CN108696422A - 电子邮件处理装置和电子邮件处理方法 - Google Patents

Abstract

电子邮件处理装置和电子邮件处理方法。电子邮件处理装置被配置为在从电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，确定电子邮件是冒称。

Description

电子邮件处理装置和电子邮件处理方法

技术领域

本发明涉及电子邮件处理装置和电子邮件处理方法。

背景技术

日本未审查专利申请公布No.2010-061406解决了能够容易地确定是否存在电子邮件消息的发件人电子邮件地址的冒称(misrepresentation)的问题，并且公开了一种中继装置，其被配置为从自邮件转发服务器装置发送到终端的电子邮件消息的邮件信头(head)中的“From”信头字段和“Received”信头字段获取发件人电子邮件地址和跟踪信息。在发件人电子邮件地址和跟踪信息包括相同域名的文本串的情况下，中继装置发送添加到邮件正文的文本串，该文本串指示发件人没有被冒称。在不包括相同域名的文本串的情况下，中继装置发送添加到邮件正文的文本串，该文本串指示发件人被冒称。

日本未审查专利申请公布No.2007-011967解决了对在链接中设定有恶意网站URL的电子邮件执行诸如丢弃处理的特定处理，而不注册恶意网站的URL的问题。公开了一种认证服务器，其被配置为预先注册显示在电子邮件中的链接中的显示内容与充当对应链接的目的地的链接目的地URL的组合当中的经认证的组合。如果从所接收的电子邮件提取的组合不是预先注册在认证服务器中的经认证的组合，则邮件过滤器对这样的电子邮件执行诸如丢弃处理的特定处理。

“Microsoft-wo yosootta-fushin mail-no Haishin-ni-tsuite(SuspiciousEmail Claiming to be from Microsoft)”([在线]，2017年1月12日(2017年3月29日访问)，互联网(URL:https://news.microsoft.com/ja-jp/2017/01/12/170112_information/))关于来自电子邮件地址“support@microsoft-securityprotection-support.com”的电子邮件进行了以下描述。该文章记载如下。“从2017年1月11日午夜开始，声称来自Microsoft的主题为‘Warning！！Office product key copied withoutauthorization’的可疑电子邮件被断断续续地传送给不特定数量的客户。该电子邮件并非来自Microsoft，所记载的内容不属实。如果您收到该电子邮件，请立即删除它而不要打开。如果您已打开该电子邮件，不要点击正文文本中所记载的URL。如果您点击了该URL，将显示要求输入诸如信用卡信息的个人信息的画面，但您绝对不应该输入任何信息”。

发明内容

检测发件人被冒称的电子邮件。在确定电子邮件信头中的From字段和Received字段匹配的情况下，信头未被冒称，但是无法应对正文文本包含冒称的情况。另外，在通过电子邮件的正文文本中的链接的显示内容和链接目的地URL的组合进行确定的情况下，如果正文文本中不包括URL，则无法检测冒称。

本发明的目的在于提供一种即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下也能够检测冒称发件人的电子邮件的电子邮件处理装置和电子邮件处理方法。

根据本发明的第一方面，提供了一种电子邮件处理装置，其被配置为在从电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第二方面，提供了一种电子邮件处理装置，其被配置为在从电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第三方面，提供了一种电子邮件处理装置，其包括：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人信息；第二检测器，其被配置为从电子邮件的信头检测第二发件人信息；以及冒称确定器，其被配置为在第一发件人信息与第二发件人信息之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第四方面，提供了一种电子邮件处理装置，其包括：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人信息；第二检测器，其被配置为从电子邮件的信头检测第二发件人信息；以及冒称应对处理器，其被配置为在第一发件人信息与第二发件人信息之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第五方面，提供了一种电子邮件处理装置，其包括：第一检测器，其被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从发件人的组织名，参考组织名与域名之间的对应表，检测第一发件人域名；第二检测器，其被配置为从电子邮件的信头检测第二发件人域名；以及冒称确定器，其被配置为在第一发件人域名和第二发件人域名之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第六方面，提供了一种电子邮件处理装置，其包括：第一检测器，其被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从发件人的组织名，参考组织名与域名之间的对应表，检测第一发件人域名；第二检测器，其被配置为从电子邮件的信头检测第二发件人域名；以及冒称应对处理器，其被配置为在第一发件人域名和第二发件人域名之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第七方面，提供了一种电子邮件处理装置，其包括：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人组织名；第二检测器，其被配置为从电子邮件的信头检测发件人的域名，并且从发件人的域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及冒称确定器，其被配置为在第一发件人组织名与第二发件人组织名之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第八方面，提供了一种电子邮件处理装置，其包括：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人组织名；第二检测器，其被配置为从电子邮件的信头检测发件人的域名，并且从发件人的域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及冒称应对处理器，其被配置为在第一发件人组织名与第二发件人组织名之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第九方面，提供了一种电子邮件处理装置，其被配置为在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从正文文本或主题内的不同于第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，确定电子邮件是冒称。

根据本发明的第十方面，提供了一种电子邮件处理装置，其被配置为在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从正文文本或主题内不同于第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，对电子邮件执行冒称应对处理。

根据本发明的第十一方面，在根据第一至第四、第九和第十方面中的任一方面的电子邮件处理装置中，第一发件人信息和第二发件人信息是发件人域名，或者是发件人的组织名。

根据本发明的第十二方面，在根据第一至第四和第十一方面(不包括从属于第九或第十方面的第十一方面)中的任一方面的电子邮件处理装置中，第二发件人信息是从电子邮件的From字段、Reply-To字段、Return-Path字段和Received字段中的任一个或更多个检测到的信息。

根据本发明的第十三方面，在根据第二、第四、第六、第八或第十方面的电子邮件处理装置中，执行呈现指示冒称的警告、阻止打开电子邮件以及通知管理员中的任一个或组合作为冒称应对处理。

根据本发明的第十四方面，在根据第十三方面的电子邮件处理装置中，呈现确定电子邮件是冒称的原因作为警告。

根据本发明的第十五方面，在根据第十三方面或第十四方面的电子邮件处理装置中，在存在没有成功检测到第一发件人信息的位置的情况下以及在从另一位置检测到的第一发件人信息与第二发件人信息之间不匹配的情况下，呈现冒称的可能性的指示作为警告。

根据本发明的第十六方面，提供了一种电子邮件处理方法，其包括：在从电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第十七方面，提供了一种电子邮件处理方法，其包括：在从电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第十八方面，提供了一种电子邮件处理方法，其使得计算机用作：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人信息；第二检测器，其被配置为从电子邮件的信头检测第二发件人信息；以及冒称确定器，其被配置为在第一发件人信息与第二发件人信息之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第十九方面，提供了一种电子邮件处理方法，其使得计算机用作：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人信息；第二检测器，其被配置为从电子邮件的信头检测第二发件人信息；以及冒称应对处理器，其被配置为在第一发件人信息与第二发件人信息之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第二十方面，提供了一种电子邮件处理方法，其使得计算机用作：第一检测器，其被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从发件人的组织名，参考组织名与域名之间的对应表，检测第一发件人域名；第二检测器，其被配置为从电子邮件的信头检测第二发件人域名；以及冒称确定器，其被配置为在第一发件人域名和第二发件人域名之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第二十一方面，提供了一种电子邮件处理方法，其使得计算机用作：第一检测器，其被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从发件人的组织名，参考组织名与域名之间的对应表，检测第一发件人域名；第二检测器，其被配置为从电子邮件的信头检测第二发件人域名；以及冒称应对处理器，其被配置为在第一发件人域名与第二发件人域名之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第二十二方面，提供了一种电子邮件处理方法，其使得计算机用作：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人组织名；第二检测器，其被配置为从电子邮件的信头检测发件人的域名，并且从发件人的域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及冒称确定器，其被配置为在第一发件人组织名与第二发件人组织名之间不匹配的情况下确定电子邮件是冒称。

根据本发明的第二十三方面，提供了一种电子邮件处理方法，其所得计算机用作：第一检测器，其被配置为从电子邮件的正文文本或主题检测第一发件人组织名；第二检测器，其被配置为从电子邮件的信头检测发件人的域名，并且从发件人的域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及冒称应对处理器，其被配置为在第一发件人组织名与第二发件人组织名之间不匹配的情况下对电子邮件执行冒称应对处理。

根据本发明的第二十四方面，提供了一种电子邮件处理方法，其包括：在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从正文文本或主题内不同于第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，确定电子邮件是冒称。

根据本发明的第二十五方面，提供了一种电子邮件处理方法，其包括：在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从正文文本或主题内不同于第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，对电子邮件执行冒称应对处理。

根据第一方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第二方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第三方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第四方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第五方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第六方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第七方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第八方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第九方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第十方面的电子邮件处理装置，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第十一方面的电子邮件处理装置，发件人域名或发件人的组织名可用作第一发件人信息和第二发件人信息。

根据第十二方面的电子邮件处理装置，从电子邮件的From字段、Reply-To字段、Return-Path字段和Received字段中的任一个或更多个检测到的信息可用作第二发件人信息。

根据第十三方面的电子邮件处理装置，可执行呈现指示冒称的警告、阻止用户打开电子邮件以及通知管理员中的任一个或组合作为冒称应对处理。

根据第十四方面的电子邮件处理装置，确定电子邮件是冒称的原因可被包括在警告的呈现中。

根据第十五方面的电子邮件处理装置，在存在没有成功检测到第一发件人信息的位置的情况下、以及在从另一位置检测到的第一发件人信息与第二发件人信息之间不匹配的情况下，可发出关于冒称的可能性的警告。

根据第十六方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第十七方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第十八方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第十九方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第二十方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第二十一方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第二十二方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第二十三方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

