CN102223316A - 电子邮件处理方法及装置 - Google Patents
电子邮件处理方法及装置 Download PDFInfo
- Publication number
- CN102223316A CN102223316A CN2011101608379A CN201110160837A CN102223316A CN 102223316 A CN102223316 A CN 102223316A CN 2011101608379 A CN2011101608379 A CN 2011101608379A CN 201110160837 A CN201110160837 A CN 201110160837A CN 102223316 A CN102223316 A CN 102223316A
- Authority
- CN
- China
- Prior art keywords
- domain name
- information
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/234—Monitoring or handling of messages for tracking messages
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例公开了一种电子邮件方法及装置。该方法包括:解析电子邮件的头部信息,得到所述电子邮件的传输路径信息,所述传输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的IP地址;根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址,获得所述电子邮件的传输路径上的所述邮件发送服务器的域名,确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不匹配时,对所述电子邮件的正文进行分析处理,以确定所述电子邮件是否为钓鱼邮件。本发明实施例技术方案可有效对电子邮件进行处理,提高电子邮件处理效率。
Description
技术领域
本发明涉及邮件处理技术,尤其涉及一种电子邮件处理方法及装置。
背景技术
作为互联网中重要的信息传播工具,由于具有便利、低成本和高时效性的优点,以及可以进行各种信息的传输,电子邮件已成为商业、个人用户之间交流、信息分享及商务谈判等活动的最有价值的工具,其被广泛应用于人们的日常生活和工作中。
正是由于电子邮件传输的便利性,网络上的许多人常常滥用电子邮件的这种便利,产生了大量的垃圾邮件,特别是钓鱼邮件的出现,给人们的生活和工作中使用电子邮件带来不便和危害。其中,钓鱼邮件(Phishing)是指钓鱼攻击者通过伪造发件人地址,向收件人发送带有欺骗性内容的电子邮件,例如,向收件人发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,诱使收件人访问伪造的网页(Web)站点或者直接通过回复邮件的方式获取收件人的敏感信息。根据钓鱼邮件的内容,可将钓鱼邮件分为:有链接信息的钓鱼邮件和未有链接信息的钓鱼邮件,其中,有链接信息的钓鱼邮件是指通过社会工程学的手段引导收件人点击邮件中的链接信息,访问钓鱼攻击Web站点,而这些站点往往被伪造成银行等具有登录输入框的页面来骗取收件人的账号、密码等信息;未有链接信息的钓鱼邮件是指欺骗收件人将账号、密码等信息回复给指定的接收者,此类钓鱼邮件往往以中奖、退税等方式进行诈骗,这两类钓鱼邮件的区别在于,前者在邮件正文中往往包含有链接信息,而后者没有链接信息。
现有技术一提出了基于链接域名的反钓鱼邮件技术,其是在获取到电子邮件后,提取电子邮件正文中包含的链接地址,获得该链接地址的域名,对获得的该域名的特征进行分析处理,通过自然语言处理中的编辑距离(Levenshtein Distance)算法匹配特征库中的记录,当超过设定的阈值时即确认该电子邮件为钓鱼邮件,对邮件进行拦截。该反钓鱼邮件技术中,是对接收到的所有邮件的正文进行分析,且仅能识别出带有链接信息的钓鱼邮件,无法对未有链接信息的钓鱼邮件进行处理;而且,该反钓鱼邮件技术中,仅通过分析邮件正文中的链接进行处理,识别率较低,容易产生误判。
现有技术二提出了基于邮件特征识别的反钓鱼邮件技术,其是在获取到电子邮件后,首先根据多功能因特网邮件扩充服务(Multipurpose Internet Mail Extensions,MIME)分析电子邮件的头部信息,将头部信息的IP信息进行分类,根据IP分类计算得分;然后提取电子邮件正文中的链接信息,将提取出的链接的IP信息进行分类,并根据IP分类计算得分;最后,通过根据两次IP分类计算得到的总分数,判定该接收到的电子邮件是否为钓鱼邮件。该反钓鱼邮件技术中,通过对邮件进行综合分析,提高了邮件识别率,但是,该反钓鱼邮件技术也需要对接收到的所有邮件的正文进行分析,且仅能识别带有链接信息的钓鱼邮件,无法对无链接信息的钓鱼邮件进行处理;而且,该反钓鱼邮件技术在对邮件进行综合分析时,需要进行多次的域名***(Domain Name System,DNS)查询,与DNS服务器的交互查询过程导致邮件的处理效率较低。
综上,现有反钓鱼邮件处理技术中,均需要对所有邮件的正文进行分析,而电子邮件***中大部分为正常的非垃圾邮件,这种对正常邮件的处理占用较多的资源,导致邮件处理效率低。
发明内容
本发明实施例提供一种电子邮件处理方法及装置,减少电子邮件***中的资源占用,提高邮件处理效率。
本发明实施例提供一种电子邮件处理方法,包括:
解析电子邮件的头部信息,得到所述电子邮件的传输路径信息,所述传输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的IP地址;
