JP2018508169A - Ehlo名およびipアドレスターゲティングによる電子メール送信者の集中型検証 - Google Patents

Ehlo名およびipアドレスターゲティングによる電子メール送信者の集中型検証 Download PDF

Info

Publication number
JP2018508169A
JP2018508169A JP2017560878A JP2017560878A JP2018508169A JP 2018508169 A JP2018508169 A JP 2018508169A JP 2017560878 A JP2017560878 A JP 2017560878A JP 2017560878 A JP2017560878 A JP 2017560878A JP 2018508169 A JP2018508169 A JP 2018508169A
Authority
JP
Japan
Prior art keywords
email
domain
record
dns
sender
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017560878A
Other languages
English (en)
Other versions
JP6514365B2 (ja
JP2018508169A5 (ja
Inventor
マーティン ゴールドスタイン ピーター
マーティン ゴールドスタイン ピーター
Original Assignee
ヴァリメール インコーポレイテッド
ヴァリメール インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ヴァリメール インコーポレイテッド, ヴァリメール インコーポレイテッド filed Critical ヴァリメール インコーポレイテッド
Publication of JP2018508169A publication Critical patent/JP2018508169A/ja
Publication of JP2018508169A5 publication Critical patent/JP2018508169A5/ja
Application granted granted Critical
Publication of JP6514365B2 publication Critical patent/JP6514365B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/33Types of network names containing protocol addresses or telephone numbers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

DNSサーバは、DNSサーバに記憶されている電子メールドメインに対するDNS照会を受信電子メールシステムから受信し、DNS照会は、電子メールの送信者の識別情報を含む。DNSサーバは、DNS照会から電子メール送信者の識別情報を抽出し、その情報から複数の配信機構の1つを識別する。DNSサーバは、識別された配信機構が、電子メールドメインに代わって電子メールを配信することが許可されているかどうかを判定する。識別された配信機構が、電子メールドメインに代わって電子メールを配信することが許可されていると決定したことに応答し、DNSサーバは、許可された配信機構および電子メールドメインの識別に基づいて、ターゲット妥当性検証レコードを生成し、ターゲット妥当性検証レコードは、配信機構が、電子メールドメインに対する電子メールの許可された送信者であるかどうかを受信電子メールシステムに示す1または複数のルールを含む。

Description

本開示は、一般に、電子的なメッセージングの分野に関し、詳細には、EHLO名およびIPアドレスターゲティングによる電子メール送信者の集中型検証に関する。
関連出願への相互参照
本出願は、2015年2月14日に出願された米国特許仮出願第62/116、409号明細書の利益を主張するものであり、その全体が参照により本明細書に組み込まれる。
電子メールなどの分散メッセージングシステムにおいては、メッセージの実際の発信者は、不正なメッセージをなくすために、メッセージの主張された識別に対する妥当性が検証され得る。このような不正なメッセージの例は、特定の送信者からのものであると称しているが、実際は詐称された送信者アドレスを有し、かつ受取人に対して何らかの不正な作業を実施する(例えば、個人情報を盗む)ことを望む可能性のある悪意のあるエンティティから送られた「フィッシング」電子メールを含む可能性がある。この妥当性検証問題に対する1つの手法は、送信識別の所有者に、どのコンピュータが、受取人の電子メールサーバに電子メールを中継可能であるかを定義するルールのセットを作成できるようにすることである。送信者ポリシーフレームワーク(SPF)は、電子メールに対するこの手法の標準の実装形態である。送信識別は、受信メールサーバが、受信されたメッセージの送信者の識別の妥当性を検証するために、それらにアクセスすることが可能であるようなドメイン名システム(DNS)を介してこれらのSPFルールをパブリッシュする。
この手法は有効であり得るが、それは、受信システムに対してかなりの負担を与え、かつ有効な媒介(例えば、メーリングリスト、「ライフタイム」電子メールアカウントなど)を使用することに課題を生ずる。例えば、メーリングリストサーバは、発信元の送信者からのメッセージを転送するように求められ得るが、メーリングリストサーバは、発信元の送信者により有効な送信者として識別されない。メッセージの妥当性を検証するとき、完全なルールセットが、数百の、またはさらに数千のルールを要求するとしても、受信システムは、いくつかのこのようなルールよりも多くの検査を実質的に実行することはできない。
SPFはまた、受信システムに対する負担を制限するために、可能なドメイン名システム(DNS)参照数に対する厳しい制限を含むが、これは、いくつかの正当なメッセージの妥当性の検証に失敗する犠牲を払うことになる。送信者書換えスキーム(SRS)などの他の技法は、元の送信者を、より制限されたルールセットによって妥当性が検証され得る中間的な識別へと置き換える。こうすることにより、受信システムに対する負担は最小化するが、発信者の識別に対するメッセージの妥当性を検証することにならない。
したがって、欠けているのは、受信システムに不当に負担をかけることがなく、既存のフレームワークと互換性があり、かつ相互運用可能な、送信者識別検証のための任意に多量の複雑なルールセットを定義できる能力である。
いくつかの実施形態では、システムおよび方法は、ネットワークまたはIPレベルからの電子メールに関する認証質問を、送信機構レベルへと再フレーム化すること、既存の送信者ポリシーフレームワーク(SPF)プロトコルの能力を用いて、SMTP接続から利用可能なネットワーク情報をターゲテッドドメイン名へと符号化すること、およびそれを、そのネットワーク情報を既知の機構のリストへとマップするデータベースにより支援されたカスタムのDNSシステムと組み合わせることを含むことができる。
いくつかの実施形態では、システムおよび方法は、ドメインマネジャに、許可された機構に対するSPFレコードの手動の参照、ドメインに対するDNS TXTレコードの変更など、何らかのさらなる作業を必要とすることなく、それ自体のために、電子メールを送ることのできる機構のセットを定義できるようにする。それはまた、ドメインマネジャに、任意の数の送信機構を許可できるようにし、かつ許可された送信者に対するSPF構成への変更を追跡する必要性をドメインマネジャから開放する。
いくつかの実施形態では、システムおよび方法は、ドメインの所有者が、そのドメインから発信された電子メールをどのメールサーバが配信できるかを指定するルールのセット(ディレクティブとして知られている)を、DNS TXTレコードで定義できるプロトコルとすることのできる送信者ポリシーフレームワーク(SPF)を含むことができる。受信メールサーバは、これらのルールを評価し、かつ配信サーバのIPアドレスに基づき、問題のメッセージが、そのドメインから発信できるかどうかを判定する。
いくつかの実施形態では、システムおよび方法は、SPFの2つの機能を利用することができる。第1に「include」メカニズムであり、それにより、SPFレコードは、さらなるDNS SPFレコードが定義されているターゲットドメインを参照し、かつこの参照レコードで定義されたルールを、評価されたルールセットの中に含めることができる。第2に、マクロシステムであり、それによって、SMTP接続に関連付けられたIPアドレスおよびEHLO名などの要求特有の値が、ターゲットドメインに補間され得る。
いくつかの実施形態では、ドメインを構成するとき、SPFレコードは、電子メールが許可されているドメインの名前、ならびにSMTP接続のEHLO名および/またはIPアドレスを、ターゲットドメイン名へと符号化するためにSPFマクロを使用する「include」ディレクティブを組込むドメインに対して構成され得る。ターゲットドメイン名は、ネットワーク情報を既知の機構のリストにマッピングする責任を担うDNSシステムである、ターゲテッドSPF DNSリゾルバにより管理されるDNSゾーン内にあるように構成され得る。
さらなる実施形態では、ターゲテッドSPF DNSリゾルバは、ターゲットドメインに対するDNS照会に応ずる責任を担うことができる。それはまた、既知の機構に対するネットワーク情報の正確な、最新のマッピングを維持する責任を担うことができ、それは、ドメイン登録レコード、パブリックDNSエントリ、および精選された情報などのパブリック情報を組み合わせることを含むことができる。
さらなる実施形態において、送信者ポリシーフレームワーク(SPF)を向上させるためのシステムおよび方法は、ドメインマネジャに提示される全体的な複雑さ、および維持負担を低減し、かつ同様の認証を提供するための最新システムの既存の制限を除くことにより、電子メールを認証する技術を進歩させることができる。さらに、本方法は、電子メールを受信するシステムに対して何らかの変更を必要とする可能性がなく、またインストールされたソフトウェアの既存の、かつ広範囲なベースと両立性を有することができる。
開示される実施形態は、詳細な説明、添付の特許請求の範囲、および添付図(または図面)から容易に明らかになる利点および特徴を有する。諸図の簡単な紹介は以下のようになる。
図1は、実施形態によるEHLO名およびIPアドレスターゲティングにより媒介を通じて電子メール送信者の妥当性を検証できるシステム例を示す図である。 図2は、一実施形態によるサードパーティ配信機構で使用するための電子メールドメイン妥当性検証レコードを作成するプロセス例を示すインタラクション図およびフローチャートである。 図3は、一実施形態によるDNSを用いる電子メールドメイン妥当性検証レコードによる解決についてのプロセス例を示すインタラクション図およびフローチャートである。 図4は、マシン可読媒体から命令を読み取り、かつプロセッサ(またはコントローラ)により命令を実行することのできるマシンの例の構成を示すブロック図である。
図(FIGS.)および以下の説明は、より好ましい実施形態に関する。以下の論議から、本明細書で開示される構造および方法の代替的実施形態は、特許請求される原理から逸脱することなく使用され得る実行可能な代替形態として容易に理解されるはずであることに留意されたい。
いくつかの実施形態、また添付図において示されている例に対して、まず、詳細に言及が行われる。図は、例示のためだけに、開示されるシステム(または方法)の実施形態を示している。当業者であれば、以下の説明から、本明細書で示される構造および方法の代替的実施形態が、本明細書で述べられる原理から逸脱することなく使用され得ることを容易に理解されよう。
構成の概観
例として開示される実施形態は、EHLO名およびIPアドレスターゲティングにより、媒介を通じて電子メール送信者の妥当性を検証することのできるシステムおよびプロセスである。実施形態では、DNSサーバは、受信電子メールシステムから、DNSサーバに記憶された電子メールドメインに対するDNS照会を受信し、DNS照会は、電子メールの送信者の識別情報を含み、かつ電子メールは、電子メールドメインからのものとしてそれ自体を識別する。DNSサーバは、DNS照会から電子メール送信者の識別情報を抽出し、かつ識別情報から、複数の配信機構の1つを識別する。DNSサーバは、識別された配信機構が、電子メールドメインに代わって電子メールを配信することが許可されているかどうかを判定する。識別された配信機構が、電子メールドメインに代わって、電子メールを配信することが許可されていると決定したことに応答して、DNSサーバは、許可された配信機構および電子メールドメインの識別に基づき、ターゲット妥当性検証レコードを生成し、ターゲット妥当性検証レコードは、配信機構が電子メールドメインに対する電子メールの許可された送信者であることを、受信電子メールシステムに示す1または複数のルールを含み、かつDNS照会に応答して、受信電子メールシステムに、ターゲット妥当性検証レコードを送る。
一実施形態では、送信電子メールシステムは、電子メールドメインのDNSレコードに含めるために、電子メール妥当性検証レコードを作成するように構成され、電子メールドメイン妥当性検証レコードは、ターゲットドメインから電子メールを受信したとき、受信電子メールシステムにより構文解析され、受信電子メールシステムに、電子メールの送信者が、電子メールドメインに対する許可された送信者であるかどうかを示す。電子メールドメイン妥当性検証レコードを作成するために、送信電子メールシステムは、電子メールドメインとは別個のドメインであるターゲットドメインを含むように電子メールドメイン妥当性検証レコードを構成し、電子メールドメイン妥当性検証レコードの構文解析を行うとき、受信電子メールシステムに、妥当性検証レコードを求める第2の要求をターゲットドメインに提出させる。送信電子メールシステムはまた、識別情報を指定する1または複数のマクロ文を含めるように電子メールドメイン妥当性検証レコードを構成し、マクロ文は、受信電子メールシステムに、電子メールドメイン妥当性検証レコードの構文解析を行うとき、電子メールの送信者の識別情報を第2の要求に含めるようにさせる。送信電子メールシステムは、この作成された電子メールドメイン妥当性検証レコードを電子メールドメインのDNSレコードとしてパブリッシュするように構成される。
導入
送信者ポリシーフレームワーク(SPF)は、電子メールを認証するための強力なツールであるが、今日使用されるように、構成するのを困難にし、かつ実際には、所与の電子メールドメインに対して電子メールを配信することが認証され得るサービスの数に対して大幅な制限を加えるいくつかの実質的な制限を有する。いくつかの実施形態では、システムおよび方法は、電子メールドメイン所有者が、a)ネットワーキングプリミティブではなく、サービスに関するそれらの電子メールドメインのSPF認証の構成、およびb)これらの無制限な数の構成をサポートできる方法を提供することができる。