根据第二十四方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可检测冒称发件人的电子邮件。

根据第二十五方面的电子邮件处理方法，即使在电子邮件包含冒称部分和非冒称部分的情况下或者在正文文本不包括链接的情况下，也可对冒称发件人的电子邮件执行冒称应对处理。

附图说明

将基于以下附图详细描述本发明的示例性实施方式，附图中：

图1是根据示例性实施方式的示例性配置的示意性模块配置图；

图2是示出使用示例性实施方式的示例性系统配置的说明图；

图3是示出电子邮件的示例性数据结构的说明图；

图4是示出电子邮件的示例性传送路由的说明图；

图5是示出利用电子邮件工具在画面上显示接收到的电子邮件的示例的说明图；

图6是示出对应表的示例性数据结构的说明图；

图7A是示出根据示例性实施方式的示例处理的流程图；

图7B是示出根据示例性实施方式的示例处理的流程图；

图8是示出根据示例性实施方式的示例处理的流程图；

图9是示出根据示例性实施方式的示例处理的流程图；

图10是示出根据示例性实施方式的示例处理的流程图；

图11是示出根据示例性实施方式的示例处理的流程图；

图12是示出根据示例性实施方式的示例处理的流程图；

图13是示出根据示例性实施方式的示例处理的流程图；

图14是示出电子邮件的示例性数据结构的说明图；

图15是示出电子邮件的示例性数据结构的说明图；

图16是示出电子邮件的示例性数据结构的说明图；以及

图17是示出实现示例性实施方式的计算机的示例性硬件配置的框图。

具体实施方式

以下，将基于附图作为示例描述与实现本发明有关的示例性实施方式。

图1示出根据示例性实施方式的示例性配置的示意性模块配置。

应当注意，术语模块是指通常能够逻辑上分离的诸如软件(计算机程序)和硬件的组件。因此，示例性实施方式中的术语模块不仅是指计算机程序中的模块，而且是指硬件配置中的模块。因此，示例性实施方式还用作计算机程序(使得计算机执行各个操作的程序、使得计算机用作各个单元的程序、或者使得计算机实现各个功能的程序)、系统以及用于引起如这些模块的功能的方法的描述。应当注意，尽管为了方便起见，在说明书中可使用类似“存储”和“记录”的术语及其等同物，但是这些术语意指使存储装置存储信息或者在示例性实施方式是计算机程序的情况下应用控制以使得存储装置存储信息。另外，尽管可使模块与功能一一对应，但是一些实现方式可被配置为使得一个程序构成一个模块，使得一个程序构成多个模块，或者相反地，使得多个程序构成一个模块。此外，多个模块可由一个计算机执行，但是在分布式或并行计算环境中一个模块也可由多个计算机执行。应当注意，单个模块也可包含其它模块。另外，除了物理连接之外，术语“连接”在下文中可用于表示逻辑连接(例如，数据的传递以及指令与数据之间的参考关系)。术语“预定”是指在所讨论的处理之前确定的事物，并且显然表示在根据示例性实施方式的处理开始之前确定的事物，但是根据那时的状况或状态或者根据直到那时的状况或状态，也可表示在根据示例性实施方式的处理已开始之后，但是在所讨论的处理之前确定的事物。在多个“预定值”的情况下，预定值可以是分别不同的值或者相同的两个或更多个值(这当然也包括所有值的情况)。另外，类似“在A的情况下执行B”的记载用于表示就A是否成立进行确定，并且在确定A成立的情况下执行B。然而，这不包括A是否成立的确定可被省略的情况。另外，在类似“A、B、C”等列举事物的情况下，除非具体地另外指出，否则列举是例示性示例，并且包括在列举中仅选择一个(例如，仅A)的情况。

另外，术语“系统”或“装置”不仅涵盖多个计算机、硬件或装置通过诸如网络的通信介质连接(包括支持1对1通信的连接)的配置，而且涵盖由单个计算机、硬件或装置实现的配置。术语“装置”和“系统”可互换使用。显然，术语“系统”不包括仅人为安排的社会建构(社会系统)。

另外，每次各个模块执行处理时或者每次在模块内执行多个处理时，从存储装置检索要处理的信息，并且在处理之后将处理结果写回到存储装置。因此，在处理之前从存储装置检索以及在处理之后写回到存储装置的描述在一些情况下可被减少或省略。应当注意，本文中的存储装置可包括硬盘、随机存取存储器(RAM)、辅助或外部存储介质、经由通信链路访问的存储装置以及中央处理单元(CPU)内的寄存器等。

根据本示例性实施方式的信息处理装置100接收电子邮件并检测冒称发件人的电子邮件。如图1的示例中所示，信息处理装置100包括通信模块105、邮件接收模块110和冒称检测模块115。

“冒称发件人的电子邮件”是指伪造关于发件人(也称为诸如源或发信人的术语)的信息的电子邮件，并且也称为假冒的电子邮件、伪造的电子邮件等。例如，发件人、主题(也称为诸如标题的术语)、正文文本等被伪造成与真相不同的电子邮件对应于“冒称发件人的电子邮件”。

电子邮件包括发件人能够记载内容的项目(例如，主题、正文文本和From信头字段)。例如，冒称发件人的电子邮件的目的在于使电子邮件的收件人相信电子邮件的发件人属于知名公司。因此，冒称发件人的电子邮件在发件人能够记载内容的项目(例如，主题、正文文本或From信头字段)中记载知名公司的公司名或域名。另外，电子邮件包括发件人无法作为信头的一部分记载内容的项目(例如，Received信头字段)。例如，Received信头字段是由电子邮件服务器添加的信息，并且是发件人无法记载内容的信息。因此，在冒称电子邮件的发件人的情况下，难以使电子邮件中的发件人的所有域名或组织名彼此匹配。特别是，在电子邮件的信头部分与正文文本(或主题)之间以及在正文文本(或主题)与其本身之间往往会产生差异。本示例性实施方式考虑到这些点来检测电子邮件的冒称。

在“Suspicious Email Claiming to be from Microsoft”([在线]，2017年1月12日(2017年3月29日访问)，互联网(URL:https://news.microsoft.com/ja-jp/2017/01/12/170112_information/))所示的示例中，如果发件人地址是“support@microsoft-securityprotection-support.com”并且如果Microsoft日本有限公司的正确域名是“microsoft.co.jp”或“microsoft.com”，则发件人地址可能未必是冒称的。因此，在此示例中，可能难以仅根据从电子邮件的信头获得的信息来确定电子邮件是可疑的。

例如，日本未审查专利申请公布No.2010-061406中所描述的技术基于电子邮件的信头中的Received信头字段和From信头字段中的信息来检测电子邮件的源的冒称。然而，在信头字段未被冒称的情况下，与“Suspicious Email Claiming to be from Microsoft”所示的示例中一样，跟踪信息和源电子邮件地址匹配，因此确定电子邮件未被冒称。换言之，在电子邮件的Received信头字段和From信头字段中的信息彼此匹配的情况下，利用日本未审查专利申请公布No.2010-061406中所描述的技术无法检测冒称的电子邮件。

作为另一示例，利用日本未审查专利申请公布No.2007-011967中所描述的技术，电子邮件正文文本中使用<a>标签的链接的显示内容“Nakao Shokai”和链接目的地URL“http://hide.com”被提取并发送到认证服务器。在认证服务器上，如果链接中的显示内容与目的地链接URL的组合与注册的认证信息匹配，则确定该组合是可信的。换言之，如果电子邮件正文文本中的显示内容与链接中的链接目的地URL的组合尚未在认证服务器中注册，则确定电子邮件是不可信的。

(1)日本未审查专利申请公布No.2007-011967中所描述的技术仅使用链接。

本示例性实施方式分析整个正文文本中的文本串(不仅限于链接)，从组织名(指示发件人的组织名)估计发件人域名，并且确定该域名是否对应于信头部分中的发件人域名。另选地，从信头部分中的发件人域名估计组织名，并且确定该域名是否对应于信头部分中的组织名。因此，即使对于不包含URL链接的电子邮件，也可确定冒称。

(2)日本未审查专利申请公布No.2007-011967中所描述的技术从电子邮件的正文文本提取两条信息(链接中的显示内容和链接目的地URL)并利用信息的组合确定冒称。

本示例性实施方式利用从电子邮件的正文文本检测到的发件人的域名(或组织名)以及从信头部分(例如，Received字段)检测到的发件人的域名(或组织名)来确定冒称。

(3)日本未审查专利申请公布No.2007-011967中所描述的技术要求在认证服务器中预先注册链接中的显示内容与链接目的地URL的合法(未被冒称的)组合。换言之，不能注册冒称数据。然而，很难在阻止冒称的数据不被注册的同时仅注册合法数据。

本示例性实施方式利用组织名与域名之间的对应表(类似稍后要描述的图6所示的对应表600)。然而，本示例性实施方式无法单基于对应表来简单地区分合法性和冒称。换言之，由于对应表可包括合法数据和冒称数据，所以创建对应表比根据日本未审查专利申请公布No.2007-011967中所描述的技术的数据注册容易。应当注意，对应表中可能包括的“冒称数据”是指关于尝试冒称的组织名与具有该组织名的组织所使用的域名的组合的数据，因此这种数据本身不被冒称。具体地，在公司B试图冒称公司A的情况下，可在对应表中注册由公司A使用的组织名“公司A”与域名“A-domain”的组合，另外，可注册由公司B使用的组织名“公司B”与域名“B-domain”的组合。由公司B使用的组织名“公司A”与域名“B-domain”的组合或者由公司A使用的组织名“公司B”与域名“A-domain”的组合没有注册在对应表中。

具体地，如果利用管理域名的注册处(注册管理组织)所提供的whois服务，则不必自己创建对应表。由于组织与域名之间存在1:1规则(然而，通用JP域名(.jp)允许注册多个域名，并且一个组织可注册两个或更多个组织型或地理型JP域名)，并且由于已经注册的域名不允许被注册，所以由上述公司B使用的组织名“公司A”和域名“B-domain”的组合或者由公司A使用的组织名“公司B”与域名“A-domain”的组合不被注册。

