CN1573783A

CN1573783A - 外发垃圾邮件的阻止

Info

Publication number: CN1573783A
Application number: CNA2004100631490A
Authority: CN
Inventors: J·T·古德曼; R·L·劳斯维特; E·C·吉伦
Original assignee: Microsoft Corp
Current assignee: Microsoft Corp
Priority date: 2003-06-20
Filing date: 2004-05-20
Publication date: 2005-02-02
Also published as: US20050021649A1; KR101201045B1; KR20040110087A; US7711779B2; EP1496655A2; JP4694146B2; JP2005011325A; EP1496655A3

Abstract

本发明提供了用于在不同网络通信环境中检测和阻止垃圾邮件的系统和方法。特别是，本发明提供了几种用于监视外发通信的技术以识别潜在的垃圾邮件制造者。可以通过检测部件来至少部分地实现潜在垃圾邮件制造者的识别，该部件至少监视每个发送者的外发信息量、接收者的数量，和/或外发信息速率之一。此外，可至少根据外发信息的部分内容来存储外发信息。可以对每个发送者的每个信息添加记分，并且如果每个发送者或每个信息的总记分超过了某个临界值，则可采取更多的行动来验证该潜在的垃圾邮件制造者是否是垃圾邮件制造者。这些行动包括人为检查信息的抽样，发送问题给该账户，发送法律通知去警告潜在的垃圾邮件制造者和/或关闭该账户。

Description

外发垃圾邮件的阻止

技术领域

本发明涉及用于识别垃圾邮件信息的系统和方法。尤其是监视外发通信来帮助识别垃圾邮件的发送者。

发明背景

诸如互联网之类的全球通信网的出现对能够得到大量潜在的消费者而展示了商机。电子信息，特别是电子邮件(“email”)作为向网络用户传播不需要的广告和宣传(也表示为“垃圾邮件”)的手段变得日益普遍。

Radicati Group.Inc，一个咨询和市场调查公司，估测出在2002年8月中每天都发送了20亿封垃圾邮件—这个数字有可能每两年翻三番。个人和组织(例如商业、管理机构)被日益增多的打扰，并且时常因为垃圾信息而不快。照那样的话，垃圾邮件现在或不远的将来将会很快成为可靠计算的主要威胁。

用于阻止垃圾邮件的普通技术包括使用过滤系统/方法。一种公认的过滤技术是基于机器学习方法。在该方法中，通常从两种类型的举例信息(例如垃圾邮件和非垃圾邮件信息)中提取出特征，并使用一个学习过滤器在这两种类型之间辨别可能性。由于大多数信息特征与内容(例如，主题和/或信息本身中的词和短语)有关，这种类型的过滤器通常被称为“基于内容的过滤器”。

此外，传统的垃圾邮件过滤器和过滤技术通常在外来信息上操作或与外来信息进行操作。也就是说，从滤波器中传送外来信息以识别垃圾邮件和好的信息。由于许多垃圾邮件制造者已经想到回避或绕开这些类型的过滤器的方法，这些滤波器仍然不够完善。因此，传统的基于内容的和/或适应性垃圾邮件过滤器通常在有效地识别垃圾邮件和阻止外来信息方面是无效的。

本发明的概述

为了提供对本发明的一些方面的基本理解，接下来将描述本发明的概要。该概要不是本发明的广泛观点。其并不想确定本发明的关键点/要点或描绘本发明的范围。其唯一的目的是以简单的形式展现本发明的一些观点，作为之后对本发明的详细描述的前序。

本主题发明提供了用于在各种网络通信环境中检测和阻止垃圾邮件的系统和方法。特别是，本发明提供了几种技术，该技术通过监视诸如邮件、即时信息发送、密谈聊天室、和/或聊天室信息这样的信息来识别潜在的垃圾邮件发送者，也称为垃圾邮件制造者。垃圾邮件制造者经常试图通过利用合法的因特网服务提供者(ISP)或其它信息服务来发送他们的垃圾邮件。而这种行为严重的增加了ISP的带宽以及维护的费用，并降低了ISP作为信息委托资源的声誉，这可以妨碍其取得发送的合法信息的能力。由于ISP提供了免费的用户账户而使得垃圾邮件制造者可以最容易利用它，因此该问题对ISP来说是非常重要的。

区别于常规垃圾邮件的阻止方法，本发明通过检查用户的外发信息—与外来信息相反—来识别潜在的垃圾邮件制造者。一种技术包括追踪发送者的信息数量和/或接收人数量。举例来说，被要求发送信息的ISP服务器可以保存特定用户的发送信息数量的计数。作为选择，ISP服务器可通过检查信息的“To”栏和“cc”栏(副本)来对该特定信息的接收者数量进行计数。可以在一个周期时间内(例如，每小时、每天、每星期、每月、每年、每隔h小时，每个d天等)对这些类型的计数进行追踪，或者可以得到用户曾经发送的信息总数(例如从激活或打开账户到现在)。由于大多数垃圾邮件者向相对大量的收件人发送信息合法用户通常向相对少量的收件人发送信息，因此这种技术是相当有效的。

另一种用于识别潜在的垃圾邮件制造者的技术包括机器学习系统和方法。例如，垃圾邮件具有属于它们自己而且通常在合法信息中不会发现的特征。可以识别出这种特征，并将这种特征连同机器学习系统一起使用以建立和训练过滤器。机器学习系统可以分配一个概率给外发信息并向ISP服务器或服务器操作者传达各自的外发信息将落在最不类似垃圾邮件和最类似垃圾邮件的范围中的某处。处理外发信息的服务器基于至少部分基于一个或多个外发信息为最类似垃圾邮件的概率来确定适当的行为方式。可以将发送的信息中具有高概率成为垃圾邮件的发送者视为比仅发送具有成为垃圾邮件的低概率的信息的发送者更可疑。

除了或代替使用过滤器对一些或所有外发信息分配概率，还可以根据某些重要特征对外发信息进行记分，其中该记分表示该特定的信息更可能是垃圾邮件。举例来说，本质上所有的垃圾邮件都包含与垃圾邮件制造者的联系方式，如URL或电话号码。可分配一个高记分给带有URL、链接、或电话号码的信息，给那些不带这些内容的信息一个低记分，或甚至是等于0的记分。可以将这些记分添加到不同信息的机器学习系统概率中，或代替过滤器使用。

一些垃圾邮件制造者可以巧妙地控制机器学习系统以及同样的设备来分配等于0或近似于0的外发信息记分，使得不论其内容如何这些垃圾邮件作为非垃圾邮件或不太像的垃圾邮件通过。因此，本发明的另一方面通过总是或几乎总是对每个外发信息分配某个最小记分而使记分总和(例如每个信息的总记分＝MLS概率+最小记分)以某个可能的速率增加，以帮助减少垃圾邮件制造者的控制。作为选择，可以为每个信息设置最小记分，例如每个信息的总记分＝max(MLS概率，最小记分)。如果每个外发信息的记分总和超过了某个临界值数，则可标记该信息和/或各自的发送者为潜在的垃圾邮件制造者。

还有一种用于检测潜在的垃圾邮件制造者的技术包括对用户所发信息的不同接收者进行追踪和计数。垃圾邮件制造者倾向于发送出少量的信息给大量不同接收者。而在本发明中，一个发送给20个接收者(如在“To”区域中列出了20个接收者)的信息相当于20个信息。因此，对用户发送到的不同接收者的数量的计数任务可能是高消耗及低效率的。为了减少这种极低效率，可执行对所有信息接收者的抽样或探询来估计在任意期望的周期内每个发送者的接收者总数。

垃圾邮件制造者比合法用户更可能试图发送邮件到无效的邮箱中。因此，大量失败的传送尝试也是垃圾邮件的象征。这些失败可出现在信息交付时期，或者也可以在NDRs(未交付收据)送回给发送者的时候。这种技术的缺点是，有时用户会成为被垃圾邮件制造者使用他们的名字来发送垃圾邮件的受害者，而导致NDR实际上并不是来自于该用户。验证信息实际发送信息的发送者是可行的。例如，可通过追踪来自该用户的信息的接收者或由该用户发送的信息来实现。每一次交付失败时可分配一个较大的记分。

此外，可以追踪指定的接收者来维护那些从例如被怀疑是潜在的垃圾邮件制造者的指定发送者处所接收到的信息的记录。可以对发送到这些指定接收者的信息进行存储和/或分配给它们一个MSL概率。可以追踪每个接收者或每个发送者的最差得分信息。因此，计算每个发送者的全部接收者的最差记分总和可以帮助确定该发送者是否是潜在的垃圾邮件制造者。该技术通过不处罚或较少的处罚而允许合法用户发送大量不像垃圾邮件的信息给接收者。发送单个类似垃圾邮件的信息也是有害的。此处假设给出的接收者可能会阻止或通告任何发送大量信息到相同接收者的垃圾邮件制造者，或至少认出该发送者的名字并不打开附加信息。

垃圾邮件制造者是不可能发送合法邮件的。由此可以假设发送大量合法邮件和少量类似垃圾邮件的用户可能是合法的。因此，可以追踪用户发送的明显合法的邮件数量，以及由于发送了合法邮件而对该用户提供“奖励”。该奖励可以是增加或减少发送者记分的形式。作为选择，该奖励可以是允许用户发送额外的外发信息(例如在每个指定的时间框架内超过分配的数量)的形式。垃圾邮件制造者可能通过发送合法邮件试图利用该技术。因此，应该限制潜在的奖励，例如通过限制在给定的时间框架内对每个用户的奖励数量。

在识别出潜在的垃圾邮件制造者之后，可以执行几种动作来反对它们以阻止或禁止后续进行的垃圾邮件行为。根据一种方法，如果相对地确定了该用户是垃圾邮件制造者，则可以关闭该用户账户。如所期望的那样，也可以通过ISP或信息程序操作者/服务器来实现其他可用的不太极端的方法。除了对来自潜在的垃圾邮件制造者的信息传送采取暂时中断，其它方法包括手动检查发送者外发信息的一部分，通过突然弹出或定期的信息来发送关于用户账户和垃圾邮件策略的警告，和/或发送诸如计算型或人为交互式证明(HIP)这样的问题到潜在的垃圾邮件制造者。信息传送是否继续进行依赖于从潜在的垃圾邮件制造者那里接收到响应。