根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址,获得所述电子邮件的传输路径上的所述邮件发送服务器的域名,确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不匹配时,对所述电子邮件的正文进行分析处理,以确定所述电子邮件是否为钓鱼邮件。
本发明实施例提供一种电子邮件处理装置,包括:
路径解析模块,用于解析电子邮件的头部信息,得到所述电子邮件的传输路径信息,所述传输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的IP地址;
邮件处理模块,用于根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址,获得所述电子邮件的传输路径上的所述邮件发送服务器的域名,确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不匹配时,对所述电子邮件的正文进行分析处理,以确定所述电子邮件是否为钓鱼邮件。
本发明实施例提供的电子邮件处理方法及装置,通过对电子邮件的头部信息进行分析,获得电子邮件传输的服务器的域名,以确定是否对电子邮件进行分析处理,使得电子邮件处理时,不需要对所有电子邮件的正文进行分析,可有效降低电子邮件处理占用的资源,提高电子邮件处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明电子邮件处理方法实施例一的流程示意图;
图2为本发明电子邮件处理方法实施例二的流程示意图;
图3为本发明实施例电子邮件处理方法实施例三中对电子邮件的正文进行分析处理的流程示意图;
图4为本发明电子邮件处理装置实施例一的结构示意图;
图5为本发明电子邮件处理装置实施例二的结构示意图;
图6为本发明电子邮件处理装置实施例中分析处理单元的结构示意图;
图7为本发明电子邮件处理装置实施例三的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明电子邮件处理方法实施例一的流程示意图。如图1所示,本实施例电子邮件处理方法包括以下步骤:
步骤101、解析电子邮件的头部信息,得到电子邮件的传输路径信息,该传输路径信息包括电子邮件的传输路径上的邮件发送服务器的IP地址;
步骤102、根据电子邮件的传输路径上邮件发送服务器的IP地址,获得电子邮件的传输路径上的邮件发送服务器的域名,确定电子邮件的发件人声称的域名与邮件发送服务器的域名不匹配时,对电子邮件的正文进行分析处理,以确定电子邮件是否为钓鱼邮件。
其中,发件人声称的域名,相当于发件人地址里面的域名信息,例如:[email protected]中的sina.com,由于发件人可以伪造这个域名信息,所以称为声称的。
本实施例电子邮件处理方法可应用于电子邮件的处理中,可有效对钓鱼邮件进行处理。具体地,本实施例在接收到电子邮件后,可首先对电子邮件的头部进行分析,通过对比电子邮件的发件人地址声称的域名与电子邮件路径上的邮件发送服务器的域名是否匹配,以初步确认接收到的电子邮件是正常邮件或疑似钓鱼邮件,只有在确认接收到的电子邮件为疑似钓鱼邮件时,才对该电子邮件的正文进行分析处理,确认该电子邮件为钓鱼邮件的可能性。
由于电子邮件***是通过简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)在互联网上的主机之间进行信息的传输,电子邮件的传送主要包括发送、传输和接收三个阶段。其中,发送阶段是用户通过在邮件客户端将编辑好的电子邮件发送到邮件发送服务器;传输阶段是根据邮件发送服务器接收到的电子邮件的目的地址,依照SMTP协议将电子邮件发送到目的地址对应的邮件接收服务器,且该阶段中,邮件发送服务器和邮件接收服务器之间还可能包括一个或多个中转服务器;接收阶段是邮件接收服务器将目的地址为本域的电子邮件接收过来,并提供给用户。因此,电子邮件传输过程中,其传输路径会经过发件人所在的邮件发送服务器,这样,电子邮件的传输路径的前几个传输节点对应的服务器必然是发件人发送邮件的真实域名对应的邮件发送服务器;而且,钓鱼邮件的发件人一般是伪造域名来进行邮件发送,通过将电子邮件的发件人声称的域名与电子邮件传输时的真实域名进行比较,即可有效确认该电子邮件是否为正常电子邮件,只有在域名不一致时才需要进一步地确定电子邮件是否为钓鱼邮件,减少了电子邮件***中的资源占用,提高电子邮件的处理效率。
综上,本实施例电子邮件处理方法通过对电子邮件中头部包含的路径信息进行分析,获得电子邮件传输所途经的邮件发送服务器的域名,通过对比电子邮件的发件人地址声称的域名与邮件发送服务器的域名是否匹配,以确定是否对电子邮件正文进行分析处理,使得电子邮件处理时,不需要对所有电子邮件的正文进行分析,可有效降低电子邮件处理占用的资源,提高电子邮件处理效率。
图2为本发明电子邮件处理方法实施例二的流程示意图。如图2所示,本实施例电子邮件处理方法包括以下步骤:
步骤201、获取电子邮件;
步骤202、获取电子邮件的发件人声称的域名,确定该域名是否为敏感域名,是则确定电子邮件为敏感邮件,需要进一步判定,执行步骤203,否则,电子邮件为正常邮件,结束;
步骤203、提取电子邮件的头部信息;
步骤204、根据电子邮件的头部信息,解析得到电子邮件的传输路径信息,确定电子邮件的发件人声称的域名是否与电子邮件的传输路径上的邮件发送服务器的域名匹配,是则,该电子邮件为正常邮件,结束;否则,电子邮件为疑似钓鱼邮件,执行步骤205;
步骤205、对电子邮件的正文进行分析处理,以确认电子邮件是否为钓鱼邮件。