通信模块105连接到邮件接收模块110。通信模块105与其它装置通信。例如，通信包括电子邮件的发送或接收。

邮件接收模块110连接到通信模块105，并且连接到冒称检测模块115的检测(A)模块120和检测(B)模块125。邮件接收模块110经由通信模块105从其它装置接收电子邮件。应当注意，由邮件接收模块110接收的电子邮件可以是寄给使用信息处理装置100的用户的电子邮件、以及由中继电子邮件的邮件服务器接收的电子邮件。换言之，前一种情况下的信息处理装置100是用户所使用的终端，而后一种情况下的信息处理装置100是邮件服务器。

冒称检测模块115包括检测(A)模块120、检测(B)模块125、对应表存储模块130、冒称确定模块135和冒称应对处理模块140。冒称检测模块115从邮件接收模块110所接收的电子邮件检测冒称发件人的电子邮件。

检测(A)模块120连接到邮件接收模块110和冒称确定模块135。检测(A)模块120从电子邮件的正文文本或主题检测第一发件人信息。例如，第一发件人信息是发件人的发件人域名或组织名。

另外，检测(A)模块120还可被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从发件人的组织名，参考组织名与域名之间的对应表，检测第一发件人域名。对于对应表，可使用存储在对应表存储模块130中的信息。

另外，检测(A)模块120还可被配置为从电子邮件的正文文本或主题检测第一组织名。

另外，检测(A)模块120还可从电子邮件的正文文本或主题内的第一位置检测第一发件人信息，并且从正文文本或主题内不同于第一位置的第二位置检测2B发件人信息。显然，“第二位置”是在正文文本或主题内并且不同于第一位置的位置。例如，2B发件人信息是发件人域名或发件人的组织名。显然，在第一发件人信息是发件人域名的情况下，2B发件人信息也是发件人域名，而在第一发件人信息是发件人的组织名的情况下，2B发件人信息也是发件人的组织名。

检测(B)模块125连接到邮件接收模块110和冒称确定模块135。检测(B)模块125从电子邮件的信头检测第二发件人信息。应当注意，本文中的“电子邮件的信头”不包括主题。例如，第二发件人信息是发件人域名或发件人的组织名。显然，在第一发件人信息是发件人域名的情况下，第二发件人信息也是发件人域名，而在第一发件人信息是发件人的组织名的情况下，第二发件人信息也是发件人的组织名。具体地，第二发件人信息是从电子邮件的From字段、Reply-To字段、Return-Path字段和Received字段中的任一个或更多个检测到的信息。

另外，检测(B)模块125可被配置为从电子邮件的信头检测第二发件人域名。

另外，检测(B)模块125可被配置为从电子邮件的信头检测发件人的域名，并且从发件人的域名，参考组织名与域名之间的对应表，检测第二发件人组织名。对于对应表，可使用存储在对应表存储模块130中的信息。

对应表存储模块130连接到冒称确定模块135。对应表存储模块130也可不在信息处理装置100内。例如，可配置为使得查询被传送到WHOIS服务器280，并且获取等同于对应表600的信息。

冒称确定模块135连接到检测(A)模块120、检测(B)模块125、对应表存储模块130和冒称应对处理模块140。在从邮件接收模块110所接收的电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，冒称确定模块135确定电子邮件是冒称好。应当注意，将检测(A)模块120所检测的信息用作第一发件人信息并且将检测(B)模块125所检测的信息用作第二发件人信息就足够了。

本文中，术语“检测”还可包括诸如判定、初步判定、估计和提取的含义。

另外，本文中的术语“冒称”是指虚假地表示发件人(包括组织)，并且例如对应于创建电子邮件的情况，其中即使发件人属于组织B，电子邮件也声称发件人属于与组织B无关的组织A(或者使得收信人误解发件人属于组织A)。

另外，冒称确定模块135还可被配置为在第一发件人域名与第二发件人域名之间不匹配的情况下确定电子邮件是冒称的。应当注意，将检测(A)模块120所检测的域名用作第一发件人域名并且将检测(B)模块125所检测的域名用作第二发件人域名就足够了。

另外，冒称确定模块135还可被配置为在第一发件人信息组织名与第二组织名之间不匹配的情况下确定电子邮件是冒称的。应当注意，将检测(A)模块120所检测的组织名用作第一发件人组织名并且将检测(B)模块125所检测的组织名用作第二发件人组织名就足够了。

另外，冒称确定模块135还可被配置为在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从正文文本或主题内不同于第一位置的第二位置检测到的2B发件人信息之间不匹配的情况下确定电子邮件是冒称的。应当注意，将检测(A)模块120所检测的发件人信息用作第一发件人信息和2B发件人信息就足够了。

冒称应对处理模块140连接到冒称确定模块135。在从电子邮件的正文文本或主题检测到的第一发件人信息与从电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，冒称应对处理模块140对电子邮件执行冒称应对处理。应当注意，关于是否存在不匹配，使用来自冒称确定模块135的确定结果就足够了。另外，作为冒称应对处理，例如，可执行呈现指示冒称的警告、阻止用户打开目标电子邮件以及通知管理员中的任一个，或者可执行上述处理的组合。具体地，作为警告的呈现，可呈现确定电子邮件是冒称的原因。

此外，在存在没有成功检测到第一发件人信息的位置的情况下，以及在从另一位置检测到的第一发件人信息与第二发件人信息之间不匹配的情况下，冒称应对处理模块140可被配置为呈现冒称的可能性的指示作为警告的呈现。

最初，在电子邮件的正文文本或主题内没有成功检测到第一发件人信息的情况下，在第一发件人信息与第二发件人信息之间出现不匹配，因此确定冒称。然而，例如可能出现这样的情况：在电子邮件的正文文本或主题内记载“C公司、D公司”，并且尽管对于“C公司”，与第二发件人信息匹配，对于“D公司”，与D对应的组织名(例如，“D”或“D公司”)或域名未注册在对应表中，因此没有成功检测到第一发件人信息。在这种情况下，发件人正式属于“C公司”的可能性很高，但是由于也存在发件人冒称“D公司”的可能性，所以呈现“冒称的可能性”。

应当注意，例如，“没有成功检测到第一发件人信息的位置”对应于上述电子邮件的正文文本或主题内的“D公司”的记载，而例如，“另一位置”对应于上述“C公司”的记载。具体描述将稍后使用图13的示例给出。

另外，冒称应对处理模块140还可被配置为在第一发件人域名与第二发件人域名之间不匹配的情况下对电子邮件执行冒称应对处理。应当注意，将检测(A)模块120所检测的域名用作第一发件人域名并且将检测(B)模块125所检测的域名用作第二发件人域名就足够了。另外，关于是否存在不匹配，使用来自冒称确定模块135的确定结果就足够了。

另外，冒称应对处理模块140还可被配置为在第一发件人信息组织名与第二组织名之间不匹配的情况下对电子邮件执行冒称应对处理。应当注意，将检测(A)模块120所检测的组织名用作第一发件人组织名并将检测(B)模块125所检测的组织名用作第二发件人组织名就足够了。另外，关于是否存在不匹配，使用来自冒称确定模块135的确定结果就足够了。

另外，冒称应对处理模块140还可被配置为在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从正文文本或主题内不同于第一位置的第二位置检测到的2B发件人信息之间不匹配的情况下对电子邮件执行冒称应对处理。应当注意，将检测(A)模块120所检测的发件人信息用作第一发件人信息和2B发件人信息就足够了。另外，关于是否存在不匹配，使用来自冒称确定模块135的确定结果就足够了。

图2是示出使用示例性实施方式的示例性系统配置的说明图。

用户终端210A、用户终端210B、用户终端210C、电子邮件服务器220A、电子邮件服务器220B、电子邮件服务器220C和WHOIS服务器280经由通信链路290互连。用户终端210B包括信息处理装置100。电子邮件服务器220C包括信息处理装置100。

用户终端210对应于例如用户用来接收电子邮件的装置，并且不仅可以是个人计算机(包括笔记本PC)，而且可以是例如便携式信息通信设备(包括诸如移动电话、智能电话、移动设备和可穿戴计算机的装置)。

电子邮件服务器220对应于诸如与用户签约的互联网服务提供商的邮件服务器、公司等拥有的邮件服务器或者网络邮件服务器的服务器。

例如，假定用户终端210A的用户的邮箱在电子邮件服务器220A上，用户终端210B的用户的邮箱在电子邮件服务器220B上，并且用户终端210C的用户的邮箱在电子邮件服务器220C上。在这种情况下，如果从用户终端210A的用户向电子邮件服务器220B的用户发送电子邮件，则用户终端210B内的信息处理装置100确定该电子邮件是否被冒称。另外，如果从用户终端210A的用户向电子邮件服务器220C的用户发送电子邮件，则电子邮件服务器220C内的信息处理装置100确定该电子邮件是否被冒称，结果被发送给用户终端210C的用户。

图3是示出电子邮件300的示例性数据结构的说明图。

电子邮件数据大致被分为“信头”和“正文文本或主题(也称为正文)”。信头包括诸如发件人(From)和收件人(To)的附带信息。正文包含充当邮件本身的正文文本的文本以及充当主题的文本。应当注意，通常主题被包括在信头中，但是在本示例性实施方式的描述中，主题不包括在信头中。

例如，电子邮件300包括Received字段305A、Received字段305B、From字段310、To字段315、CC字段320、Subject字段325、Date字段330、Reply-To字段335，Return-Path字段340、正文文本字段345和附件字段350。

Received字段305指示传送电子邮件的路由。首先传送电子邮件的邮件服务器记载在下面，接下来传送电子邮件的邮件服务器按照传送顺序记载在上面。图3所示的示例指示电子邮件300发送自字段305B中所记载的发件人的用户终端(例如PC)的地址“pc1.xx.co.jp”，被转发至电子邮件服务器“mail.xx.co.jp”，随后如Received字段305A中所记载，从电子邮件服务器“mail.xx.co.jp”发送至电子邮件服务器“mail.aa.co.jp”，并被传送至收件人的用户终端(例如PC)。在许多情况下，发件人的域名与首先传送电子邮件的邮件服务器的域名“xx.co.jp”相同。换言之，Received字段305B(最下面的Received字段305)的“from”部分或“by”部分中所记载的域名“xx.co.jp”是发件人的域名。本文中，可配置为以“from”部分和“by”部分中的域名部分匹配为条件来判定发件人的域名。此外，在Received字段305B中的“from”部分和“by”部分中的域名部分不匹配的情况下，“from”部分中的域名可被判定为发件人的域名。另外，在Received字段305B中的“from”部分和“by”部分中的域名部分不匹配的情况下，电子邮件可被确定为冒称。应当注意，Received字段305A(最上面的Received字段305)的“by”部分中的“aa.co.jp”是收件人(收信人、目的地)的域名。由于以这种方式配置Received字段305，所以在正常情况下，Received字段305B的by部分和下一个Received字段305A的from部分匹配。因此，在Received字段305B的by部分和下一个Received字段305A的from部分不匹配的情况下，电子邮件可被确定为冒称。

应当注意，在图3所示的示例中，存在两个Received字段305，但是还可存在三个或更多个。

在From字段310中，记载源的邮件地址。在图3所示的示例中，该地址为“y@xx.co.jp”。在一些情况下，此地址被伪造以冒称发件人。

在To字段315中，记载收信人的邮件地址。在图3所示的示例中，该地址为“b@aa.co.jp”。

在CC字段320中，记载抄送收信人的邮件地址。在图3所示的示例中，该地址为“c@aa.co.jp”.

