CN104202232A - 一种互联网邮件处理方法及设备 - Google Patents
一种互联网邮件处理方法及设备 Download PDFInfo
- Publication number
- CN104202232A CN104202232A CN201410386593.XA CN201410386593A CN104202232A CN 104202232 A CN104202232 A CN 104202232A CN 201410386593 A CN201410386593 A CN 201410386593A CN 104202232 A CN104202232 A CN 104202232A
- Authority
- CN
- China
- Prior art keywords
- message
- internet mail
- information
- sends
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种互联网邮件处理方法,包括:根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据审计特征,对所述互联网邮件发送报文进行审计。本发明还同时公开了一种互联网邮件处理设备。如此,本发明实施例不仅能快速且灵活地过滤出互联网邮件发送报文,还能快速且准确地对互联网邮件发送报文进行审计。
Description
技术领域
本发明涉及互联网邮件(Webmail)的处理技术,尤其涉及一种互联网邮件处理方法及设备。
背景技术
Webmail是通过Web页面来收发邮件的一种方式,即通过浏览器就可以打开Webmail邮箱,无需安装客户端软件,实现邮件的收发。虽然Webmail这种方式非常便利,但是企业员工在使用过程中很容易泄露公司的机密信息,因此,Webmail信息的泄漏成为了企业机密文件外泄的一种途径,尤其是对Webmail附件信息的泄漏。
现有Webmail审计实现方案有以下两种:
第一种实现方案是:首先通过网络设备的报文中过滤出来超文本传输协议(Hypertext transfer protocol,Http)报文,然后判断过滤出的Http报文中的关键字Host中是否含有字符mail,若过滤出的Http报文中的关键字Host中含有字符mail,则确定过滤出的Http报文为Webmail发送报文,如果存在邮件发送正文识别的关键字,则尝试从Webmail发送报文中提取Webmail发送正文的收件人,发件人,主题,正文内容等信息,如果提取成功则记录审计结果。第一种实现方案可以识别出大部分且较为常用的webmail。
第二种实现方案是:对于每种webmail采用预定义特征与后台编码方式结合的方式实现审计功能,每一个邮箱对应一套程序处理流程,导致了大量的代码冗余,对新邮箱审计支持时需要编码实现,会耗费大量时间,维护成本非常大。第二种实现方案可以准确的审计预定义好的webmail邮箱。
发明人在实现本发明的过程中,发现现有webmail审计方案至少存在以下缺陷:
第一种实现方案,由于很多企业的私有邮箱协议里Host可能会仅仅是一个IP地址,因此对于Host中不包含关键字的情况无法识别出来,这样就会有一部分邮箱无法审计;另外,有很多不是Webmail发送邮件的流量,但是Host中包含了Mail关键字,也会被误认为是Webmail发送邮件的流量,由此可见,第一种实现方案对Webmail发送邮件的流量过滤不够彻底,并且加大了审计程序处理的压力。
第二种实现方案,灵活性不够,并且对新增邮箱类型的审计,维护成本高,审计比较复杂。
由此可见,目前亟需一种互联网邮件审计方法,能确保Webmail发送报文的信息安全。
发明内容
有鉴于此,本发明实施例提供一种互联网邮件处理方法及设备,不仅能快速且灵活地过滤出互联网邮件发送报文,还能快速且准确地对互联网邮件发送报文进行审计。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种互联网邮件处理方法,该方法包括:
根据超文本传输协议Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;
在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计。
上述方案中,所述根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容,包括:
若流经网络设备的Http报文中的第一特征字段Method中含有字符post,且第二特征字段Url中含有字符send、compose、compose_send、upload、uploadatt或uploadfile,则确定流经网络设备的Http报文为互联网邮件发送报文;
根据第二特征字段Url确定所述互联网邮件发送报文的内容;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符send、compose或compose_send,则确定所述互联网邮件发送报文中包括邮件正文发送信息;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符upload、uploadatt或uploadfile,则确定所述互联网邮件发送报文中包括邮件附件发送信息。
上述方案中,所述确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计,包括:
确定所述互联网邮件发送报文中包括邮件正文发送信息时,根据所述邮件正文发送信息中的审计特征提取所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid;
若提取到所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid,则对所述邮件正文发送信息审计成功,并将提取到的信息作为审计结果保存。