本实施例步骤202中,可通过查询在域名数据库中设置的敏感域名,当电子邮件的发件人声称的域名为敏感域名时,即可初步确定该电子邮件为敏感邮件,需要进一步地对邮件进行分析,以确定该电子邮件是否为钓鱼邮件。其中,该域名数据库中可预先记录有需要进行进一步分析的敏感域名,该敏感域名可以是根据统计分析得到的,以及根据用户反馈得到的,通常而言,该敏感域名一般为容易被伪造的域名;电子邮件的发件人声称的域名可以根据SMTP协议,以及多功能因特网邮件扩充服务(Multipurpose Internet Mail Extension,MIME)格式提出电子邮件中的FROM字段,并从FROM字段中得到并记录发件人所在域的域名,该域名即是发件人声称的域名。
本实施例步骤204中,通过对电子邮件的头部信息进行分析,即可获得电子邮件的传输路径信息,从而可根据电子邮件路径中邮件发送服务器节点的IP地址,确定电子邮件传输时邮件发送服务器的域名,具体地,可在域名数据库中存储所有邮件服务器的IP地址与域名映射关系表,这样,在获得了电子邮件传输路径中节点的IP地址后,即可根据该IP地址来查询IP地址与域名映射关系表,确定节点对应的邮件发送服务器的域名。其中,域名数据库中存储的服务器的IP地址与域名映射关系表可实时更新,以得到所有电子邮件服务器的IP地址与域名映射关系表。本实施例中,提取电子邮件的传输路径,具体可以根据SMTP协议,以及MIME格式将电子邮件信头部分的路径提取出来。
本实施例步骤204中,在分析得到电子邮件传输路径中的IP地址后,还可判断电子邮件的传输路径上邮件发送服务器的IP地址是否为黑名单中限制的IP地址,是则确定电子邮件为钓鱼邮件,结束对邮件的处理,直接给出为钓鱼邮件的提示。其中,黑名单中限制的IP地址为预先设置的IP地址,可认定这些IP地址的邮件发送服务器发送来的电子邮件均为垃圾邮件,且这个黑名单可为保存在域名数据库中,以便于进行查询。
本实施例步骤204中,获得电子邮件传输时邮件发送服务器的域名后,即可判断电子邮件的发件人声称的域名是否与该邮件发送服务器的域名匹配,不匹配则说明电子邮件发件人声称的域名可能是伪造的,该电子邮件可能是钓鱼邮件,需要对其做进一步地分析确认,否则,则说明该电子邮件为正常邮件,则直接可将电子邮件发送到邮件接收服务器或用户。
可以看出,本实施例首先通过电子邮件的发件人声称的域名是否为特定的敏感域名,以判定是否需要对电子邮件进行处理,只有域名为敏感域名的电子邮件才需要进行分析处理;同时,还可根据电子邮件传输路径上邮件发送服务器的IP地址是否为黑名单中的IP地址,判断是否为钓鱼邮件,可进一步提高电子邮件处理效率。
图3为本发明实施例电子邮件处理方法实施例三中对电子邮件的正文进行分析处理的流程示意图。在上述图1或图2所示实施例技术方案的基础上,当确认接收到的电子邮件为疑似钓鱼邮件后,即可对电子邮件的正文进行分析处理,以确定该电子邮件为疑似钓鱼邮件的可能性,具体地,如图3所示,对电子邮件的正文进行分析处理具体可包括以下步骤:
步骤2051、对电子邮件的正文进行解析;
步骤2052、确定电子邮件的正文中是否有链接地址信息,是则执行步骤2054,否则,确定该电子邮件疑似为无链接地址的钓鱼邮件,执行步骤2053;
步骤2053、为该电子邮件标记第一告警标识;
步骤2054、提取链接地址信息,获得该链接地址对应的域名;
步骤2055、判断电子邮件的发件人声称的域名是否与该链接地址对应的域名匹配,是则该电子邮件为普通的垃圾邮件,执行步骤2056,否则,该电子邮件极有可能是钓鱼邮件,执行步骤2057;
步骤2056、为该电子邮件标记第二告警标识,结束;
步骤2057、为该电子邮件标记第三告警标识,结束。
本实施例中,当确定电子邮件的正文中有链接地址信息时,获得所述链接地址对应的域名;判断所述电子邮件的发件人声称的域名是否与所述链接地址对应的域名匹配,是则为所述电子邮件标记第二告警标识,以标识所述电子邮件为普通垃圾邮件,否则,为所述电子邮件标记第三告警标识,以标识所述电子邮件为钓鱼邮件。
本实施例中,提取电子邮件中的链接地址,具体可在带有文本内容的电子邮件的正文中查询http://或“www”字段,在带有超文本类型的电子邮件中查找“<a herf=”以及“</a>”字段。
本实施例中,当提取电子邮件中的链接地址后,即可确定该链接地址对应的域名,并可将电子邮件发件人声称的域名与其进行匹配,若域名相同,则匹配,否则不匹配,从而可根据域名是否匹配来确定电子邮件是否为钓鱼邮件。例如,发件人的地址为“[email protected]”,链接地址为“http://www.sina.com/cifm/id=r”,则发件人声称的域名和链接地址对应的域名均为“sina.com”,发件人声称的域名与链接地址对应的域名就会匹配;假设发件人的地址为“[email protected]”,而链接地址为“http://www.sina.com.asdfasdf.info/cifm/id=r”,则发件人声称的域名为“sina.com”,链接地址对应的域名为“sina.com.asdfasdf.info”,发件人声称的域名与链接地址对应的域名就不匹配。
本实施例中,当确认电子邮件可能是钓鱼邮件后,即可通过提取电子邮件的正文,对电子邮件的正文进行分析,以确定电子邮件是否为钓鱼邮件,并给出为钓鱼邮件的可能性的告警标识信息,其中,上述的标记第一告警标识的电子邮件标识该电子邮件极有可能为无链接地址的钓鱼邮件,标记第二告警标识的电子邮件可能为普通的垃圾邮件,标记第三告警标识的电子邮件可能为有链接地址的钓鱼邮件,这样,在将电子邮件发送给用户时,可根据告警标识信息分类提供给用户,使得用户可根据相关的告警信息确认电子邮件是否为钓鱼邮件,对于带有告警标识的电子邮件,可慎重打开,或打开后要特别注意,使得对电子邮件的处理更加具有针对性,避免电子邮件误判给用户带来的影响。
本领域技术人员可以理解的是,上述处理后的电子邮件在提供给用户时,可对用户发送相应的告警信息,例如,标记第一告警标识的电子邮件在发送给用户是,可在用户打开该电子邮件前,为用户提示该邮件疑似为无链接地址的钓鱼邮件的提示信息;或者,根据电子邮件标记的告警标识,对电子邮件进行分类提供给用户,例如可给用户提供正常电子邮件、疑似无链接地址的钓鱼邮件、疑似普通垃圾邮件、疑似有链接地址的钓鱼邮件。这样,用户在收到相关的电子邮件后,打开电子邮件时,可以更加慎重电子邮件的信息,避免陷入钓鱼邮件设下的陷阱。