在Subject字段325中，记载主题。主题可以是任意文本串。在图3所示的示例中，主题为“test”。

在Date字段330中，记载发送电子邮件时的日期和时间。在图3所示的示例中，日期和时间为“Tue,17Jan 2017 15:06:38+0900”。

在Reply-To字段335中，记载电子邮件的回复目的地。在图3所示的示例中，该地址为“y@xx.co.jp”。在一些情况下，此地址被伪造以冒称发件人。

在Return-Path字段340中，记载发生邮件传送错误的情况下的返回路径的电子邮件地址。在图3所示的示例中，该地址为“y@xx.co.jp”。在一些情况下，此地址被伪造以冒称发件人。

在正文文本字段345中，记载正文文本。在图3所示的示例中，正文文本记载如下。

---------------

AA公司，B先生

正文文本

XX公司，Y(y@xx.co.jp)

---------------

在附件字段350中，记载附件。具体地，电子邮件被称为信头中的Content-Type字段被设定为“multipart/mixed”的多部分电子邮件。另外，附件被转换为文本(经编码的)并被嵌入电子邮件正文文本中。应当注意，附件还可作为正文文本被包括。

图4是示出电子邮件的示例性传送路由的说明图。示出图3的示例的传送路由。

例如，考虑与图2的描述中所指示的发送示例的对应关系，发件人410对应于用户终端210A，电子邮件服务器A(发件人侧)420对应于电子邮件服务器220A，电子邮件服务器B(收件人侧)430对应于用户终端210B或用户终端210C，目的地440对应于电子邮件服务器220B或电子邮件服务器220C。

作为电子邮件300的传送路由，电子邮件300由发件人410(即，y@xx.co.jp)发送(对于用户终端，From字段310B的from部分中的“pc1.xx.co.jp”)，首先被转发给电子邮件服务器A(发件人侧)420，即，“mail.xx.co.jp”(Received字段305B的by部分)，接下来被转发给电子邮件服务器B(收件人侧)430，即，“mail.aa.co.jp”(Received字段305A的by部分)，最后被目的地440，即，“b@aa.co.jp”(To字段315)接收。

图5是示出利用电子邮件工具在画面上显示接收到的电子邮件的示例的说明图。

在画面500上，显示信头和其它信息显示区域510、附件名显示区域540和正文文本显示区域550。

信头和其它信息显示区域510包括From字段显示栏515、To字段显示栏520、CC字段显示栏525、Subject字段显示栏530和Date字段显示栏535。

在From字段显示栏515中，显示From字段310的内容。

在To字段显示栏520中，显示To字段315的内容。

在From字段显示栏515中，显示CC字段320的内容。

在Subject字段显示栏530中，显示Subject字段325的内容。

在Date字段显示栏535中，显示Date字段330的内容。

在附件名显示区域540中，显示附件字段350中的文件名。

在正文文本显示区域550中，显示正文文本字段345的内容。

应当注意，在许多电子邮件工具的普通显示模式下，显示From字段的内容、To字段的内容、CC字段的内容、Subject字段的内容、Date字段的内容、附件名和正文文本字段的内容，而不显示Received字段的内容、Reply-to字段的内容和Return-Path字段的内容。因此，接收电子邮件的用户(具体地，一般用户)难以参考诸如Received字段的信息并确定电子邮件是否冒称。

图6是示出对应表600的示例性数据结构的说明图。对应表600是组织名与域名之间的对应表的示例。

对应表600包括组织名栏610、域名栏620和电话号码栏630。组织名栏610存储组织名。域名栏620存储具有各个组织名的组织所拥有的域名。电话号码栏630存储具有各个组织名的组织的电话号码。利用对应表600，可进行各种转换，例如从组织名到域名的转换、从域名到组织名的转换、或者从电话号码到域名的转换。

可预先在对应表600中注册可能被冒称的知名公司的组织名和域名。

对应表600可由用户创建，或者由从WHOIS服务器280提取信息的冒称确定模块135创建。在根据图7A和图7B的示例中所示的流程图的处理之前创建对应表600就足够了。对应表600可被存储在相关信息处理装置100的对应表存储模块130中。另选地，对应表600可被存储在外部服务器中，并且相关信息处理装置100可访问外部服务器中的对应表600。另外，每当冒称确定模块135确定电子邮件是否冒称时，冒称确定模块135也可不使用对应表存储模块130，而是搜索WHOIS服务器280。

域名由注册处(注册管理组织)管理。该注册处对于ccTLD“.jp”对应于日本注册服务有限责任公司(JPRS)，对于“.com”对应于美国公司VeriSign公司。因此，代替自己创建对应表600，可使用由注册处提供的whois服务(域名注册信息搜索服务、WHOIS服务器280)。下面列出whois服务的URL。

http://whois.jprs.jp/

http://registrar.verisign-grs.com/webwhois-ui/index.jsp

如上所述，由于不单独使用对应表600来执行针对电子邮件的合法和冒称之间的区分，所以对应表600可包括合法数据和冒称数据。因此，对应表的创建比仅注册合法数据更容易。

具体地，如果利用管理域名的注册处(注册管理组织)所提供的whois服务，则没有必要自己创建对应表。

应当注意，还可配置为使得在对应表600中仅注册合法数据。另外，当查找组织名与域名之间的对应关系时，如果对应关系未注册在对应表600中，则确定冒称。在这种情况下，可更准确地确定冒称。

图7A和图7B是示出根据示例性实施方式的示例性处理的流程图。

在步骤S702中，接收并存储电子邮件。

在步骤S704中，从电子邮件的Received字段检测发件人域名或发件人的组织名。

在步骤S704中，示出从电子邮件的Received字段的下部所记载的邮件服务器的地址(by部分)检测发件人的域名的示例。例如，在下部所记载的邮件服务器的地址为“mail.sub1.xxx.co.jp”的情况下，发件人域名被检测为“xxx.co.jp”。这是因为下部所记载的邮件服务器是在发送期间首先中继电子邮件的邮件服务器，因此是靠近发件人的邮件服务器，并且邮件服务器的域名被估计为发件人所属的域名。应当注意，如上所述，还可从Received字段的下部所记载的邮件服务器的地址(from部分)检测发件人的域名，并且可在by部分和from部分中的域名匹配的条件下判定发件人的域名。随后，图6的示例中所示的对应表600用于从发件人域名检测发件人的组织名“XXX”。具体地，在域名栏620内搜索“xxx.co.jp”并从对应的组织名栏610检测组织名“XXX”就足够了。

在步骤S706中，从电子邮件的From字段检测发件人地址、发件人域名或发件人的组织名。

在步骤S708中，从电子邮件的Reply-To字段检测发件人地址、发件人域名或发件人的组织名。

在步骤S710中，从电子邮件的Return-Path字段检测发件人地址、发件人域名或发件人的组织名。

将使用示例描述从步骤S706到步骤S710的处理。电子邮件地址分别被记载在From字段、Reply-To字段和Return-Path字段中。电子邮件地址被检测为发件人地址。例如，在电子邮件地址为“nnn@sub1.xxx.co.jp”的情况下，发件人域名被检测为“xxx.co.jp”。随后，使用图6的示例中所示的对应表600从发件人域名检测发件人的组织名“XXX”。

在步骤S712中，从电子邮件的Received字段检测发件人域名或发件人的组织名。

仅利用从电子邮件的Received字段、From字段、Reply-To字段和Return-Path字段获得的信息，在一些情况下可能检测不到冒称电子邮件。因此，在从步骤S712的处理中，从电子邮件的正文文本和Subject字段获得的信息也用于检测电子邮件是冒称发件人。

步骤S712中的详细处理将稍后使用图8或图9的示例中所示的流程图来描述。可执行图8的示例中所示的流程图和图9的示例中所示的流程图中的任一个中的处理，或者可执行两个处理。

在步骤S714中，从电子邮件的Subject字段检测发件人域名或发件人的组织名。

在电子邮件的Subject字段中，类似于正文文本，可记载任意文本串。

具体地，有时在Subject字段中记载组织名(公司名)或发件人的域名以引起阅读电子邮件的人的注意力。

因此，通过执行与对正文文本的处理相似的处理，从电子邮件的Subject字段检测发件人域名或组织名。

关于步骤S714中的详细处理，在图8或图9的示例所示的流程图中用“Subject字段”替换“正文文本”作为提取目标就足够了。可执行图8的示例中所示的流程图和图9的示例中所示的流程图中的任一个中以Subject字段为目标的处理，或者可执行两个处理。

在步骤S716中，基于到目前为止检测的发件人域名或发件人的组织名，执行发件人域名或发件人的组织名的匹配确定。步骤S716中的详细处理将稍后使用图10的示例中所示的流程图来描述。

