该篇论文的题目为：The Harvester, the Botmaster, and the Spammer- On the Relations Between the Different Actors in the Spam Landscape 通过分析Harvester，Botmaster和Spammer之间的关系。

其实整个过程可以描述为：攻击者从网络上收集邮箱地址，然后利用Botnet发送推广广告或者恶意内容，从而获利。因此论文中对整个过程进行了重现：

• 自己搭建了网络服务并把邮件地址公布在网络上「采用的是自己搭建的邮件服务器」，等待攻击者来采集邮箱，同时记录下其爬虫的标示「HTTP头，IP地址和其它信息」；
• 记录邮件服务器软件的收信过程，详细记录投递过程，攻击者在发送邮件的时候会暴露一些特征「使用邮件服务器，握手过程」；
• 对攻击者发送的内容进行分析「主题，域名，发送软件，发件人」；
• 通过以上数据对这个攻击链进行分析。

贡献

通过阅读论文，发现文章主要有如下的贡献点：

• 通过搭建蜜罐系统来分析这个攻击链，可以说工作量相对比较多，思路也不错；
• 提出了SMTP通信痕迹概念，其实这个概念作者以前的文章就提出了。按照我的理解就是如果使用自定义搭建的SMTP发信的时候通信过程中会多一些步骤，同时可以通过这个过程来标示一个发信机器；
• 从邮件内容对恶意攻击进行分类，根据内容分为不同的列别；同时通过了Anubis和virustotal来分析IP的历史数据，是否存在恶意行为；

缺点

但是个人感觉文章存在以下不足：

• 观测时间太短，从2012.12.14-2013.05.15时间跨度太短，做的网站很可能Google都还没有被收录，攻击者就没有办法获取你的邮箱地址；同时可以发现后面的发件人IP居然只有75个，不得不说数据量确实很少；
• 还是上面的问题，始终感觉这种方式去逼近地下产业，数据量和切入点都太小了。