作者：支付宝公众与客户沟通部

2009年3月30日，支付宝（中国）网络技术有限公司对外公布了最新数据。截止到2月底为止，支付宝注册用户已达1.5亿，占国内网民的 50% 左右，高普及率表明支付宝已成功融入国民生活。数据表明，通过支付宝进行的电子商务日交易笔数峰值已达400万笔，日交易额峰值突破 7 亿元。在经济危机下，电子支付以其安全、高效的特性，成功地帮助企业与消费者压缩成本，成为国内产业转型核心推动力之一。

统计表明，2008 年支付宝新增会员数为 5700 万人，同比增长近2倍，与同期国内网民增长率相比 ，高出157个百分点，其中二三线城市增长迅猛。而截止 2009 年2月底，尽管有传统的元旦和春节长假，支付宝新增会员依然超过2000万。目前，几乎每 8 个中国人当中就有一人为支付宝用户，这表明支付宝的诚信担保概念已经深入人心，并进入大众化应用阶段，成为当前互联网上继电子邮箱、即时通信等应用后的主要基础应用之一。

随着支付宝用户数突破一亿五千万大关，电子支付已经成为推动国内经济运行的重要组成环节，尤其在金融危机的大背景下，高速普及的支付宝正在对整体中国经济产生深刻影响。

2008年，支付宝不但加强了传统支付领域——网络交易市场的重视程度，还不断拓展应用领域，进军航空机票业、电子政务系统等领域，并向日常消费领域挺进，如实施上海、杭州等地的水、电、煤等公共事业缴费以及与电信业的合作缴费，支付宝从准金融走向生活应用，显示出其“因为信任所以简单”的平民色彩，成为构筑现代便捷生活的核心工具之一。

与此同时，作为电子商务枢纽，支付宝还支撑起了国内电子商务业的大半江山。不但通过与淘宝网、京东商城、卓越亚马逊等巨头的合作给消费者带来安全便捷的网购体验，还与大量特色中小网站合作，以开放的姿态大力扶持整体产业的发展，成为驱动国内产业转型的核心力量之一。

–EOF–

作者：西毒 支付宝技术部

这是个 Mac 粉丝期待已久的好消息。

支付宝经过内部数次技术方案的评估，以及与 Apple 公司的技术沟通，最终支付宝将单独发行一个Mac平台上的Safari安全控件。

该控件定于4月1日(对，是在愚人节，但今天不是愚人节)正式发布。对于 Windows 平台的 Safari 浏览器，我们将在晚些时候发布对应的安全控件支持。事实上，控件本身已经研发完毕，但因为该版本 Safari 浏览器有一个网络连接特性比较特殊，需要支付宝改动官方网站的部分配置，故计划单独发布。

这将是在支持 Firefox 和 Google Chrome 之后走出的又一步，”罗马不是一天建成的”，敬请期待。

–EOF–

另：友情提示，目前支付宝暂不支持 Windows7 上的 IE8。有喜欢尝试新软件的支付宝用户可能要再耐心等待一段时间。

作者：秋石 支付宝风险管理部

“钓鱼邮件” 已成为个人资金信息安全最大的隐患之一。利用仿冒邮件地址的欺诈行为在业内比较普遍，虽然大部分邮件服务商禁止未经签名的发件服务器发送邮件，如 雅虎、Hotmail 邮箱等。但仍有大量“钓鱼邮件”及伪造邮件通过其他方式在网络传播，每年均有相当数量的网民因此利益受损。这一问题几乎困扰着全球各大跨国公司及所有的邮箱用户。

支付宝(中国)网络技术有限公司计划与邮件商从“钓鱼邮件”的关键点上入手，通过采用域名密钥绑定官方系统邮件来解决此类问题。而雅虎邮箱所拥有的DomainKeys技术，是国际邮箱业界反垃圾邮件技术和身份认证技术安全级别最高的技术之一，在国际上已经长期得到成熟运用。同时由于支付宝用户中使用雅虎邮箱的比例较高，双方拥有良好的合作基础。

从即日起，凡是由支付宝官方发送的包括帐户变动通知，凭证上传通知等内容的邮件，雅虎邮箱用户会发现在邮件列表上均显示支付宝的盾牌 Logo，并在邮件内可显示数字密钥安全标识，而非官方系统邮件则无该安全标识。据悉，该项目涉及全球范围内的雅虎邮箱用户。

如下图(点击可查看大的效果图)：

用户在打开邮件后还能看到发件人的签名标志：

其实，推行信任邮件又简单却又复杂，说难是因为国内超过几十家第三方邮件服务商难以统一协调，说简单是因为只要遵循一个邮件的标准即可。但关键是需要一个有责任感的企业主动站出来并持久地坚持下去。支付宝与雅虎携手启动该计划将共同为净化国内网络购物环境做出努力。

下边让我们来了解一下 Domain keys的细节：据中国雅虎工程师介绍，由于电子邮件协议早在互联网初期就产生，其规范的制定是很开放的，电子邮件的信体（包括发信人姓名和地址等）可以由发信人随意填写。这使得一些不法分子或垃圾邮件发信者就经常用伪造的邮件地址去博取用户的信任并打开邮件。因为传统电子邮件协议缺乏发信者的认证,检验和追溯性，电子邮件服务提供商也无法知道某一封邮件到底是否真实的或者伪造的，只能不断用一些训练式的过滤器代表用户来决定哪些邮件应该投递，哪些应该拦截，哪些应该隔离。Domainkeys 的出现，正是为解决电子邮件身份识别和保证邮件内容完整性这一问题。