在步骤S718中，确定是否存在根据步骤S716中的所有条件的匹配，并且在根据所有条件匹配的情况下，流程前进至步骤S720。否则，流程前进至步骤S724。应当注意，在此示例中，“确定是否存在根据步骤S716中的所有条件的匹配”，但是这可被视为满足预定条件(至少少于“所有条件”的条件)、满足预定数量的条件、或者满足预定比率的条件(匹配条件的数量与已检查条件的数量之比)等。例如，在要求从信头检测的发件人域名或发件人的组织名全部匹配(具体地，步骤S1002和S1004)并且以从正文文本或主题检测的多个发件人域名或发件人的组织名为目标的情况下(具体地，步骤S1006至S1014)，上述确定可被视为满足预定条件(具体地，步骤S1006至S1014中的任一个或更多个)、满足预定数量的条件或者满足预定比率的条件等。

例如，上述确可被配置为至少包括“从信头检测的发件人域名或发件人的组织名”匹配的条件(具体地，步骤S1002或步骤S1004)、以及“从信头检测的发件人域名或发件人的组织名”和“从正文文本或主题检测的多个发件人域名或发件人的组织名”匹配的条件(具体地，步骤S1012或步骤S1014)。

在步骤S720中，确定电子邮件未被冒称。

在步骤S722中，执行正常电子邮件处理。例如，执行以下处理。根据用户指令，电子邮件被打开并显示在画面上。

在步骤S724中，确定电子邮件被冒称。

在步骤S726中，执行针对冒称的电子邮件的处理(冒称应对处理)。例如，执行以下处理。(1)显示以下警告：“此电子邮件被冒称。从电子邮件的主题或正文文本检测的域名不同于从电子邮件的信头检测的域名”。警告的内容还可包括确定电子邮件是冒称的原因。具体地，可呈现不匹配的条件。(2)阻止用户打开电子邮件。例如，电子邮件被删除，移至另一文件夹，或者附加指示电子邮件是冒称电子邮件的标志，并且使打开处理不可用。(3)通知电子邮件系统的管理员。例如，可作为使用电子邮件、聊天或社交媒体的通知、作为推送通知、或者作为通过交互式语音响应的电话呼叫发出通知。另外，被确定为冒称的电子邮件还可被转发给管理员。

图8是示出根据本示例性实施方式的示例性处理的流程图，并且是图7A和图7B的示例中所示的流程图的步骤S712中的处理(第一处理)的示例。具体地，该处理是从正文文本检测发件人的组织名或域名的处理。

通常，在许多情况下，在正文文本的前半部中写有收信人的组织名(例如包括公司名等)和人名，而在正文文本的后半部中写有发件人的组织名(例如包括公司名等)和人名。具体地，在许多情况下，在正文文本的第一区域中写有收信人的组织名和人名，而在正文文本的最后区域(也称为电子邮件的末尾处所记载的签名)中写有发件人的组织名和人名。

在下面的处理当中，可执行所有处理，或者可仅执行所选择的处理。

在步骤S802中，在正文文本的后半部(具体地，最后区域)中记载有电子邮件地址的情况下，该电子邮件地址被检测为发件人的电子邮件地址，并且从该电子邮件地址检测发件人的域名。

例如，假定检测到的电子邮件地址为“nnn@sss1.sss2.xxx.co.jp”。在许多情况下，“nnn”对应于发件人的名字，而“sss1”和“sss2”表示发件人的组织内的分支。假设“xxx.co.jp”是与发件人的组织对应的域名。随后，使用对应表600检测与该域名对应的组织名“XXX”作为发件人的组织名。

在步骤S804中，在正文文本的后半部(具体地，最后区域)包括指示组织名或公司名的标准格式的文本串(例如，"(XXX)"、"XXX K.K."、"K.K.XXX"、"XXX(KK)"、"(KK)XXX"、"XXX Co.,Ltd."、"XXX Inc."、"XXX Corp."、"XXX Corporation"或"XXX Ltd.")的情况下，例如，发件人的组织名被检测为“XXX”。具体地，作为检测组织名的处理，可定义使用正则表达式的模式匹配字符串，并且可执行搜索处理。另外，可使用自然语言处理作为专有名词检测组织名。随后，使用对应表600检测与发件人的组织名对应的域名“xxx.co.jp”作为发件人的域名。

在步骤S806中，在正文文本的后半部(具体地，最后区域)中包括图6的示例中所示的对应表600(组织名栏610)中的组织名的文本串的情况下，该文本串被检测为发件人的组织名。随后，使用对应表600检测与发件人的组织名对应的域名作为发件人的域名。

应当注意，例如，“正文文本的后半部”可被视为从正文文本的末尾的预定行数(例如，5行)中的文本、在从正文文本的末尾执行的搜索中首先发现的电子邮件地址或组织名、或者在预定文本串(例如，用作签名的分隔符的诸如“-”或“*”的重复字符的文本串)之后的区域。

图9是示出根据本示例性实施方式的示例性处理的流程图，并且是图7A和图7B的示例中所示的流程图的步骤S712中的处理(第二处理)的示例。具体地，该处理是从正文文本检测发件人的组织名或域名的处理。

通常，在正文文本中，记载有收信人的组织名(公司名)和人名、以及发件人的组织名(公司名)和人名，而在许多情况下未记载第三方的组织名(公司名)和人名。因此，在正文文本中所记载的组织名当中，与目的地的组织名不同的组织名可被视为发件人的组织名。

在下面的处理当中，可执行所有处理，或者可执行所选择的处理。

在步骤S902中，由于在电子邮件的To字段中指示目的地地址，所以从该目的地地址检测目的地域名和目的地组织名。例如，假定目的地地址是“nnn@sss1.sss2.xxx.co.jp”。在许多情况下，“nnn”对应于收信人的名字，而“sss1”和“sss2”表示目的地的组织内的分支。假设“xxx.co.jp”是与目的地的组织对应的域名。随后，使用对应表600检测与目的地的域名对应的组织名“XXX”作为目的地的组织名。

在步骤S904中，在正文文本中记载有电子邮件地址，并且该电子邮件地址不同于目的地地址的情况下，该电子邮件地址被检测为发件人的电子邮件地址并且从该电子邮件地址检测发件人的域名。随后，使用对应表600检测与该域名对应的组织名作为发件人的组织名。

在步骤S906中，例如，在正文文本包括指示组织名或公司名的标准格式的文本串(例如，“"(XXX)"、"XXX K.K."、"K.K.XXX"、"XXX(KK)"、"(KK)XXX"、"XXX Co.,Ltd."、"XXXInc."、"XXX Corp."、"XXX Corporation"或"XXX Ltd.")的情况下，如果组织名“XXX”不同于在步骤S902中检测到的目的地的组织名，则组织名“XXX”被检测为发件人的组织名。具体地，作为检测组织名的处理，可定义使用正则表达式的模式匹配字符串，并且可执行搜索处理。另外，可使用自然语言处理作为专有名词检测组织名。随后，使用对应表600检测与发件人的组织名对应的域名“xxx.co.jp”作为发件人域名。

在步骤S908中，如果在正文文本中包括图6的示例中所示的对应表600(组织名栏610)中的组织名的文本串，并且如果该组织名不同于在步骤S902中检测到的目的地的组织名，则该文本串被检测为发件人的组织名。随后，使用对应表600检测与发件人的组织名对应的域名作为发件人的域名。

在步骤S910中，在正文文本中包括互联网地址格式的文本串(例如，包括使用<a>标签的链接)的情况下，从该文本串检测发件人的域名。例如，在正文文本中包括文本串“www.sub1.xxx.co.jp”的情况下，“xxx.co.jp”被检测为发件人的域名。随后，使用对应表600检测与发件人的域名对应的组织名“XXX”作为发件人的组织名。

这是因为在一些情况下，为了使得阅读电子邮件的用户能够更容易地利用外部web服务器等，服务器的地址被包括在正文文本中。在这种情况下，通常，服务器是发件人的组织内的服务器。

在步骤S912中，在正文文本中包括电话号码的情况下，从电话号码检测发件人的域名。例如，在正文文本中包括电话号码“0120-345-678”的情况下，参考对应表600，“xxx.co.jp”被检测为发件人的域名。随后，使用对应表600检测与发件人的域名对应的组织名“XXX”作为发件人的组织名。

这是因为在一些情况下，为了使得阅读电子邮件的用户能够更容易地通过电话进行联系，电话号码被包括在正文文本中。在这种情况下，通常，该电话号码是发件人的电话号码。

图10是示出根据本示例性实施方式的示例性处理的流程图，并且是图7A和图7B的示例中所示的流程图的步骤S716中的处理的示例。

在下面的处理当中，可执行所有处理，或者可仅执行所选择的处理(步骤S718中的确定所使用的条件的步骤中的处理)。

在步骤S1002中，确定从From字段、Reply-To字段和Return-Path字段中的每一个检测的发件人地址是否匹配。

在步骤S1004中，确定从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人域名是否匹配。Received字段被添加作为步骤S1002的确定处理中的目标。本文中，如上所述，在下部的Received字段中的“from”部分和“by”部分中的域名部分不匹配的情况下，可确定发件人域名不匹配。

在步骤S1006中，在存在从正文文本检测的多个发件人域名的情况下，确定这些多个发件人域名是否彼此匹配。另选地，在存在从正文文本检测的发件人的多个组织名的情况下，确定这些多个发件人的组织名是否彼此匹配。

在步骤S1008中，在存在从Subject字段检测的多个发件人域名的情况下，确定这些多个发件人域名是否彼此匹配。另选地，在存在从Subject字段检测的发件人的多个组织名的情况下，确定这些多个发件人的组织名是否彼此匹配。

在步骤S1010中，确定从正文文本和Subject字段中的每一个检测的发件人域名是否匹配。另选地，确定从正文文本和Subject字段中的每一个检测的发件人的组织名是否匹配。

在步骤S1012中，确定从正文文本检测的发件人域名与从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人域名是否匹配。另选地，确定从正文文本检测的发件人的组织名与从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人的组织名是否匹配。

