第一封垃圾邮件由 Gary Thuerk 于 1978 年发送给大约 400 人。邮件中附有 DECSYSTEM-20 计算机的宣传册。结果出奇地成功,带来了约 1300 万美元的销售额。它也开启了电子邮件作为触达客户和销售产品的新渠道。
看待电子邮件垃圾信息有两种方式。
它进入了你的收件箱,你点击删除,这有什么大不了的?
这是一场国际性的猫鼠游戏:你的收件箱以及落入其中的内容处在最前线,大型科技公司、政府机构和犯罪组织为了你的安全、你的注意力以及你的银行账户展开较量。
第二种看法听起来可能有些夸张,但如果它能帮你少一些烦恼,甚至少损失一些钱,那还是值得了解的,对吧?
嗯……这一切都始于一个关于午餐肉罐头的笑话。
什么是垃圾邮件,为什么它叫 spam?
垃圾邮件可以是很多东西:广告、骗局、无用的新闻简报,还有很多很多。但垃圾邮件有一点很明确:它不是你邀请来的。就像一提到夏天,成群的蚊子就会出现一样,垃圾邮件几乎总是成批到来。它不请自来、不受欢迎,而且真的非常烦人。
但为什么它会和一种由猪肩肉和火腿制成的午餐肉罐头同名呢?这要感谢 Monty Python 的一个著名短剧,其中“spam”这个词被一遍又一遍地重复,几乎到了让人抓狂的地步。这让“spam”牢牢成为喋喋不休和不受欢迎事物的象征。1993 年,一位机智的互联网用户借用了这个概念,把大量重复发布的帖子称为 spam,于是,这个名字就这样流传了下来。
但是,尽管这个词的起源有些古怪,它本身并不足以体现垃圾邮件可能造成的危害——也无法体现清除它有多困难。就像蚊子一样,垃圾邮件往往携带危险内容,可能对你的设备造成严重破坏。更不用说它对个人数据带来的风险,以及可疑广告塞满收件箱时引发的头痛。不过,了解这段历史会有帮助。如果你能明白垃圾邮件是如何进入你的收件箱的,你就能更好地把它挡在门外。
垃圾信息类型 | 示例 |
广告垃圾信息 | 促销邮件 |
网络钓鱼 | 伪造的银行登录邮件 |
恶意软件垃圾信息 | 恶意附件 |
诈骗邮件 | 虚假的彩票或遗产诈骗 |
第一封垃圾邮件是什么时候发送的?

那么垃圾邮件究竟来自哪里?你可能会惊讶地发现,第一封垃圾邮件甚至早于互联网的诞生。它并非来自某个神秘的犯罪团伙,而是出自一位试图推销新款计算机的营销人员之手,而且信不信由你,它赚了数百万美元。
早在 1978 年,营销经理 Gary Thuerk 通过 ARPANET 向大约 400 人发送了一封电子邮件。ARPANET 是互联网出现之前的军事网络。他的邮件是在推销一场关于新款 DECSYSTEM-20 计算机的演示会。这封邮件带来了约 1300 万美元的销售额,但也几乎惹恼了所有收到它的人。
这段垃圾邮件历史中最有意思的部分,不是这封邮件是在什么时候发送的,而是电子邮件垃圾信息背后的双刃剑。一方面,向数百、数千甚至数百万人发送广告可以赚到惊人的钱。另一方面,垃圾信息显然非常烦人。不幸的是,这种拉扯关系贯穿了垃圾邮件动荡的发展史。
几十年来,垃圾邮件是如何演变的?
