2022年6月27日，摄于谷歌位于加州湾区的总部。

问：谷歌推出新功能，现在起在Gmail以及其他使用以Gmail为基础的电邮服务上，认证帐号会被加上蓝剔。这项功能对用户有甚么好处？又该怎样做才能获得蓝剔认证？

李建军：电邮是一种相当「古老」的技术，比Web技术更早得多出现，几乎是现代互联网第一项应用。经过多年以来发展，由于当初推出电邮这项技术时，并无假冒主机的问题，以致后来出现了很多钓鱼电邮问题。近年为了解决假冒其他公司的钓鱼电邮问题，谷歌以至其他业界人士，都在研究电邮来源认证的技术，希望可以帮助用户更容易辨认电邮的真假。在以往，只有对互联网技术有相当认识的人，透过阅读电邮上的技术资料，才能辨识出假的电邮，但具备这种能力的人不多。

谷歌的新做法，是透过同时查核电邮来源的IP，以及电邮上的数码签名，去确认发件人的真实身份。如果电邮来源IP与其标榜的发信公司DNS登记脗合，而数码签名又可以作出核证，那谷歌就会自动将蓝剔加在电邮之上，证明电邮确由相关公司发出，这样便能杜绝那些伪装成大企业的钓鱼电邮，从而减低散播木马或病毒的风险。

而企业用户要得到蓝剔认证，亦不用特别向谷歌申请，只要依照谷歌的技术指引，妥善部署相关的数码签名就可以，因为数码签名相关的数码证书认证，已经某程度是一种核证身份过程，所以谷歌就不用多此一举，要求企业向谷歌付费后再取得蓝剔。现时谷歌Gmail已经对合符资格的电邮加上了蓝剔。

问：这技术听来很不错，但有没有甚么限制呢？以后我们就不必担心中国当局散播的钓鱼电邮了吗？

李建军：这项技术仍需要一段时间普及，估计大部分西方大企业以及政府部门都会逐渐部署相关技术，防止有人盗用其招牌搞假冒电邮，相信日后能有效杜绝相当一部分伪装成大公司电邮，去窃取资料的行为。

只不过，暂时该技术只能防范伪冒大型机构的钓鱼电邮，并不能对散户身份作出识别。换言之，Gmail用户可识别出他人以假冒的大机构邮箱对其发送电邮，但对一般普通用户身份的钓鱼电邮，就因没有蓝剔机制，很难辨别出对方的真实身份。除非谷歌在个人邮箱中引进类似推特、脸书的蓝剔认证机制，否则仍然离完全防止这类伪冒行为有一段距离。

问：那么对散户而言，要防止自己的电邮被中国当局伪冒，有甚么好方法？

李建军：现时个人假如有专有的域名，即可透过谷歌的收费服务，部署各类所需技术，从而取得蓝剔认证，杜绝中国当局或者其他人伪冒。

现时购买域名十分便宜，不少域名，只要数美元就已经可以注册用一年，这也是近年假冒域名横行的其中一个原因，因为现时要注册域名真的又便宜又容易。

注册域名时，应避免采用中国、香港或澳门为国家码的域名，因为这些域名都难免要向当地互联网域名管理组织登记，而这些组织，大部分都有政府参与，甚至是政府部门，这与送羊入虎口无分别。在海外登记域名，并且选择不向公众披露域名持有人的资料，这对你的保障最大——既可以有自己的域名以便取得电邮蓝剔，又不用因域名持有人资料披露问题而惹上麻烦。

而在海外登记域名，最好自己翻墙去海外的域名公司购买，不要向中国那些公司购买，以避免中国公司将资料交付中国当局。