在步骤S1014中，确定从Subject字段检测的发件人域名与从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人域名是否匹配。另选地，确定从Subject字段检测的发件人的组织名与从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人的组织名是否匹配。

在步骤S1016中，确定多个组织名或域名是否全部被确定，并且在全部被确定的情况下，流程前进至步骤S1018。否则，流程返回到步骤S1012。在从正文文本或Subject字段检测发件人域名或发件人的组织名的处理(图7A和图7B的示例中所示的流程图中的步骤S712或S714的处理)中，在一些情况下检测到多个发件人域名或发件人的组织名。在这种情况下，所检测到的发件人域名或发件人的组织名全部用于确定是否匹配。显然，在仅存在一个发件人域名或发件人的组织名的情况下，流程前进至步骤S1018。

在步骤S1018中，返回确定结果。返回来自步骤S1002至步骤S1014的各个确定结果作为确定结果。

应当注意，尽管可存在来自步骤S1012和步骤S1014的多个确定结果，但针对作为目标的各个发件人域名或发件人的组织名返回一个确定结果。

在从正文文本或Subject字段检测发件人域名或发件人的组织名的处理(图7A和图7B的示例中所示的流程图中的步骤S712或S714的处理)中，在一些情况下没有检测到发件人域名或发件人的组织名。在这种情况下，仅执行图10的示例中所示的流程图中的从步骤S1006至步骤S1014的可用确定处理就足够了。检测到的组织名和域名用于确定是否匹配。

图7A和图7B的示例中所示的流程图中的从步骤S718起的处理可由图11和图12的示例中所示的流程图或者图13的示例中所示的流程图代替。图11和图12是示出根据示例性实施方式的示例性处理的流程图。

在步骤S1118中，确定是否存在从正文文本或主题(Subject字段)检测到的多个发件人域名或发件人的组织名，并且如果是，则流程前进至步骤S1130。否则，流程前进至步骤S1120。具体地，在存在多个“从正文文本检测的发件人域名”、“从正文文本检测的发件人的组织名”、“从主题检测的发件人域名”或“从主题检测的发件人的组织名”的情况下，流程前进至步骤S1130。否则，流程前进至步骤S1120。

在步骤S1120中，确定是否存在根据步骤S716中的所有条件的匹配，并且在根据所有条件匹配的情况下，流程前进至步骤S1122。否则，流程前进至步骤S1126。这是与步骤S718相似的处理。

在步骤S1122中，确定电子邮件未被冒称。这是与步骤S720相似的处理。

在步骤S1124中，执行正常电子邮件处理。这是与步骤S722相似的处理。例如，执行以下处理。根据用户指令，电子邮件被打开并显示在画面上。

在步骤S1126中，确定电子邮件被冒称。这是与步骤S724相似的处理。

在步骤S1128中，执行针对冒称的电子邮件的处理。这是与步骤S726相似的处理。例如，执行以下处理。显示以下警告：“此电子邮件被冒称。从电子邮件的主题或正文文本检测的域名不同于从电子邮件的信头检测的域名”。阻止用户打开电子邮件。通知电子邮件系统的管理员。

在步骤S1130中，确定从正文文本或主题检测的多个发件人域名或发件人的组织名当中的任一个根据步骤S716中的所有条件是否匹配，并且如果是，则流程前进至步骤S1132。否则，流程前进至步骤S1136。在前进至步骤S1136的情况下，在一些情况下，从正文文本或主题检测的多个发件人域名或发件人的组织名并非全部可满足“根据步骤S716中的所有条件匹配”的条件。应当注意，从正文文本或主题检测的多个发件人域名或发件人的组织名全部匹配根据步骤S716中的所有条件的情况没有发生。这是因为，尽管从正文文本或主题检测到多个发件人域名或发件人的组织名，从信头仅检测到一个发件人域名或发件人的组织名。在从信头检测到多个发件人域名或发件人的组织名的情况下，不满足步骤S1002和S1004中的条件。因此，在步骤S1012中或者在步骤S1014中，即使从信头检测到一个发件人域名或发件人的组织名，这一个发件人域名或发件人的组织名也不匹配从正文文本或主题检测的多个发件人域名或发件人的组织名。

在步骤S1132中，确定电子邮件未被冒称的可能性高。换言之，电子邮件被冒称的可能性未被排除。

在步骤S1134中，呈现电子邮件被冒称的可能性的指示，并且执行正常电子邮件处理(步骤S1124)。

在步骤S1136中，确定电子邮件被冒称。这是与步骤S724相似的处理。

在步骤S1138中，执行针对冒称的电子邮件的处理。这是与步骤S726相似的处理。例如，执行以下处理。显示以下警告：“此电子邮件被冒称。从电子邮件的主题或正文文本检测的域名不同于从电子邮件的信头检测的域名”。阻止用户打开电子邮件。通知电子邮件系统的管理员。

图7A和图7B的示例中所示的流程图中的从步骤S718起的处理可由图13的示例中所示的流程图代替。图13是示出根据示例性实施方式的示例性处理的流程图。

另外，图11和图12的示例中所示的流程图可与图13的示例中所示的流程图组合。例如，在步骤S1120中确定“是”之后，可添加从步骤S1320起的处理。

在步骤S1318中，确定是否存在根据步骤S716中的所有条件的匹配，并且在根据所有条件匹配的情况下，流程前进至步骤S1320。否则，流程前进至步骤S1330。这是与步骤S718相似的处理。

在步骤S1320中，确定是否存在在步骤S712或步骤S714中从正文文本或Subject字段提取到但不在对应表600中的发件人域名或发件人的组织名，并因此最终确定没有成功检测到组织名。在存在没有成功检测到的组织名的情况下，流程前进至步骤S1322。否则，流程前进至步骤S1326。前进至步骤S1322的情况的示例是这样的情况：从信头提取组织名“AA”而在正文文本中记载有“AA公司”和“BB公司”，并且尽管对应表600中包括“AA”，但不包括“BB”。换言之，接收到来自“AA公司”的正式电子邮件的可能性高，但是由于电子邮件作为“BB公司”冒称发件人的可能性未被排除，所以流程前进至步骤S1322。

在步骤S1322中，确定电子邮件未被冒称的可能性高。这是与步骤S1132相似的处理。

在步骤S1324中，呈现电子邮件被冒称的可能性的指示，并且执行正常电子邮件处理。这是与步骤S1134相似的处理。

在步骤S1326中，确定电子邮件未被冒称。这是与步骤S720相似的处理。

在步骤S1328中，执行正常电子邮件处理。这是与步骤S722相似的处理。例如，执行以下处理。根据用户指令，电子邮件被打开并显示在画面上。

在步骤S1330中，确定电子邮件被冒称。这是与步骤S724相似的处理。

在步骤S1332中，执行针对冒称的电子邮件的处理。这是与步骤S726相似的处理。例如，执行以下处理。显示以下警告：“此电子邮件被冒称。从电子邮件的主题或正文文本检测的域名不同于从电子邮件的信头检测的域名”。阻止用户打开电子邮件。通知电子邮件系统的管理员。

现在将给出使用特定示例(1)的描述。图14是示出电子邮件1400的示例性数据结构的说明图。将描述在接收到电子邮件1400的情况下的处理。

电子邮件1400包括Received字段1405A、Received字段1405B、From字段1410、To字段1415、CC字段1420、Subject字段1425、Reply-To字段1435、Return-Path字段1440和正文文本字段1445。正文文本字段1445包括目标位置1450、目标位置1455、目标位置1460和目标位置1465。以下被记载在正文文本字段1445中。

---------------

AA公司，B先生

此信息有价值。

打开或点击此链接。

http://www.xx.co.jp

拨打此号码。

电话号码：0120-000-000

SS公司，T

t@ss.co.jp

---------------

电子邮件的发件人实际是“XX公司”的Y(电子邮件地址“y@xx.co.jp”，域名“xx.co.jp”)，但是冒称“SS公司”的T(电子邮件地址“t@ss.co.jp”，域名“ss.co.jp”)。

电子邮件的收信人是“AA公司”的B(电子邮件地址“b@aa.co.jp”，域名“aa.co.jp”)。

为了使阅读电子邮件的人相信电子邮件来自知名的“SS公司”并值得信任，知名公司名(“SS公司”)和域名(“ss.co.jp”)被记载在Subject字段中和正文文本中。

步骤S702：

接收并存储电子邮件。

步骤S704：

从Received字段1405B，检测发件人域名(“xx.co.jp”)。参考图6的示例中所示的对应表600，检测发件人的组织名(“XX”)。

步骤S706至步骤S710：

从From字段1410，检测发件人地址(“y@xx.co.jp”)和发件人域名(“xx.co.jp”)。参考图6的示例中所示的对应表600，检测发件人的组织名(“XX”)。

类似地，从Reply-To字段1435，检测发件人地址(“y@xx.co.jp”)、发件人域名(“xx.co.jp”)和发件人的组织名(“XX”)。

类似地，从Return-Path字段1440，检测发件人地址(“y@xx.co.jp”)、发件人域名(“xx.co.jp”)和发件人的组织名(“XX”)。

步骤S712：

应用图8的示例中所示的流程图以执行以下处理。

(1-1)在正文文本字段1445的最后区域中记载有电子邮件地址“t@ss.co.jp”。这被检测为发件人的电子邮件地址。另外，发件人域名被检测为“ss.co.jp”，并且发件人的组织被检测为“SS”。

(1-2)由于在正文文本字段1445的最后区域中记载有指示公司名的“SS公司”，所以发件人的组织名被检测为“SS”。随后，使用对应表600将域名检测为“ss.co.jp”。

(1-3)在正文文本字段1445的最后区域中，在图6的示例中所示的对应表600(组织名栏610)中的组织名的文本串当中包括“SS”。“SS”被检测为发件人的组织名。随后，使用对应表600检测与发件人的组织名对应的域名“ss.co.jp”作为发件人的域名。