如果你有幸成长在 Google 和 Microsoft 提供保护的时代,你可能不会记得互联网早期的日子,那时从收件箱中清除垃圾邮件更多是一项手动任务。
电子邮件垃圾信息演变时间线
年份 | 事件 |
1978 | Gary Thuerk 发送第一封垃圾邮件 |
1994 | “绿卡抽奖”垃圾邮件活动 |
1996 | MAPS 推出黑洞列表 |
2003 | CAN-SPAM 法案出台 |
2000 年代 | 僵尸网络和网络钓鱼激增 |
2010 年代 | AI 过滤能力提升 |
2020 年代 | AI 生成的网络钓鱼和垃圾信息增多 |
1980 年代–1990 年代:电子邮件的蛮荒西部
1983 年,也就是 George Orwell 预言极权超级国家的那一年之后一年,一件截然不同的事情正在成形。人们第一次可以让多个独立网络彼此连接,从而为今天这个全球网络之网,也就是我们所说的互联网,奠定了基础。
在接下来的十年里,数百万新用户上线并开始设置电子邮件地址。没有任何中央机构会说“你不能这么做”,而电子邮件基本上可以充当免费的广告渠道。一条消息几乎零成本地群发给数千人,甚至数百万人。
结果如何?到了 1990 年代,垃圾邮件激增,控制它的努力也随之增加。1994 年,律师 Canter & Siegel 在数千个 Usenet 群组中发起了臭名昭著的“绿卡抽奖”广告活动,这通常被视为第一次大型商业垃圾邮件活动。防御措施很快跟上。Mail Abuse Prevention System (MAPS) 于 1996 年推出了首个实时黑洞列表,屏蔽来自已知垃圾邮件服务器的邮件,而像 Spamhaus 这样的组织则建立了封锁列表并共享情报,以阻止垃圾邮件发送者。
2000 年代:垃圾邮件转入黑暗的十年
2000 年代或许标志着千禧年的结束,但对许多人来说,这才是真正意义上烦人邮件淹没收件箱的开始。Google、Yahoo 和 Microsoft 都加入了阻止垃圾邮件的行列。但垃圾邮件不再只是俗气广告或一夜暴富骗局,它开始变得更加阴暗。垃圾邮件发送者开始使用“僵尸网络”——由受感染计算机构成的网络——来大规模发送垃圾邮件。
各国政府决定是时候介入了。2003 年,美国推出了 CAN-SPAM 法案(Controlling the Assault of Non-Solicited Pornography and Marketing)。它要求垃圾邮件发送者尊重退订请求,并避免使用误导性的主题行,但问题在于,退订的责任仍然落在收件人身上。另一方面,欧洲采取了更严格的做法。欧盟为电子邮件营销建立了选择加入制度,这意味着企业在未事先获得许可的情况下不能发送商业邮件。
2000 年代标志着定义垃圾邮件的猫鼠游戏真正爆发。垃圾邮件发送者会发明新花招,而防御者则会找到应对方法。以贝叶斯过滤为例,它会扫描邮件中的词语,计算概率,然后判断它是垃圾邮件还是真实邮件。它刚出现时,是电子邮件服务提供商打击垃圾邮件方式上的一次突破。2004 年,Bill Gates 甚至预测垃圾邮件问题会在两年内得到解决。但一如既往,垃圾邮件发送者很快就适应了。
垃圾邮件攻防拉锯战的实际示例:
现代时代:当垃圾邮件学会思考

Stephen Hawking 曾警告说,有一天人类对 AI 来说,可能就像狗对人类一样,这是一个发人深省的想法。虽然这听起来有些黯淡,但说 AI 的崛起可能像蒸汽机的发明一样具有变革性,并不夸张。因此,AI 正在塑造那些试图从垃圾邮件中获利的人与那些试图控制它的人之间的较量,也就不足为奇了。不同之处在于,与传统垃圾邮件过滤器不同,AI 能够学习和适应。
讽刺的是,诈骗者正在使用与大学生用来通过考试相同的工具来改进他们的垃圾邮件。在 AI 工具出现之前,垃圾邮件里满是拼写错误、语法错误和明显的危险信号。现在,多亏了大型语言模型,语法无懈可击、语气本地化并带有个性化诱饵的垃圾邮件可以被大规模发送。诈骗者不再发送 10’000 封完全相同的邮件,而是可以发送 10’000 封略有不同的邮件,从而避开审查。通过让文本经过模拟垃圾评分的模型,攻击者可以不断调整他们的信息,直到它们看起来“安全”为止。
电子邮件巨头也在做同样的事。他们使用 AI 和机器学习,不仅扫描内容,还分析发件人行为、网络信号,甚至消息的上下文。以 Gmail 为例,它现在可以识别可疑模式,例如来自新域名的邮件突然激增,或模仿已知网络钓鱼诱饵的内容,并实时调整以阻止新的垃圾邮件活动。
垃圾邮件对电子邮件和企业产生了什么影响?
