spammer thường thay đổi liên tục
địa chỉ email khai báo trong header. Spammer có thể thay đổi địa chỉ nguồn bằng cách sử
dụng một địa chỉ nguồn giả khác, hoặc mở một account mới ở một dịch vụ miễn phí
khác. Do đó, để hạn chế sự lạm dụng các dịch vụ email miễn phí, hầu hết các nhà cung
cấp đều yêu cầu user mới phải thực hiện một phương thức kiểm chứng tương tác với