Domainkeys 是由雅虎公司推出的一项确保电子邮件来源的真实性和内容的完整性的技术，它能让电子邮件服务商确定某封信是否真实的来自某个域，同时还能确定信体内容是否被修改过。这对于发送交易邮件的著名公司或银行等其他金融机构非常有用，它能帮助他们的用户免受“钓鱼欺诈邮件“的损害，比如用户常收到伪造这些机构的诈骗邮件，然后索取用户的信用卡卡号和密码。 而对于金融机构等公司也有保护用户的交易信息，提高用户满意度，减少客服咨询处理量和品牌保护的作用。

Domainkey的工作原理是：发信域的负责人首先生成一对公私钥用于对它发出的邮件进行签名（也可以生成多对公私钥用于发出不同类型的邮件），公钥需要部署到公共的DNS 服务器上供所有收信方查询。而私钥则用于加密自己发出的信。这样只有含有用这个私钥加密后的字符串的邮件才是该域发出的邮件。 收信方在收到邮件时，可以通过公用DNS查询它的公钥，然后用该域的公钥来解密验证收到的邮件。 如果验证是正确的，并且通过了其他反垃圾工具的检查，这封信就被投递到用户的邮箱里；如果验证失败，邮件将会被丢弃或者标志。 这样用户在所收到的邮件就能确保邮件确实是该域发出，而且邮件体本身没有被修改过。 而电子邮件服务商也可以建立发信域的信誉体系，以利于反垃圾邮件工具对该域的来信进行更有效的判断。

Domainkeys的这种通过数字签名来识别邮件真实来源的办法较之传统的以IP地址来识别的方法有三点好处：

• 一是如果邮件经由几次转发，IP地址的识别就会增加困难，不知道该以哪个ip为标准，而Domainkeys则没有这种问题，数字签名是插入邮件头部的，转发多少次都是可以提取出来用公钥验证。
• 二是一般电子邮件服务商经常需要增加服务器或者减少服务器，这导致发信IP会经常有变化，所以就需要向各个收信方电话或其他沟通方式通知，以便能正确识别来源。Domainkeys则不存在这个问题，因为它的身份标志不是IP地址，而是Domain，它作为一个电子邮件服务商的域名，变化会少很多，或者说不会变化，而且公钥是部署在公共的DNS上的，也无须通知收信方，没有任何的沟通成本。
• 三是对于一般的电子邮件服务商，尤其是企业邮局服务商，经常出现很多客户的域名是共享服务器的，也就是存在多个域共享一个IP的问题，这样就经常发生由于某个domain发了垃圾邮件导致IP进入黑名单而连累了其他域的发信情况。 Domainkeys 就不会存在这种问题，因为它是基于域验证的，完全可以为每个域建立一个信誉库，相互之间不会影响。

所以，Domainkeys 有以下特点：

• 1. 基于域来进行身份识别
• 2. 采用非对称的加密方式对邮件进行数字签名，别人无可伪造
• 3. 维护沟通成本低。公钥部署在公共的DNS上，无须相互通知。
• 4. 解决了企业域共享IP的问题，各域之间不相互影响

目前，Yahoo!，Gmail 等其他公司都支持 Domainkeys规范。 而作为Domainkys的推出者 Yahoo!, 在收到一封带有Domain key签名的邮件时会验证这封信，如果验证通过就会明显提示用户，目前是用一个小钥匙代表这封信是通过了验证的，让用户放心这封信确实是由某域发出的。另外，既然邮件来源可以真实识别，Yahoo! 邮箱还提供了针对域的特色服务，比如给特别的域显示特别的小图标以表示这封信来自某个可信任的域，这样用户只要看到小图标就可以相信这封信确实是真实的来自某个域。这种服务对于银行等金融系统的域尤其有用。最后Yahoo! 还会对做了Domainkeys的不同的域建立信誉体系，对于信誉好的Domain可能会免除反垃圾邮件的处理直接投入用户收信箱，对于用户投诉过多的Domain或许会采取更为严格的反垃圾机制，甚至拒绝发送。

最后，如果您是服务供应商，请为您的 Domain 做Domainkeys，防止别人冒用你的域名发信欺骗你的用户而给您的品牌带来不好的名声；如果您是邮箱用户，请使用支持Domainkeys规范验证的邮箱提供商，比如Yahoo! 或 Gmail，它会使你更容易识别邮件的真实来源而免受诈骗邮件的损害。

补充：关于 DomainKey Implementor’s Tools and Library for email servers & clients

–EOF–

作者：支付宝网友

支付宝公共事业缴费是用户期盼已久的功能，上次支付宝在杭州地区推出缴纳水费的功能之后，得到了广大用户的支持，居然还有网友创作了四格漫画，贴在这里和大家分享一下

支付宝的店小二们也表示将再接再厉，在更多地区推出公共事业缴费服务。

–EOF–