例示的な主要な代表システム
図1は、実施形態によるEHLO名およびIPアドレスターゲティングにより媒介を通じて電子メール送信者の妥当性を検証できる例示的なシステム100を示している。システム100は、ネットワーク150、1または複数のクライアントデバイス160、許可するDNSサーバ130、ドメイン所有者DNSサーバ140、ドメイン所有者システム110、配信電子メールシステム115、および受信電子メールシステム120を含む。示されたシステム100は、図1で示された要素を含むが、他の実施形態では、システム100は、異なる要素を含むこともある。さらに各要素の機能は、他の実施形態における要素の中では異なる形で配分され得る。
有線、無線、またはそれらの組合せとすることのできるネットワーク150は、クライアントデバイス160、DNSシステム130/140、ドメイン所有者システム110、およびサードパーティシステム120の中で通信を可能にし、かつインターネット、LAN、VLAN(例えば、VPNを有する)、WAN、または他のネットワークを含むことができる。一実施形態では、ネットワーク150は、ハイパーテキスト転送プロトコル(HTTP)、伝達制御プロトコル/インターネットプロトコル(TCP/IP)、ユニフォームリソースロケータ(URL)、およびドメイン名システム(DNS)など、標準の通信技術および/またはプロトコルを使用する。他の実施形態では、エンティティは、上記で述べたものに代えて、またはそれに加えて、カスタムかつ/または専用のデータ通信技術を使用することができる。
ドメイン所有者システム110は、特定のドメイン(例えば、examplecorp.com)の1または複数のコンピューティングシステムを含み、図4を参照して述べられるコンピューティングシステムと同様に構成され得る。
一実施形態では、ドメイン所有者システム110は、受信電子メールシステム120などの受信電子メールシステムが、ドメイン所有者システム110のドメインを電子メールの送信者として示す電子メールの正当性を検証できるようにする妥当性検証ルールを生成するルール作成器111を含む。受信電子メールシステム120がこのような電子メールを受信したとき、それは、その電子メールが、実際にドメイン所有者システム110から正当に送られたかどうかを調べるために、これらの妥当性検証ルールを検査することができる。一実施形態では、ルールは、ドメイン所有者システム110のインターネットプロトコル(IP)アドレスを示し、したがって、受信電子メールシステム120は、電子メールが、ルールで示されたIPアドレスから受信されたかどうかを検証する。
これらのルールは、検出されたネットワーク特性(例えば、送信電子メールシステムの検出されたIPアドレス、ドメイン名情報など)に基づいて自動的に生成され得る、またはユーザインターフェースを介して管理者からルール作成器111により受信され得る。ルールが生成された後、ルール作成器111は、公開されたアクセス可能な場所で、そのルールをパブリッシュする。この公開されたアクセス可能な場所とは、ドメイン所有者システム110のドメインに対するドメイン所有者だけがパブリッシュできる信頼できる場所のことである。その場合、どの受信電子メールシステム120も、ルールを取得するためにこの公開の場所にアクセスすることができる、一実施形態では、公開の場所は、ドメイン名システム(DNS)である。したがって、これらのルールは、ドメイン所有者DNSサーバ140上の電子メールドメイン妥当性検証レコード141に記憶され得る。一実施形態では、ルールは、送信者ポリシーフレームワーク(SPF)ルールである(それは、RFC4408および7208で文書化され、本明細書に参照により組み込まれる)。
配信電子メールシステム115は、ドメイン所有者システム110のために電子メールを送信する。配信電子メールシステム115は、図4を参照して述べられるコンピューティングシステムと同様に構成され得る1または複数のコンピューティングシステムを備える。例として、配信電子メールシステム115は、メーリングリストサーバ、ドメインに代わって電子メールを送信するバルクメーラプロバイダ、ドメインに代わって電子メールを送るサードバーティにより管理されるトランザクション電子メールシステム、またはドメインに代わって電子メールを走査するセキュリティシステムとすることができる。配信電子メールシステム115は、配信電子メールシステム115が、電子メールに対してさらなる処理または機能を提供できるように、ドメイン所有者システム110に代えて電子メールを送信することができる。
配信電子メールシステム115は、電子メールを送るための電子メール送信器116を含む。一実施形態では、電子メール送信器116は、簡易メール転送プロトコル(SMTP)など、標準のメールプロトコルを使用する。SMTPは、様々な機能をサポートする。特に、送信電子メールシステムが、受信電子メールシステムと通信するとき、SMTPは、送信電子メールシステムが、受信電子メールシステムに対して、HELO、または拡張HELO(EHLO)メッセージを送信できることを示す。このHELO/EHLOメッセージは、送信電子メールシステムの識別子(例えば、ドメイン名)を含み、またEHLOメッセージの場合、送信電子メールシステムのサポートされる拡張および機能を示すさらなる識別子を含むことができる。
最初はドメイン所有者システム110により送られたメッセージまたは電子メールを送る、またはその他の形で転送するとき、ドメイン所有者システム110に関連付けられた、かつ電子メールドメイン妥当性検証レコード141として記憶され得る妥当性検証ルールは、配信電子メールシステム115の認証に適応できるように修正される。
受信電子メールシステム120は、配信電子メールシステム115から、1または複数の電子メールを受信する電子メールシステムである。受信電子メールシステム120は、図4を参照して述べられるコンピューティングシステムと同様に構成され得る1または複数のコンピューティングシステムを備える。
受信電子メールシステム120は、電子メールを受信するための電子メール受信器122を含む。一実施形態では、電子メール受信器122は、簡易メール転送プロトコル(SMTP)など、標準的なメールプロトコルを使用する。
受信電子メールシステム120は、電子メールが不正なものではないことを保証するために、どの受信された電子メールの送信者の識別も妥当性を検証する電子メール認証器121を備える。電子メールを受信すると、電子メール認証器121は、(例えば、HELOコマンドにより)電子メールが受信されたサーバにより提供される識別、または電子メールのリターンパスアドレスに示されたドメイン(例えば、「gmail.com」)、もしくは何らかの他の識別子によるドメインのいずれかに関連付けられた任意の関連する電子メールドメイン妥当性検証レコードを調べることができる。電子メール認証器121は、送信者のIPアドレスなど、電子メールから識別された情報が、関連する電子メールドメイン妥当性検証レコードのいずれか1つに示されたルールのいずれかにマッチするか、それともそれにより許可されるかどうかを判定する。ルールにおいてマッチが見出された場合、電子メール認証器121は、電子メールメッセージは有効である可能性が高く、送信者と称されるものからのものであり、不正なソースからのものではないと決定する。
一実施形態では、電子メールドメイン妥当性検証レコードで示されるルールは、SPFルールである。SPFルールは、IPアドレスを示すことができ、したがって、電子メール認証器121は、SPFルールで示されたIPアドレスが、電子メールを受信電子メールシステム120に送ったサーバのIPアドレスまたは他の識別情報にマッチするかどうかを検証することができる。SPFルールはまた、別のドメインを示すことができ、その場合、電子メール認証器121は、その別のドメインに対するSPFルールレコードを調べて、そのレコードにおけるいずれかのルールが、電子メールを送ったサーバの識別情報にマッチするかどうかを調べることができる。さらにいくつかの場合、SPFルールは、電子メール認証器121が電子メールの受信時に動的に決定されるデータで置き換える特別のプレースホルダインジケータであるマクロをサポートする。例えば、電子メール認証器121は、電子メールのリターンパスドメイン(例えば、「acme.com」)に対するルールで示される「%{d}」などのマクロを拡張することができる。さらなるマクロコマンドは、SPF RFC7208、および4408でさらに詳細に述べられる。
DNSサーバ130および140は、DNSシステムで使用するためのDNSレコードを記憶する。各DNSサーバは、図4を参照して述べられるコンピューティングシステムなどの1または複数のコンピューティングシステムを備えることができる。
各DNSサーバは、当技術分野で知られているように、Aレコード、MXレコード、以下同様のものなど、特定のドメインに対して複数のDNSレコードを記憶することができる。レコードは、図1で示されているように、複数のエントリへと分離され、複数のサーバ上にあるが、他の実施形態では、レコードは、より少ないエントリ、単一のサーバ、単一のエントリに、または何らかの他の組合せへと組み合わされる。さらに、各ドメインに対して一定数のレコードが図1で示されているが、他の実施形態では、各ドメインは、複数のレコードを有することができる。
図1で示されるように、ドメイン所有者DNSサーバ140は、電子メールドメイン妥当性検証レコード141を含む。この電子メールドメイン妥当性検証レコード141は、受信電子メールシステム120が、受信した電子メールの正当性の妥当性を検証できるようにする1または複数のルールを含むことができる。上記で述べたように、電子メールドメイン妥当性検証レコード141は、ドメインに関連付けられた送信者に関するIPアドレスまたは他の識別子を示すことができ、したがって、受信電子メールシステム120は、電子メールの送信者のIPアドレス(または他の識別子)が、電子メールで示されたドメインに対応している(例えば、「acmebank.com」からの電子メールが、実際にAcme Bankからのものである)ことを検証することができる。しかし、このような簡単なルールは、サードパーティの配信電子メールシステム115が、送信電子メールシステムもしくはドメイン所有者の代わりにメールを送るために使用される場合は、不利になり得る。これは、電子メールドメイン妥当性検証レコード141におけるルールは、配信電子メールシステム115が特定のドメインに対する有効な送信者であることを示さない可能性があるためである。
それに代えて、電子メールドメイン妥当性検証レコード141は、別個のドメインを有するルールを含めることができる。この別個のドメインに対するDNSレコードは、許可するDNSサーバ130上など、どこか他に存在することができる。さらに、別個のドメインを用いるこのルールはまた、1または複数のマクロを含み、受信電子メールシステム120により構文解析されたとき、受信電子メールシステム120に、受信電子メールシステム120が電子メールを受信したサーバを識別するさらなる情報、または電子メールに関する他の識別情報でマクロを置き換えさせる。一実施形態では、この情報は、受信電子メールシステム120が電子メールを受信したサーバからのEHLOメッセージにおけるいずれかの識別子、ならびに同じサーバのIPアドレスを含む。ルールが構文解析された後、受信電子メールシステム120は、ルールで示された別個のドメインのDNSレコードをルールにより照会する。例えば、ルールは、「%{i}._ip.verifier.com」のマクロを備えるドメインを示すことができる。拡張された後、マクロ「%{i}」は、受信電子メールシステム120に電子メールを送ったサーバ(例えば、これは配信電子メールシステム115になり得る)のIPアドレスにより置き換えられることができ、また受信電子メールシステム120は、ドメイン「verifier.com」のDNSレコードを求めて照会し、IPアドレスを、問題のDNSレコードを提供できるDNSサーバに渡す。
この別個のドメインに対するDNSレコードは、許可するDNSサーバ130に存在することができる(またはそこに照会され得る)。許可するDNSサーバ130は、配信電子メールシステムに関する情報、ならびにそれらの関連するIPアドレスおよびEHLO情報を記憶する配信者/IP記憶装置131を含む。許可するDNSサーバ130はまた、様々な配信電子メールシステムを認証するルールを記憶する配信者/レコード記憶装置を含む。許可するDNSサーバ130はまた、様々なドメインに対して許可された配信電子メールシステムを示す許可された配信者リスト132を含む。
上記で述べられたように、電子メールを送ったサーバの識別情報によりマクロが置き換えられると、ドメイン情報が、DNS照会で受信電子メールシステム120から、許可するDNSサーバ130により受信される。許可するDNSサーバ130は、識別情報で示されたサーバが、識別情報で示されたドメインのために電子メールを送ることが許可されるかどうかを判定する許可評価器135を含む。一実施形態では、ドメインは、許可するDNSサーバ130に(マクロを使用することにより)渡されるEHLO情報から示され、またサーバに関する識別情報は、IPアドレスにより渡される。許可評価器135は、識別情報に関連付けられた配信電子メールシステム115の識別を決定するために、配信者/IP記憶装置131にアクセスする。このような情報が見出された場合、許可評価器は、その配信電子メールシステムが、DNS照会の識別情報で示されたドメインに対する許可された配信エージェントであるかどうかを判定するために、許可された配信者リスト132にアクセスする。
そうである場合、許可するDNSサーバ130は、受信電子メールシステム130への(送信するための)応答として配信者/レコード記憶装置134を用いてルールのセットを構成するターゲットレコード構成器133を含む。この構成されたルールのセットは、電子メールを送った配信電子メールシステム(例えば、配信電子メールシステム115)が、電子メールで示されたドメインに対して有効な送信者であることを示す。受信電子メールシステム130は、次いで、その応答における情報を使用して、配信電子メールシステムが有効な送信者であり、この電子メールをその意図された受取人により受信され得ることを検証することができる。その他の場合、配信電子メールシステムがその応答により有効ではないことが示された場合、受信電子メールシステム130は、それに代えて電子メールを破棄する、またはそれにフラグを付けることができる。