应用图9的示例中所示的流程图以执行以下处理。

(2-1)电子邮件1400的To字段1415中的目的地地址为“b@aa.co.jp”。从目的地地址检测到目的地域名“aa.co.jp”。随后，使用图6的示例中所示的对应表600从目的地域名检测目的地的组织名“AA”。

(2-2)在正文文本字段1445中记载有电子邮件地址“t@ss.co.jp”，并且电子邮件地址“t@ss.co.jp”不同于To字段1415中的目的地地址“b@aa.co.jp”。因此，电子邮件地址“t@ss.co.jp”被检测为发件人的电子邮件地址，并且从该电子邮件地址检测到发件人的域名“ss.co.jp”。随后，使用图6的示例中所示的对应表600检测“SS”作为发件人的组织名。

(2-3)在正文文本字段1445中，包括“AA公司”和“SS公司”作为指示组织名或公司名的标准格式的文本串。在这些当中，由于“AA公司”与目的地的组织名“AA”相同并且由于“SS公司”不同于目的地的组织名“AA”，所以“SS”被检测为发件人的组织名。随后，使用图6的示例中所示的对应表600将发件人域名检测为“ss.co.jp”。

(2-4)在正文文本字段1445中，“AA”和“SS”被包括在图6的示例中所示的对应表600(组织名栏610)中的组织名的文本串当中。在这些当中，由于“AA”与目的地的组织名“AA”相同，并且由于“SS”不同于目的地的组织名“AA”，所以“SS”被检测为发件人的组织名。随后，使用图6的示例中所示的对应表600将发件人域名检测为“ss.co.jp”。

(2-5)正文文本字段1445中的文本串“www.xx.co.jp”为互联网地址格式，并且被记载在正文文本字段1445的下部(后半部)。因此，发件人的域名被检测为“xx.co.jp”。随后，使用图6的示例中所示的对应表600将发件人的组织名检测为“XX”。

(2-6)正文文本字段1445中的文本串“0120-000-000”为电话号码格式，并且被记载在正文文本字段1445的下部(后半部)。因此，发件人的电话号码被检测为“0120-000-000”。随后，使用图6的示例中所示的对应表600将发件人的组织名检测为“XX”。

通过以上步骤，在步骤S712中，从正文文本字段1445，发件人域名被检测为“xx.co.jp”或“ss.co.jp”，并且发件人的组织名被检测为“XX”或“SS”。

步骤S714：

从电子邮件1400的Subject字段1425中的记载“SS公司”，发件人域名被检测为“ss.co.jp”，并且发件人的组织名被检测为“SS”。

步骤S716：

(8-1)从From字段1410、Reply-To字段1435和Return-Path字段1440中的每一个检测的发件人地址为“y@xx.co.jp”。这些发件人地址匹配。

(8-2)从From字段1410、Reply-To字段1435、Return-Path字段1440和Received字段1405B中的每一个检测的发件人域名为“xx.co.jp”。这些发件人域名匹配。另外，Received字段1405B中的“from”部分和“by”部分的域名部分也匹配。

(8-3)从正文文本字段1445检测的发件人域名为“xx.co.jp”和“ss.co.jp”。这些发件人域名不匹配。从正文文本字段1445检测的发件人的组织名为“XX”和“SS”。这些组织名不匹配。

(8-4)从Subject字段1425检测的发件人域名为“ss.co.jp”，并且由于仅存在一个，所以不执行发件人域名是否匹配的确定。从Subject字段1425检测的发件人的组织名为“SS”，并且由于仅存在一个，所以不执行组织名是否匹配的确定。

(8-5)从正文文本字段1445检测的发件人域名为“xx.co.jp”和“ss.co.jp”，而从Subject字段1425检测的发件人域名为“ss.co.jp”。这些发件人域名不匹配。从正文文本字段1445判定的发件人的组织名为“XX”或“SS”，而从Subject字段1425检测的发件人的组织名为“SS”。这些组织名不匹配。

(8-6)从正文文本字段1445检测的发件人域名为“xx.co.jp”和“ss.co.jp”，而从From字段1410、Reply-To字段1435、Return-Path字段1440和Received字段1405B中的每一个检测的发件人域名为“xx.co.jp”。这些发件人域名不匹配。从正文文本字段1445检测的发件人的组织名为“XX”和“SS”，而从From字段1410、Reply-To字段1435、Return-Path字段1440和Received字段1405B中的每一个检测的发件人的组织名为“XX”。这些组织名不匹配。

(8-7)从Subject字段1445检测的发件人域名为“ss.co.jp”，而从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人域名为“xx.co.jp”。这些发件人域名不匹配。从Subject字段检测的发件人的组织名为“SS”，而从From字段、Reply-To字段、Return-Path字段和Received字段中的每一个检测的发件人的组织名为“XX”。这些组织名不匹配。

步骤S718：

由于上述(8-1)至(8-7)当中存在不匹配的信息，所以作为步骤S716的确定结果返回不匹配。因此，流程前进至步骤S724。

步骤S724：

电子邮件1400被确定为冒称的电子邮件。

步骤S726：

执行针对冒称的电子邮件的处理。

步骤S799：

结束。

在使用日本未审查专利申请公布No.2010-061406中所描述的技术的情况下，仅使用从Received字段1405B和From字段1410获得的信息来确定电子邮件是否被冒称，因此在此示例中，由于从Received字段1405B获得的信息与从From字段1410获得的信息匹配，所以无法确定电子邮件被冒称。

在本示例性实施方式中，还使用从电子邮件1400的正文文本字段1445和Subject字段1425获得的信息，因此可确定电子邮件冒称发件人。

现在将给出使用特定示例(2)的描述。图15是示出电子邮件1500的示例性数据结构的说明图。将描述在接收到电子邮件1500的情况下的处理。

电子邮件1500包括Received字段1505A、Received字段1505B、From字段1510、To字段1515、CC字段1520、Subject字段1525、Reply-To字段1535、Return-Path字段1540和正文文本字段1545。正文文本字段1545包括目标位置1555、目标位置1560和目标位置1565。以下被记载在正文文本字段1545中。

---------------

AA公司，B先生

此信息有价值。

拨打此号码。

电话号码：0120-000-000

SS公司，T

t@ss.co.jp

---------------

电子邮件1500是从图14的示例中所示的电子邮件1400去除了正文文本字段1445中的URL的示例。确定处理与图14的示例相似。

针对电子邮件1500，由于在正文文本字段1545中没有记载URL，所以在使用日本未审查专利申请公布No.2007-011967中所描述的技术的情况下，无法确定冒称。

在本示例性实施方式中，由于还利用除了URL以外的记载，所以可确定冒称。

现在将给出使用特定示例(3)的描述。图16是示出电子邮件1600的示例性数据结构的说明图。将描述在接收到电子邮件1600的情况下的处理。

电子邮件1600包括Received字段1605A、Received字段1605B、From字段1610、To字段1615、CC字段1620、Subject字段1625、Reply-To字段1635、Return-Path字段1640和正文文本字段1645。以下被记载在正文文本字段1645中。

---------------

AA公司，B先生

SS公司，T

t@ss.co.jp

给收信人的消息。

---------------

电子邮件1600是图14的示例中所示的电子邮件1400的正文文本字段1445已改变的示例。针对信头部分的确定处理与图14的示例相似。

在正文文本字段1645中，左侧首先记载有收信人“AA公司，B先生”。在下面，在中心区域或在右侧记载有发件人的组织名“SS”、发件人名字“T”和发件人地址“t@ss.co.jp”。

作为检测正文文本字段1645中的组织名和域名的处理，可采用以下处理中的一个。

(1)按照出现在正文文本字段1645中的顺序检测组织名和域名。

具体地，检测在电子邮件1600的正文文本字段1645中首先检测到的组织名“AA”作为目的地。

另外，检测接下来检测到的组织名“SS”作为发件人的组织名，并且检测域名“ss.co.jp”作为发件人的域名。

(2)根据正文文本字段1645中的布局(包括显示位置的概念)检测组织名和域名。

具体地，检测在电子邮件1600的正文文本字段1645的左上区域中检测到的组织名“AA”作为目的地。

另外，检测电子邮件1600的正文文本字段1645的上部中的中心区域或右侧中检测到的组织名“SS”作为发件人的组织名，并且检测“ss.co.jp”作为发件人的域名。

(3)根据正文文本字段1645中的出现顺序和布局检测组织名和域名

具体地，检测在电子邮件1600的正文文本字段1645的左上区域中首先检测到的组织名“AA”作为目的地。

另外，检测在电子邮件1600的正文文本字段1645的中心区域或右侧在目的地的组织名之后接下来检测到的组织名“SS”作为发件人的组织名，并且检测“ss.co.jp”作为发件人的域名。

应当注意，执行充当本示例性实施方式的程序的计算机的硬件配置是如图17的示例所示的一般计算机，具体地，是计算机等(可为个人计算机或服务器)。换言之，作为特定示例，CPU 1701用作处理单元(计算单元)，而RAM 1702、ROM 1703和HD 1704用作存储装置。例如，对于HD 1704，可使用硬盘或固态驱动器(SSD)。计算机包括：CPU1701，其执行诸如通信模块105、邮件接收模块110、冒称检测模块115、检测(A)模块120、检测(B)模块125、冒称确定模块135和冒称应对处理模块140的程序；RAM 1702，其存储这些程序和数据；ROM1703，其存储用于启动计算机的程序等；HD 1704，是包括对应表存储模块130的功能并存储电子邮件等的辅助存储装置(并且还可以是闪存等)；接收装置1706，其基于由用户针对诸如键盘、鼠标、触摸屏、麦克风或相机(包括凝视检测相机等)执行的操作(包括动作、语音命令和凝视)来接收数据；输出装置1705，例如CRT、液晶显示器或扬声器；通信链路接口1707，例如用于连接到通信网络的网络接口卡；以及总线1708，其用于与上述组件连接和交换数据。多个这样的计算机也可通过网络彼此连接。

在上述示例性实施方式当中，对于由计算机程序组成的那些，使计算机程序形式的软件被读到具有上述硬件配置的系统中，并且上述示例性实施方式通过软件和硬件资源的协作来实现。