在确定的假定情况下，可以对垃圾邮件者的行为进行经济分析。举例来说，每100个信息的发送可以要求一个HIP。如果垃圾邮件制造者解答一个HIP需要向某人付出5美分(或者值得他们的时间的5美分)，则每个信息征收了0.5美分的费用。假设接收者如果从相同的人那里接收了垃圾邮件，则很可能在第一个垃圾邮件之后阻止或不理睬这些信息，因而作为选择，虽然每100个信息的发送可以要求一个HIP，但是允许向这些接收者发送无限量信息。由于许多用户不会发送信息给多于100个指定的接收者，大多数用户只需要在账户创建时解答一个HIP，而垃圾邮件制造者则将承担很高的花费(可能会到达无利益点)。

经济上的分析也可以如下进行。假设可能存在这种情形，在接到垃圾邮件时，该接收者会向发送者的ISP投诉，由此导致该账户终止。例如，假设当垃圾邮件制造者发送2000个垃圾邮件时，它们其中的一个将被投诉，而它的账户将会被终止。同时还假设非常迅速地收到大多数投诉，也就是说在3天内。如果对账户的创建每一次征收1美元，以及如果允许发送者在3天的周期内发送高达2000个信息，在账户终止前任何对垃圾邮件的尝试通常将导致至少0.5美分的花费。举例来说，这将使得用户对每个信息花费0.5美分。而合法用户可能承受一次1美元的花费，随后始终一天发送大约666个信息。假设这些合法信息中没有一个被投诉，尽管限制了该用户的发送速率，但他的总发送量将不受到限制。

可以通过HIP或计算性问题执行相似的分析。可以对每100个信息要求一个HIP，直到20个HIP总数，每个HIP花费5美分(总数为1美元)。在解答了20个HIP后，如上所述可在过去的3天中允许多达2000个信息。如果垃圾邮件制造者最初接到了20个HIP并发送了2000个垃圾邮件，他的账户将被终止，并且每个垃圾邮件将花费他0.5美分(也就是很多)。如果他试图控制该系统，例如通过解答20个HIP以及发送2000个合格信息(可能发送给他自己或同盟者)，他没有发送垃圾邮件。只要他愿意，他可以一直发送合格的信息，但是只要他发送了2000个垃圾邮件，就会有人投诉，他的账户将会被终止，并且每个垃圾邮件将花费0.5美分。因此，合法用户为每个信息承担的费用很低(假设他们在很长的运转时间内发送了大量信息)，而垃圾邮件制造者对每个垃圾邮件承担的费用很高。可以将每个问题(或花费)的发送量限制到某个最大量，比方说100个信息有一个问题则等于20个问题，由此发送者的速率受到了限制，即每天发送666个信息。

为了实现前述内容和相关目的，在此结合随后的描述及附图来说明本发明例举的某些方面。这些方面表现出：虽然本发明的原理只使用了一些不同的手段，但本发明可以包括所有这种方面以及它们的等同方面。通过接下来结合附图对本发明的详细描述可以展现本发明的其它优点和新颖的特征。

附图的简要说明

图1是根据本发明的一个方面用于阻止外发垃圾邮件系统的大致方块图。

图2是根据本发明的一个方面用于通过监视外发信息对潜在的垃圾邮件制造者进行识别的系统的方块图。

图3是根据本发明的一个方面用于识别和阻止外发垃圾邮件的典型方法的流程图。

图4是根据本发明的一个方面用于识别和阻止外发垃圾邮件的典型方法的流程图。

图5是根据本发明的一个方面用于识别潜在的垃圾邮件制造者的典型方法的流程图。

图6是根据本发明的一个方面用于识别潜在的垃圾邮件制造者的典型方法的流程图。

图7是根据本发明的一个方面用于识别潜在的垃圾邮件制造者的典型方法的流程图。

图8是根据本发明的一个方面用于采取行动来抵制垃圾邮件制造者的典型方法的流程图。

图9是根据本发明的一个方面用于验证潜在的垃圾邮件制造者的典型方法的流程图。

图10是根据本发明的一个方面用于验证潜在的垃圾邮件制造者的典型方法的流程图。

图11是根据本发明的一个典型通信环境的示意性方块图。

发明的详细描述

现在根据附图来描述本发明，其中相似的相关数字始终用于指示相同的元件。在接下来的描述中，出于解释的目的，为了对本发明的有彻底理解，因此阐述了许多特定的细节。可以证实，本发明也可以不在这些特定的细节中实施。在其它例子中，为了有助于描述本发明，以方块图的形式给出已知的结构和设备。

如在本申请中所使用的，术语“部件”和“系统”指的是计算机相关实体，可以是硬件、硬件和软件的结合、软件、或者是运行中的软件。举例来说，部件可以是(但不局限于)，运行在处理器上的处理、处理器、对象、可执行的、执行的线程、程序和/或计算机。作为解释，运行在服务器上的应用程序和该服务器都可以是一个部件。一个或多个部件可以驻留在一个处理和/或执行的线程中，并且部件可以位于一个计算机上和/或分布在两个或更多计算机之间。

本主题发明可以采用各种推理方案和/或为机器识别的垃圾过滤产生培训数据的技术。如本发明所使用的，术语“推理”通常是指推出或推断系统状态、环境、和/或通过事件和/或数据而捕获到观测集中的用户的处理。例如，推理可用于识别特殊的内容或动作，或者可以产生状态间的可能性分布。该推理可以是概率性的—也就是，根据数据和事件补偿进行所关心的状态间的概率分布的计算。推理也可以指用于根据事件集和/或数据集来构成高级事件的技术。这种推理的结果是从观测到的事件集和/或储存的事件数据集里构造新的事件或动作，无论这些事件是否有暂时的紧密联系，还是事件和数据来自于一个或几个事件和数据源。

可以意识到尽管术语信息贯穿本说明书被广泛地使用，但该术语不限于电子邮件本身，并可适用于包括分布在任何适应性通信体系之间的任意形式的电子通信。举例来说，由于可以将不想要的文本作为用户交换信息散布到一般交谈中，和/或将不想要的文件作为开始信息、截止信息、或上述的所有信息插入，在两人或多人之间建立会议的会议申请也可以使用此处所介绍的过滤的好处。

此外，术语“接收者”指的是外来信息的收件人。术语“用户账户”可以是指根据信息所使用的内容，使用信息发送系统来发送和/或接收诸如电子邮件、及时信息、交谈信息、和/或密谈信息这样的信息的发件人或接收者。

现在参照图1。图1解释了通常用于探测和识别潜在的垃圾邮件制造者的系统100的方块图。发送者可以使用基于用户的信息生成部件110来产生一个外发信息120。该外发信息120可以由发送者发送到所期望的一个或多个接收者。

在将该外发信息交付给各自的接收者之前，检测部件130处理并分析信息120以确定该信息是否可能是垃圾邮件和/或发送者是否是潜在的垃圾邮件制造者。存在多项通过垃圾邮件制造者的外发信息120来检测垃圾邮件制造者的技术。一种方法包括监视每个发送者的外发信息120的发送量或速率。由于大多数垃圾邮件制造者在给定的周期里倾向于比合法用户更频繁地发送信息，检验每个发送者的外发信息的发送量或速率有助于识别潜在的垃圾制造者。该周期可以是按需要规定的每m分钟(m是大于等于1的整数)或若干小时、若干天、若干星期、若干月、和/或若干年。例如，可以每隔10分钟或以其它预定的基准追踪在10分钟的周期里的外发信息的发送量。为了识别潜在的垃圾邮件制造者，也可以计算每个发送者曾发出的信息总数(例如，从账户激活开始)。

另一个有可能更有效的方法需要计算每一个外发信息中的接收者的数量。通常，合法用户发送大量信息，但仅是发送给少量接收者，反之，垃圾邮件制造者倾向于将少量信息发送给大量不同的接收者。举例来说，信息的接收者可以记录在“To：”区域、“cc：”区域(副本)、以及“bcc：”区域。

考虑到了每个发送者的接收者数量，从而可以使得垃圾邮件制造者难以躲避诸如外发信息限制这样的其它账户约束。例如，通常垃圾邮件制造者通过简单地发送少量信息来躲避外发信息限制，藉此将每一个信息发送到尽可能多的接收者。为了减轻该类型垃圾邮件制造者所造成的危害，每一个信息接收者建立与本发明的一个方面相一致的独立信息。换句话说，例如从发送者W发出的面向20个接收者的一个外发信息可以计数为来自发送者W的20个外发信息。因此，包括接收者的限制可以成为一个减少和阻止垃圾邮件行为的有效方法。

接收者的限制仅是另一种类型的适当约束，并且不可避免地，一些垃圾邮件制造者也将尝试找到一种回避这种约束的方法。例如，垃圾邮件制造者可以反复地发送大量信息到相似的人群组从而不超过接收者的最大数量。在这种情况下，最初可能呈现出垃圾邮件制造者仿佛已经成功地将他们的垃圾邮件经常并大量地散布出去。但是，这种假象实际上并没有成功。举例来说，这是由于在持续一天的时间内连续接收到相同垃圾邮件的接收组最终识别出该信息并停止打开该信息。此外，由于接收者接收到了对由指定发送者发送的相同或相似信息的阻拦，该接收者最终认识到这些信息是垃圾邮件。从而，对于大多数电子邮件客户来说，他们可以很容易地列出垃圾邮件制造者的黑名单。因此，发送大量信息到一些相同的接收者看来似乎对垃圾邮件制造者来说比较没有效率，因而采用不同的策略。