上述方案中,所述确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计,包括:
确定所述互联网邮件发送报文中包括邮件附件发送信息时,根据所述邮件附件发送信息中的审计特征提取所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid;
若提取到所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid,则对所述邮件附件发送信息审计成功,并将提取到的信息作为审计结果保存。
上述方案中,所述审计特征包括:第一类审计特征、第二类审计特征、第三类审计特征中的一类或多类;其中,
第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;第二类审计特征是以字符&作为变量内容的起始和结束字符;第三类审计特征是包含有变量内容的报文HTML格式特征字段。
基于上述方法,本发明实施例还提供了一种互联网邮件处理设备,该设备包括:确定单元、审计单元;其中,
所述确定单元,用于根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;
所述审计单元,用于在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计。
上述方案中,所述确定单元具体用于:
若流经网络设备的Http报文中的第一特征字段Method中含有字符post,且第二特征字段Url中含有字符send、compose、compose_send、upload、uploadatt或uploadfile,则确定流经网络设备的Http报文为互联网邮件发送报文;
根据第二特征字段Url确定所述互联网邮件发送报文的内容;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符send、compose或compose_send,则确定所述互联网邮件发送报文中包括邮件正文发送信息;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符upload、uploadatt或uploadfile,则确定所述互联网邮件发送报文中包括邮件附件发送信息。
上述方案中,所述审计单元具体用于:
确定所述互联网邮件发送报文中包括邮件正文发送信息时,根据所述邮件正文发送信息中的审计特征,提取所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid;
若提取到所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid,则对所述邮件正文发送信息审计成功,并将提取到的信息作为审计结果保存。
上述方案中,所述审计单元具体用于:
确定所述互联网邮件发送报文中包括邮件附件发送信息时,根据所述邮件附件发送信息中的审计特征,提取所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid;
若提取到所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid,则对所述邮件附件发送信息审计成功,并将提取到的信息作为审计结果保存。
上述方案中,所述审计特征包括:第一类审计特征、第二类审计特征、第三类审计特征中的一类或多类;其中,
第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;第二类审计特征是以字符&作为变量内容的起始和结束字符;第三类审计特征是包含有变量内容的报文HTML格式特征字段。
本发明实施例所提供的互联网邮件处理方法及设备,根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征,对所述互联网邮件发送报文进行审计。如此,本发明实施例根据Http报文中的第一特征字段Method及第二特征字段Url确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容,能快速且灵活地过滤出互联网邮件发送报文,并且,在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征,对所述互联网邮件发送报文进行审计,能快速且准确地对互联网邮件的发送报文进行审计,从而提高审计效率。
附图说明
图1为本发明实施例互联网邮件处理方法的实现流程示意图;
图2为本发明实施例互联网邮件处理设备的结构示意图。
具体实施方式
在本发明实施例中,根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征,对所述互联网邮件发送报文进行审计。
下面结合附图对本发明的具体实施方式进行说明。
本发明实施例提出了一种互联网邮件处理方法,应用于网络设备上,用于对互联网邮件进行处理,如图1所示,该方法包括:
步骤S100:根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件Webmail发送报文、并确定所述互联网邮件发送报文的内容。
本步骤中,流经网络设备的Http报文,通常也可称为Http流量,Webmail发送报文,通常也可称为Webmail发送流量;本发明实施例通过对大量的Webmail邮箱的分析,发现Http报文中的第一特征字段Method及第二特征字段Url可以作为Webmail发送报文的过滤条件;若流经网络设备的Http报文中的第一特征字段Method中含有字符post,且第二特征字段Url中含有字符send、compose、compose_send、upload、uploadatt或uploadfile,则确定流经网络设备的Http报文为Webmail发送报文,若流经网络设备的Http报文中的第一特征字段Method中不含有字符post,则确定流经网络设备的Http报文肯定不为Webmail发送报文,结束后续的审计处理流程,这样,能够过滤掉不相关的Http报文,减少对冗余Http报文的处理,从而提高审计的执行效率。