可以看出,本实施例在对电子邮件进行分析,确定电子邮件是否为钓鱼邮件时,可对钓鱼邮件的类型进行分类,从而可将疑似为钓鱼邮件的电子邮件有针对性的提供给用户,避免用户收到钓鱼邮件的影响;同时,通过对电子邮件进行分类,可确认出有链接地址的钓鱼邮件和无链接地址的钓鱼邮件,提高了钓鱼邮件判断的准确性和可靠性,避免现有技术中无法对无链接地址的钓鱼邮件的漏判,提高钓鱼邮件处理的全面性;而且,通过对电子邮件进行分类,避免了现有技术中将电子邮件丢弃而导致可能为正常的电子邮件无法被用户收到,提高钓鱼邮件处理的全面性,可有效保证电子邮件***的安全性和可靠性;此外,通过对电子邮件分类,还可根据邮件的分类,直观的提供给用户,使得用户更加易于区分钓鱼邮件。
此外,本实施例中,还接收用户,即收件人的反馈信息,为用户提供个性化的邮件服务,具体地,接收用户的反馈信息,为用户提供个性化邮件服务具体可包括以下步骤:
步骤301、接收来自用户的反馈信息,该反馈信息包括反馈类型、接收的电子邮件的发件人信息以及域名,其中反馈类型用于指示对具有反馈中的发件人信息和域名的电子邮件的操作方式;
步骤302、根据反馈类型,对发件人信息和域名进行标记,以便接收到具有相同发件人信息和域名的邮件时,按照用户反馈的操作方式进行处理。
可以看出,根据用户的反馈信息,在接收到符合相关反馈类型的邮件时,即可直接根据用户之前的反馈将邮件提供给用户,例如,用户接收到疑似为钓鱼邮件的电子邮件,用户打开后认为该电子邮件为正常的电子邮件,用户反馈的信息指示在接收到该类的电子邮件时,可直接将其确认为正常的电子邮件,无需再进行其它分析,从而可满足用户的个性化需求,且也减少了邮件的不必要处理步骤,提高邮件处理效率。
本领域技术人员可以理解的是,本实施例电子邮件处理方法在对电子邮件进行处理时,是根据电子邮件的传输的逻辑关系对电子邮件进行处理,使得电子邮件处理时,可不需要对所有的电子邮件进行处理,节省电子邮件处理时间和能源消耗,提高电子邮件处理效率。
图4为本发明电子邮件处理装置实施例一的结构示意图。如图4所示,本实施例电子邮件处理装置包括路径解析模块1和邮件处理模块2,其中:
路径解析模块1用于解析电子邮件的头部信息,得到电子邮件的传输路径信息,传输路径信息包括电子邮件的传输路径上的邮件发送服务器的IP地址;
邮件处理模块2与路径解析模块连接,用于根据电子邮件的传输路径上的邮件发送服务器的IP地址,获得电子邮件的传输路径上的邮件发送服务器的域名,确定电子邮件的发件人声称的域名与邮件发送服务器的域名不匹配时,对电子邮件的正文进行分析处理,以确定电子邮件是否为钓鱼邮件。
本实施例可应用于电子邮件***中,对邮件接收服务器接收到的电子邮件进行处理后,再提供给用户,避免钓鱼邮件对用户的影响,其具体实现过程可参考上述本发明方法实施例的说明,在此不再赘述。
图5为本发明电子邮件处理装置实施例二的结构示意图。在上述图4所示实施例技术方案的基础上,如图5所示,本实施例中的邮件处理模块2具体可包括域名查找单元21、判断单元22、邮件确定单元23和分析处理单元24,其中:
域名查找单元21用于根据电子邮件的传输路径上的邮件发送服务器的IP地址,从IP地址与域名映射关系表中查找电子邮件的传输路径上的邮件发送服务器的IP地址对应的域名;
判断单元22与域名查找单元21连接,用于判断电子邮件的发件人声称的域名是否与邮件发送服务器的域名一致;
邮件确定单元23与判断单元22连接,用于在电子邮件的发件人声称的域名与邮件发送服务器的域名不一致时,判断电子邮件疑似为钓鱼邮件;
分析处理单元24与邮件确定单元23连接,用于在判断电子邮件疑似为钓鱼邮件时,对电子邮件的正文进行分析处理。
图6为本发明电子邮件处理装置实施例中分析处理单元的结构示意图。如图6所示,上述图5所示实施例中的分析处理单元24具体可包括解析判断子单元241、分析处理子单元242和告警标记子单元243,其中:
解析判断子单元241用于对电子邮件的正文进行解析,确定电子邮件的正文中是否有链接地址信息;
分析处理子单元242与解析判断子单元241连接,用于确定电子邮件的正文中有链接地址信息时,提取链接地址信息对电子邮件进行分析处理;
告警标记子单元243与解析判断子单元241连接,用于确定电子邮件的正文中无链接地址信息时,为电子邮件标记第一告警标识,以标识电子邮件为无链接地址的钓鱼邮件。
其中,分析处理子单元242具体可用于获得链接地址对应的域名,判断电子邮件的发件人声称的域名是否与链接地址对应的域名匹配;
上述的告警标记子单元243还可用于电子邮件的发件人声称的域名与链接地址对应的域名匹配时,为电子邮件标记第二告警标识,以标识电子邮件为普通垃圾邮件;或者,用于电子邮件的发件人声称的域名与链接地址对应的域名不匹配时,为电子邮件标记第三告警标识,以标识所述电子邮件为钓鱼邮件。
本实施例中,上述功能模块通过获取电子邮件传输路径,确定电子邮件传输时的邮件发送服务器域名是否与发件人声称的域名一致,从而判断电子邮件是否为疑似钓鱼邮件,以便确定电子邮件为疑似钓鱼邮件后,再对电子邮件进行分析处理,可有效避免对大量电子邮件的分析处理,只需要对为疑似钓鱼邮件的电子邮件进行处理,提高电子邮件的处理效率。
图7为本发明电子邮件处理装置实施例三的结构示意图。在上述图4所示实施例技术方案的基础上,如图7所示,本实施例电子邮件处理装置还可包括预处理模块3,可用于获取电子邮件的发件人声称的域名,确定域名是否为敏感域名,是则确定电子邮件为敏感邮件,对电子邮件进行钓鱼邮件的识别流程,否则,电子邮件为正常邮件;同时还可用于获取邮件头部中包含的邮件发送服务器的IP地址是否为黑名单的中限制IP地址,是则确定电子邮件为钓鱼邮件,直接结束判断流程,否则,对电子邮件进行钓鱼邮件的识别流程。