另一项技术使用了机器学习系统(MLS)。机器学习系统使用已知的在垃圾邮件中找到的或者在垃圾邮件中比在非垃圾邮件中更可能找到的特征或特性。机器学习系统也可以使用诸如在非垃圾邮件中比在垃圾邮件中更可能找到的那些不容置疑的特征。外发信息120可通过机器识别过滤器(例如，通MLS处理)处理，随后分配给该外发信息一个概率或记分。该概率指示出该信息更可能或较不可能是垃圾邮件。举例来说，一个更高的概率表示信息更可能是垃圾邮件，反之一个较低的概率表示信息较不可能是垃圾邮件(例如，更可能是非垃圾邮件)。因此根据这个例子，具有更高总记分的信息更可能被标记为垃圾邮件或潜在的垃圾邮件。

遗憾的是，垃圾邮件制造者已经找到了例如巧妙地处理和/或诱使垃圾邮件过滤器总是对它们的信息分配0或者是接近0的概率的手段，从而成功通过这样的过滤器。本发明的一个方面通过对所有外发信息分配附加的记分来缓解这种策略。例如，可以将一个常数值(例如，0.1，0.2等)和一些最小记分加入到过滤器的概率中或者加入到任何其它先前分配给该信息的记分中去。通过增加该常数值，检测部件可以验证记分的总和以某个合理的比率增加：也就是说，以系数0.1，0.2等。

作为选择或附加的，可以至少依据外发信息的一些内容对每一个外发信息分配记分。例如，比起合法信息来说URL(通用资源定位符)通常更多的建立在垃圾邮件中。因此，可以对确定在信息的任意一处至少包含一个URL的外发信息分配一个比不包括URL的信息(例如小于2的记分)更高的记分(如2)。比起非垃圾邮件来说，其它诸如包含在信息中的电话号码这样的联系信息更可能在垃圾邮件中找到。举例来说，这是由于大多数垃圾邮件包含某些诸如电话号码这种类型的联系信息。电话号码或者至少其中一部分(例如区域代码和/或前缀)可以提供有关信息发送者的信息。因此，由于这种信息更可能是垃圾邮件，可以给这种信息分配一个更高的记分。

虽然以上已经描述了几种不同的记分方法，应该看得出任何该记分方法的结合以及对机器学习系统的利用仅是系统100所使用的一种选择。也可以使用其它基于规则的系统来实现本发明。举例来说，过滤器可以是一个基于规则的系统，一个模糊散列系统等。如果过滤器可以产生概率，这些概率可以在机器学习系统概率领域中使用。如果该过滤器可以产生记分，也可以使用这些记分。即使该过滤器仅能产生“垃圾邮件”/“非垃圾邮件”的猜测，这些猜测也可转换成记分1/0，并使用它们。

作为另一种选择或另外的记分方法，可以根据不能到达的信息接收者数量来分配记分。大量失败的发送企图是垃圾邮件的象征。这些失败可能出现信息发送的时候，或者是NDR(未交付收据)——反馈给发送者系统的出错报告。该技术的不利之处是一些用户将会成为垃圾邮件制造者使用他们的名字发送垃圾邮件、导致NDR并不是来自于该发送者的牺牲者。因此，验证信息确实来自于发送者是有效的。可以进行这种处理，例如，追踪来自用户的信息接收者，或追踪用户发送的信息。较大的记分可以分配给每一个传送不到的接收者。如果追踪每一个用户信息的接收者，则可以验证任一NDR将发送给用户实际发送电子邮件的对象，接下来描述一种包括每k个接收者中只追踪一个接收者的技术。如果使用该技术，则可以通过因数k为NDR增加未交付的处罚。

垃圾邮件制造者不可能发送合法邮件。因而可以确定发送大量合法邮件和少量类似垃圾邮件的用户是合法的。由此可追踪由用户发送的看起来像是合法邮件的数量，并且可包括对发送合法邮件的“奖励”。例如，分配给每一个合法用户一个0.1分值的奖励。假设由垃圾邮件过滤器给出一个足够低的分数的信息可能是合法的。垃圾邮件制造者可能试图通过发送合法邮件使用这种方法。因此要以某个最大值来限制潜在的奖励，。

仍参照图1，检测部件130还可以通过计算分配给由给定发送者实际发出的全部信息的记分的总和来进一步处理每一个外发信息，如在一个指定持续时间内确定各自的发送者是否是一个潜在的垃圾邮件制造者。可以通过至少部分地将记分与临界值相比较而得到该确定。临界值可根据发送者而改变，而当超过临界值时，则可以确定该发送者便是潜在的垃圾邮件制造者。

为了验证潜在的垃圾邮件制造者是否是真正的垃圾邮件制造者，任何诸如个体记分、总记分、发送者信息、和/或摘录外发信息特征或与外发信息联系在一起可得知是垃圾邮件这样的信息140可以传送到动作部件150。

动作部件与检测部件130工作连接。至少部分地根据从检测部件130接收到的信息140，动作部件150可以估测并发起一个抵制潜在的垃圾邮件的适当类型的动作。典型的动作类型包括对外发信息(每个发送者的)抽样的人为检查、请求发送者对动作部件产生的信息进行响应、和/或信息交付的中断(例如，持久的或暂时的)。任何由动作部件发起的动作既有效地减少了通过影响发送者的功能而直接产生并发送的信息，也减少了通过降低动作的成本并因此增加邮件垃圾制造者的消耗而间接的经由受支配的用户账号来发送垃圾邮件。

参照图2，图2举例说明了根据本发明一个方面的外发信息垃圾邮件检测系统200的方块图。系统200包括发送者一方210，其中预先创建并处理外发信息以进行发送，系统200还包括接收者侧220，其中外发信息被发送给他们想要送达的接收者。

发送者侧220包含至少一个使用信息发生器232或其它可在其中创建信息的信息发送系统的发送者230。信息可包含如邮件信息、即时信息、聊天室信息、和/或密谈信息(例如，类似于仅存在于聊天室中两个人之间的即时信息)。一旦创建了外发信息，则将外发信息传送到外送信息监视器240，特别是要将信息从一个或多个过滤器250中通过。外送信息监视器240包含信息接收者计数器242，该计数器可以追踪每个发送者的外发信息的发送量，也就是每个发送者的接收者数量(或每个发送者的每个信息)。信息接收者计数器242与可计算在预定的持续时间内每个发送者的外发信息量的时间功能部件244工作连接。

可以预先确定该持续时间以有效的检测至少一个(如每日)或多个(如每小时、每日、以及每月)时间单位的信息发送量。举例来说，可以在以5分钟为周期(如每5分钟10个信息)、以一小时为周期、和/或以每一天为基础(如发送者230每天发送300个信息)的范围内记录外发信息的数量。

由信息接收者计数器，也就是时间功能部件244产生的信息被传送给处理器分析部件246。该处理器246处理并分析关于外发信息的资料以计算外发消息速率以及追踪每个发送者的接收者和外发信息数量。通过处理器246可以在存储器248中对每一个发送者的数据进行维护，以及/或从数据存储器中找回这些数据。

如图2所示，所有实际发送的信息通过至少一个过滤器250，并随后直接传递到处理器部件246中进行分析，或传递到计数器242中。过滤器250可以根据每个信息的内容分配某个记分或概率。可以根据每个信息通过的过滤器250的数目及类型为每个信息分配一个上述记分。例如，一种记分可以是MSL概率。另一种记分可以是如0.1这样的常数。另一种记分也可以指示该信息包含一个URL(如0.1)。处理器246可以计算每个信息的所有记分总和，和/或每个发送者的所有信息记分的总和。此外，也可以维护基于每个发送者的接收者名单的记分。这些名单可以通过系统200进行更新、删除、以及自由地重新创建。由于大多数合法用户通常发送较多的邮件给较少的接收者而多数垃圾邮件制造者倾向于发送较少的信息给大量不同的接收者，因此维护每个发送者的接收者动态名单对识别潜在的垃圾邮件制造者是有益的。

一旦发送者的记分和/或总记分(如针对一个外发信息或针对大量外发信息)超过了给定的临界值，监视器240发出信号通知规范部件260。针对一个外发信息的记分临界值可以高于针对大量外发信息的设置临界值。同样地，记分临界值可以在发送者中进行更改。每个发送者的临界值信息可存储在数据存储器248中，并可从该存储器中找回这些信息。

当通过外送信息监视器识别出一个潜在的垃圾邮件制造者时，激活规范部件260。至少将该发送者的联系信息传送给规范部件260。其它可提供给规范部件260的信息包括发送者的记分(如单个信息记分的抽样、总记分的抽样、和/或从基于一个以四个星期为周期的每一周所获得的记分抽样等)。例如，规范部件260可以通过权衡记分信息来确定发送者是垃圾邮件制造者的确定性的级别。至少部分地依据该确定性的级别，提供给规范部件260几个可用选项以帮助该规范部件来确定该发送者是否是垃圾邮件制造者，或者帮助该规范部件来提供该发送者不是垃圾邮件制造者的某个确定性级别。

一种选择是包括可产生并传送一个或多个问题给发送者(如发送者账户)的问题发生器262。该账户将被要求在可能发送任何其他外发信息之前以某种方式响应该问题。作为选择，当等待问题的响应时可允许从该账户发送出某个最大数量的信息。

这些问题可以是发送者的外发信息的形式或者在信息发送时期(例如在发送者企图发送它的外发信息时)突然弹出的信息的形式(例如，特别是当发送者使用了一个系统200已经控制的客户)，作为发送给账户用户的信息发送给账户。这些问题可以是人为交互式证明(HIPs)的形式和/或计算的问题形式。HIPs可由人来简单地解答而不是计算机，反之计算型问题可由计算机来简单地解答；因此，当选择计算型问题作为问题时，是不需要人为注意。