通常情况下,在发送Webmail时,将分别发送Webmail的邮件正文发送信息和邮件附件发送信息,即一次发送的Webmail发送报文中只能包括邮件正文发送信息或邮件附件发送信息,此时需要确定出Webmail发送报文中包括的是邮件正文发送信息或是邮件附件发送信息,这样,才能够对Webmail的邮件正文发送信息和邮件附件发送信息分别进行审计,具体实现方式如下:
在过滤出Webmail发送报文时,可以进一步通过Http报文中的第二特征字段Url,确定出该Webmail发送报文中包括邮件正文发送信息或者邮件附件发送信息;若该Webmail发送报文中的第二特征字段Url中含有字符send、compose或compose_send,则确定该Webmail发送报文中包括邮件正文发送信息;若该Webmail发送报文中的第二特征字段Url中含有字符upload、uploadatt或uploadfile,则确定该Webmail发送报文中包括邮件附件发送信息。
步骤S101:在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计根据邮件正文发送信息中的审计特征对该邮件正文发送信息进行审计。
本步骤中,确定所述互联网邮件发送报文中包括邮件正文发送信息时,根据所述邮件正文发送信息中的审计特征提取所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid等信息;若提取到所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid等信息,则对所述邮件正文发送信息审计成功,并将提取到的信息作为审计结果保存。
本步骤中,确定所述互联网邮件发送报文中包括邮件附件发送信息时,根据所述邮件附件发送信息中的审计特征提取所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid等信息;若提取到所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid等信息,则对所述邮件附件发送信息审计成功,并将提取到的信息作为审计结果保存。
其中,所述审计特征包括:第一类审计特征、第二类审计特征、第三类审计特征中的一类或多类;其中,第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;第二类审计特征是以字符&作为变量内容的起始和结束字符;第三类审计特征是包含有变量内容的报文HTML格式特征字段。
本发明的上述实施例中,通过邮件正文关联Sessionid或邮件附件关联Sessionid将同一Webmail的邮件正文发送信息和邮件附件发送信息进行关联,同一Webmail的邮件正文关联Sessionid或邮件附件关联Sessionid相同,这样,能够将同一Webmail的邮件正文发送信息和邮件附件发送信息关联起来;若Webmail仅发送了邮件正文发送信息,在对邮件正文发送信息审计成功时,则对该Webmail发送的邮件内容审计成功;若Webmail仅发送了邮件附件发送信息,在对邮件附件发送信息审计成功时,则对该Webmail发送的邮件内容审计成功;若Webmail既发送了邮件正文发送信息又发送了邮件附件发送信息,在对邮件正文发送信息和邮件附件发送信息均审计成功时,则对该Webmail发送的邮件内容审计成功。
优选的,由于大部分的Webmail邮箱都有自动保存草稿的功能,自动保存草稿的流量通常包含一定的特征,例如,第二特征字段Url中含有字符save、autosave等,在进行邮件发送操作的流量审计时,需要排除对由于webmail邮箱自动保存草稿功能引起的流量的审计,只审计邮件发送操作的流量,这样,能够进一步提高审计效率。
进一步地,可以根据Http报文中的第三特征字段Content_type,确定邮件正文发送信息或邮件附件发送信息中信息的提取流程或处理方式;其中,Content_type中包括:urlencoded、application/xml、application/json、multipart、application/octet-stream、multipart/form-data等类型,Content_type也可以包括采用上述几种类型的组合。
具体的,在根据审计特征对该邮件正文发送信息进行审计时,可以根据Webmail报文中的第三特征字段Content_type中含有的字符,判断出需要用何种类型的处理流程或处理方式来提取该邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid等信息,能够实现针对每种Content_type类型调用不同的处理流程,完成对Webmail的邮件正文发送信息中的的收件人,发件人,邮件标题,邮件正文信息、邮件附件关联Sessionid等信息的提取。例如,可以根据第三特征字段Content_type确定提取该邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Id等信息的先后顺序或提取方式。
优选的,由于Webmail发送报文的邮件正文发送信息中收件人是必须的,因此可以根据预设的Content_type调用对应的处理流程先提取出邮件正文发送信息中的收件人,若提取到收件人,则继续提取邮件正文发送信息中的其他相关信息,若没有提取到收件人,则结束处理流程,这样,能够提高审计程序的执行效率。
本发明的上述实施例中,由于每种内容组织的类型,结构是比较固定的,可以得到相对固定的字段分割符号,每种内容组织的类型对应各自的处理流程,用有限的几种处理流程就可以覆盖绝大多数Webmail报文中的邮件正文发送信息的审计,再加上特殊Webmail报文中的邮件正文发送信息的单独处理,这样,能够对大多数Webmail报文中的邮件正文发送信息进行审计。