クライアントデバイス160は、受信電子メールシステム120により受信され、かつ認証された電子メールを見るために使用され得る。クライアントデバイス160は、図4を参照して述べられるコンピューティングシステムなど、コンピューティングシステムを備えることができる。
具体的には、クライアントデバイス160は、受信電子メールシステム120とインターフェースを取るための電子メールクライアント165を含む。電子メールクライアント165は、受信電子メールシステム120と通信するために、ポストオフィスプロトコル3(POP3)、インターネットメッセージアクセスプロトコル(IMAP)、メッセージングAIP(MAIP)、SMTP、以下同様のものなどの標準の電子メールプロトコルを使用することができる。一実施形態では、電子メールが、受信電子メールシステム120により適正に認証されない場合、電子メールクライアント165は、電子メールを受信することはない。他の実施形態では、電子メールクライアント165は、電子メールを受信できるが、さらに電子メールは不正なものであることが疑われる、または疑わしいとの指示を受け取ることができる。
上記で述べたシステム100を使用すると、ドメインの所有者は、電子メールを送信するために、他のサードパーティ配信機構、およびそれらの配信電子メールシステムのサービスを利用することができ、かつさらに、受信電子メールシステム120に、これらの電子メールが正当なものであるとの妥当性を検証させることができる。様々な電子メールドメイン妥当性検証レコードを更新することに代えて、DNSサーバは、集中化された場所において、電子メールを送った配信電子メールシステム115に関する、受信電子メールシステム120から受信された識別情報に応じて、簡単なルールのセットを構成することができる。さらに受信電子メールシステム120は、電子メールドメイン妥当性検証レコードにおけるルールに存在する可能性のある多数のDNSレコードに照会する必要がない。こうすることは、性能を向上させ、かつサードパーティエージェントによる電子メールを送ることの管理を簡単化するが、なお、セキュリティを提供し、かつ不正な、または疑わしいメッセージが受信されるのを阻止する。上記で述べたシステムおよび処理に関するさらなる詳細は、図2〜図3を参照して述べられる。
電子メールドメイン妥当性検証レコード作成に関する例示的な対話図
図2は、一実施形態によるサードパーティ配信機構で使用するための電子メールドメイン妥当性検証レコードを作成する例示的なプロセスを示す対話図および流れ図である。一実施形態では、図2は、プロセス中のオペレーションを、示された要素に帰属させる。しかし、ステップのいくつか、またはすべてのものは、他の要素により実施され得る。加えて、いくつかの実施形態は、オペレーションを並列に実施する、オペレーションを異なる順序で実施する、または異なるオペレーションを実施することもあり得る。さらに、例示的な一実施形態では、ステップおよび/またはモジュールは、図4に関して述べられるプロセッサ402により実行され得る、例えば、命令424などの命令として実施され得ることに留意されたい。
この論議において、電子メールドメインとは、着信する電子メールメッセージに対してSPFを評価するとき、受信電子メールシステム120が、「ドメイン」として使用できる任意のドメインを指すことになる。通常、これは、メッセージに対するリターンパスで見出されるドメインとなる。
電子メールドメイン所有者、または指定されたパーティであるドメイン所有者システム110は、電子メールドメインに対するDNSレコードを構成することができる。これは、電子メールドメインで使用するための電子メールドメイン妥当性検証レコード141(SPFレコードであり得る)を作成する(または生成する)210ことを含むことができる。レコードは、特定の送信者が、電子メールドメインからの電子メールに対する有効な送信者であることを示す。一実施形態では、レコードは、SPFレコードであり、かつ特有の「include」ディレクティブを組込むことができるように構成される。includeディレクティブは、別のドメインを示すターゲテッドSPFドメイン仕様(specification)を示すことができ、したがって、メッセージに対するSPF認証決定のいくつか、またはすべては、他のドメインで見出されるSPFレコードへと遅延される(deferred)。言い換えると、前述のように、レコードは、最終的なSPF認証情報を決定するために別々に照会される別個のドメインを含む。
一実施形態では、電子メールドメイン妥当性検証レコード141におけるターゲテッドSPFドメイン仕様は、そのメッセージに関するSMTP接続属性に基づき、電子メールメッセージに対する挙動を動的に変更するように構成され得る。この変更は、受信サーバに、SMTP接続属性および電子メールドメインを使用させて、解決されたとき、処理されるメッセージに適用されるターゲット設定化SPFレコードを生ずるカスタムのドメイン名を構築することにより達成され得る。
これを達成するために、一実施形態では、ターゲテッドSPFドメイン仕様は、3つの特性を含むことができる。第1に、それは、ターゲテッドSPFドメイン仕様から解決されるいずれのドメイン名に対する最終的な権限を有するものは、ターゲテッドDNS SPFリゾルバ(例えば、許可するDNSサーバ130)である。
これは、ターゲテッドドメイン仕様が、最終的、1または複数の特定の固定ドメインのサブドメインに分解されることを保証することにより達成され得る。いくつかの実装形態では、ターゲテッドSPFドメイン仕様を含むDNSレコードは、他のドメインを参照する1または複数のDNS CNAMEまたはNSレコードの背後に隠すことができ、ターゲテッドDNS SPFリゾルバにより管理されない。これは、最終的なDNS照会ターゲットの転送またはマスキングを可能にする。言い換えると、他のドメインは、最終的なDNS照会ターゲットが決定される前に、受信電子メールシステムにより照会される必要があり得る。
第2に、ターゲテッドSPFドメイン仕様は、受信電子メールシステム120に、SMTP接続に対するEHLO名および/またはIPアドレスを取り込むようにさせることができる。これらの値は、SPFマクロシステムを用いて取り込まれ得る。%{h}マクロは、EHLO名を取り込むために使用することができ、また%{i}または%{p}マクロは、IPアドレス、またはIPアドレスの妥当性が検証されたドメイン名を取り込むために使用することができる。いくつかの実施形態では、ドメイン所有者システム110はまた、受信電子メールシステム120に、%{l}および/または%{s}マクロを用いて、送信者アドレスのローカルパート、または完全な送信者アドレスを取り込ませて、得られた値をターゲテッドSPFドメイン仕様へと符号化するように、ターゲテッドSPFドメイン仕様を構成することができる。
システムの正確な構成に応じて、SPFマクロ言語で記述された任意選択の変換器の1または複数のものが、ターゲテッドSPFドメイン仕様に適用され得る。同様に、結果が符号化されたURLであるように、大文字の変形体%{H}、%{I}、%{P}、%{L}、または%{S}をそれに代えて使用することができる。
第3に、ターゲテッドSPFドメイン仕様は、SMTP接続属性が、得られたドメインから明瞭に構文解析され得るように構成することができ、それは、実際に、現実世界のシステムに対して達成され得る。
これを示すために、これらの3つの要件を満たすターゲテッドSPFドメイン仕様に対するフォーマットが構成され得る。例えば、ターゲテッドDNS SPFリゾルバ(例えば許可するDNSサーバ130)は、ドメイン「resolver.com」により定義されるゾーンにおけるすべてのDNS TXT照会に対応するものと仮定する。さらに、電子メールドメインは、「emaildomain.com」であると仮定する。最後にEHLO名とIPアドレスの両方が取り込まれると仮定する。
この場合、ホスト名に対して、文字−数字−ハイフン(LDH)ルールが使用され得る。これらのルールは、完全修飾ドメイン名(FQDN)が、ASCII文字、数字、またはハイフン記号だけを含むことのできる制限を含む。より一般的には、SPFレコード参照で使用されるものを含むドメインは、この制限を満たす必要はない。EHLO名と電子メールドメインは共にFQDNであることが必要なので、「_」などの非LDH記号を含むラベルを用いてターゲテッドSPFドメイン仕様を作成する場合、これらのフィールドは、ドメイン所有者システム110により分離され得る。IPアドレスは、数字(IPv4)から、または数字および文字a〜f(IPv6)からだけ構成され得るので、IPアドレスを含むラベルも「_」を含むことはできない。したがって、「_」を含むラベルは、同様に、これらの値に対する分離文字として使用され得る。
上記の内容のすべてを組み合わせると、例示的なコンテキストに含まれる要件を満たす1つのターゲテッドSPFドメイン仕様は、「%{i}._ipaddr.%{h}._ehlo.emaildomain.com._tspf.resolver.com」である。このドメイン仕様からのSPFプロセス中に補間されたいずれのドメイン名も、「resolver.com」(右端に示されているドメイン)に基づくことになる。それは、ドメイン名にEHLO名とIPアドレスを共に含む。さらに、「_」を含むラベルの使用は、このようなドメイン名から、SMTP属性の明瞭な構文解析をサポートする。
これらの要件を満たす可能性のあるフォーマットは多数あり、この特定の例は、非限定的なものであると見なされるべきであることに留意されたい。
その場合、電子メールドメイン妥当性検証レコード141は、上記で述べたターゲテッドSPFドメイン仕様を参照するincludeディレクティブを有するSPFルールを有するべきである。上記で述べた例示的なターゲテッドSPFドメイン仕様を使用するこのようなレコードの簡単な、非限定的な例は、「v=spf1 include:%{i}._ipaddr.%{h}._ehlo.emaildomain.com._tspf.resolver.com」である。再度、このレコードは、我々の例に関して現実的なものであるが、非限定的なものであると見なされるべきである。「v」は、SPFバージョンを指すこと、またincludeディレクティブは、示されたドメインが電子メールドメインに対して有効な送信者であることを示していることに留意されたい。
電子メールドメイン妥当性検証レコード141が構成された後、それは、電子メールドメインに対するDNS TXTレコードとして(例えば、ドメイン所有者DNSサーバ140で)パブリッシュされ得る215。これは、このドメインを示す電子メールを受信する任意のサーバにより照会できるようにする。
電子メール検証ルール解決に関する例示的な対話図
図3は、一実施形態によるDNSを用いる電子メールドメイン妥当性検証レコードの解決のための例示的プロセスを示す対話図および流れ図である。一実施形態では、図3は、プロセス中のオペレーションを、示された要素に帰属させる。しかしステップのいくつかまたはすべては、他の要素により実施され得る。加えて、いくつかの実施形態は、オペレーションを並列に実施する、オペレーションを異なる順序で実施する、または異なるオペレーションを実施することもあり得る。さらに、例示的な一実施形態では、ステップおよび/またはモジュールは、図4に関して述べられるプロセッサ402により実行され得る、例えば、命令424などの命令として実施され得ることに留意されたい。本明細書で述べられるプロセスは、受信電子メールシステム120の何らかのさらなる変更、または構成を必ずしも必要としないことに留意されたい。そうではなくて、受信電子メールシステム120がSPFまたは同様の送信者認証方式をサポートする限り、それは、変更される必要はない。
最初に、受信電子メールシステム120は、特定の電子メールドメインに対応するリターンパスを備えた電子メールを受信する310。受信電子メールシステム120は、この電子メールメッセージを(例えば、SPFを用いて)認証しようと試みることができる。受信電子メールシステム120は、まず、その電子メールドメインに対する何らかの電子メール妥当性検証レコードに関してDNSに照会することができる315。これらのものは、SPFレコードとすることができる。ドメイン所有者DNSサーバ140は、図2を参照して述べたように、電子メールドメインの所有者がパブリッシュしている電子メールドメイン妥当性検証レコード141を応答で返すことができる282。
受信電子メールシステム120は、電子メール妥当性検証レコードを構文解析して、ターゲットドメイン照会を生成する320。このプロセスは、現在のSMTP接続に対する値(例えば、EHLO、IPアドレス)を用いて、返されたDNSレコードにおけるターゲットドメインSPF仕様を有するincludeディレクティブを評価すること、およびターゲットドメインを構成するために、ターゲットドメインSPF仕様の中にこれらの値を補間することを含むことができる。例えば、レコードが、「%{i}._ipaddr.%{h}._ehlo.emaildomain.com._tspf.resolver.com」のルールを示した場合、受信電子メールシステム120は、これを、「123.123.123.123._ipaddr.deliveringdomain.com._ehlo.emaildomain.com._tspf.resolver.com」へと評価することができるが、123.123.123.123は、送信者のIPアドレス、emaildomain.comは、発信元の送信者のドメインであり、またdeliveringdomain.comは、送信者に対するEHLOメッセージで示されたドメイン名である。
受信電子メールシステム120は、次いで、ターゲットドメインをDNSに照会する325。この照会は、許可するDNSサーバ130(ターゲットドメインに対する権威サーバとすることができる)により応ずることができる。ドメイン所有者DNSサーバ130は、照会から識別情報を抽出する340.この識別情報は、EHLO名およびIPアドレスを含むことができ、またターゲットドメイン照会から構文解析され得る。一実施形態では、ドメイン所有者DNSサーバ130はまた、スタンドアロンの値として、または符号化された完全な送信者アドレスの一部として、照会のターゲットドメインからのリターンパスアドレスのローカルパートを構文解析することができる。
一実施形態では、ドメイン所有者DNSサーバ130はまた、ターゲットドメイン照会から電子メールドメインを抽出する(それがマクロにより照会中に含まれている場合)。電子メールドメインが存在する場合、かつドメイン所有者DNSサーバ130が限定されたドメインのセットに対する要求だけを処理するように構成されている場合、ドメイン所有者DNSサーバ130は、電子メールドメインが既知であるかどうかを判定することができる。この場合において、その電子メールドメインが既知ではない場合、ドメイン所有者DNSサーバ130は、デフォルトSPFレコードを返すことができる。返されたレコードは、どのIPアドレスも認めないレコードである可能性が高く、例は「v=spf1−〜all」となる。