如果我们回到垃圾邮件的起源故事,以及它与 Monty Python 的同名渊源,主题其实很简单:烦人。那时,大多数人对垃圾邮件的看法正是如此。但在此后的几十年里,它变得危险得多。如今,点击错误的链接可能意味着感染病毒或遭受严重的经济损失。
而且,面临风险的不只是个人。自 2000 年代以来,诈骗者设计出了复杂的方式来攻击更大的目标。这些骗局中有许多甚至还有朗朗上口的昵称,淡化了其后果究竟有多严重。
针对企业的垃圾邮件示例:
群发垃圾邮件和诈骗 – 批量邮件如今仍每天充斥收件箱,从烦人的广告到虚假彩票或“Nigerian prince”骗局。它们属于低层级威胁,但会让收件箱杂乱无章,也仍然可能欺骗员工。
网络钓鱼邮件 – 冒充受信任品牌并诱导用户访问虚假网站。过去这些钓鱼邮件显得笨拙,如今却更加精致、自动化,也更难与真实邮件区分。
鱼叉式网络钓鱼和捕鲸攻击 – 利用真实姓名或项目来欺骗特定员工的定向攻击。当目标是高管时,这被称为“whaling”,而回报可能极其巨大。Business Email Compromise (BEC) – 犯罪分子冒充 CEO、供应商或 HR,诱骗员工汇款或发送数据。
恶意软件和勒索软件 – 垃圾邮件常常携带恶意附件或链接。只需一次点击,就可能释放病毒或勒索软件,锁死整个系统,并让企业损失数百万。
但真正的危险在于后果的规模。垃圾邮件在极大程度上浪费时间。员工反复确认邮件真伪,或管理者调查误报。所有这些都会一点点侵蚀生产力。
垃圾邮件的真实代价
FBI 估计,仅 Business Email Compromise 就在 2013 年至 2022 年间造成超过 500 亿美元损失。这就是为什么对抗垃圾邮件的方式不断演变。如今,过滤器不再只看关键词,而是会扫描模式、附件,甚至发件人行为。像 CAN-SPAM 和 GDPR 这样的法律围绕同意和透明度设定了规则。电子邮件服务提供商还增加了 SPF、DKIM 和 DMARC 等保护措施,使攻击者更难冒充他人。
我们今天如何对抗垃圾邮件?
现代垃圾邮件过滤器由 AI 驱动,并结合机器学习。它们可以分析发件人行为和消息上下文,然后实时适应。
但是,提高意识仍然很重要。即使有 最好的垃圾邮件过滤器,员工培训也需要成为 阻止垃圾邮件 的关键组成部分。
如何保护自己免受垃圾邮件侵扰
如今,公司会定期开展安全意识项目,教人们放慢节奏、识别危险信号,或在采取行动前核实请求。其中一些包括:
点击前先想一想
久经验证的建议在这里依然适用。如果你收到一封意料之外的邮件,而且你不认识发件人,那么不要点击随机链接。你可以在桌面端将鼠标悬停在链接上,或在移动端长按链接,先预览真实目的地。如果链接显示的地址和真实地址不同,那就是一个危险信号。
如果你确实决定点击邮件中的链接,不要被 URL 旁边的小锁图标迷惑,这并不意味着网站是安全的。小锁只表示有人对连接进行了加密。不幸的是,网络钓鱼网站和合法网站一样容易获得 SSL 证书。
核实发件人
邮件中的显示名称并不总是发件人的真实身份。因为任何人都可以把它改成完全不同的内容。要核实真实身份,你需要检查邮件实际发出的准确电子邮件地址。
有时这很明显,比如邮件来自廉价的一次性免费邮箱。但事情并不总是这么简单。攻击者经常通过改动几个字符来伪装邮件,例如 @p4ypal.com。如果你不确定邮件是否真实,最好通过官方沟通渠道进行联系确认。
选择支持 SPF、DKIM、DMARC 的服务提供商