除了超出临界值标准涉及为可能是垃圾邮件的方式之外，出于其它不同原因可发送问题给用户账号。例如，作为监视用户行为的一种方式来验证可能的垃圾邮件动作没有发生时，这些问题是必需的。这是由于垃圾邮件制造者可能企图通过最初发送合法信息并随后大部分发送垃圾邮件信息来欺骗机器识别过滤器。为了监视采用这种方式的用户行为，可以要求用户账号和/或客户在每发送完n个外发信息(其中n是大于等于1的整数)之后解答一个问题。问题也可以响应来自于服务器的反馈而发送，该反馈指示将要关闭该账号。出于类似的原因并通过类似的方式，可以在计数了每个发送者的外发信息的r(r是大于等于1的整数)个接收者之后发送问题。每个信息中的接收者只计数一次，例如两个信息上的相同接收者计为两个接收者，或者独特的将两个信息上的相同接收者计为一个接收者。

在一些例子中，发送者可以知道任何问题发送到哪里，特别是当客户自动响应这些问题而不需要人为的注意或动作。但是，如果客户和/或用户没有做出响应并在发送外发信息时进行了重复的尝试，则会通知该账户需要做出回应以继续该账户的使用。只要正确和/或及时地回答了这些问题，就允许从该账户发送出外发信息。

另一种可选择的方式包括通过(人为操作的)信息检查器264对发送者的外发信息的抽样进行人为检查。由于一些合法账户持有者的行为可能与垃圾邮件行为相似(例如，每个信息的大量接收者，大量信息，和/或诸如组织邮件发送清单发送的较高的信息量和信息速度，家庭-朋友分布名单等)，因此通过对发送者邮件的抽样进行手动检查来减少通过经常性中断合法发送者的外发信息的传送而对该合法发送者产生的惩罚是有效的。当确定发送者是合法用户时，将该发送者的记分置零或者增加这些记分的临界值级别以至少降低将它们标记成潜在的垃圾邮件制造者的频率。

一个可能是更迫切的选择方式包括对潜在的垃圾邮件制造者发送一个与信息发送服务的用户、垃圾邮件政策以及服务的条件有关的法律通知。该法律通知也可以作为警告潜在的垃圾邮件者违反了垃圾邮件政策和/或服务的条件而提供。提供这种类型的通知使得抵制垃圾邮件制造者的法律行为变得更简单。可以暂时终止外发信息到接收者220(如信息接收部件270)的传送或者立即停止该账户直到该发送者证实收到并阅读了改法律通知。该法律通知可作为发送给账户的信息传达给发送者，其形式可以是发送者的外发信息或在信息发送时突然弹出的信息(例如，特别是当发送者使用了系统200或信息服务器已经控制的客户)。可选择地，在中断账户操作以及请求发送者对该信息做出响应之前可以允许发送者发送少量信息。

在一些例子中，确定发送者是垃圾邮件制造者的级别可以更高。在这种情况下，可以通过账户终止部件268暂时或永久终止或关闭该账户。账户终止部件268也可以与其它选件(如262、264、266)中的一个或多个合作或共同操作。高级确定可至少部分地根据一个至少分配给一个外发信息的高MLS概率。可选择的或附加的，在对先前已知的垃圾邮件存在一个发送者信息的精确或近似匹配时，或者是在信息包含一个人为确定是类似垃圾邮件的表达时(例如，垃圾邮件制造者使用的网页的链接)。

此外，系统200可根据发送者的记分以及发送者对先前发送的选项的回答来实现上述可选方式的任意结合。

现在将通过一系列的动作来描述根据本发明的不同的方法。可以理解并意识到本发明并不因动作的顺序而受到限制，例如根据本发明一些动作可以不同的顺序发生，和/或与其它本发明所描述的动作同时进行。例如，本领域的技术人员可理解并意识到一个方法可以通过一系列相互关联的状态或事件来表现，如以状态图的形式。此外，根据本发明，对实现一个方法来说，并不是所有列举的动作都是必需的。

现在转向图3，图3示出了根据本发明的一个方面通常用于检测潜在的垃圾邮件制造者的处理过程300的流程图。识别处理过程300包括在步骤310充分地监视每个发送者的所有外发信息310。该监视过程可包括追踪每个发送者的外发信息量和/或速率。此外，也可以追踪并记录每个发送者的每个信息所列出的接收者的数量。根据本发明的一个方面，每一个信息上的接收者构成一个信息。因此，如果一个外发信息列出了25个接收者，则该指定信息将不会被计为1个信息，而是由于将有25个接收者接收到该信息而被计为25个不同的信息。

另外，该监视过程也可以通过在诸如一个周期的时间里对每个发送者的每个信息、仅对每个发送者、和/或每个发送者的接收者跟踪记分来完成，其中可以对每一个信息的接收者计数，也可以唯一计数(两个信息上的相同接收者计为一个)。通过MLS过滤器、其它基于规则的过滤器、和/或其它基于内容的过滤器来分配这种记分。例如，MLS过滤器可以根据信息的至少一部分所显示的垃圾邮件的级别来分配一个概率。其它基于规则的过滤器可以至少早某种程度上依据信息的某些内容来分配相似类型的记分。最后，基于内容的过滤器可以在外发信息中查找类似垃圾的短语或已知的垃圾邮件短语。在步骤320，对匹配或近似匹配的信息进行标记以对检测发送者是否是潜在的垃圾邮件制造者进行进一步研究或考察。如果这些结果中的任意一个或它们的组合给出类似垃圾邮件的指示和/或超出了临界值水平，处理过程300可在步骤330确定启动什么类型的动作来至少阻止对潜在的垃圾邮件制造者的批准，或验证发送者实际上就是垃圾邮件制造者。

如果尽管发送者具有类似于垃圾邮件的信息，仍验证该发送者为合法用户，在这种情况下，则采用另一种度量方法。举例来说，将发送者的记分重新置零和/或将对发送者的临界值水平进行调整以减少发送者发送的外发信息所产生的更多破坏。

参照图4，图4说明了根据本发明的另一个方面用于追踪信息的指定接收者的典型的垃圾邮件检测过程400的流程图。垃圾邮件检测过程400包括在对所有发送者或账户的外发信息发送给各自的接收者进行处理时监视它们所有的外发信息(步骤410)。在监视过程410中可使用大量技术来识别潜在的垃圾邮件制造者。举例来说，在步骤420可对来自各自发送者(如每一个发送者)的外发信息量进行计数和追踪。可以意识到由于信息上列出的每一个接收者计数为1，因此信息的计数与接收者的计数应该是相似的，否则会彼此不一致。

由于对信息以及接收者的数量进行了监视，在步骤430可对不同发送者的外发信息速率进行记录。外发信息量和速率的数据可转换成记分用于测定每个发送者的行为。可选择地，也可以利用数量及速率数据的未转换状态。

如图中440所描述的，可随机或非随机选择外发信息的接收者并将它们置于名单上，例如根据发送者的接收者名单。因此，为了追踪的目的，当信息发送给名单上的接收者(称为选定的接收者)时，将该信息与该接收者结合在一起。举例来说，可以追踪与选定接收者在一起的更高记分信息，也可以追踪与该接收者在一起的最差记分信息。由选定接收者接收的最差记分(例如，最像垃圾邮件)信息可以作为与该接收者的指定发送者结合在一起的记分来使用(步骤450)。

由于垃圾邮件制造者比合法用户更可能将信息发送到无效邮箱(例如不存在的邮件地址)，因此他们更可能收到较高数量的未交付收据。因而，具有相对大量失败传送企图次数的发送者可以是潜在的垃圾邮件制造者的预示。根据这个特征，可选择在步骤460追踪每个发送者的未交付收据(NDRs)的数量；也可以执行对实际来自于所谓的发送者的信息的验证。一种用于验证信息来自所谓的发送者的技术包括留意来自该发送者的信息接收者和/或留意由该发送者发送的信息。接下来，至少部分的根据每个发送者接收到的NDRs的数量对记分进行分配。

可选择地，可以通过奖赏来奖励通常发送合法信息以及少量类似于垃圾邮件信息的发送者。例如，奖赏可以是对发送者记分进行有利的调节的形式。

之后在步骤470，可计算某个列表(例如每个发送者)上所有接收者记分的总和。此外，如果该总记分超过了临界值，则标记该发送者是潜在的垃圾邮件制造者并可以对检查发送者的类垃圾邮件行为进行更进一步的动作。

通过仅使用与发送者结合在一起的最差记分来代替来自发送者(给选定的接收者)的所有信息的记分总和，而不会对没有从发送者处接收到类似垃圾邮件的信息接收者进行抵制该发送者的计数。以下在图6中将进一步论述追踪随机选定的接收者以及它们的信息。

参照图4，为了在各自的信息中寻找类似垃圾邮件的特征，在步骤480可通过一个或更多过滤器对这些外发信息进行处理。举例来说，包括URL的信息更可能是垃圾邮件。因此，可对含有URL的信息分配一个比例如是没有URL的信息高的记分。可以意识到与步骤420，430，440以及480有关的处理可以以任意顺序发生和/或至少部分互相重叠发生。

通常，通常将记分计算成每个信息的总记分和/或每个发送者的总记分(例如发送者的所有不同信息的记分和)，并随后在步骤490与不同临界值级别进行比较以帮助检测和识别潜在的垃圾邮件制造者。

除了监视外发信息的数量和速率之外，留意一个发送者所拥有或所曾经拥有的不同接收者的数量也是可行的。随着接收者的数量的增加，发送者更可能是潜在的垃圾邮件制造者。这是由于合法用户通常发送大量信息到少量的相关接收者；反之，与之相反的通常是真正的垃圾邮件制造者。也就是说，垃圾邮件制造者倾向于发送少量信息到几个不同的以及截然不同的接收者。

现在参照图5，图5说明了根据相应的不同接收者来监视外发信息的典型方法500的流程图。该方法在由信息服务器(如在发送者一侧)接收外发信息的步骤510开始。可对信息服务器或一些其它部件进行编程以每一个接收者增加一个外发信息名单。在步骤520，可对每一个外发信息分配一个记分并将该记分与相应的接收者结合在一起。可独立确定分配给每个外发信息的记分，例如，通过执行一个逻辑操作来确定分配给指定外发信息的最合适的记分。