ドメイン所有者DNSサーバ130は、照会から抽出された識別情報を使用して、配信機構を識別する345。配信機構は、配信電子メールシステム115の所有者であり、それは電子メールドメインの一部ではない可能性がある。ドメイン所有者DNSサーバ130は、電子メールメッセージのSMTP接続に関連付けられたネットワーク特有の情報(例えば、EHLO名および/または送信サーバIPアドレス)が、配信機構の高レベルの抽象化に関連付けられ得るように、照会から抽出された識別情報を配信機構に関連付ける配信者/IP記憶装置131を含む。
一般的な配信機構のいくつかの例は、電子メールドメイン所有者により、電子メールを送るように契約したサードパーティ送信者、電子メールドメインから発信されたメッセージをいくつかの受信アドレスに中継しているメーリングリスト、または1つの受信器アドレスに別名を付けるように設計された転送システムである。この例のセットは網羅的なものと見なすべきではなく、リストは、非限定的なものであると見なされるべきである。
一実施形態では、電子メールの実質的な(すなわち、統計的に有意な)コーパス(何億またはそれ以上のメッセージ)のヘッダ情報へのアクセスは、ドメイン所有者DNSサーバ130または他のエンティティに、電子メールヘッダ(特に「受信された」および「認証結果」ヘッダ)で見出された情報を用いることにより、配信者/IP記憶装置131を構成できるようにする。他の実施形態では、配信機構のリストを調べて、その結果を適切な配信者/IP記憶装置131へと組込むこともできる。さらなる実施形態では、特にWHOISデータベースに記憶された情報であるドメイン登録レコードは、配信者/IP記憶装置131に対するこのマッピングを構築するのに有用であり得る。これらの例示的な方法は、非限定的なものと見なされるべきであり、また本明細書で述べられるプロセスは、配信者/IP記憶装置131を構成するために、他の方法、または複数の方法の組合せの使用を排除するものではない。
さらなる実施形態では、ドメイン所有者DNSサーバ130により受信されたDNS照会の着信ストリームは、調査を必要とするEHLO名およびIPアドレスのソースとして使用され得る。完全なデータベースのために、正当な電子メールから発信されたすべての(EHLO名およびIPアドレス)の組合せは、既知の配信機構にマップされるべきである。既知の配信機構にマップされることのできないいずれの着信データも、一般に、a)データベースにおける失われた正当な値、またはb)不正なソース電子メールを示すことができる。この「失われている(miss)」は、したがって、データベースにおけるギャップを埋めるための情報源として、または脅威情報源として働くことができる。
要求が配信機構にマップされた後、一実施形態では、ドメイン所有者DNSサーバ130は、配信機構が既知のものであるかどうかを判定することができる348。既知ではない場合、すべてのIPアドレスが不適切であるSPFレコードに関するいくつかの変形など、デフォルトのレコードを返すことができる。例えば、「v=spf1〜all」は、可能性のある選択肢である。
配信機構が既知であると仮定すると、ドメイン所有者DNSサーバ130は、ターゲットドメインに関する照会で示された電子メールドメインに対して、配信機構が電子メールを配信することが許可されるかどうかを判定することができる350。一実施形態では、ドメイン所有者DNSサーバ130は、どの識別された配信機構も、任意の電子メールドメインに対して電子メールを配信できるようにする。他の実施形態では、許可された配信機構に対する電子メールドメインのマッピングは、許可された配信者リスト132に記憶される、またはウェブAPIを介して利用可能にされることもでき、またドメイン所有者DNSサーバ130は、配信機構が許可されるかどうかを判定するためにそのリストもしくはAPIにアクセスする。
識別された配信機構が、電子メールドメインに対して許可されることが見出されない場合、ドメイン所有者DNSサーバ130は、デフォルトレコードを返すことができる。概して、これは、すべてのIPアドレスに対する配信を拒否するレコードとすることができる(例えば、「v=spf1〜all」)。
上記で述べたように、一実施形態では、リターンパスアドレスのローカルパートは、スタンドアロンの値として、または送信者アドレスの一部として、ターゲットドメインの照会中に符号化されている可能性がある。これらの実施形態では、ドメイン所有者DNSサーバ130は、配信機構が、特定のメッセージを配信することが許可されるかどうかを判定するために、電子メールドメインと組み合わせて、電子メールアドレスのローカルパートを使用する。例えば、配信機構は、acme.comにおける従業員の電子メールアドレスを示すローカルパートを有するリターンパスアドレスのためではなく、「newsletter@acme.com」のためにメールを送ることが許可され得る。
配信機構が、電子メールドメインに対する電子メールを配信することが許可された場合、ドメイン所有者DNSサーバ130は、配信機構および電子メールドメインに基づき、ターゲット妥当性検証レコード(SPFレコードとすることができる)を生成する355。このレコードを構成するために、ドメイン所有者DNSサーバ130は、配信機構のターゲット妥当性検証レコードへのマップを含む配信者/レコード記憶装置134に照会することができる。
各配信機構に対して、その配信機構(例えば、配信電子メールシステム115)により使用されるサーバからの電子メールを可能にし、いずれかの他から発信された電子メールを拒否することになる何らかの仮想的な電子メール妥当性検証レコードが存在することができる。配信機構に対して、既存の電子メールドメイン妥当性検証レコードが使用され得るので、このことは、適正に構成された電子メールドメイン妥当性検証レコード(例えば、SPFレコード)を有するいずれの配信機構に対しても当てはまるべきである。
配信機構が、適正に構成された電子メールドメイン妥当性検証レコードを有していない場合であっても、ドメイン所有者DNSサーバ130または管理者は、基礎となるネットワーク構成の十分な知識が与えられると、このようなレコードを構築することが可能である。一実施形態では、ドメイン所有者DNSサーバ130は、配信機構に対する、および/または配信機構によりその他の形で利用可能ではない電子メールドメインに対する電子メールドメイン妥当性検証レコードを作成し、かつ記憶する。
いくつかの実施形態では、またいくつかの構成に対して、配信者/レコード記憶装置134はまた、配信機構の関連付けに対する置換え、または捕捉として、電子メールドメインおよび/またはローカルパスを、ターゲット妥当性検証レコードと関連付ける。このような変形形態が望ましい可能性のある例として、電子メールドメインにより、メールサーバのそのクラウドをさらに分割する配信機構を考える。このような状況においては、最適なターゲット妥当性検証レコードを配信するために、配信機構と組み合わせて、電子メールドメインを知ることが必要になり得る。
いくつかの実施形態では、既存の電子メールドメイン妥当性検証レコードは、配信者/レコード記憶装置134を構成するための重要な情報源とすることができる。例えば、SPFレコードの場合、配信機構に対する既存のレコードは、ディレクティブのリストを得るために使用され得る。他の実施形態では、配信機構の手動の調査はまた、この情報の良好なソースとすることができる。さらなる実施形態では、ソースの組合せを使用するさらなる方法がまた実行可能である。ここに列挙したソースは、非限定的なものであると見なされるべきである。
配信者/レコード記憶装置134を構成するために、これらの、またはいずれか他の方法を使用する場合、その基礎となるネットワーク構成は時間と共に変化するので、データを更新することが必要になり得る。いくつかの実施形態では、ドメイン所有者DNSサーバ130は、配信者/レコード記憶装置134を更新するために、ポーリングメカニズムを使用することができるが、他の実施形態では異なる。このようなポーリングメカニズムの非限定的な例は、既知の送信者によりパブリッシュされたDNSレコードに対する更新を検出するために、定期的に(例えば、毎日)DNS照会を実行するドメイン所有者DNSサーバ130上のソフトウェア構成要素となるはずである。これらの更新は、次いで、ドメイン所有者DNSサーバ130によりデータベースの中に組み込まれ得る。
ターゲット妥当性検証レコードを生成した後、ドメイン所有者DNSサーバ130は、レコードを、元の照会への応答として、受信メールシステム120に送り返す360。
受信メールシステム120は、受信されたターゲット妥当性検証レコードを用いて電子メールメッセージを認証する330。
一実施形態では、上記で述べたように、SPFの「include」メカニズムを使用することに代えて、本明細書で述べるシステムは、SPFの一部である「a」、「mx」、または「exists」メカニズムを使用するように構成され得る。これらのメカニズムの1つが使用される場合、電子メールドメイン所有者の挙動は、ほとんど不変であり得る、すなわち、「a」、「mx」、または「exists」メカニズムは、この場合、「include」メカニズムの代わりに置き換えるだけである。
この変形形態の下では、ドメイン所有者DNSサーバ130の挙動は、その返す値を除き、大部分変化しない。ドメイン所有者DNSサーバ130が、メッセージは認証されないことを示す場合、ドメイン所有者DNSサーバ130は、NXDOMAINコードを返すことができる。またターゲット妥当性検証レコードを返す代わりに、許可するDNSサーバ130は、ターゲット妥当性検証レコードに対してIPアドレスをマッチさせることができる。IPアドレスがそのレコードにマッチしない場合、ドメイン所有者DNSサーバ130は、NXDOMAINを返すことができる。あるいは、IPアドレスがマッチすることが見出された場合、ドメイン所有者DNSサーバ130は、A、MX、またはIPアドレスを含むAレコードを返すことができる。
一実施形態では、ドメイン所有者DNSサーバ130は、遠隔のSPF監査ツールとして使用される。SPF解決は、受信電子メールシステム120上で行われ、したがって、その評価の結果は、専用のソフトウェアがインストールされない限り、概して、外部の監査システムで利用可能にはなり得ない。ターゲテッドSPFドメイン仕様が、EHLO名とIPアドレスの両方を含むように構造化されている場合、ドメイン所有者DNSサーバ130は、メッセージがそこから配信される各(EHLO名、IPアドレス)組合せに対して少なくとも1回呼び出され得る。この情報を用いて、リゾルバは、受信電子メールシステム120により実施されるSPF評価をミラーリングし、対応する結果を記録することができる。
例示的なマシンアーキテクチャ
図4は、マシン可読媒体から命令を読み取り、かつプロセッサ(またはコントローラ)で命令を実行することのできる例示的なマシンの構成要素を示すブロック図である。具体的には、図4は、マシンの図式的な表現を、コンピュータシステム400の例示的な形態で示している。コンピュータシステム400は、マシンに、本明細書で述べられた方法(またはプロセス)のうちの任意の1または複数のものを実施させるための命令424(例えば、プログラムコードまたはソフトウェア)を実行するために使用され得る。代替的実施形態では、マシンは、スタンドアロンのデバイスとして、または他のマシンに接続される接続された(例えば、ネットワーク化された)デバイスとして動作する。ネットワーク化された展開において、マシンは、サーバ/クライアントネットワーク環境におけるサーバマシンまたはクライアントマシンの役割で、またはピアツーピア(もしくは分散された)ネットワーク環境におけるピアマシンとして動作することができる。
マシンは、サーバコンピュータ、クライアントコンピュータ、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、スマートフォン、モノのインターネット(IoT)機器、ネットワークルータ、スイッチもしくはブリッジ、またはそのマシンにより行われるアクションを指定する命令424を(順次に、またはその他の形で)実行できる任意のマシンとすることができる。さらに、単一のマシンだけが示されているが、用語「マシン」はまた、個々に、または共同で命令424を実行して、本明細書で論じられる方法の任意の1または複数のものを実施するマシンの任意の集合体を含むように解釈されるべきである。
例示的なコンピュータシステム400は、1または複数の処理ユニット(一般的に、プロセッサ402)を含む。プロセッサ402は、例えば、中央演算処理装置(CPU)、グラフィックス処理装置(GPU)、デジタル信号プロセッサ(DSP)、コントローラ、状態マシン、1または複数の特定用途向けIC(ASIC)、1または複数の高周波集積回路(RFIC)、またはこれらの任意の組合せである。コンピュータシステム400はまた、主メモリ404を含む。コンピュータシステムは、記憶ユニット416を含むことができる。プロセッサ402、メモリ404、および記憶ユニット416は、バス408を介して通信する。
さらにコンピュータシステム406は、スタティックメモリ406、ディスプレイドライバ410(例えば、プラズマディスプレイパネル(PDP)、液晶ディスプレイ(LCD)、またはプロジェクタを駆動するためのもの)を含むことができる。コンピュータシステム400はまた、英数字入力デバイス412(例えば、キーボード)、カーソル制御デバイス414(例えば、マウス、トラックボール、ジョイスティック、モーションセンサ、または他の指示機器)、信号生成デバイス418(例えば、スピーカ)、およびネットワークインターフェースデバイス420を含むことができ、それらはまた、バス408を介して通信するように構成される。
記憶ユニット416は、本明細書で述べられる方法または機能の任意の1または複数のものを実施する命令424(例えば、ソフトウェア)が記憶されるマシン可読媒体422を含む。命令424はまた、完全に、または少なくとも部分的に、主メモリ404内に、またはコンピュータシステム400によるその実行中にはプロセッサ402内に(例えば、プロセッサのキャッシュメモリ内に)常駐することができ、主メモリ404およびプロセッサ402はまた、マシン可読媒体を構成する。命令424は、ネットワークインターフェースデバイス420により、ネットワーク426を介して送信または受信され得る。
マシン可読媒体422が、例示的な実施形態で、単一の媒体であるように示されているが、用語「マシン可読媒体」は、命令424を記憶できる単一の媒体、または複数の媒体(例えば、集中化された、もしくは分散されたデータベース、または関連するキャッシュおよびサーバ)を含むものと解釈されるべきである。用語「マシン可読媒体」はまた、マシンにより実行するための、かつ本明細書で開示される方法の任意の1または複数のものをマシンに実施させる命令424を記憶できる任意の媒体を含むように解釈されるべきである。用語「マシン可読媒体」は、これだけに限らないが、ソリッドステートメモリ、光学的な媒体、および磁気的な媒体の形態のデータリポジトリを含む。