说到垃圾邮件,SPF、DKIM 和 DMARC 是电子邮件身份验证的黄金标准。它们是判断从你的域名发送的邮件究竟是否真的来自你,还是来自冒名顶替者的最佳方式。SPF 会检查邮件是否来自被允许代表你发送邮件的服务器。DKIM 会添加防篡改签名,因此邮件内容无法在传输途中被悄悄修改。DMARC 则将两者结合起来,并告诉接收服务器当邮件未通过检查时该怎么做。
好消息是,你不必手动设置这些。一个好的电子邮件服务提供商应该会替你完成。所以,当你选择在哪里托管电子邮件时,要寻找默认支持 SPF、DKIM 和 DMARC 的服务。
使用 2FA
2FA 为你的账户增加了第二层安全保护。它代表双重身份验证,基本上意味着你需要用两样东西而不是一样东西来证明你是谁。第一样是你的密码,第二样可以是你的手机、身份验证器应用、指纹或安全密钥。
这意味着如果你的密码被盗,攻击者在没有第二种验证方式的情况下就无法访问你的账户。任何 2FA 都比没有 2FA 好。寻找提供此功能的电子邮件服务提供商,并尽可能在所有地方启用它,首先从你的电子邮件开始。
谨慎对待附件
人类天生好奇,而攻击者正是利用了这一点。保护自己的最佳方式,就是避免打开你并未预期会收到的邮件附件。即使它们来自你认识的人,这条原则也同样适用。因为账户经常会被劫持,发件人身份也可能被伪造。
务必格外小心对待 PDF、Word 和 Excel 文档、ZIP 和 RAR 压缩包、HTML 文件、ISO 磁盘映像,尤其是 .exe 文件。如有疑问,请先通过其他渠道向发件人确认,再打开任何内容。
让你的团队持续接受培训
归根结底,在面对攻击时,人类才是最后一道防线。过滤器、身份验证和附件扫描能拦下很多威胁,但任何成功穿透的消息,都是专门为了欺骗人而设计的。
这正是培训能够带来巨大改变的地方。关键是,公司应针对今天的攻击进行培训,而不是昨天的。这意味着要防范没有拼写错误的 AI 撰写诱饵、深度伪造语音和视频,以及通过短信、二维码和 MFA 提示实施的诈骗,而不仅仅是电子邮件。
常见问题
历史上第一封垃圾电子邮件于 1978 年在 ARPANET(互联网的前身)上发出。一位名叫 Gary Thuerk 的营销人员向 400 人发送了一封推销新电脑的电子邮件。这封邮件赚了数百万美元,但也惹恼了很多人。
垃圾电子邮件最初是一种通过电子邮件同时向大量人群做广告的低成本方式。早期互联网规则不多,而且几乎不用花什么钱就能触达成千上万个收件箱。
这个名称来自 Monty Python 的一个短剧,其中“spam”被无休止地重复。早期互联网用户借用了这个词,用来描述垃圾信息中同样的重复现象。
垃圾邮件最初是广告和连锁信,后来发展成网络钓鱼、恶意软件和大规模诈骗。如今,AI 帮助垃圾邮件发送者撰写精致且个性化的信息,因此过滤器也不得不变得更加先进才能跟上。
到 21 世纪初,垃圾邮件几乎占全球所有电子邮件流量的一半。各国政府通过了诸如 CAN-SPAM Act 之类的法律,而 Yahoo、Microsoft 和 Google 等主要服务提供商也建立了更强大的防御措施。
现代垃圾邮件过滤器使用 AI 和机器学习来扫描的不仅仅是关键词。它们会查看发件人行为、网络信号和消息模式,例如来自新域名的电子邮件突然激增,或模仿已知网络钓鱼诱饵的内容,然后实时调整以拦截新的垃圾邮件活动。
网络钓鱼垃圾邮件会冒充你信任的品牌或联系人,诱使你点击恶意链接或分享敏感信息。过去,网络钓鱼邮件里常常充满拼写错误和明显的危险信号,而现在它们经过精心润色,很难被识别出来。
垃圾邮件是指任何类型的不受欢迎的批量电子邮件,例如广告、垃圾新闻简报或虚假的彩票优惠。网络钓鱼是一种垃圾邮件,它通过伪装成你信任的人来窃取你的数据或钱财。所有网络钓鱼都是垃圾邮件,但并非所有垃圾邮件都是网络钓鱼。


分享您的想法