此外,本实施例中,还可包括有反馈处理模块,用于接收来自用户的反馈信息,并根据反馈信息的反馈类型,对反馈信息中携带的发件人信息和域名进行标记,反馈类型用于指示对具有发件人信息的域名的电子邮件的操作方式,以便接收到具有相同发件人信息和域名的邮件时,按照用户反馈的操作方式进行处理。
本领域技术人员可以理解的是,本实施例电子邮件处理装置可作为一个独立的装置,部署在现有的电子邮件***中,并将处理后的电子邮件交给收件服务器,由收件服务器再将处理后的电子邮件提供给用户;此外,本实施例电子邮件处理装置也可以与现有的电子邮件***集成在一起,作为电子邮件***的一部分,例如集成在收件服务器中,对电子邮件进行处理,其具体部署方式并不做限制。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种电子邮件处理方法,其特征在于,包括:
解析电子邮件的头部信息,得到所述电子邮件的传输路径信息,所述传输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的IP地址;
根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址,获得所述电子邮件的传输路径上的所述邮件发送服务器的域名,确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不匹配时,对所述电子邮件的正文进行分析处理,以确定所述电子邮件是否为钓鱼邮件。
2.根据权利要求1所述的电子邮件处理方法,其特征在于,根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址,获得所述电子邮件的传输路径上的所述邮件发送服务器的域名,确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名是否匹配包括:
根据所述电子邮件的传输路径上的邮件发送服务器的IP地址,从IP地址与域名映射关系表中查找所述电子邮件的传输路径上的所述邮件发送服务器的IP地址对应的域名;
判断所述电子邮件的发件人声称的域名是否与所述邮件发送服务器的域名一致,是则所述电子邮件的发件人声称的域名与所述服务器的域名匹配,所述电子邮件为正常邮件,否则,所述电子邮件为疑似钓鱼邮件。
3.根据权利要求2所述的电子邮件处理方法,其特征在于,所述从IP地址与域名映射关系表中查找所述电子邮件的传输路径上的所述邮件发送服务器的IP地址对应的域名之前还包括:
判断所述电子邮件的传输路径上的所述邮件发送服务器的IP地址是否为黑名单中限制的IP地址,是则确定所述电子邮件为钓鱼邮件。
4.根据权利要求1、2或3所述的电子邮件处理方法,其特征在于,所述对所述电子邮件的正文进行分析处理包括:
对所述电子邮件的正文进行解析,确定所述电子邮件的正文中是否有链接地址信息,是则提取所述链接地址信息对所述电子邮件进行分析处理,否则,为所述电子邮件标记第一告警标识,以标识所述电子邮件为无链接地址的钓鱼邮件。
5.根据权利要求1所述的电子邮件处理方法,其特征在于,还包括:
接收来自用户的反馈信息,所述反馈信息包括反馈类型、电子邮件的发件人信息以及域名,所述反馈类型用于指示对具有所述发件人信息和所述域名的电子邮件的操作方式;
根据所述反馈类型,对所述发件人信息和域名进行标记,以便接收到具有所述发件人信息和所述域名的邮件时,按照所述用户反馈的操作方式进行处理。
6.根据权利要求1所述的电子邮件处理方法,其特征在于,所述解析电子邮件的头部信息,得到所述电子邮件的传输路径信息之前还包括:
获取电子邮件的发件人声称的域名,确定所述域名是否为敏感域名,是则确定所述电子邮件为敏感邮件,以便对所述电子邮件进行分析处理,以确定所述电子邮件是否为钓鱼邮件;否则,所述电子邮件为正常邮件。
7.一种电子邮件处理装置,其特征在于,包括:
路径解析模块,用于解析电子邮件的头部信息,得到所述电子邮件的传输路径信息,所述传输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的IP地址;
邮件处理模块,用于根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址,获得所述电子邮件的传输路径上的所述邮件发送服务器的域名,确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不匹配时,对所述电子邮件的正文进行分析处理,以确定所述电子邮件是否为钓鱼邮件。
8.根据权利要求7所述的电子邮件处理装置,其特征在于,所述邮件处理模块包括:
域名查找单元,用于根据所述电子邮件的传输路径上的邮件发送服务器的IP地址,从IP地址与域名映射关系表中查找所述电子邮件的传输路径上的所述邮件发送服务器的IP地址对应的域名;
判断单元,用于判断所述电子邮件的发件人声称的域名是否与所述邮件发送服务器的域名一致;
邮件确定单元,用于在所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不一致时,判断所述电子邮件为疑似钓鱼邮件;
分析处理单元,用于在判断所述电子邮件为疑似钓鱼邮件时,对所述电子邮件的正文进行分析处理。
9.根据权利要求8所述的电子邮件处理装置,其特征在于,所述分析处理单元包括:
解析判断子单元,用于对所述电子邮件的正文进行解析,确定所述电子邮件的正文中是否有链接地址信息;
分析处理子单元,用于确定所述电子邮件的正文中有链接地址信息时,提取所述链接地址信息对所述电子邮件进行分析处理;
告警标记子单元,用于确定所述电子邮件的正文中无链接地址信息时,为所述电子邮件标记第一告警标识,以标识所述电子邮件为无链接地址的钓鱼邮件。
10.根据权利要求7所述的电子邮件处理装置,其特征在于,还包括:
反馈处理模块,用于接收来自用户的反馈信息,并根据所述反馈信息的反馈类型,对所述反馈信息中携带的发件人信息和域名进行标记,所述反馈类型用于指示对具有所述发件人信息的所述域名的电子邮件的操作方式,以便接收到具有相同发件人信息和所述域名的邮件时,按照用户反馈的操作方式进行处理。
11.根据权利要求7所述的电子邮件处理装置,其特征在于,还包括:
预处理模块,用于获取电子邮件的发件人声称的域名,确定所述域名是否为敏感域名,是则确定所述电子邮件为敏感邮件,以便对所述电子邮件进行处理,否则,所述电子邮件为正常邮件。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101608379A CN102223316A (zh) | 2011-06-15 | 2011-06-15 | 电子邮件处理方法及装置 |
PCT/CN2012/075410 WO2012171424A1 (zh) | 2011-06-15 | 2012-05-12 | 电子邮件处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101608379A CN102223316A (zh) | 2011-06-15 | 2011-06-15 | 电子邮件处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102223316A true CN102223316A (zh) | 2011-10-19 |
Family
ID=44779748
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101608379A Pending CN102223316A (zh) | 2011-06-15 | 2011-06-15 | 电子邮件处理方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102223316A (zh) |
WO (1) | WO2012171424A1 (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664878A (zh) * | 2012-04-10 | 2012-09-12 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
WO2012171424A1 (zh) * | 2011-06-15 | 2012-12-20 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
CN104579924A (zh) * | 2014-12-27 | 2015-04-29 | 北京奇虎科技有限公司 | 显示邮件的方法和邮件客户端 |
CN104580254A (zh) * | 2012-06-28 | 2015-04-29 | 北京奇虎科技有限公司 | 一种钓鱼网站识别***及方法 |
CN105843851A (zh) * | 2016-03-16 | 2016-08-10 | 新浪网技术(中国)有限公司 | 欺诈邮件分析与提取方法和装置 |
CN105847123A (zh) * | 2016-04-19 | 2016-08-10 | 乐视控股(北京)有限公司 | 垃圾邮件识别方法及装置 |
CN106992926A (zh) * | 2017-06-13 | 2017-07-28 | 深信服科技股份有限公司 | 一种伪造邮件检测的方法与*** |
CN107431693A (zh) * | 2014-12-27 | 2017-12-01 | 迈克菲有限责任公司 | 消息发送方真实性验证 |
CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | ***通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及*** |
CN108696422A (zh) * | 2017-04-12 | 2018-10-23 | 富士施乐株式会社 | 电子邮件处理装置和电子邮件处理方法 |
CN108965350A (zh) * | 2018-10-23 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种邮件审计方法、装置和计算机可读存储介质 |
CN110060150A (zh) * | 2019-04-28 | 2019-07-26 | 宜人恒业科技发展(北京)有限公司 | ***电子账单判别方法及装置 |
CN110324231A (zh) * | 2018-03-29 | 2019-10-11 | 基点资讯股份有限公司 | 非熟识电子邮件的提醒方法 |
CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、***及计算机可读存储介质 |
CN112836212A (zh) * | 2021-01-22 | 2021-05-25 | 华云数据控股集团有限公司 | 邮件数据的分析方法、钓鱼邮件的检测方法及装置 |
CN113965366A (zh) * | 2021-10-15 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 反向代理钓鱼攻击的防御方法、***和计算机设备 |
CN114666298A (zh) * | 2022-04-07 | 2022-06-24 | 赵伟 | 一种基于计算机的电子邮件通讯***及方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489734A (zh) * | 2021-07-13 | 2021-10-08 | 杭州安恒信息技术股份有限公司 | 钓鱼邮件检测方法、装置和电子装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101243463A (zh) * | 2005-08-16 | 2008-08-13 | 微软公司 | 反网络钓鱼保护 |