具体的,在根据审计特征对该邮件附件发送信息进行审计时,可以根据Webmail报文中的第三特征字段Content_type中含有的字符,判断出需要用何种类型的处理流程或处理方式来提取该邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid等信息;同Webmail报文中的邮件正文发送信息类似,由于每种内容组织的类型,结构也是比较固定的,可以得到相对固定的字段分割符号,因此可以针对每种邮件附件发送信息的类型调用不同的处理流程,完成对Webmail报文中邮件附件发送信息中附件文件名、附件正文信息、邮件正文关联Sessionid等信息的审计。
优选的,由于部分Webmail邮箱支持大附件上传方式,因此可以根据预设的Content_type调用特殊的处理流程,分段审计邮件附件发送信息,各个分段审计都完成以后,再根据分段之间的顺序关系进行拼接操作,实现邮件附件发送信息的完整审计。
本发明实施例中,根据Http报文中的第一特征字段Method及第二特征字段Url确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容,能快速且灵活地过滤出互联网邮件发送报文,并且,在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征,对所述互联网邮件发送报文进行审计,能快速且准确地对互联网邮件的发送报文进行审计,从而提高审计效率。
为了更清楚地对本发明实施例进行说明,下面以实施例一为例,对应图1所示的流程对Webmail报文中的邮件正文发送信息进行审计的过程进行描述。
实施例一
Http报文中的几个特征字段如下所示:
Method:post
Host:mail.qq.com
Url_path:/cgi-bin/compose_send
Content-type:gb2312,application/x-www-form-urlencoded
To=%22test_test%22<test_test163.com>&
Cc=%22test_test%22<test_testqq.com>&
Subject=1111111111111111111111111111111&
Content__html=<DIV>11
首先,根据Http报文中的第一特征字段Method中含有字符post,确定流经网络设备的Http报文可能为互联网邮件发送报文,进一步根据第二特征字段Url中含有字符compose_send,确定该Http报文为Webmail发送报文;由于第二特征字段Url中含有字符compose_send,因此,确定该Webmail发送报文中包括的是邮件正文发送信息,最终,根据第三特征字段Content_type中含有的字符urlencoded,确定按照urlencoded这种编码格式对应的处理流程并根据第二类审计特征,对邮件正文发送信息中的的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid进行提取,第二类审计特征是以字符&作为变量内容的起始和结束字符,这里按照urlencoded这种编码格式对应的处理流程依次提取收件人To、抄送人Cc、发件人bcc、邮件标题Subject、邮件正文信息Content_html中的内容,邮件附件关联Sessionid可以从Url中提取到,以完成对该Webmail报文中的邮件正文发送信息的审计,并将提取到的信息作为审计结果保存。
下面以实施例二为例,对应图1所示的流程对Webmail报文中的邮件附件发送信息进行审计的过程进行描述。
实施例二
Http报文中的几个特征字段如下所示:
Method:post
Host:u4.mail.qq.com
Url_path:/cgi-bin/uploadfile
Content-type:multipart/from-data
Cookie:ptisp=cn;ptcz=b684c46
-------------------------------------------
Content-Disposition:form-data;name=“Filename”
Ceshi_file.txt
-------------------------------------------
Content-Disposition:form-data;name=“UploadFile”;Filename=“Ceshi_file.txt”
首先,根据Http报文中的第一特征字段Method中含有字符post,确定流经网络设备的Http报文可能为互联网邮件发送报文,进一步根据第二特征字段Url中含有字符uploadfile,确定该Http报文为Webmail发送报文;由于第二特征字段Url中含有的uploadfile,因此,确定该Webmail发送报文中包括的是邮件附件发送信息,最终,根据第三特征字段Content_type中含有的字符multipart,确定按照multipart这种编码格式对应的处理流程并根据第一类审计特征,对邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid进行提取,第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;这里按照multipart这种编码格式对应的处理流程首先提取Content-Disposition:form-data;name=“Filename”中的附件文件名Filename中的内容,然后提取Content-Disposition:form-data;name=“UploadFile”附件正文信息UploadFile中的内容,邮件正文关联Sessionid可以从Cookie中提取到,以完成对该Webmail报文中的邮件附件发送信息的审计,并将提取到的信息作为审计结果保存。
为实现上述方法,本发明实施例还提供了一种互联网邮件处理设备,由于该设备解决问题的原理与方法相似,因此,设备的实施过程及实施原理均可以参见前述方法的实施过程及实施原理描述,重复之处不再赘述。