さらなる考慮事項
上記で述べられたシステムおよびプロセスを用いて、ドメイン所有者は、電子メールを送るために、他のサードパーティの配信機構およびそれらの配信電子メールシステムのサービスを利用することができ、なおこれらの電子メールが、正当なものであるとして受信電子メールシステムにより妥当性が検証されることができる。様々な電子メールドメイン妥当性検証レコードを更新することに代えて、DNSサーバは、集中化された場所で、電子メールを送った配信電子メールシステムに対して、受信電子メールシステムから受信された識別情報に応じて簡単なルールのセットを生成する。さらに、受信電子メールシステムは、電子メールドメイン妥当性検証レコードにおけるルールに存在し得る多数のDNSレコードを照会する必要がない。こうすることは、性能を向上させ、かつサードパーティエージェントにより電子メールを送る管理を簡単化するが、なお、セキュリティを提供し、不正な、または疑わしいメッセージが受信されるのを阻止する。
本明細書の全体を通して、複数の例は、単一の例として述べられた構成要素、動作、または構造を実施することができる。1または複数の方法の個々のオペレーションが、別々のオペレーションとして示され、かつ述べられているが、個々のオペレーションの1または複数のものは、同時に実施されることも可能であり、またオペレーションが、示された順序で実施される必要はない。例示的な構成において、別々の構成要素として示された構造および機能は、組み合わされた構造または構成要素として実施されることができる。同様に、単一の構成要素として提示された構造および機能は、別々の構成要素として実施され得る。これらの、および他の変形、変更、追加、および改良は、本明細書の主題の範囲に含まれる。
いくつかの実施形態が、例えば、図1〜図4で示されるように、論理、またはいくつかの構成要素、モジュール、もしくはメカニズムを含むものとして本明細書に記述されている。モジュールは、ソフトウェアモジュール(例えば、マシン可読媒体上で、または送信信号で実施されるコードなど)、またはハードウェアモジュールのいずれかを構成することができる。ハードウェアモジュールは、いくつかのオペレーションを実施できる有形なユニットであり、一定の方法で構成され、または配置され得る。例示的な実施形態では、1または複数のコンピュータシステム(例えば、スタンドアロンの、クライアント、またはサーバコンピュータシステム)、またはコンピュータシステムの1または複数のハードウェアモジュール(例えば、プロセッサ、もしくはプロセッサの群)は、本明細書で述べられるいくつかのオペレーションを実施するように動作するハードウェアモジュールとして、ソフトウェア(例えば、アプリケーションもしくはアプリケーション部分)により構成され得る。
様々な実施形態では、ハードウェアモジュールは、機械的に、または電子的に実施され得る。例えば、ハードウェアモジュールは、いくつかのオペレーションを実施するように、(例えば、フィールドプログラマブルゲートアレイ(FPGA)、または特定用途向けIC(ASIC)など、専用のプロセッサとして)恒久的に構成される専用の回路もしくは論理を備えることができる。ハードウェアモジュールはまた、ソフトウェアによりいくつかのオペレーションを実施するように一時的に構成されるプログラム可能な論理もしくは回路(例えば、汎用プロセッサまたは他のプログラム可能なプロセッサ内に含まれる)を含むことができる。ハードウェアモジュールを、専用かつ恒久的に構成された回路で機械的に、または一時的に構成された(例えば、ソフトウェアで構成された)回路で実施する判断は、コストおよび時間を考慮することにより行われ得る。
本明細書で述べられる例示的な方法の様々なオペレーションは、関連するオペレーションを実施するように一時的に(ソフトウェアにより)構成された、または恒久的に構成された1または複数のプロセッサによって、少なくとも部分的に実施され得る。一時的に構成されるか、それとも恒久的に構成されるかにかかわらず、このようなプロセッサは、1または複数のオペレーションもしくは機能を実施するように動作するプロセッサで実施されるモジュールを構成することができる。本明細書で称されるモジュールとは、いくつかの例示的な実施形態において、プロセッサで実施されるモジュールを含むことができる。
1または複数のプロセッサはまた、「クラウドコンピューティング」環境における、または「サービスとしてのソフトウェア」(SaaS:software as a service)として、関連するオペレーションの実施をサポートするように動作することができる。例えば、少なくともいくつかのオペレーションは、コンピュータの群(例として、プロセッサを含むマシンなど)により実施することができ、これらのオペレーションは、ネットワーク(例えば、インターネット)を介して、また1または複数の適切なインターフェース(例えば、アプリケーションプログラムインターフェース(API))を介して、アクセス可能である。
いくつかのオペレーションの実施は、単一のマシン内に常駐するだけではなく、いくつかのマシンにわたって展開された、1または複数のプロセッサの中で分散され得る。いくつかの例示的な実施形態では、1または複数のプロセッサ、またはプロセッサで実施されるモジュールは、単一の地理的場所に(例えば、ホーム環境、オフィス環境、またはサーバファーム内など)位置することができる。他の例示的な実施形態では、1または複数のプロセッサ、またはプロセッサで実施されるモジュールは、いくつかの地理的場所にわたって分散され得る。
本明細書のいくつかの部分は、マシンメモリ(例えば、コンピュータメモリ)内に、ビットまたは2値デジタル信号として記憶されたデータに対するオペレーションのアルゴリズムもしくは記号表現により提示される。これらのアルゴリズムもしくは記号表現は、データ処理技術における当業者により使用される技法の例であり、当業者の成果の内容を他の当業者に伝える。本明細書で使用される場合、「アルゴリズム」とは、望ましい結果へと導く、自己矛盾のないオペレーションのシーケンス、または同様の処理のことである。本コンテキストでは、アルゴリズムおよびオペレーションは、物理量の物理的な操作を含む。必ずしもそうではないが、通常、このような量は、記憶され、アクセスされ、転送され、組み合わされ、比較され、またはマシンによりその他の形で操作できる電気的、磁気的、または光学的な信号の形態を取ることができる。「データ」、「コンテンツ」、「ビット」、「値」、「要素」、「記号」、「キャラクタ」、「項」、「番号」、「数」、または同様のものなどの用語を用いてこのような信号を参照することは、主として一般に使用するために便利なことが多い。しかし、これらの用語は、単に便宜的なラベルに過ぎず、適切な物理量に関連付けられるべきである。
その他の形で特に述べられない限り、本明細書で「処理する」、「コンピュータを使用する」、「計算する」、「決定する」、「提示する」、「表示する」、または同様のものなどの用語を用いる論議は、1または複数のメモリ(例えば、揮発性メモリ、不揮発性メモリ、またはそれらの組合せ)、レジスタ、または情報を受信し、記憶し、送信し、もしくは表示する他のマシン構成要素に含まれる物理的な(例えば、電子、磁気、または光学的な)量として表現されるデータを操作もしくは変換するマシン(例えば、コンピュータ)のアクションもしくはプロセスを指すことができる。
本明細書で使用される場合、「一実施形態」、または「実施形態」への何らかの参照は、実施形態に関連して述べられた特定の要素、機能、構造、または特性が、少なくとも1つの実施形態に含まれることを意味する。本明細書の様々な場所で、「一実施形態では」というフレーズが出現することは、必ずしもすべてが同じ実施形態を参照するものではない。
いくつかの実施形態は、「結合される」、および「接続される」という表現を、それらの派生語と共に用いて述べることができる。例えば、いくつかの実施形態は、2つ以上の要素が直接、物理的に、または電気的に接触していることを示すために、「結合される」という用語を用いて述べることができる。しかし「結合される」という用語はまた、2つ以上の要素が、互いに直接接触していないが、なお互いに協動する、または相互作用することを意味することができる。諸実施形態は、このコンテキストに限定されない。
本明細書で使用される場合、用語「含む/備える(comprises)」、「含む/備える(comprising)」、「含む(includes)」、「含む(including)」、「有する(has)」、「有する(having)」、またはそれらの任意の他の変形形態は、非排他的に含めることを包含するように意図されている。例えば、要素のリストを含むプロセス、方法、物品、もしくは装置は、必ずしもこれらの要素だけに限定されるものではなく、明示的に列挙されていない他の要素、またはこのようなプロセス、方法、物品、もしくは装置などに固有の他の要素を含むことができる。さらに、その反対のことが明示的に述べられていない限り、「または」は、包含的なまたはを指し、排他的なまたはを指すものではない。例えば、条件AまたはBは、以下のいずれか1つにより満たされる、すなわち、Aは真(または存在する)であり、Bは偽(または存在しない)であること、Aは偽(または存在しない)であり、Bは真(または存在する)であること、およびAとBは共に真(または存在する)であること。
さらに、「a」、または「an」の使用は、本明細書の実施形態の要素および構成要素を記述するために使用される。これは、単に便宜上行われるものであり、本発明の一般的な意味を与えるに過ぎない。この記述は、1つ、または少なくとも1つのものを含むように読まれるべきであり、単数形はまた、それが他の形を意味することが明らかではない限り複数も含む。
本開示を読めば、当業者であれば、EHLO名およびIPアドレスターゲティングにより媒介を通じて電子メール送信者の妥当性を検証できるシステムおよびプロセスに関する付加的で代替的な構造的かつ機能的な設計を理解されよう。したがって、特定の実施形態および用途が示され、かつ述べられてきたが、開示された実施形態は、本明細書で開示された正確な構成および構成要素に限定されないことを理解されたい。当業者には明らかなはずの様々な修正、変更、および変形は、添付の特許請求の範囲で定義される趣旨および範囲から逸脱することなく、本明細書で開示される方法および装置の配置、オペレーション、ならびにその細部に行うことができる。
本開示は、一般に、電子的なメッセージングの分野に関し、詳細には、EHLO名およびIPアドレスターゲティングによる電子メール送信者の集中型検証に関する。
関連出願への相互参照
本出願は、2015年2月14日に出願された米国特許仮出願第62/116、409号明細書の利益を主張するものであり、その全体が参照により本明細書に組み込まれる。
電子メールなどの分散メッセージングシステムにおいては、メッセージの実際の発信者は、不正なメッセージをなくすために、メッセージの主張された識別に対する妥当性が検証され得る。このような不正なメッセージの例は、特定の送信者からのものであると称しているが、実際は詐称された送信者アドレスを有し、かつ受取人に対して何らかの不正な作業を実施する(例えば、個人情報を盗む)ことを望む可能性のある悪意のあるエンティティから送られた「フィッシング」電子メールを含む可能性がある。この妥当性検証問題に対する1つの手法は、送信識別の所有者に、どのコンピュータが、受取人の電子メールサーバに電子メールを中継可能であるかを定義するルールのセットを作成できるようにすることである。送信者ポリシーフレームワーク(SPF)は、電子メールに対するこの手法の標準の実装形態である。送信識別は、受信メールサーバが、受信されたメッセージの送信者の識別の妥当性を検証するために、それらにアクセスすることが可能であるようなドメイン名システム(DNS)を介してこれらのSPFルールをパブリッシュする。
この手法は有効であり得るが、それは、受信システムに対してかなりの負担を与え、かつ有効な媒介(例えば、メーリングリスト、「ライフタイム」電子メールアカウントなど)を使用することに課題を生ずる。例えば、メーリングリストサーバは、発信元の送信者からのメッセージを転送するように求められ得るが、メーリングリストサーバは、発信元の送信者により有効な送信者として識別されない。メッセージの妥当性を検証するとき、完全なルールセットが、数百の、またはさらに数千のルールを要求するとしても、受信システムは、いくつかのこのようなルールよりも多くの検査を実質的に実行することはできない。
SPFはまた、受信システムに対する負担を制限するために、可能なドメイン名システム(DNS)参照数に対する厳しい制限を含むが、これは、いくつかの正当なメッセージの妥当性の検証に失敗する犠牲を払うことになる。送信者書換えスキーム(SRS)などの他の技法は、元の送信者を、より制限されたルールセットによって妥当性が検証され得る中間的な識別へと置き換える。こうすることにより、受信システムに対する負担は最小化するが、発信者の識別に対するメッセージの妥当性を検証することにならない。
したがって、欠けているのは、受信システムに不当に負担をかけることがなく、既存のフレームワークと互換性があり、かつ相互運用可能な、送信者識別検証のための任意に多量の複雑なルールセットを定義できる能力である。
いくつかの実施形態では、システムおよび方法は、ネットワークまたはIPレベルからの電子メールに関する認証質問を、送信機構レベルへと再フレーム化すること、既存の送信者ポリシーフレームワーク(SPF)プロトコルの能力を用いて、SMTP接続から利用可能なネットワーク情報をターゲテッドドメイン名へと符号化すること、およびそれを、そのネットワーク情報を既知の機構のリストへとマップするデータベースにより支援されたカスタムのDNSシステムと組み合わせることを含むことができる。
いくつかの実施形態では、システムおよび方法は、ドメインマネジャに、許可された機構に対するSPFレコードの手動の参照、ドメインに対するDNS TXTレコードの変更など、何らかのさらなる作業を必要とすることなく、それ自体のために、電子メールを送ることのできる機構のセットを定義できるようにする。それはまた、ドメインマネジャに、任意の数の送信機構を許可できるようにし、かつ許可された送信者に対するSPF構成への変更を追跡する必要性をドメインマネジャから開放する。
いくつかの実施形態では、システムおよび方法は、ドメインの所有者が、そのドメインから発信された電子メールをどのメールサーバが配信できるかを指定するルールのセット(ディレクティブとして知られている)を、DNS TXTレコードで定義できるプロトコルとすることのできる送信者ポリシーフレームワーク(SPF)を含むことができる。受信メールサーバは、これらのルールを評価し、かつ配信サーバのIPアドレスに基づき、問題のメッセージが、そのドメインから発信できるかどうかを判定する。