US20100042687A1 (en) * | 2008-08-12 | 2010-02-18 | Yahoo! Inc. | System and method for combating phishing |
WO2010027024A1 (ja) * | 2008-09-03 | 2010-03-11 | ヤマハ株式会社 | 中継装置、中継方法および記録媒体 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101667979B (zh) * | 2009-10-12 | 2012-06-06 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件***及方法 |
CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
-
2011
- 2011-06-15 CN CN2011101608379A patent/CN102223316A/zh active Pending
-
2012
- 2012-05-12 WO PCT/CN2012/075410 patent/WO2012171424A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101243463A (zh) * | 2005-08-16 | 2008-08-13 | 微软公司 | 反网络钓鱼保护 |
US20100042687A1 (en) * | 2008-08-12 | 2010-02-18 | Yahoo! Inc. | System and method for combating phishing |
WO2010027024A1 (ja) * | 2008-09-03 | 2010-03-11 | ヤマハ株式会社 | 中継装置、中継方法および記録媒体 |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012171424A1 (zh) * | 2011-06-15 | 2012-12-20 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
CN102664878A (zh) * | 2012-04-10 | 2012-09-12 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
CN102664878B (zh) * | 2012-04-10 | 2014-09-03 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
CN104580254A (zh) * | 2012-06-28 | 2015-04-29 | 北京奇虎科技有限公司 | 一种钓鱼网站识别***及方法 |
CN104580254B (zh) * | 2012-06-28 | 2017-10-31 | 北京奇虎科技有限公司 | 一种钓鱼网站识别***及方法 |
CN104579924A (zh) * | 2014-12-27 | 2015-04-29 | 北京奇虎科技有限公司 | 显示邮件的方法和邮件客户端 |
CN107431693B (zh) * | 2014-12-27 | 2021-02-19 | 迈克菲有限责任公司 | 消息发送方真实性验证 |
CN107431693A (zh) * | 2014-12-27 | 2017-12-01 | 迈克菲有限责任公司 | 消息发送方真实性验证 |
CN105843851A (zh) * | 2016-03-16 | 2016-08-10 | 新浪网技术(中国)有限公司 | 欺诈邮件分析与提取方法和装置 |
CN105847123A (zh) * | 2016-04-19 | 2016-08-10 | 乐视控股(北京)有限公司 | 垃圾邮件识别方法及装置 |
CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | ***通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及*** |
CN108696422A (zh) * | 2017-04-12 | 2018-10-23 | 富士施乐株式会社 | 电子邮件处理装置和电子邮件处理方法 |
CN108696422B (zh) * | 2017-04-12 | 2022-05-31 | 富士胶片商业创新有限公司 | 电子邮件处理装置和电子邮件处理方法 |
US11132646B2 (en) | 2017-04-12 | 2021-09-28 | Fujifilm Business Innovation Corp. | Non-transitory computer-readable medium and email processing device for misrepresentation handling |
CN106992926A (zh) * | 2017-06-13 | 2017-07-28 | 深信服科技股份有限公司 | 一种伪造邮件检测的方法与*** |
CN110324231A (zh) * | 2018-03-29 | 2019-10-11 | 基点资讯股份有限公司 | 非熟识电子邮件的提醒方法 |
CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、***及计算机可读存储介质 |