图2为本发明实施例中提供的互联网邮件处理设备的结构示意图,如图2所示,该设备包括:确定单元200、审计单元201;其中,
所述确定单元200,用于根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;
所述审计单元201,用于在所述确定单元确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征,对所述互联网邮件发送报文进行审计;
其中,所述审计特征包括:第一类审计特征、第二类审计特征、第三类审计特征中的一类或多类;其中,
第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;第二类审计特征是以字符&作为变量内容的起始和结束字符;第三类审计特征是包含有变量内容的报文HTML格式特征字段。
上功能模块或单元的划分方式仅为本发明实施例给出的一种优选实现方式,功能模块或单元的划分方式不构成对本发明的限制。为了描述的方便,以上所述设备的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
具体实施中,所述确定单元200具体用于:
若流经网络设备的Http报文中的第一特征字段Method中含有字符post,且第二特征字段Url中含有字符send、compose、compose_send、upload、uploadatt或uploadfile,则确定流经网络设备的Http报文为互联网邮件发送报文;
根据第二特征字段Url确定所述互联网邮件发送报文的内容;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符send、compose或compose_send,则确定所述互联网邮件发送报文中包括邮件正文发送信息;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符upload、uploadatt或uploadfile,则确定所述互联网邮件发送报文中包括邮件附件发送信息;并根据审计特征对所述邮件附件发送信息进行审计。
具体实施中,所述审计单元201具体用于:
在确定单元200确定所述互联网邮件发送报文中包括邮件正文发送信息时,根据所述邮件正文发送信息中的审计特征,提取所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid;
若提取到所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid,则对所述邮件正文发送信息审计成功,并将提取到的信息作为审计结果保存。
具体实施中,所述审计单元201具体用于:
在确定单元200确定所述互联网邮件发送报文中包括邮件附件发送信息时,根据所述邮件附件发送信息中的审计特征,提取所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid;
若提取到所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid,则对所述邮件附件发送信息审计成功,并将提取到的信息作为审计结果保存。
本发明实施例提供的互联网邮件处理设备可以作为一个功能模块,部署在企业网关、靠近企业网络出口的网络设备或其他网络设备中,实现对去往互联网的互联网邮件Webmail发送报文进行过滤及审计;例如,将所述互联网邮件处理设备部署在高性能的服务器上,然后,通过Webmail发送报文(流量)旁路的方式,将该Webmail发送报文(流量)镜像到该服务器上进行过滤及审计。
在实际应用中,当所述确定单元200、审计单元201集成于一个硬件设备中时,所述确定单元200、审计单元201可由位于互联网邮件处理设备中的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)实现。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种互联网邮件处理方法,其特征在于,所述方法包括:
根据超文本传输协议Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;
在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计。
2.根据权利要求1所述的方法,其特征在于,所述根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容,包括:
若流经网络设备的Http报文中的第一特征字段Method中含有字符post,且第二特征字段Url中含有字符send、compose、compose_send、upload、uploadatt或uploadfile,则确定流经网络设备的Http报文为互联网邮件发送报文;
根据第二特征字段Url确定所述互联网邮件发送报文的内容;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符send、compose或compose_send,则确定所述互联网邮件发送报文中包括邮件正文发送信息;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符upload、uploadatt或uploadfile,则确定所述互联网邮件发送报文中包括邮件附件发送信息。
3.根据权利要求2所述的方法,其特征在于,所述确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计,包括:
确定所述互联网邮件发送报文中包括邮件正文发送信息时,根据所述邮件正文发送信息中的审计特征提取所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid;