いくつかの実施形態では、システムおよび方法は、SPFの2つの機能を利用することができる。第1に「include」メカニズムであり、それにより、SPFレコードは、さらなるDNS SPFレコードが定義されているターゲットドメインを参照し、かつこの参照レコードで定義されたルールを、評価されたルールセットの中に含めることができる。第2に、マクロシステムであり、それによって、SMTP接続に関連付けられたIPアドレスおよびEHLO名などの要求特有の値が、ターゲットドメインに補間され得る。
いくつかの実施形態では、ドメインを構成するとき、SPFレコードは、電子メールが許可されているドメインの名前、ならびにSMTP接続のEHLO名および/またはIPアドレスを、ターゲットドメイン名へと符号化するためにSPFマクロを使用する「include」ディレクティブを組込むドメインに対して構成され得る。ターゲットドメイン名は、ネットワーク情報を既知の機構のリストにマッピングする責任を担うDNSシステムである、ターゲテッドSPF DNSリゾルバにより管理されるDNSゾーン内にあるように構成され得る。
さらなる実施形態では、ターゲテッドSPF DNSリゾルバは、ターゲットドメインに対するDNS照会に応ずる責任を担うことができる。それはまた、既知の機構に対するネットワーク情報の正確な、最新のマッピングを維持する責任を担うことができ、それは、ドメイン登録レコード、パブリックDNSエントリ、および精選された情報などのパブリック情報を組み合わせることを含むことができる。
さらなる実施形態において、送信者ポリシーフレームワーク(SPF)を向上させるためのシステムおよび方法は、ドメインマネジャに提示される全体的な複雑さ、および維持負担を低減し、かつ同様の認証を提供するための最新システムの既存の制限を除くことにより、電子メールを認証する技術を進歩させることができる。さらに、本方法は、電子メールを受信するシステムに対して何らかの変更を必要とする可能性がなく、またインストールされたソフトウェアの既存の、かつ広範囲なベースと両立性を有することができる。
開示される実施形態は、詳細な説明、添付の特許請求の範囲、および添付図(または図面)から容易に明らかになる利点および特徴を有する。諸図の簡単な紹介は以下のようになる。
図1は、実施形態によるEHLO名およびIPアドレスターゲティングにより媒介を通じて電子メール送信者の妥当性を検証できるシステム例を示す図である。 図2は、一実施形態によるサードパーティ配信機構で使用するための電子メールドメイン妥当性検証レコードを作成するプロセス例を示すインタラクション図およびフローチャートである。 図3は、一実施形態によるDNSを用いる電子メールドメイン妥当性検証レコードによる解決についてのプロセス例を示すインタラクション図およびフローチャートである。 図4は、マシン可読媒体から命令を読み取り、かつプロセッサ(またはコントローラ)により命令を実行することのできるマシンの例の構成を示すブロック図である。
図(FIGS.)および以下の説明は、より好ましい実施形態に関する。以下の論議から、本明細書で開示される構造および方法の代替的実施形態は、特許請求される原理から逸脱することなく使用され得る実行可能な代替形態として容易に理解されるはずであることに留意されたい。
いくつかの実施形態、また添付図において示されている例に対して、まず、詳細に言及が行われる。図は、例示のためだけに、開示されるシステム(または方法)の実施形態を示している。当業者であれば、以下の説明から、本明細書で示される構造および方法の代替的実施形態が、本明細書で述べられる原理から逸脱することなく使用され得ることを容易に理解されよう。
構成の概観
例として開示される実施形態は、EHLO名およびIPアドレスターゲティングにより、媒介を通じて電子メール送信者の妥当性を検証することのできるシステムおよびプロセスである。実施形態では、DNSサーバは、受信電子メールシステムから、DNSサーバに記憶された電子メールドメインに対するDNS照会を受信し、DNS照会は、電子メールの送信者の識別情報を含み、かつ電子メールは、電子メールドメインからのものとしてそれ自体を識別する。DNSサーバは、DNS照会から電子メール送信者の識別情報を抽出し、かつ識別情報から、複数の配信機構の1つを識別する。DNSサーバは、識別された配信機構が、電子メールドメインに代わって電子メールを配信することが許可されているかどうかを判定する。識別された配信機構が、電子メールドメインに代わって、電子メールを配信することが許可されていると決定したことに応答して、DNSサーバは、許可された配信機構および電子メールドメインの識別に基づき、ターゲット妥当性検証レコードを生成し、ターゲット妥当性検証レコードは、配信機構が電子メールドメインに対する電子メールの許可された送信者であることを、受信電子メールシステムに示す1または複数のルールを含み、かつDNS照会に応答して、受信電子メールシステムに、ターゲット妥当性検証レコードを送る。
一実施形態では、送信電子メールシステムは、電子メールドメインのDNSレコードに含めるために、電子メール妥当性検証レコードを作成するように構成され、電子メールドメイン妥当性検証レコードは、ターゲットドメインから電子メールを受信したとき、受信電子メールシステムにより構文解析され、受信電子メールシステムに、電子メールの送信者が、電子メールドメインに対する許可された送信者であるかどうかを示す。電子メールドメイン妥当性検証レコードを作成するために、送信電子メールシステムは、電子メールドメインとは別個のドメインであるターゲットドメインを含むように電子メールドメイン妥当性検証レコードを構成し、電子メールドメイン妥当性検証レコードの構文解析を行うとき、受信電子メールシステムに、妥当性検証レコードを求める第2の要求をターゲットドメインに提出させる。送信電子メールシステムはまた、識別情報を指定する1または複数のマクロ文を含めるように電子メールドメイン妥当性検証レコードを構成し、マクロ文は、受信電子メールシステムに、電子メールドメイン妥当性検証レコードの構文解析を行うとき、電子メールの送信者の識別情報を第2の要求に含めるようにさせる。送信電子メールシステムは、この作成された電子メールドメイン妥当性検証レコードを電子メールドメインのDNSレコードとしてパブリッシュするように構成される。
導入
送信者ポリシーフレームワーク(SPF)は、電子メールを認証するための強力なツールであるが、今日使用されるように、構成するのを困難にし、かつ実際には、所与の電子メールドメインに対して電子メールを配信することが認証され得るサービスの数に対して大幅な制限を加えるいくつかの実質的な制限を有する。いくつかの実施形態では、システムおよび方法は、電子メールドメイン所有者が、a)ネットワーキングプリミティブではなく、サービスに関するそれらの電子メールドメインのSPF認証の構成、およびb)これらの無制限な数の構成をサポートできる方法を提供することができる。
例示的な主要な代表システム
図1は、実施形態によるEHLO名およびIPアドレスターゲティングにより媒介を通じて電子メール送信者の妥当性を検証できる例示的なシステム100を示している。システム100は、ネットワーク150、1または複数のクライアントデバイス160、許可するDNSサーバ130、ドメイン所有者DNSサーバ140、ドメイン所有者システム110、配信電子メールシステム115、および受信電子メールシステム120を含む。示されたシステム100は、図1で示された要素を含むが、他の実施形態では、システム100は、異なる要素を含むこともある。さらに各要素の機能は、他の実施形態における要素の中では異なる形で配分され得る。
有線、無線、またはそれらの組合せとすることのできるネットワーク150は、クライアントデバイス160、DNSシステム130/140、ドメイン所有者システム110、およびサードパーティシステム120の中で通信を可能にし、かつインターネット、LAN、VLAN(例えば、VPNを有する)、WAN、または他のネットワークを含むことができる。一実施形態では、ネットワーク150は、ハイパーテキスト転送プロトコル(HTTP)、伝達制御プロトコル/インターネットプロトコル(TCP/IP)、ユニフォームリソースロケータ(URL)、およびドメイン名システム(DNS)など、標準の通信技術および/またはプロトコルを使用する。他の実施形態では、エンティティは、上記で述べたものに代えて、またはそれに加えて、カスタムかつ/または専用のデータ通信技術を使用することができる。
ドメイン所有者システム110は、特定のドメイン(例えば、examplecorp.com)の1または複数のコンピューティングシステムを含み、図4を参照して述べられるコンピューティングシステムと同様に構成され得る。
一実施形態では、ドメイン所有者システム110は、受信電子メールシステム120などの受信電子メールシステムが、ドメイン所有者システム110のドメインを電子メールの送信者として示す電子メールの正当性を検証できるようにする妥当性検証ルールを生成するルール作成器111を含む。受信電子メールシステム120がこのような電子メールを受信したとき、それは、その電子メールが、実際にドメイン所有者システム110から正当に送られたかどうかを調べるために、これらの妥当性検証ルールを検査することができる。一実施形態では、ルールは、ドメイン所有者システム110のインターネットプロトコル(IP)アドレスを示し、したがって、受信電子メールシステム120は、電子メールが、ルールで示されたIPアドレスから受信されたかどうかを検証する。
これらのルールは、検出されたネットワーク特性(例えば、送信電子メールシステムの検出されたIPアドレス、ドメイン名情報など)に基づいて自動的に生成され得る、またはユーザインターフェースを介して管理者からルール作成器111により受信され得る。ルールが生成された後、ルール作成器111は、公開されたアクセス可能な場所で、そのルールをパブリッシュする。この公開されたアクセス可能な場所とは、ドメイン所有者システム110のドメインに対するドメイン所有者だけがパブリッシュできる信頼できる場所のことである。その場合、どの受信電子メールシステム120も、ルールを取得するためにこの公開の場所にアクセスすることができる、一実施形態では、公開の場所は、ドメイン名システム(DNS)である。したがって、これらのルールは、ドメイン所有者DNSサーバ140上の電子メールドメイン妥当性検証レコード141に記憶され得る。一実施形態では、ルールは、送信者ポリシーフレームワーク(SPF)ルールである(それは、RFC4408および7208で文書化され、本明細書に参照により組み込まれる)。
配信電子メールシステム115は、ドメイン所有者システム110のために電子メールを送信する。配信電子メールシステム115は、図4を参照して述べられるコンピューティングシステムと同様に構成され得る1または複数のコンピューティングシステムを備える。例として、配信電子メールシステム115は、メーリングリストサーバ、ドメインに代わって電子メールを送信するバルクメーラプロバイダ、ドメインに代わって電子メールを送るサードバーティにより管理されるトランザクション電子メールシステム、またはドメインに代わって電子メールを走査するセキュリティシステムとすることができる。配信電子メールシステム115は、配信電子メールシステム115が、電子メールに対してさらなる処理または機能を提供できるように、ドメイン所有者システム110に代えて電子メールを送信することができる。
配信電子メールシステム115は、電子メールを送るための電子メール送信器116を含む。一実施形態では、電子メール送信器116は、簡易メール転送プロトコル(SMTP)など、標準のメールプロトコルを使用する。SMTPは、様々な機能をサポートする。特に、送信電子メールシステムが、受信電子メールシステムと通信するとき、SMTPは、送信電子メールシステムが、受信電子メールシステムに対して、HELO、または拡張HELO(EHLO)メッセージを送信できることを示す。このHELO/EHLOメッセージは、送信電子メールシステムの識別子(例えば、ドメイン名)を含み、またEHLOメッセージの場合、送信電子メールシステムのサポートされる拡張および機能を示すさらなる識別子を含むことができる。
最初はドメイン所有者システム110により送られたメッセージまたは電子メールを送る、またはその他の形で転送するとき、ドメイン所有者システム110に関連付けられた、かつ電子メールドメイン妥当性検証レコード141として記憶され得る妥当性検証ルールは、配信電子メールシステム115の認証に適応できるように修正される。
受信電子メールシステム120は、配信電子メールシステム115から、1または複数の電子メールを受信する電子メールシステムである。受信電子メールシステム120は、図4を参照して述べられるコンピューティングシステムと同様に構成され得る1または複数のコンピューティングシステムを備える。
受信電子メールシステム120は、電子メールを受信するための電子メール受信器122を含む。一実施形態では、電子メール受信器122は、簡易メール転送プロトコル(SMTP)など、標準的なメールプロトコルを使用する。
受信電子メールシステム120は、電子メールが不正なものではないことを保証するために、どの受信された電子メールの送信者の識別も妥当性を検証する電子メール認証器121を備える。電子メールを受信すると、電子メール認証器121は、(例えば、HELOコマンドにより)電子メールが受信されたサーバにより提供される識別、または電子メールのリターンパスアドレスに示されたドメイン(例えば、「gmail.com」)、もしくは何らかの他の識別子によるドメインのいずれかに関連付けられた任意の関連する電子メールドメイン妥当性検証レコードを調べることができる。電子メール認証器121は、送信者のIPアドレスなど、電子メールから識別された情報が、関連する電子メールドメイン妥当性検証レコードのいずれか1つに示されたルールのいずれかにマッチするか、それともそれにより許可されるかどうかを判定する。ルールにおいてマッチが見出された場合、電子メール認証器121は、電子メールメッセージは有効である可能性が高く、送信者と称されるものからのものであり、不正なソースからのものではないと決定する。