应当注意，图17所示的硬件配置示出单个示例性配置，并且示例性实施方式不限于图17所示的配置，只要该配置仍能够执行示例性实施方式中所描述的模块即可。例如，一些模块也可利用专用硬件(例如，专用集成电路(ASIC))来实现，并且一些模块可被配置为驻留在外部系统内并经由通信链路连接。此外，还可配置为使得图17所示的系统的多个实例通过通信链路彼此连接并彼此协同操作。另外，具体地，除了个人计算机之外，示例性实施方式还可被包含到诸如服务器、移动信息通信装置、信息家电、机器人、影印机、传真机、扫描仪、打印机或多功能装置(即，具有扫描、打印、复印和传真功能当中的两个或更多个功能的图像处理装置)的装置中。

尽管示出了Received字段(1)的by部分被示出的示例，但是也可使用下一个Received字段(2)的from部分。应当注意，“下一个Received字段(2)”是指记载在电子邮件的信头中的前一个Received字段(1)正上方的Received字段。

应当注意，所描述的程序可被存储在记录介质中来提供，但是程序也可经由通信介质来提供。在这种情况下，例如，存储程序的计算机可读记录介质也可被认为是针对所描述的程序的本发明的示例性实施方式。

例如，“存储程序的计算机可读记录介质”是指记录有程序并且用于安装、执行和分发该程序的计算机可读记录介质。

记录介质可以是：数字多功能盘(DVD)(涵盖由DVD论坛定义的诸如DVD-R、DVD-RW和DVD-RAM的格式以及由DVD+RW联盟定义的诸如DVD+R和DVD+RW的格式)、紧凑盘(CD)(涵盖诸如只读存储器(CD-ROM)、可记录CD(CD-R)和可重写CD(CD-RW)的格式)、蓝光盘(注册商标)、磁光(MO)盘、软盘(FD)、磁带、硬盘、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM(注册商标))、闪存、随机存取存储器(RAM)或安全数字(SD)存储卡。

另外，例如，上述程序的全部或部分也可被记录到记录介质并被保存或分发。另外，上述程序的全部或部分可通过使用诸如局域网(LAN)、城域网(MAN)、广域网(WAN)、互联网、内联网、外联网或其一些组合中所使用的有线或无线通信网络的传输介质发送，或者可选地，通过被调制到载波上并传播来通信。

此外，上述程序可以是另一程序的部分或全部，或者与其它单独的程序一起被记录到记录介质。上述程序也可跨多个记录介质以分割的方式记录。上述程序也可按照压缩、加密或任何其它可恢复的形式记录。

为了例示和描述目的而提供了本发明的示例性实施方式的以上描述。其并不旨在为穷尽性的或者将本发明限于所公开的精确形式。显然，对本领域技术人员而言许多修改和变化将是显而易见的。选择并描述了实施方式以便最佳地说明本发明的原理及其实际应用，从而使得本领域技术人员能够理解本发明的各种实施方式以及适合于可以想到的具体用途的各种修改。本发明的范围旨在由以下权利要求书及其等同物限定。

Claims (25)

1.一种电子邮件处理装置，该电子邮件处理装置被配置为：

在从电子邮件的正文文本或主题检测到的第一发件人信息与从所述电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，确定所述电子邮件是冒称。

2.一种电子邮件处理装置，该电子邮件处理装置被配置为：

在从电子邮件的正文文本或主题检测到的第一发件人信息与从所述电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，针对所述电子邮件执行冒称应对处理。

3.一种电子邮件处理装置，该电子邮件处理装置包括：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人信息；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人信息；以及

冒称确定器，该冒称确定器被配置为在所述第一发件人信息与所述第二发件人信息之间不匹配的情况下确定所述电子邮件是冒称。

4.一种电子邮件处理装置，该电子邮件处理装置包括：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人信息；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人信息；以及

冒称应对处理器，该冒称应对处理器被配置为在所述第一发件人信息与所述第二发件人信息之间不匹配的情况下针对所述电子邮件执行冒称应对处理。

5.一种电子邮件处理装置，该电子邮件处理装置包括：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从所述发件人的所述组织名，参考组织名与域名之间的对应表，检测第一发件人域名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人域名；以及

冒称确定器，该冒称确定器被配置为在所述第一发件人域名与所述第二发件人域名之间不匹配的情况下确定所述电子邮件是冒称。

6.一种电子邮件处理装置，该电子邮件处理装置包括：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从所述发件人的所述组织名，参考组织名与域名之间的对应表，检测第一发件人域名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人域名；以及

冒称应对处理器，该冒称应对处理器被配置为在所述第一发件人域名与所述第二发件人域名之间不匹配的情况下针对所述电子邮件执行冒称应对处理。

7.一种电子邮件处理装置，该电子邮件处理装置包括：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人组织名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测发件人的域名，并且从所述发件人的所述域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及

冒称确定器，该冒称确定器被配置为在所述第一发件人组织名与所述第二发件人组织名之间不匹配的情况下确定所述电子邮件是冒称。

8.一种电子邮件处理装置，该电子邮件处理装置包括：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人组织名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测发件人的域名，并且从所述发件人的所述域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及

冒称应对处理器，该冒称应对处理器被配置为在所述第一发件人组织名与所述第二发件人组织名之间不匹配的情况下针对所述电子邮件执行冒称应对处理。

9.一种电子邮件处理装置，该电子邮件处理装置被配置为：

在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从所述正文文本或所述主题内的不同于所述第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，确定所述电子邮件是冒称。

10.一种电子邮件处理装置，该电子邮件处理装置被配置为：

在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从所述正文文本或所述主题内的不同于所述第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，针对所述电子邮件执行冒称应对处理。

11.根据权利要求1至4、9和10中的任一项所述的电子邮件处理装置，其中

所述第一发件人信息和所述第二发件人信息是发件人域名，或者是发件人的组织名。

12.根据权利要求1至4和11中的任一项(不包括从属于权利要求9或权利要求10的权利要求11)所述的电子邮件处理装置，其中

所述第二发件人信息是从所述电子邮件的From字段、Reply-To字段、Return-Path字段和Received字段中的任一个或更多个检测到的信息。

13.根据权利要求2、4、6、8或10所述的电子邮件处理装置，其中

作为所述冒称应对处理，执行呈现指示冒称的警告、阻止打开所述电子邮件和通知管理员中的任一个或组合。

14.根据权利要求13所述的电子邮件处理装置，其中

确定所述电子邮件是冒称的原因作为所述警告被呈现。

15.根据权利要求13或14所述的电子邮件处理装置，其中

在存在没有成功检测到所述第一发件人信息的位置的情况下，并且在从另一位置检测到的所述第一发件人信息与所述第二发件人信息之间不匹配的情况下，冒称的可能性的指示作为所述警告被呈现。

16.一种电子邮件处理方法，该电子邮件处理方法包括以下步骤：

在从电子邮件的正文文本或主题检测到的第一发件人信息与从所述电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，确定所述电子邮件是冒称。

17.一种电子邮件处理方法，该电子邮件处理方法包括以下步骤：

在从电子邮件的正文文本或主题检测到的第一发件人信息与从所述电子邮件的信头检测到的第二发件人信息之间不匹配的情况下，针对所述电子邮件执行冒称应对处理。

18.一种电子邮件处理方法，该电子邮件处理方法使得计算机用作：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人信息；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人信息；以及

冒称确定器，该冒称确定器被配置为在所述第一发件人信息与所述第二发件人信息之间不匹配的情况下确定所述电子邮件是冒称。

19.一种电子邮件处理方法，该电子邮件处理方法使得计算机用作：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人信息；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人信息；以及

冒称应对处理器，该冒称应对处理器被配置为在所述第一发件人信息与所述第二发件人信息之间不匹配的情况下针对所述电子邮件执行冒称应对处理。

20.一种电子邮件处理方法，该电子邮件处理方法使得计算机用作：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从所述发件人的所述组织名，参考组织名与域名之间的对应表，检测第一发件人域名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人域名；以及

冒称确定器，该冒称确定器被配置为在所述第一发件人域名与所述第二发件人域名之间不匹配的情况下确定所述电子邮件是冒称。

21.一种电子邮件处理方法，该电子邮件处理方法使得计算机用作：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测发件人的组织名，并且从所述发件人的所述组织名，参考组织名与域名之间的对应表，检测第一发件人域名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测第二发件人域名；以及

冒称应对处理器，该冒称应对处理器被配置为在所述第一发件人域名与所述第二发件人域名之间不匹配的情况下针对所述电子邮件执行冒称应对处理。

22.一种电子邮件处理方法，该电子邮件处理方法使得计算机用作：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人组织名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测发件人的域名，并且从所述发件人的所述域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及

冒称确定器，该冒称确定器被配置为在所述第一发件人组织名与所述第二发件人组织名之间不匹配的情况下确定所述电子邮件是冒称。

23.一种电子邮件处理方法，该电子邮件处理方法使得计算机用作：

第一检测器，该第一检测器被配置为从电子邮件的正文文本或主题检测第一发件人组织名；

第二检测器，该第二检测器被配置为从所述电子邮件的信头检测发件人的域名，并且从所述发件人的所述域名，参考组织名与域名之间的对应表，检测第二发件人组织名；以及

冒称应对处理器，该冒称应对处理器被配置为在所述第一发件人组织名与所述第二发件人组织名之间不匹配的情况下针对所述电子邮件执行冒称应对处理。

24.一种电子邮件处理方法，该电子邮件处理方法包括以下步骤：

在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从所述正文文本或所述主题内的不同于所述第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，确定所述电子邮件是冒称。

25.一种电子邮件处理方法，该电子邮件处理方法包括以下步骤：

在从电子邮件的正文文本或主题内的第一位置检测到的第一发件人信息与从所述正文文本或所述主题内的不同于所述第一位置的第二位置检测到的第二发件人信息之间不匹配的情况下，针对所述电子邮件执行冒称应对处理。