例如在步骤530，记分应被设置成一个常数值。在对每个接收者的每一个外发信息设置常数值记分时，接收者的记分(例如，假定列出了向接收者传送的多于一个的外发信息)应该根据一个与该常数值相符的速率增加。因此，任何与此相背的情况可认为是一个或多个发送者试图欺骗记分系统。可以隔离这种信息以及他们各自的接收者并至少将他们识别为垃圾邮件制造者。

可选择地，分配给信息的记分可以是概率值(如MLS概率)。该概率可基于外发信息的MLS评估而得到；也就是说，该概率反映了外发信息是垃圾邮件或者发送者是垃圾邮件制造者的可能性。

此外，分配给每个外发信息的记分可以使MLS概率和常数值的结合。尽管可以利用不止一种记分的选择方式，但应该意识到记分的选择方式应与正在处理的外发信息组相一致，从而使得它们使用相似的参考等级或参考点来相互比较。但是也可以改变记分的选择，只要这种变化与所有外发信息相一致。

为每一个接收者追踪并记录该外发信息。除了上述的记分以外，(在步骤550)也可以监视发送给每个接收者的信息的数量、速率和/或频率。例如，如果发送给任何接收者的信息的持续时间、速率和/或频率超过了相应给定的临界值，则在步骤540对接收者列表增加一个记分来反映这种情况。

在步骤560，可以在相应的持续时间内计算该发送者的所有接收者的总记分。可选择地或附加的，可追踪该发送者对每个接收者的外发信息的最高记分，并作为计算总记分的一部分，以帮助识别该发送者是潜在的垃圾邮件制造者。

如果该总记分超过了临界值(在步骤570)，则可在步骤580确定该发送者是潜在的垃圾邮件制造者。类似的，如果一个最高记分信息超出了临近值，也可在步骤580断定它的发送者至少是潜在的垃圾邮件制造者。在步骤585，仅当经过了充足的时间后可将与潜在的垃圾邮件制造者在一起的记分重新置零。对记分进行重置所需要的时间以及从发送者的外发信息的交付到下一次发送所需要的时间，至少部分的取决于和临界值相关的垃圾邮件制造者的记分。也就是说，必须经过充足的时间以使得垃圾邮件制造者的记分低于临界值。

相反地，如果在指定时间内与发送者在一起的总记分或者是单独的信息记分超过了各自的临界值，可如步骤590所示对发送者的记分重新置零；并在步骤510重新执行方法500。

如以前所提到的，限制发送者可以发送的信息的接收者数量是减少垃圾邮件或类似垃圾邮件行为的有效方法。对发送者的唯一接收者数量(每个发送者的每一个接收者只计数一次)的限制对垃圾邮件制造者所产生的影响要比对合法发送者大；对每个信息的接收者数量的限制比对信息数量的限制更有效(由于垃圾邮件制造者可能发送一个信息给大量接收者)。此外，不仅在一个持续时间内(例如每隔z分钟、z小时、z天、z星期、z年等)对每个发送者的接收者总量进行计数是令人满意的，同时追踪发送给接收者的最可能的垃圾邮件也是有利的。

遗憾的是，由于需要追踪每一个接收者(例如根据不同接收者的总数以及每个发送者的每个接收者记分来分配记分)，追踪每一个接收者以及接收者将要收到的信息的费用是昂贵的。因此，比留意每个接收者更有效的，可使用一项随机化的技术来得到相似的结果。例如，假设存在最大接收者数n(例如n是大于等于1的整数)，但仅追踪(通过列表)该接收者的1/k(k是大于等于1的整数)。然后，当察看了n/k个接收者时，可认为已经达到了该最大值；或者是包含一个通过高概率来确定已经达到了最大值的安全系数。

为了执行该随机化接收者追踪处理，可使用散列法(hashing)。散列法是将一个特征串转换成一个通常是较短的固定长度值或表现该原始特征串的关键字。由于使用较短的散列值找到项目信息比使用原始值要快，因此使用散列法来索引或重新找回数据库或者是列表形式中的项目信息。可对每个接收者的识别信息(诸如邮件地址这样的ID)计算散列信息函数以产生每个接收者的散列值。根据使用该散列值进行比较而得出的匹配对接收者进行随机选取。在本例中，如果以k为模的散列信息等于0则选定一个接收者进行追踪。因此，当列表包含了n/k个接收者，则可确定每个发送者大约有n个接收者。该散列函数可基于每个发送者上的随机因数建立，从而使得垃圾邮件制造者更难于利用本发明的这一方面。

图6解释了通过每隔接收者总数的1/k进行追踪而评估每个发送者的不同接收者数量的典型随机化技术600的流程图。在步骤610，可计算每个接收者ID的散列函数。每一次发送外发信息给标识的接收者时，对该指定的接收者使用相同的散列。因此，一些接收者被追踪，而一些没有被追踪。

在步骤620，使用与识别接收者时所使用的相同散列函数来计算散列值，然后使用该散列值进行一个匹配比较。在当前的例子中，模数为k的散列与某个随机值进行比较，例如0。因此，如果接收者具有一个等于0的散列值并且获得了匹配，则在步骤630把该接收者添加到用于信息追踪的列表中。可以看到，作为必需的，模数为k的散列可与任何随机值相比较以减少垃圾邮件制造者对本技术的欺骗与破解。但是，如果该接收者不具有等于0的散列值，则在步骤625检查下一个接收者。

实践中，假设发送者想要发送10,000个信息，而每天(独立的)接收的限度为100。现在重新开始对接收量的1/k进行追踪，在该实施例中k＝10。因此，发送者发送信息给最初的10个人。在这10个人中，通常有一个在散列中，也就是说在这10个接收者中有一个接收者的以k为模的散列值等于0。选取该散列中的接收者并将其添加到用于信息追踪的列表中。

发送者发送信息到另10个接收者。重复地，对于这10个接收者，其中一个的以k为模的散列值等于0。因此，散列中的接收者也被选定并添加到用于信息追踪的列表中。经过一段发送时间后，散列中有10个用户，或者换句话说，10个用户的散列值为0，并选定这10用户以及将它们添加到用于信息追踪的列表中。因此，由于列表中有10个接收者(接收者的散列值为0)，从而可以很容易地计算出发送者至少向10个不同的接收者发送了外发信息，以及更可能是大约100个不同的接收者(如在步骤660)。

此外，对每个选定的接收者来说，可对最可能是垃圾邮件的信息进行记分，并且这些记分可以与不同的发送者结合在一起。举例来说，在步骤640可存储每个发送者的每个接收者的最可能是垃圾邮件的记分以及信息。周期性地或者在步骤650，可将存储的信息和记分与其它信息和记分进行比较，从而验证存储了每个发送者的每个接收者的最可能是垃圾邮件的信息。相应地可更新存储的信息。除了侦察所有发送给接收者的信息之外，也可以使用隔离最可能是垃圾邮件信息的方法。通过这种策略，不会对没有接收到可能是垃圾邮件的信息的接收者进行计数来抵制发送者。

可选择上述存在的技术，但他们可能是有问题的。一种选择包括注意每个接收者的平均垃圾邮件记分，但这会允许一个垃圾邮件制造者发送几个无关信息以及一个类似垃圾邮件的信息的攻击，使得该平均记分降低。由于这种散列通常不是明显的垃圾邮件，而由此干扰用户并浪费用户的时间，因此这种攻击使用户感到很烦恼。因此阻止这种攻击是很重要的。另一种选择是为给定的发送者计算其每个接收者的垃圾邮件记分总和。当为每一个给定发送者计算接收者的总和时，这将与计算所有接收者的垃圾邮件的记分总和所使用有效度量是相同；但是，这种方法不需要保留每个接收者的任何信息。同时，总分度量不利用垃圾邮件者倾向于发送到大量接收者，而合法用户发送给少量用户这种行为；最大值正利用该事实。最后，该总和方法也不利用如果垃圾邮件制造者向他们发送大量信息而可能进行投诉的这种事实。

在步骤670，可以计算由给定发送者发送给每个接收者的最可能是垃圾邮件信息的总记分，而最终确定是否进行抵制该发送者的行为。在步骤680的确定过程中也可考虑其它诸如估计的接收者数量这样的因数。

除了之前在图4-6中描述的各种技术。图7提供了可以独立使用或与其它技术结合使用来确定发送指示潜在的垃圾邮件制造者的因数。更明确地，如果在步骤720至少接下来中的一个是真的，则找到一个发送者是潜在的垃圾邮件制造者(步骤710)：找到与已知垃圾邮件精确匹配或近似精确匹配——就该信息的至少一部分而言；以及包含确定为垃圾邮件特征的短语的信息。通过将过滤器概率与某个临界值级别相比较，可确定该过滤器概率“过高”。该概率超出该临界值的数字可以是“过高”的一个指示。

一旦确定了发送者是或可能是潜在的垃圾邮件制造者，则实施抵制该发送者的各种行为和/或每个发送者的用户账户验证该发送者实际上是垃圾邮件制造者，由此警告该发送者注意接下来的垃圾邮件行为，和/或对表现出可能是垃圾邮件行为的合法用户调整临界值级别。图8示范了典型的反应过程800的流程图，该过程可在确定发送者更可能是类似垃圾邮件制造者行为的过程中实现。过程800可在图3-7明显的结束点开始，如在当前图的810所描述的。

在步骤810，推断出发送者是潜在的垃圾邮件制造者。接着在820，根据用户的意愿可选以下之一或任何组合：

(a)在832，可由人为检查来控制发送者外发信息的抽样(如至少一个)，以帮助进行验证和/或确认该发送者是或不是垃圾邮件制造者，如以下在图9中详细描述的；

(b)在834，产生一个问题并发送给发送者账户，由此为了继续使用信息服务(如外发信息的发送和交付)而需要对该问题进行正确和/或即时的响应，如以下对图10的详细描述；