CN108965350B (zh) * | 2018-10-23 | 2021-04-23 | 杭州安恒信息技术股份有限公司 | 一种邮件审计方法、装置和计算机可读存储介质 |
CN108965350A (zh) * | 2018-10-23 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种邮件审计方法、装置和计算机可读存储介质 |
CN110060150A (zh) * | 2019-04-28 | 2019-07-26 | 宜人恒业科技发展(北京)有限公司 | ***电子账单判别方法及装置 |
CN112836212A (zh) * | 2021-01-22 | 2021-05-25 | 华云数据控股集团有限公司 | 邮件数据的分析方法、钓鱼邮件的检测方法及装置 |
CN112836212B (zh) * | 2021-01-22 | 2024-02-09 | 华云数据控股集团有限公司 | 邮件数据的分析方法、钓鱼邮件的检测方法及装置 |
CN113965366A (zh) * | 2021-10-15 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 反向代理钓鱼攻击的防御方法、***和计算机设备 |
CN113965366B (zh) * | 2021-10-15 | 2024-04-09 | 杭州安恒信息技术股份有限公司 | 反向代理钓鱼攻击的防御方法、***和计算机设备 |
CN114666298A (zh) * | 2022-04-07 | 2022-06-24 | 赵伟 | 一种基于计算机的电子邮件通讯***及方法 |
CN114666298B (zh) * | 2022-04-07 | 2024-02-02 | 深圳泓越信息科技有限公司 | 一种基于计算机的电子邮件通讯***及方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2012171424A1 (zh) | 2012-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102223316A (zh) | 电子邮件处理方法及装置 | |
EP2446411B1 (en) | Real-time spam look-up system | |
CN101637002B (zh) | 用于收集远程可接入信息源的地址的方法及*** | |
US7631046B2 (en) | Method and apparatus for lawful interception of web based messaging communication | |
US9787636B2 (en) | Relay device and control method of relay device | |
US20090044006A1 (en) | System for blocking spam mail and method of the same | |
CN105827706A (zh) | 消息推送装置及方法 | |
CN108600081A (zh) | 一种邮件外发存档的方法及装置、邮件网关 | |
US8775534B2 (en) | Method and system for e-mail enhancement | |
JP2020521221A (ja) | 電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システム | |
CN103609078A (zh) | 网络设备及电子邮件请求处理方法 | |
CN108683589A (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
WO2011081755A2 (en) | Electronic mail server and method for automatically generating address lists | |
US20130145289A1 (en) | Real-time duplication of a chat transcript between a person of interest and a correspondent of the person of interest for use by a law enforcement agent | |
CN101325495B (zh) | 一种应用于检测黑客服务器的检测方法、装置及*** | |
JP2006345331A (ja) | 電子メールシステム | |
JP2011118594A (ja) | 配達情報提供サーバ、配達情報提供システム、及び配達情報提供プログラム | |
CN110300193B (zh) | 一种获取实体域名的方法和装置 | |
KR100699780B1 (ko) | 메일 발송 상태 확인을 지원하는 전자 메일 서버 및 전자메일 서비스 제공 방법 | |
JP4330657B1 (ja) | 受信メール内容自動分類方法及び安否確認方法 | |
CN109495372B (zh) | 垃圾邮件的识别方法和装置 | |
KR101086547B1 (ko) | 메일에 첨부된 url을 분석하여 스팸을 처리하는 시스템 및 방법 | |
CN102067534A (zh) | 邮件***、垃圾邮件处理器及标记垃圾邮件的方法 | |
CN110034996A (zh) | 垃圾邮件识别方法、装置和*** | |
CN110808902A (zh) | 数据发送方法、装置和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111019 |