名为“网页仿冒”(Phishing)的新型欺诈邮件受害开始增多。所谓网页仿冒，就是利用电子邮件将用户引诱到模仿某个实际企业的网站上，诱骗他们输入信用卡号码等来进行欺诈的行为(参阅本站报道)。针对这一问题，已经有人提出了多项新技术(参阅本站报道)。但为什么非要采用新技术呢？仅靠原来的电子邮件技术为什么就难以应对呢？在这里我们就对这些问题进行解答。

　　在网页仿冒邮件中，发件人冒充某个实际公司的邮件地址，利用“请更新信用卡信息”等看起来很正常的字眼的来引诱受害者。如果不了解网页仿冒的话，即便是很仔细的人也会把邮件当成真的是来自这家公司。然后点击一个很难弄清楚真正去向的链接，就被引诱到一个酷似真网页的假冒网站上。

　　网页仿冒邮件之所以看起来象是真的，就在于发件人使用了真正企业的邮件地址。与链接到约会网站的邮件不同，由于正文的内容非常正规，所以利用过滤技术等现有反垃圾邮件对策还难以阻拦。

　　网页仿冒邮件为什么能够冒充发件人呢？要弄清这个问题，需要了解邮件发送过程中的协议。

　　邮件服务器处理邮件的步骤是由SMTP这种协议来规定的。SMTP首先要求进行TCP对话。这个时候接收方的邮件服务器知道发信方的IP地址。然后通知发件人的邮件地址和收件人的邮件地址。最后再发送包括邮件头在内的邮件数据。

　　也就是说，在接收邮件时获得的发件人信息有三项：(1)发信方的IP地址；(2)发信方通知的发件人邮件地址；(3)邮件头部内记述的发件人地址。如果这些信息都准确的话，自然也就没什么问题了。但在这三项信息中，只有发信方IP地址是确凿可靠的。另外2项的发件人地址由于发件人邮箱或服务器设置问题，总是可以冒充的。电子邮件中显示的“发件人”信息，本来就毫无信用可言。

　　在SMTP标准中，一直是将电子邮件的安全性放在便利性之后。例如，在家里或出差地发送邮件时，有的人设定的发件人不是当时登录的网页地址，而是公司的地址。如果电子邮件使用的标准不允许冒充发件人的话，就不能这么使用了。

　　虽说如此，由于出现了网页仿冒这样的受害问题，电子邮件就不能再一味追求便利性了。但仅靠SMTP还是难以确认发信方通知的发件人信息是否准确。因此，需要对邮件标准作部分修改，增加能够确认发件人身份是否准确可靠的内容。

　　在防止网页仿冒邮件的发件人认证技术方面，目前有美国微软及美国Pobox.com与IETF联合提出的“Sender ID”、美国雅虎提出的“DomainKeys”。在进行标准化作业的同时，也正加紧把这些技术安装到各种邮件服务器上。随着标准化的完成，我们很快就能用上防止网页仿冒邮件的发件人认证功能了。