(c)在838，可发送一个法律通知和/或警告给发送者以通知该发送者违反或可能违反了服务条款，由此进行接下来的法律行为；和/或

(d)在838，当该发送者是垃圾邮件制造者的事实程度足够高时，可至少暂时关闭发送者的账户，如果需要的话可永久关闭。

如果发送者使用了信息传递服务和/或反应过程800所控制的客户，可在信息发送期间以突然出现的形式发送诸如上述动作信息中(834、836、和/或838)的任意一个(例如在发送者企图发送外发信息时)。作为选择，可在任何其它适当的时期发送该突然弹出的信息，以使该发送者意识到该动作信息也需要它进行响应。

然而，如果没有对信息传递服务和/或反应过程800控制，该动作信息可以通过相同或类似的形式作为该发送者的外发信息(如密谈、即时信息、聊天、邮件等)向发送者传送。也就是说，如果外发信息是密谈型的信息，则可将该动作信息作为密谈型信息发送。同样地，如果外发信息是一个及时信息，则发送给该发送者的动作信息也可以是即时信息。

发送者也可以接到通知，其通知了更多的外发信息将从传送中被立即阻止(如关闭发送功能)，直到该发送者或垃圾邮件制造者执行了所要求的动作来确认阅读了该动作信息。该确认可例如是对信息进行电子签名或在链接上进行点击的形式。实际上，可要求发送者确认已阅读通知他/她违反了服务中的一项或多项条款的法律通知。该通知也可以指示是否将立即关闭服务(如，至少是发送功能)。

信息传送至少可能会暂时延缓，直到发送者确认和/或响应了该动作信息。作为选择，可允许发送者在确认或响应该动作信息之前发送一个最小数量的信息。

在一些情况中，发送者可能意识到他/她已被标记成潜在的邮件制造者。同样地，发送者也可能没有意识到正在进行对他/她的使用进行调查的行为，以及特别是对他/她的外发信息的内容正在进行调查。当发送者被标记成潜在的垃圾邮件制造者时，一种可用于信息发送服务的选择是至少对发送者的外发信息进行部分抽样，以确定该发送者是否是真正的垃圾邮件制造者。图9描述了使用这种类型的动作来阻止潜在垃圾邮件制造者的典型方法900的流程图。

方法900包括在步骤910至少人为手动地检查潜在垃圾邮件制造者的外发信息的子集。人为检查既可以验证信息的内容也可以确定用户发送可以信息的动机。例如，假设将外发信息寄给包含许多或数百在漫游技术展示中寻求信息的消费者或顾客。该信息通常包含指引接收者在网站上订票、定购印刷品等的URL。由于许多原因这些类型的外发信息被分配足够高的记分而超过了某个指示信息是垃圾邮件的临界值级别。举例来说，假设该信息包括大量的接收者，属于垃圾邮件特征的URL，和/或还可能包括一些模仿在垃圾邮件中更常见的语言表达类型的广告用语。

因此，在步骤920，人为检查可以确定该信息是否是垃圾邮件。如果该信息不是垃圾邮件，则在步骤930将与发送者的账户结合在一起的记分重新置零。此外，如果该账户具有合法的理由而发送可疑的信息，则在步骤940可增加用于标记账户为潜在的垃圾邮件制造者临界值级别。

相反地，如果在步骤920确定该信息是垃圾邮件，则在步骤950至少进行下述步骤之一：可在步骤952立即关闭该账户和/或在步骤954通过与之前在图8中所描述的相似方式向该账户传送一个法律通知。

由于一些垃圾邮件制造者可能发送一些合法信息以进行伪装或躲避记分系统，周期性地验证帐户使用时有帮助的。特别有助于确定每个信息的一些最小花费，理论上该花费对垃圾邮件制造者来说是非常昂贵的，但合法用户却承担得起。一种用于实现这种不需要完全破坏或中断外发信息的传送的方法包括在计数了给定数量的外发信息和/或接收者之后，对发送者或账户发送问题。例如，可以在计数了每30个外发信息或每30个接收者之后要求该账户回答诸如HIP(人为交互式证明)或计算式问题这样的问题。作为选择，可发送问题来响应当察觉到有类似于垃圾邮件的行为时，服务器发送的用户帐户将被关闭的反馈。

对HIP问题的正确响应通常需要一个人为产生的响应，反之可通过用户的计算机来完成计算型问题而不需要用户知晓。图10示范了根据本发明的一个方面用于对非垃圾邮件制造者帐户使用进行确认的典型方法1000。方法1000包括在步骤1010至少发送一个问题给发送者。在步骤1020延迟或拒绝对来自于发送者的外发信息的传送，直到接收到问题的正确响应。在步骤1030如果对问题的响应是错误的，可进行其它规范动作，诸如关闭该账户，手动检查一些外发信息，发送法律通知，在恢复帐户使用前发送需要回答的附加问题。然而，如果在步骤1030该响应是令人满意的，则可在步骤1040传送该发送者的外发信息。此外，可在每计数P(P是大于等于1的整数)个信息或接收者(例如，每个接收者计为一个信息)之后重复方法1000作为周期性检查该用户的手段。

与以上对本发明的描述相一致，可以使用伪码来实现本发明的至少一个方面。以所有大写字母来表示不同的名称。用点来表示记录的子集。例如，如果SENDER是发送者的名称以及DURATION是诸如天或月这样的周期，则诸如SENDER.DURATION.firstupdate这样的符号用于表示对在那段时期为发送者保存的接收者列表的第一次更新时间。

该典型的伪码如下：

for each RECIPIENT of each outgoing message MESSAGE

(whisper mode，IM，chat room，or email)

{
				
				<dp n="d22"/>
SENDER：＝sender of MESSAGE；

RECIPIENT：＝recipient of MESSAGE；

use one of the following strategies to set SCORE；

{

SCORE：＝1；# use a constant

or

SCORE：＝score from machine learning spam filter to MESSAGE；

Optionally SCORE：＝SCORE+.1 # add a constant

or

SCORE：＝1 if message contains a URL，.1 otherwise；

}

if RECIPIENT is not deliverable then

{

SCORE：＝SCORE+1；

}

if RECIPIENT(in the future)results in an NDR then

{

use one of these strategies

{

SCORE：＝SCORE+1；

or

# check that the NDR is real

if RECIPIENT is on list of RECIPIENTS

{

SCORE：＝SCORE+1；

}

or

if RECIPIENT is on list of RECIPIENTS and using

sampling then
{
				
				<dp n="d23"/>
SCORE：＝SCORE+k；

}

}

}

BADSENDER：＝FALSE；

# optionally，skip some.or all but one duration：

forr each DURATION in(minute，hour，day，week，month，year，forever)

{

# reset counters if necessary

if(now-SENSER.DURATION.firstupdate＞DURATION)；

{
reset SENDER.DURATION

(total：＝0，list：＝empty，SENDER.DURATION.goodtotal：＝0，firstupdate：＝now)；

}

SENDER.DURATION.total：＝SENDER.DURATION.total+SCORE；

# optionally，compute bonuses for legitimate mail

# for instance，if the score from spam filter

# is＜.1，then assume it is legitimate

if message spam filter probability＜.1

{

SENDER.DURATION.goodtotal：＝

SENDER.DURATION.goodtotal+.1；

If SENDER.DURATION.goodtotal＞

maxgoodtotal.DURATION

{

SENDER.DURATION.goodtotal：＝

maxgoodtotal.DURATION；

}

}
				
				<dp n="d24"/>
if SENDER.DURATION.total-

SENDER.DURATION.goodtotal＞threshold.DURATION then

{

BADSENDER：＝TURE；

}

optionally check ifhash of RECIPIENT modulo k＝0；

if hash！＝0，go to next duration；

SENDER.DURATION.list[RECIPIENT]：＝

max(SENDER.DURATION.list[RECIPIENT]，SCORE)；

compute TOTAL of SENDER.DURATION.list for all recipients；

if Total-SENDER.DURATION.goodtotal＞

listthreshold.DURATION then

{

BADSENDER：＝TURE；

}

}

# Now，we know if this sender should be added to the bad senders list

if BADSENDER＝FALSE

{

go on to next message；skip remainder’

}

perform one or more of the following actions

{

suspend or revoke the account of SENDER；

or

forword MESSAGE for human inspection(optionally，

do this if we have not recently sent a message for inspection)；

or

send a legal notice to the spammer reminding them
				
				<dp n="d25"/>
of the terms of service，if such a notice has not been

recently sent；

or

require the account to answer another challenge，

such as a HIP or computational challenge；when the
challenge has been answered，reset the scores as appropriate.