若提取到所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid,则对所述邮件正文发送信息审计成功,并将提取到的信息作为审计结果保存。
4.根据权利要求2所述的方法,其特征在于,所述确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计,包括:
确定所述互联网邮件发送报文中包括邮件附件发送信息时,根据所述邮件附件发送信息中的审计特征提取所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid;
若提取到所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid,则对所述邮件附件发送信息审计成功,并将提取到的信息作为审计结果保存。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述审计特征包括:第一类审计特征、第二类审计特征、第三类审计特征中的一类或多类;其中,
第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;第二类审计特征是以字符&作为变量内容的起始和结束字符;第三类审计特征是包含有变量内容的报文HTML格式特征字段。
6.一种互联网邮件处理设备,其特征在于,所述设备包括:确定单元、审计单元;其中,
所述确定单元,用于根据Http报文中的第一特征字段Method及第二特征字段Url,确定流经网络设备的Http报文是否为互联网邮件发送报文、并确定所述互联网邮件发送报文的内容;
所述审计单元,用于在确定流经网络设备的Http报文为互联网邮件发送报文、以及确定所述互联网邮件发送报文的内容时,根据所述内容中的审计特征对所述互联网邮件发送报文进行审计。
7.根据权利要求6所述的设备,其特征在于,所述确定单元具体用于:
若流经网络设备的Http报文中的第一特征字段Method中含有字符post,且第二特征字段Url中含有字符send、compose、compose_send、upload、uploadatt或uploadfile,则确定流经网络设备的Http报文为互联网邮件发送报文;
根据第二特征字段Url确定所述互联网邮件发送报文的内容;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符send、compose或compose_send,则确定所述互联网邮件发送报文中包括邮件正文发送信息;
若所述互联网邮件发送报文中的第二特征字段Url中含有字符upload、uploadatt或uploadfile,则确定所述互联网邮件发送报文中包括邮件附件发送信息。
8.根据权利要求7所述的设备,其特征在于,所述审计单元具体用于:
在确定单元确定所述互联网邮件发送报文中包括邮件正文发送信息时,根据所述邮件正文发送信息中的审计特征,提取所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid;
若提取到所述邮件正文发送信息中的收件人、发件人、邮件标题、邮件正文信息、邮件附件关联Sessionid,则对所述邮件正文发送信息审计成功,并将提取到的信息作为审计结果保存。
9.根据权利要求7所述的设备,其特征在于,所述审计单元具体用于:
在确定单元确定所述互联网邮件发送报文中包括邮件附件发送信息时,根据所述邮件附件发送信息中的审计特征,提取所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid;
若提取到所述邮件附件发送信息中的附件文件名、附件正文信息、邮件正文关联Sessionid,则对所述邮件附件发送信息审计成功,并将提取到的信息作为审计结果保存。
10.根据权利要求6至9任一项所述的设备,其特征在于,所述审计特征包括:第一类审计特征、第二类审计特征、第三类审计特征中的一类或多类;其中,
第一类审计特征是以Content-Disposition:form-data;name=“***”|0d0a0d0a|为起始特征,以|0d0a|------为结束特征,其中双引号之中是关键字;第二类审计特征是以字符&作为变量内容的起始和结束字符;第三类审计特征是包含有变量内容的报文HTML格式特征字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410386593.XA CN104202232A (zh) | 2014-08-07 | 2014-08-07 | 一种互联网邮件处理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410386593.XA CN104202232A (zh) | 2014-08-07 | 2014-08-07 | 一种互联网邮件处理方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104202232A true CN104202232A (zh) | 2014-12-10 |
Family
ID=52087462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410386593.XA Pending CN104202232A (zh) | 2014-08-07 | 2014-08-07 | 一种互联网邮件处理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104202232A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453249A (zh) * | 2016-08-31 | 2017-02-22 | 杭州华途软件有限公司 | 一种网络邮件业务监视方法 |