一実施形態では、電子メールドメイン妥当性検証レコードで示されるルールは、SPFルールである。SPFルールは、IPアドレスを示すことができ、したがって、電子メール認証器121は、SPFルールで示されたIPアドレスが、電子メールを受信電子メールシステム120に送ったサーバのIPアドレスまたは他の識別情報にマッチするかどうかを検証することができる。SPFルールはまた、別のドメインを示すことができ、その場合、電子メール認証器121は、その別のドメインに対するSPFルールレコードを調べて、そのレコードにおけるいずれかのルールが、電子メールを送ったサーバの識別情報にマッチするかどうかを調べることができる。さらにいくつかの場合、SPFルールは、電子メール認証器121が電子メールの受信時に動的に決定されるデータで置き換える特別のプレースホルダインジケータであるマクロをサポートする。例えば、電子メール認証器121は、電子メールのリターンパスドメイン(例えば、「acme.com」)に対するルールで示される「%{d}」などのマクロを拡張することができる。さらなるマクロコマンドは、SPF RFC7208、および4408でさらに詳細に述べられる。
DNSサーバ130および140は、DNSシステムで使用するためのDNSレコードを記憶する。各DNSサーバは、図4を参照して述べられるコンピューティングシステムなどの1または複数のコンピューティングシステムを備えることができる。
各DNSサーバは、当技術分野で知られているように、Aレコード、MXレコード、以下同様のものなど、特定のドメインに対して複数のDNSレコードを記憶することができる。レコードは、図1で示されているように、複数のエントリへと分離され、複数のサーバ上にあるが、他の実施形態では、レコードは、より少ないエントリ、単一のサーバ、単一のエントリに、または何らかの他の組合せへと組み合わされる。さらに、各ドメインに対して一定数のレコードが図1で示されているが、他の実施形態では、各ドメインは、複数のレコードを有することができる。
図1で示されるように、ドメイン所有者DNSサーバ140は、電子メールドメイン妥当性検証レコード141を含む。この電子メールドメイン妥当性検証レコード141は、受信電子メールシステム120が、受信した電子メールの正当性の妥当性を検証できるようにする1または複数のルールを含むことができる。上記で述べたように、電子メールドメイン妥当性検証レコード141は、ドメインに関連付けられた送信者に関するIPアドレスまたは他の識別子を示すことができ、したがって、受信電子メールシステム120は、電子メールの送信者のIPアドレス(または他の識別子)が、電子メールで示されたドメインに対応している(例えば、「acmebank.com」からの電子メールが、実際にAcme Bankからのものである)ことを検証することができる。しかし、このような簡単なルールは、サードパーティの配信電子メールシステム115が、送信電子メールシステムもしくはドメイン所有者の代わりにメールを送るために使用される場合は、不利になり得る。これは、電子メールドメイン妥当性検証レコード141におけるルールは、配信電子メールシステム115が特定のドメインに対する有効な送信者であることを示さない可能性があるためである。
それに代えて、電子メールドメイン妥当性検証レコード141は、別個のドメインを有するルールを含めることができる。この別個のドメインに対するDNSレコードは、許可するDNSサーバ130上など、どこか他に存在することができる。さらに、別個のドメインを用いるこのルールはまた、1または複数のマクロを含み、受信電子メールシステム120により構文解析されたとき、受信電子メールシステム120に、受信電子メールシステム120が電子メールを受信したサーバを識別するさらなる情報、または電子メールに関する他の識別情報でマクロを置き換えさせる。一実施形態では、この情報は、受信電子メールシステム120が電子メールを受信したサーバからのEHLOメッセージにおけるいずれかの識別子、ならびに同じサーバのIPアドレスを含む。ルールが構文解析された後、受信電子メールシステム120は、ルールで示された別個のドメインのDNSレコードをルールにより照会する。例えば、ルールは、「%{i}._ip.verifier.com」のマクロを備えるドメインを示すことができる。拡張された後、マクロ「%{i}」は、受信電子メールシステム120に電子メールを送ったサーバ(例えば、これは配信電子メールシステム115になり得る)のIPアドレスにより置き換えられることができ、また受信電子メールシステム120は、ドメイン「verifier.com」のDNSレコードを求めて照会し、IPアドレスを、問題のDNSレコードを提供できるDNSサーバに渡す。
この別個のドメインに対するDNSレコードは、許可するDNSサーバ130に存在することができる(またはそこに照会され得る)。許可するDNSサーバ130は、配信電子メールシステムに関する情報、ならびにそれらの関連するIPアドレスおよびEHLO情報を記憶する配信者/IP記憶装置131を含む。許可するDNSサーバ130はまた、様々な配信電子メールシステムを認証するルールを記憶する配信者/レコード記憶装置を含む。許可するDNSサーバ130はまた、様々なドメインに対して許可された配信電子メールシステムを示す許可された配信者リスト132を含む。
上記で述べられたように、電子メールを送ったサーバの識別情報によりマクロが置き換えられると、ドメイン情報が、DNS照会で受信電子メールシステム120から、許可するDNSサーバ130により受信される。許可するDNSサーバ130は、識別情報で示されたサーバが、識別情報で示されたドメインのために電子メールを送ることが許可されるかどうかを判定する許可評価器135を含む。一実施形態では、ドメインは、許可するDNSサーバ130に(マクロを使用することにより)渡されるEHLO情報から示され、またサーバに関する識別情報は、IPアドレスにより渡される。許可評価器135は、識別情報に関連付けられた配信電子メールシステム115の識別を決定するために、配信者/IP記憶装置131にアクセスする。このような情報が見出された場合、許可評価器は、その配信電子メールシステムが、DNS照会の識別情報で示されたドメインに対する許可された配信エージェントであるかどうかを判定するために、許可された配信者リスト132にアクセスする。
そうである場合、許可するDNSサーバ130は、受信電子メールシステム10への(送信するための)応答として配信者/レコード記憶装置134を用いてルールのセットを構成するターゲットレコード構成器133を含む。この構成されたルールのセットは、電子メールを送った配信電子メールシステム(例えば、配信電子メールシステム115)が、電子メールで示されたドメインに対して有効な送信者であることを示す。受信電子メールシステム10は、次いで、その応答における情報を使用して、配信電子メールシステムが有効な送信者であり、この電子メールをその意図された受取人により受信され得ることを検証することができる。その他の場合、配信電子メールシステムがその応答により有効ではないことが示された場合、受信電子メールシステム10は、それに代えて電子メールを破棄する、またはそれにフラグを付けることができる。
クライアントデバイス160は、受信電子メールシステム120により受信され、かつ認証された電子メールを見るために使用され得る。クライアントデバイス160は、図4を参照して述べられるコンピューティングシステムなど、コンピューティングシステムを備えることができる。
具体的には、クライアントデバイス160は、受信電子メールシステム120とインターフェースを取るための電子メールクライアント165を含む。電子メールクライアント165は、受信電子メールシステム120と通信するために、ポストオフィスプロトコル3(POP3)、インターネットメッセージアクセスプロトコル(IMAP)、メッセージングAIP(MAIP)、SMTP、以下同様のものなどの標準の電子メールプロトコルを使用することができる。一実施形態では、電子メールが、受信電子メールシステム120により適正に認証されない場合、電子メールクライアント165は、電子メールを受信することはない。他の実施形態では、電子メールクライアント165は、電子メールを受信できるが、さらに電子メールは不正なものであることが疑われる、または疑わしいとの指示を受け取ることができる。
上記で述べたシステム100を使用すると、ドメインの所有者は、電子メールを送信するために、他のサードパーティ配信機構、およびそれらの配信電子メールシステムのサービスを利用することができ、かつさらに、受信電子メールシステム120に、これらの電子メールが正当なものであるとの妥当性を検証させることができる。様々な電子メールドメイン妥当性検証レコードを更新することに代えて、DNSサーバは、集中化された場所において、電子メールを送った配信電子メールシステム115に関する、受信電子メールシステム120から受信された識別情報に応じて、簡単なルールのセットを構成することができる。さらに受信電子メールシステム120は、電子メールドメイン妥当性検証レコードにおけるルールに存在する可能性のある多数のDNSレコードに照会する必要がない。こうすることは、性能を向上させ、かつサードパーティエージェントによる電子メールを送ることの管理を簡単化するが、なお、セキュリティを提供し、かつ不正な、または疑わしいメッセージが受信されるのを阻止する。上記で述べたシステムおよび処理に関するさらなる詳細は、図2〜図3を参照して述べられる。
電子メールドメイン妥当性検証レコード作成に関する例示的な対話図
図2は、一実施形態によるサードパーティ配信機構で使用するための電子メールドメイン妥当性検証レコードを作成する例示的なプロセスを示す対話図および流れ図である。一実施形態では、図2は、プロセス中のオペレーションを、示された要素に帰属させる。しかし、ステップのいくつか、またはすべてのものは、他の要素により実施され得る。加えて、いくつかの実施形態は、オペレーションを並列に実施する、オペレーションを異なる順序で実施する、または異なるオペレーションを実施することもあり得る。さらに、例示的な一実施形態では、ステップおよび/またはモジュールは、図4に関して述べられるプロセッサ402により実行され得る、例えば、命令424などの命令として実施され得ることに留意されたい。
この論議において、電子メールドメインとは、着信する電子メールメッセージに対してSPFを評価するとき、受信電子メールシステム120が、「ドメイン」として使用できる任意のドメインを指すことになる。通常、これは、メッセージに対するリターンパスで見出されるドメインとなる。
電子メールドメイン所有者、または指定されたパーティであるドメイン所有者システム110は、電子メールドメインに対するDNSレコードを構成することができる。これは、電子メールドメインで使用するための電子メールドメイン妥当性検証レコード141(SPFレコードであり得る)を作成する(または生成する)210ことを含むことができる。レコードは、特定の送信者が、電子メールドメインからの電子メールに対する有効な送信者であることを示す。一実施形態では、レコードは、SPFレコードであり、かつ特有の「include」ディレクティブを組込むことができるように構成される。includeディレクティブは、別のドメインを示すターゲテッドSPFドメイン仕様(specification)を示すことができ、したがって、メッセージに対するSPF認証決定のいくつか、またはすべては、他のドメインで見出されるSPFレコードへと遅延される(deferred)。言い換えると、前述のように、レコードは、最終的なSPF認証情報を決定するために別々に照会される別個のドメインを含む。
一実施形態では、電子メールドメイン妥当性検証レコード141におけるターゲテッドSPFドメイン仕様は、そのメッセージに関するSMTP接続属性に基づき、電子メールメッセージに対する挙動を動的に変更するように構成され得る。この変更は、受信サーバに、SMTP接続属性および電子メールドメインを使用させて、解決されたとき、処理されるメッセージに適用されるターゲット設定化SPFレコードを生ずるカスタムのドメイン名を構築することにより達成され得る。
これを達成するために、一実施形態では、ターゲテッドSPFドメイン仕様は、3つの特性を含むことができる。第1に、それは、ターゲテッドSPFドメイン仕様から解決されるいずれのドメイン名に対する最終的な権限を有するものは、ターゲテッドDNS SPFリゾルバ(例えば、許可するDNSサーバ130)である。
これは、ターゲテッドドメイン仕様が、最終的、1または複数の特定の固定ドメインのサブドメインに分解されることを保証することにより達成され得る。いくつかの実装形態では、ターゲテッドSPFドメイン仕様を含むDNSレコードは、他のドメインを参照する1または複数のDNS CNAMEまたはNSレコードの背後に隠すことができ、ターゲテッドDNS SPFリゾルバにより管理されない。これは、最終的なDNS照会ターゲットの転送またはマスキングを可能にする。言い換えると、他のドメインは、最終的なDNS照会ターゲットが決定される前に、受信電子メールシステムにより照会される必要があり得る。
第2に、ターゲテッドSPFドメイン仕様は、受信電子メールシステム120に、SMTP接続に対するEHLO名および/またはIPアドレスを取り込むようにさせることができる。これらの値は、SPFマクロシステムを用いて取り込まれ得る。%{h}マクロは、EHLO名を取り込むために使用することができ、また%{i}または%{p}マクロは、IPアドレス、またはIPアドレスの妥当性が検証されたドメイン名を取り込むために使用することができる。いくつかの実施形態では、ドメイン所有者システム110はまた、受信電子メールシステム120に、%{l}および/または%{s}マクロを用いて、送信者アドレスのローカルパート、または完全な送信者アドレスを取り込ませて、得られた値をターゲテッドSPFドメイン仕様へと符号化するように、ターゲテッドSPFドメイン仕様を構成することができる。
システムの正確な構成に応じて、SPFマクロ言語で記述された任意選択の変換器の1または複数のものが、ターゲテッドSPFドメイン仕様に適用され得る。同様に、結果が符号化されたURLであるように、大文字の変形体%{H}、%{I}、%{P}、%{L}、または%{S}をそれに代えて使用することができる。
第3に、ターゲテッドSPFドメイン仕様は、SMTP接続属性が、得られたドメインから明瞭に構文解析され得るように構成することができ、それは、実際に、現実世界のシステムに対して達成され得る。
これを示すために、これらの3つの要件を満たすターゲテッドSPFドメイン仕様に対するフォーマットが構成され得る。例えば、ターゲテッドDNS SPFリゾルバ(例えば許可するDNSサーバ130)は、ドメイン「resolver.com」により定義されるゾーンにおけるすべてのDNS TXT照会に対応するものと仮定する。さらに、電子メールドメインは、「emaildomain.com」であると仮定する。最後にEHLO名とIPアドレスの両方が取り込まれると仮定する。