}

}

为了对本发明的不同方面提供附加的内容，图11以及接下来的讨论将提供实现本发明不同方面的合适的操作环境1110的简要描述。当本发明以计算机可执行指令的普通文本进行描述时，诸如由一个或多个计算机或其它设备执行的程序模块，本领域的技术人员可以意识到可以结合其它程序模块和/作为硬件和软件的结合来实现本发明。

通常，程序模块包括执行特定任务或实现特定数据理性的例程、程序、对象、部件、数据结构等。操作环境1110仅是一个合适的操作环境的举例，并不想对本发明的使用范围或功能提出限制。其它适合本发明使用的已知计算机体系、环境、和/或配置包括但并不局限于，个人计算机，便携式或膝上设备，多处理器系统，基于微处理器的系统，可编程消费电子学，网络个人计算机，小型计算机，大型计算机，包括以上系统或设备的分布式计算环境等。

参照图11，用于实现本发明不同方面的典型环境1110包括计算机1112。计算机1112包括处理单元1114，系统存储器1116，以及系统总线1018。系统总线1118连接了系统部件，包括但不限于系统存储器1116到处理单元1114的连接。处理单元1114可以是各种可用处理器中的任何一种。双重微处理器和其它多处理器结构也可作为处理单元1114使用。

系统总线1118可以是几种类型总线结构的任意一种，包括存储总线或存储控制器，外围总线或外部总线，和/或使用各种可用总线结构的本地总线，该可用总线体系包括但不限于，11-比特总线，工业标准结构(ISA)，微通道(MCA)总线，增强型ISA(EISA)总线，集成器件电子技术(IDE)，视频电子标准协会局部总线(VLB)、外设部件互连(PCI)，通用串行总线架构(USB)，加速图形接口(AGP)，个人计算机存储器卡国际联合会(PCMCIA)，以及小型计算机系统接口(SCSI)。

系统存储器1116包括易失性存储器1120和非易失性存储器1122。诸如在启动期间，含有在计算机1112中的元件间传送信息的基本程序的基本输入外发系统(BIOS)存储在非易失性存储器1122中。作为解释，但不局限于，非易失性存储器1122包括只读存储器(ROM)，可编程只读存储器(PROM)，点可编程只读存储器(EPROM)，电可擦除只读存储器(EEPROM)，或闪存存储器。易失性存储器1120包括作为外部缓存存储器使用的随机存取存储器(RAM)。作为解释单布局限于，RAM可以多种形式使用，诸如静态随机存取存储器(SRAM)，动态随机存取存储器(DRAM)，同步动态随机存取存储器(SDRAM)，双倍数据速率SDRAM(DDR SDRAM)，增强型SDRAM(ESDRAM)，同步链接DRAM(SLDRAM)，以及控制存储器总线RAM(DRRAM)。

计算机1112也包括可拆卸/不可拆卸、易失/非易失性计算机存储介质。如图11所描述的磁盘存储器1124。磁盘存储器1124包括，但不局限于，类似磁性存储器驱动器、软盘驱动器、磁带驱动器、jaz驱动器，ZIP驱动器，LS-100驱动器，闪存存储卡，或存储棒这样的设备。此外，磁盘存储器1124可以包括独立的存储介质或与其它存储介质相结合的存储介质，这些其它存储介质可包括，但不局限于，诸如光盘只读存储器设备(CD-ROM)这样的光盘，可记录光盘驱动器(CD-R Drive)，可重写光盘驱动器(CD-RW Drive)或数字通用磁盘ROM驱动器(DVD-ROM)。为了连接磁盘存储器设备1124和系统总线1118，通常使用诸如接口1126这样的可拆卸或不可拆卸接口。

如图11所示，软件担当用户和合适的操作环境1110中所描述的基础计算机资源之间的中介。这种软件包括操作系统1128。操作系统1128可存储在磁盘存储器1124中，其用于控制并分配计算机系统1112的资源。系统应用程序1130利用通过程序模块1132和程序数据1134进行的操作系统1128的资源管理存储在系统存储器1116或磁盘存储器1124中。可以意识到可通过各种操作系统或操作系统的结合来实现本发明。

用户通过输入设备1136将命令或信息输入到计算机1112中。输入设备1136包括，但不局限于，诸如鼠标这样的定点设备、轨迹球、输入笔、触摸板、键盘、麦克风、操纵杆、游戏板、卫星反射器、扫描仪、电视调谐器、数码相机、数字录像机、网络照相机等。这些以及其它输入设备通过系统总线1118经由接口端1138连接到处理单元1114。接口端1138可包括如串行端口、并行端口、游戏端口、以及通用串行总线(USB)。外发设备1140使用一些于输入设备1136类型相同的端口。因此，例如可使用USB端口对计算机1113提供输入，并用于从计算机1112外发信息到外发设备1140。提供输入适配器1142来举例说明有一些诸如监视器、扬声器、以及在其它外发设备1140中的打印机这样的其它外发设备1140需要特别的适配器。应注意到其它设备和/或设备的系统同时提供了输入和外发能力，诸如远程计算机1144。

计算机1112可在使用逻辑连接与诸如远程计算机1144这样的一个或多个远程计算机相连的网络环境中操作。该远程计算机1144可以使个人计算机、服务器、网络PC、工作站、基于装置的微处理器、对等设备或其它公用网络节点等，并通常包括大量或全部所描述的与计算机1112相关的元件。对了简明的目的，只列举了远程计算机1144中的内存存储器设备1146。远程计算机1144通过网络接口1148并随后经由通信线路1150的物理连接，逻辑地连接到计算机1112。网络接口1148围绕着诸如局域网(LAN)及万维网(WAN)这样的通信网络。LAN技术包括光纤分布式数据接口(FDDI)，铜线分布式数据接口(CDDI)，以太网/IEEE 1102.3，令牌网/IEEE 1102.5等。万维网包括，但不局限于，点到点链接，类似综合数字服务网(ISDN)的线路转接网络以及在其上的变化，包交换技术网络，以及数字用户线路(DSL)。

通信线路1150涉及用于连接网络接口1148到总线1118的硬件/软件。虽然用于解释，通信线路1150清楚的显示在计算机1112中，其也可以在计算机1112的外部。仪为了示范的目的，连接网络接口1148所必需的硬件/软件包括内部或外部技术，诸如包括标准电话等级调制解调器的调制解调器，线缆调制解调器及DSL调制解调器，ISDN适配器，即以太网卡。

以上所描述的内容包括本发明的实施例。当然不可能描述每一种可能的部件的组合，或描述本发明的每一种方法，但本领域的普通技术人员可以意识到本发明的更多可能组合以及改变。因此，本发明包括所有不脱离附加的权利要求的精神和范围的改造、修改和变化。此外，术语“包括”用于接示所描述的内容或权利要求的范围，由于术语“包含”作为权利要求中的过渡词的使用来解释，因此术语“包括”在某种意义上也包含在类似术语“包含”中。

Claims

1、一种用于减少外发垃圾邮件的系统，包含：

检测部件，用于至少结合一个外发信息来检测潜在的垃圾邮件制造者，该外发信息至少包含即时信息垃圾邮件、密谈垃圾邮件、以及聊天室垃圾邮件中的一个，该检测至少部分地依据垃圾邮件过滤器、信息量监视、总接收者计数、指定接收者计数、信息速率监视、明显的合法信息的数量，以及没有送达的信息数量中的一个；以及

动作部件，从检测部件上接收实体是潜在的垃圾邮件制造者的信息，该部件启动至少一个动作来用于进行确定该实体是垃圾邮件制造者、减少该实体的垃圾邮件制造行为、增加垃圾邮件制造者的费用，以及它们的组合中的任何一项。

2、如权利要求1的系统，该外发信息还包含邮件信息垃圾邮件。

3、如权利要求1的系统，其中发动的动作至少包含以下一种：

关闭潜在的垃圾邮件制造者的用户帐户；

要求潜在的垃圾邮件制造者和潜在的垃圾邮件制造者的计算机分别至少回答HIP问题和计算型问题中的一个；

向潜在的垃圾邮件制造者发送关于至少违反了信息服务条款的一项的法律通知；以及

至少对由潜在的垃圾邮件制造者产生的外发信息的子集进行的手动检查。

4、如权利要求1的系统，其中信息量监视至少包含追踪和计数外发信息之

5、如权利要求1的系统，其中接收者的计数以每个接收者只计数一次的方式计算。

6、如权利要求5的系统，包括保持每个接收者的最大记分的跟踪。

7、如权利要求5的系统，包含使用接收者的伪随机函数来估计接收者的计数，或相关的记分。

8、如权利要求1的系统，其中信息速率监视包含计算在一段持续的时间内的外发信息量。

9、如权利要求8的系统，其中该持续的时间至少包含分钟、小时、星期、月、以及年中的一种。

10、如权利要求1的系统，其中信息量监视包含从激活用户账户开始的信息总量。

11、如权利要求1的系统，其中外发信息的每个接收者构成一个信息。

12、如权利要求1的系统，其中接收者的计数包含一个或多个至少列在to：区域、cc：区域、以及bcc：区域中之一的接收者。

13、如权利要求1的系统，其中该检测部件通过处理并分析外发信息来至少确定该信息是否可能是垃圾邮件以及该发送者是否是潜在的垃圾邮件制造者中的一项。

14、如权利要求1的系统，其中明显的合法信息数量作为一种奖励来补偿其它记分。

15、如权利要求14的系统，其中通过垃圾邮件过滤器来估计明显的合法信息数量。

16、如权利要求14的系统，其中明显的合法信息数量的奖励是受到限制的。

17、如权利要求1的系统，其中至少部分地根据在信息交付时的失败来估计未交付的信息数量。

18、如权利要求1的系统，其中至少部分地根据未交付收据来估计未交付的信息数量。

19、如权利要求18的系统，其中检查未交付收据的精确度。

20、如权利要求19的系统，其中通过核对来自发送者的信息的接收者列表来检查未交付收据的精确度。

21、如权利要求20的系统，其中该接收者的列表是一个抽样列表，以及未交付收据的处罚是相应增加的。

22、如权利要求1的系统，其中检测部件通过计算分配给外发信息的记分来确定每个发送者的总记分，并将每个用户的总记分与至少一个临界值级别进行比较以确定该发送者是否是潜在的垃圾邮件制造者。