| CN106850560A (zh) * | 2016-12-26 | 2017-06-13 | 沈阳通用软件有限公司 | 一种互联网邮件安全发送及审计的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101937466A (zh) * | 2010-09-15 | 2011-01-05 | 深圳市任子行网络技术股份有限公司 | 网页邮箱识别分类方法及*** |
| CN101969411A (zh) * | 2010-06-18 | 2011-02-09 | 中兴通讯股份有限公司 | 一种非加密web邮件的分析还原方法及*** |
| CN102130847A (zh) * | 2011-02-18 | 2011-07-20 | 杭州迪普科技有限公司 | 一种互联网邮件审计方法及装置 |
| CN102655482A (zh) * | 2011-12-26 | 2012-09-05 | 上海西默通信技术有限公司 | 基于http协议分析的web邮件还原方法 |
-
2014
- 2014-08-07 CN CN201410386593.XA patent/CN104202232A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969411A (zh) * | 2010-06-18 | 2011-02-09 | 中兴通讯股份有限公司 | 一种非加密web邮件的分析还原方法及*** |
| CN101937466A (zh) * | 2010-09-15 | 2011-01-05 | 深圳市任子行网络技术股份有限公司 | 网页邮箱识别分类方法及*** |
| CN102130847A (zh) * | 2011-02-18 | 2011-07-20 | 杭州迪普科技有限公司 | 一种互联网邮件审计方法及装置 |
| CN102655482A (zh) * | 2011-12-26 | 2012-09-05 | 上海西默通信技术有限公司 | 基于http协议分析的web邮件还原方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453249A (zh) * | 2016-08-31 | 2017-02-22 | 杭州华途软件有限公司 | 一种网络邮件业务监视方法 |
| CN106453249B (zh) * | 2016-08-31 | 2019-12-06 | 浙江华途信息安全技术股份有限公司 | 一种网络邮件业务监视方法 |
| CN106850560A (zh) * | 2016-12-26 | 2017-06-13 | 沈阳通用软件有限公司 | 一种互联网邮件安全发送及审计的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102655481B (zh) | 一种基于网页的即时通信聊天内容查看方法及*** | |
| CN103595615B (zh) | 电子邮件的发送和接收方法、终端 | |
| CN104023020B (zh) | 针对移动设备的TypeB报文订阅推送***及相应方法 | |
| CN104462509A (zh) | 垃圾评论检测方法及装置 | |
| CN106411650B (zh) | 一种分布式安全保密检查方法 | |
| CN103647701B (zh) | 即时通信***消息转发的控制方法及装置 | |
| CN106227780A (zh) | 一种海量网页的自动化截图取证方法和*** | |
| CN108123933B (zh) | 基于互联网大数据的信息泄露自动监测方法和*** | |
| CN112737926B (zh) | 邮件发送方法、装置、电子设备及存储介质 | |
| CN103457802A (zh) | 一种信息传输***及方法 | |
| CN103609078A (zh) | 网络设备及电子邮件请求处理方法 | |
| CN103888348B (zh) | 电子邮件应用***和电子邮件传送方法、装置 | |
| CN108833443B (zh) | 一种消息传输方法及***、计算机设备 | |
| CN104461843B (zh) | 一种异常信息管理的方法及*** | |
| CN104202232A (zh) | 一种互联网邮件处理方法及设备 | |
| CN103326927B (zh) | 一种代收邮件的方法和装置 | |
| US20130145289A1 (en) | Real-time duplication of a chat transcript between a person of interest and a correspondent of the person of interest for use by a law enforcement agent | |
| CN109639836B (zh) | 用于社区的内容发布处理方法、客户端、服务器 | |
| CN105024907A (zh) | 一种推送im信息的方法和***、服务器以及平台 | |
| CN103841006A (zh) | 云计算***中拦截垃圾邮件的方法和装置 | |
| CN105991695B (zh) | 一种文件数据处理方法和*** | |
| US9769099B2 (en) | Systems and methods of handling email communication | |
| US9923857B2 (en) | Symbolic variables within email addresses | |
| CN107688978A (zh) | 用于检测重复订单信息的方法及装置 | |
| CN116308236A (zh) | 邮件处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141210 |
|
| RJ01 | Rejection of invention patent application after publication |