23、如权利要22的系统，其中临界值级别对每个发送者来说是可调的。

24、如权利要求1的系统，其中垃圾邮件过滤包含使用过滤器，该过滤器被训练成为至少识别外发信息中的非类似垃圾邮件特征和类似垃圾邮件特征中的一种。

25、如权利要求1的系统，其中通过机器识别方法执行垃圾邮件过滤。

26、如权利要求1的系统，其中垃圾邮件过滤包含通过向每一个外发信息分配一个概率来显示该信息更类似于垃圾邮件或不类似垃圾邮件的任何一种可能性。

27、如权利要求1的系统，还包含记分部件，该记分部件至少连同垃圾邮件过滤、总接收者计数、唯一接收者计数、信息量监视以及信息速率监视中的一项一起操作的。

28、如权利要求27的系统，其中记分部件至少部分地根据外发信息量、外发信息速率、接收者计数、以及信息内容来对每个发送者分配记分。

29、如权利要求27的系统，其中记分部件通过向一个或多个外发信息分配和/或添加一个常数值来减少操作垃圾邮件过滤系统的垃圾邮件制造者。

30、如权利要求27的系统，其中记分部件对由于具有至少一个类似垃圾邮件的特征而被识别出的外发信息分配一个选定值。

31、如权利要求30的系统，其中该至少一个类似垃圾邮件的特征是URL。

32、如权利要求30的系统，其中该至少一个类似垃圾邮件的特征包含联系信息。

33、如权利要求32的系统，其中该联系信息包含电话号码，该电话号码至少包含用于识别该信息的地理位置的电话地区码和前缀中的一个，从而帮助识别该潜在的垃圾邮件制造者。

34、如权利要求1的系统，还包含基于用户的信息发生部件，该部件产生发送给一个或多个部分地根据发送者优先选择的接收者的外发信息。

35、一种帮助减少外发垃圾邮件的方法包含：

连同至少一个外发信息来检测潜在的垃圾邮件制造者，该外发信息至少包含即时信息垃圾邮件、密谈垃圾邮件、以及聊天室垃圾邮件中中的一种，该检测部分地依据至少垃圾邮件过滤、信息量监视、总接收者计数、唯一接收者计数、以及信息速率监视中的一项；

从该检测部件接收实体是潜在的垃圾邮件制造者的信息；以及

启动至少一个动作来用于进行确定该实体是垃圾邮件制造者、减少该实体的垃圾邮件制造行为、增加垃圾邮件制造者的费用中的任何一项。

36、如权利要求35的方法，其中该至少一个外发信息还包含邮件信息垃圾邮件。

37、如权利要求35的方法，还包含监视至少与外发信息量、接收者量、以及外发信息速率之一有关的每个发送者的外发信息。

38、如权利要求35的方法，其中检测潜在的垃圾邮件制造者包含：

至少执行下述动作之一：

至少部分地根据信息的内容来对每个外发信息分配记分；

至少部分地根据每个发送者的外发信息量来对每个发送者分配记分；

至少部分地根据每个发送者的外发信息速率来对每个发送者分配记分；

至少部分地根据每个发送者的全部接收者计数来对每个发送者分配记分；

至少部分地根据每个发送者的唯一计数者计数来对每个发送者分配记分；

计算每个发送者的总记分；以及

至少部分地根据该发送者的总记分来确定该发送者是否是潜在的垃圾邮件制造者。

39、如权利要求38的方法，其中该总记分超过了临界值级别时，意味着该发送者至少是潜在的垃圾邮件制造者。

40、如权利要求35的方法，还包含追踪一个或多个接收者以及相关的发送给该接收者的外发信息，从而识别从每个发送者接收到的一个或多个近似垃圾邮件的信息。

41、如权利要求40的方法，还包含分配一个或多个记分给该一个或多个近似垃圾邮件的信息，以及对每个发送者的记分进行合计以计算每个发送者的总记分。

42、如权利要求35的方法，其中该至少一个动作包含终止该发送者账户。

43、如权利要求42的方法，其中在确定由发送者发送的该外发信息是垃圾邮件时，终止该发送者账户。

44、如权利要求43的方法，其中至少部分地根据下述之一确定该外发信息是垃圾邮件的事实：

该外发信息的至少一部分包含至少与已知的垃圾邮件的精确匹配或近似匹配；

该外发信息的至少一部分包含已被确定为类似垃圾邮件的特征；

由垃圾邮件过滤器分配的概率至少超出一个临界值级别；以及

确定发送给人为检查的信息是垃圾邮件。

45、如权利要求35的方法，其中该至少一个动作包含暂时中断来自该发送者账户的外发信息交付。

46、如权利要求35的方法，其中该至少一个动作包含要求该发送者账户回答一个或多个问题。

47、如权利要求44的方法，其中该账户对每个问题具有数量限制直到解答了确定数量的问题，并此后对速率进行限制。

48、如权利要求45的方法，其中可以通过解答附加问题来增加该速率限制。

49、如权利要求46的方法，其中该一个或多个问题包含计算型问题或人为交互式证明。

50、如权利要求46的方法，其中该一个或多个问题以突然弹出的信息的形式传送。

51、如权利要求46的方法，其中通过类似于发送者的外发信息的形式向该发送者账户传送该一个或多个问题。

52、如权利要求46的方法，其中通过传送该一个或多个问题给发送者来响应来自服务器的关于即将关闭该账户的反馈。

53、如权利要求35的方法，其中该至少一个动作包含发送该发送者违反了服务条款的法律通知。

54、如权利要求53的方法，包含通过提供电子签名和点击一个链接中的至少一种方式来发送法律通知。

55、如权利要求53的方法，其中通过一个突然弹出的信息来传送该法律通知。

56、如权利要求35的方法，其中暂时中断外发信息的传送直到接收到对该动作的响应。

57、如权利要求35的方法，其中在界收到对该动作的响应之前允许传送少量外发信息。

58、如权利要求35的方法，还包含估计每个发送者的接收者的总数以用于识别潜在的垃圾邮件制造者。

59、如权利要求58的方法，其中估计每个发送者的不同接收者总数包含：

计算每个接收者的散列函数以获取每个接收者的散列值；

设置散列模数值；以及

当该接收者的散列值等于该散列模数值时将该接收者添加到用于信息追踪的列表中，以帮助估计每个发送者的不同接收者总数。

60、如权利要求59的方法，还包含：

对每个发送者追踪每一个列出的接收者接收的最差记分信息；

计算每个发送者的所有实际列出的接收者记分的总记分；以及

将每个发送者的总记分与该发送者的临界值级别相比较以确定该发送者是否是潜在的垃圾邮件制造者。

61、一种用于定期确定用户的非垃圾邮件制造者行为的方法包含：

至少监视外发信息量、接收者数量、外发信息速率之一

在对大量外发信息和大量接收者中的至少一个进行计数后，要求该用户账户解答一个或多个问题；以及

终止以后的外发信息的传送直到解答了一个或多个问题。

62、如权利要求61的方法，其中每一个在信息中列出的接收者作为一个单独的信息计数。

63、如权利要求61的方法，其中该问题是计算型问题。

64、如权利要求61的方法，其中该问题是人为交互式证明。

65、一种减少垃圾邮件的方法包含：

至少执行一种确定发送者数量限制的经济分析，该分析至少部分地取决于垃圾邮件制造者的行为和合法用户的行为；以及

将发送者的发送量至少限制到以下一种：

解答每个问题的最大数量；以及

发送者付出每笔费用的最大数量。

66、如权利要求65的方法，其中该问题至少是人为交互式证明以及计算型问题中的一种。

67、如权利要求65的方法，其中该费用是用户账户设立费用、每月的费用、每个外发信息的费用、以及每笔数目的外发信息的数量中的任何一种。

68、如权利要求65的方法，其中将该费用限制为对合法用户的自动付账是足够低，而对减少发送垃圾邮件信息是足够高的。

69、如权利要求65的方法，其中发送者的发送量限制约束了在一段持续时间内外发信息的数量。

70、一种包含如权利要求1的方法的计算机可读介质。

71、一种在其中存储了以下计算机可执行部件的计算机可读介质：

一个用于结合至少一个外发信息检测潜在的垃圾邮件制造者的检测部件，该外发信息至少包含即时信息垃圾邮件、密谈垃圾邮件、以及聊天室垃圾邮件之一，该检测至少部分地取决于垃圾邮件的过滤、信息量监视、接收者计数、以及信息速率监视之一；以及

从该检测部件上获取一个实体是潜在的垃圾邮件制造者的信息的动作部件，该部件至少启动一个动作用于进行确认该实体是垃圾邮件制造者、减少该实体的垃圾邮件行为、增加垃圾邮件制造者的费用、以及它们的结合中的任何一项。

72、一种适应于在两个或多个用于识别潜在的垃圾邮件制造的计算机之间传送的数据包，该数据包包含：

用户至少对一个外发信息进行类似垃圾邮件特征检测的信息，该外发信息至少包含即时信息垃圾邮件、密谈垃圾邮件、以及聊天室垃圾邮件中的一种，该检测至少部分地取决于垃圾邮件的过滤、信息量监视、接收者计数、以及信息速率监视之一，其中该信息确定是否启动至少动作用于进行确认该实体是垃圾邮件制造者、减少该实体的垃圾邮件行为、以及增加垃圾邮件制造者的费用中的任何一项。

73、一种用户检测垃圾邮件的系统包括：

一个用于结合至少一个外发信息来检测潜在的垃圾邮件制造者的装置，该外发信息至少包含即时信息垃圾邮件、密谈垃圾邮件、以及聊天室垃圾邮件中的一种，该检测至少部分地取决于垃圾邮件的过滤、信息量监视、接收者计数、以及信息速率监视之一；

一个从该检测部件接收一个实体是潜在的垃圾邮件制造者的信息的装置；以及

一个用于至少启动一个动作用于进行确认该实体是垃圾邮件制造者、减少该实体的垃圾邮件行为、以及增加垃圾邮件制造者的费用中的任何一项的装置。

74、一种用于定期确定用户的非垃圾邮件制造者行为的系统包含：

一个用于至少监视外发信息量、接收者数量、外发信息速率之一的装置；

一个用于在对大量外发信息和大量接收者中的至少一个进行计数后，要求该用户账户回答一个或多个问题的装置；以及

一个用于终止以后的外发信息的传送直到回到了一个或多个问题的装置。

75、一种用于减少垃圾邮件的系统包含：

一个用于至少执行一种确定发送者数量限制的经济分析的装置，该分析至少部分地取决于垃圾邮件制造者的行为和合法用户的行为；以及

一个用于将发送者的发送量至少限制到以下一种的装置：

解答每个问题的最大数量；以及

发送者付出每笔费用的最大数量。