この場合、ホスト名に対して、文字−数字−ハイフン(LDH)ルールが使用され得る。これらのルールは、完全修飾ドメイン名(FQDN)が、ASCII文字、数字、またはハイフン記号だけを含むことのできる制限を含む。より一般的には、SPFレコード参照で使用されるものを含むドメインは、この制限を満たす必要はない。EHLO名と電子メールドメインは共にFQDNであることが必要なので、「_」などの非LDH記号を含むラベルを用いてターゲテッドSPFドメイン仕様を作成する場合、これらのフィールドは、ドメイン所有者システム110により分離され得る。IPアドレスは、数字(IPv4)から、または数字および文字a〜f(IPv6)からだけ構成され得るので、IPアドレスを含むラベルも「_」を含むことはできない。したがって、「_」を含むラベルは、同様に、これらの値に対する分離文字として使用され得る。
上記の内容のすべてを組み合わせると、例示的なコンテキストに含まれる要件を満たす1つのターゲテッドSPFドメイン仕様は、「%{i}._ipaddr.%{h}._ehlo.emaildomain.com._tspf.resolver.com」である。このドメイン仕様からのSPFプロセス中に補間されたいずれのドメイン名も、「resolver.com」(右端に示されているドメイン)に基づくことになる。それは、ドメイン名にEHLO名とIPアドレスを共に含む。さらに、「_」を含むラベルの使用は、このようなドメイン名から、SMTP属性の明瞭な構文解析をサポートする。
これらの要件を満たす可能性のあるフォーマットは多数あり、この特定の例は、非限定的なものであると見なされるべきであることに留意されたい。
その場合、電子メールドメイン妥当性検証レコード141は、上記で述べたターゲテッドSPFドメイン仕様を参照するincludeディレクティブを有するSPFルールを有するべきである。上記で述べた例示的なターゲテッドSPFドメイン仕様を使用するこのようなレコードの簡単な、非限定的な例は、「v=spf1 include:%{i}._ipaddr.%{h}._ehlo.emaildomain.com._tspf.resolver.com」である。再度、このレコードは、我々の例に関して現実的なものであるが、非限定的なものであると見なされるべきである。「v」は、SPFバージョンを指すこと、またincludeディレクティブは、示されたドメインが電子メールドメインに対して有効な送信者であることを示していることに留意されたい。
電子メールドメイン妥当性検証レコード141が構成された後、それは、電子メールドメインに対するDNS TXTレコードとして(例えば、ドメイン所有者DNSサーバ140で)パブリッシュされ得る215。これは、このドメインを示す電子メールを受信する任意のサーバにより照会できるようにする。
電子メール検証ルール解決に関する例示的な対話図
図3は、一実施形態によるDNSを用いる電子メールドメイン妥当性検証レコードの解決のための例示的プロセスを示す対話図および流れ図である。一実施形態では、図3は、プロセス中のオペレーションを、示された要素に帰属させる。しかしステップのいくつかまたはすべては、他の要素により実施され得る。加えて、いくつかの実施形態は、オペレーションを並列に実施する、オペレーションを異なる順序で実施する、または異なるオペレーションを実施することもあり得る。さらに、例示的な一実施形態では、ステップおよび/またはモジュールは、図4に関して述べられるプロセッサ402により実行され得る、例えば、命令424などの命令として実施され得ることに留意されたい。本明細書で述べられるプロセスは、受信電子メールシステム120の何らかのさらなる変更、または構成を必ずしも必要としないことに留意されたい。そうではなくて、受信電子メールシステム120がSPFまたは同様の送信者認証方式をサポートする限り、それは、変更される必要はない。
最初に、受信電子メールシステム120は、特定の電子メールドメインに対応するリターンパスを備えた電子メールを受信する310。受信電子メールシステム120は、この電子メールメッセージを(例えば、SPFを用いて)認証しようと試みることができる。受信電子メールシステム120は、まず、その電子メールドメインに対する何らかの電子メール妥当性検証レコードに関してDNSに照会することができる315。これらのものは、SPFレコードとすることができる。ドメイン所有者DNSサーバ140は、図2を参照して述べたように、電子メールドメインの所有者がパブリッシュしている電子メールドメイン妥当性検証レコード141を応答で返すことができる282。
受信電子メールシステム120は、電子メール妥当性検証レコードを構文解析して、ターゲットドメイン照会を生成する320。このプロセスは、現在のSMTP接続に対する値(例えば、EHLO、IPアドレス)を用いて、返されたDNSレコードにおけるターゲットドメインSPF仕様を有するincludeディレクティブを評価すること、およびターゲットドメインを構成するために、ターゲットドメインSPF仕様の中にこれらの値を補間することを含むことができる。例えば、レコードが、「%{i}._ipaddr.%{h}._ehlo.emaildomain.com._tspf.resolver.com」のルールを示した場合、受信電子メールシステム120は、これを、「123.123.123.123._ipaddr.deliveringdomain.com._ehlo.emaildomain.com._tspf.resolver.com」へと評価することができるが、123.123.123.123は、送信者のIPアドレス、emaildomain.comは、発信元の送信者のドメインであり、またdeliveringdomain.comは、送信者に対するEHLOメッセージで示されたドメイン名である。
受信電子メールシステム120は、次いで、ターゲットドメインをDNSに照会する325。この照会は、許可するDNSサーバ130(ターゲットドメインに対する権威サーバとすることができる)により応ずることができる。許可するDNSサーバ130は、照会から識別情報を抽出する340.この識別情報は、EHLO名およびIPアドレスを含むことができ、またターゲットドメイン照会から構文解析され得る。一実施形態では、許可するDNSサーバ130はまた、スタンドアロンの値として、または符号化された完全な送信者アドレスの一部として、照会のターゲットドメインからのリターンパスアドレスのローカルパートを構文解析することができる。
一実施形態では、許可するDNSサーバ130はまた、ターゲットドメイン照会から電子メールドメインを抽出する(それがマクロにより照会中に含まれている場合)。電子メールドメインが存在する場合、かつ許可するDNSサーバ130が限定されたドメインのセットに対する要求だけを処理するように構成されている場合、許可するDNSサーバ130は、電子メールドメインが既知であるかどうかを判定することができる。この場合において、その電子メールドメインが既知ではない場合、許可するDNSサーバ130は、デフォルトSPFレコードを返すことができる。返されたレコードは、どのIPアドレスも認めないレコードである可能性が高く、例は「v=spf1−〜all」となる。
許可するDNSサーバ130は、照会から抽出された識別情報を使用して、配信機構を識別する345。配信機構は、配信電子メールシステム115の所有者であり、それは電子メールドメインの一部ではない可能性がある。許可するDNSサーバ130は、電子メールメッセージのSMTP接続に関連付けられたネットワーク特有の情報(例えば、EHLO名および/または送信サーバIPアドレス)が、配信機構の高レベルの抽象化に関連付けられ得るように、照会から抽出された識別情報を配信機構に関連付ける配信者/IP記憶装置131を含む。
一般的な配信機構のいくつかの例は、電子メールドメイン所有者により、電子メールを送るように契約したサードパーティ送信者、電子メールドメインから発信されたメッセージをいくつかの受信アドレスに中継しているメーリングリスト、または1つの受信器アドレスに別名を付けるように設計された転送システムである。この例のセットは網羅的なものと見なすべきではなく、リストは、非限定的なものであると見なされるべきである。
一実施形態では、電子メールの実質的な(すなわち、統計的に有意な)コーパス(何億またはそれ以上のメッセージ)のヘッダ情報へのアクセスは、許可するDNSサーバ130または他のエンティティに、電子メールヘッダ(特に「受信された」および「認証結果」ヘッダ)で見出された情報を用いることにより、配信者/IP記憶装置131を構成できるようにする。他の実施形態では、配信機構のリストを調べて、その結果を適切な配信者/IP記憶装置131へと組込むこともできる。さらなる実施形態では、特にWHOISデータベースに記憶された情報であるドメイン登録レコードは、配信者/IP記憶装置131に対するこのマッピングを構築するのに有用であり得る。これらの例示的な方法は、非限定的なものと見なされるべきであり、また本明細書で述べられるプロセスは、配信者/IP記憶装置131を構成するために、他の方法、または複数の方法の組合せの使用を排除するものではない。
さらなる実施形態では、許可するDNSサーバ130により受信されたDNS照会の着信ストリームは、調査を必要とするEHLO名およびIPアドレスのソースとして使用され得る。完全なデータベースのために、正当な電子メールから発信されたすべての(EHLO名およびIPアドレス)の組合せは、既知の配信機構にマップされるべきである。既知の配信機構にマップされることのできないいずれの着信データも、一般に、a)データベースにおける失われた正当な値、またはb)不正なソース電子メールを示すことができる。この「失われている(miss)」は、したがって、データベースにおけるギャップを埋めるための情報源として、または脅威情報源として働くことができる。
要求が配信機構にマップされた後、一実施形態では、許可するDNSサーバ130は、配信機構が既知のものであるかどうかを判定することができる348。既知ではない場合、すべてのIPアドレスが不適切であるSPFレコードに関するいくつかの変形など、デフォルトのレコードを返すことができる。例えば、「v=spf1〜all」は、可能性のある選択肢である。
配信機構が既知であると仮定すると、許可するDNSサーバ130は、ターゲットドメインに関する照会で示された電子メールドメインに対して、配信機構が電子メールを配信することが許可されるかどうかを判定することができる350。一実施形態では、許可するDNSサーバ130は、どの識別された配信機構も、任意の電子メールドメインに対して電子メールを配信できるようにする。他の実施形態では、許可された配信機構に対する電子メールドメインのマッピングは、許可された配信者リスト132に記憶される、またはウェブAPIを介して利用可能にされることもでき、また許可するDNSサーバ130は、配信機構が許可されるかどうかを判定するためにそのリストもしくはAPIにアクセスする。
識別された配信機構が、電子メールドメインに対して許可されることが見出されない場合、許可するDNSサーバ130は、デフォルトレコードを返すことができる。概して、これは、すべてのIPアドレスに対する配信を拒否するレコードとすることができる(例えば、「v=spf1〜all」)。
上記で述べたように、一実施形態では、リターンパスアドレスのローカルパートは、スタンドアロンの値として、または送信者アドレスの一部として、ターゲットドメインの照会中に符号化されている可能性がある。これらの実施形態では、許可するDNSサーバ130は、配信機構が、特定のメッセージを配信することが許可されるかどうかを判定するために、電子メールドメインと組み合わせて、電子メールアドレスのローカルパートを使用する。例えば、配信機構は、acme.comにおける従業員の電子メールアドレスを示すローカルパートを有するリターンパスアドレスのためではなく、「newsletter@acme.com」のためにメールを送ることが許可され得る。
配信機構が、電子メールドメインに対する電子メールを配信することが許可された場合、許可するDNSサーバ130は、配信機構および電子メールドメインに基づき、ターゲット妥当性検証レコード(SPFレコードとすることができる)を生成する355。このレコードを構成するために、許可するDNSサーバ130は、配信機構のターゲット妥当性検証レコードへのマップを含む配信者/レコード記憶装置134に照会することができる。
各配信機構に対して、その配信機構(例えば、配信電子メールシステム115)により使用されるサーバからの電子メールを可能にし、いずれかの他から発信された電子メールを拒否することになる何らかの仮想的な電子メール妥当性検証レコードが存在することができる。配信機構に対して、既存の電子メールドメイン妥当性検証レコードが使用され得るので、このことは、適正に構成された電子メールドメイン妥当性検証レコード(例えば、SPFレコード)を有するいずれの配信機構に対しても当てはまるべきである。
配信機構が、適正に構成された電子メールドメイン妥当性検証レコードを有していない場合であっても、許可するDNSサーバ130または管理者は、基礎となるネットワーク構成の十分な知識が与えられると、このようなレコードを構築することが可能である。一実施形態では、許可するDNSサーバ130は、配信機構に対する、および/または配信機構によりその他の形で利用可能ではない電子メールドメインに対する電子メールドメイン妥当性検証レコードを作成し、かつ記憶する。
いくつかの実施形態では、またいくつかの構成に対して、配信者/レコード記憶装置134はまた、配信機構の関連付けに対する置換え、または捕捉として、電子メールドメインおよび/またはローカルパスを、ターゲット妥当性検証レコードと関連付ける。このような変形形態が望ましい可能性のある例として、電子メールドメインにより、メールサーバのそのクラウドをさらに分割する配信機構を考える。このような状況においては、最適なターゲット妥当性検証レコードを配信するために、配信機構と組み合わせて、電子メールドメインを知ることが必要になり得る。
いくつかの実施形態では、既存の電子メールドメイン妥当性検証レコードは、配信者/レコード記憶装置134を構成するための重要な情報源とすることができる。例えば、SPFレコードの場合、配信機構に対する既存のレコードは、ディレクティブのリストを得るために使用され得る。他の実施形態では、配信機構の手動の調査はまた、この情報の良好なソースとすることができる。さらなる実施形態では、ソースの組合せを使用するさらなる方法がまた実行可能である。ここに列挙したソースは、非限定的なものであると見なされるべきである。
配信者/レコード記憶装置134を構成するために、これらの、またはいずれか他の方法を使用する場合、その基礎となるネットワーク構成は時間と共に変化するので、データを更新することが必要になり得る。いくつかの実施形態では、許可するDNSサーバ130は、配信者/レコード記憶装置134を更新するために、ポーリングメカニズムを使用することができるが、他の実施形態では異なる。このようなポーリングメカニズムの非限定的な例は、既知の送信者によりパブリッシュされたDNSレコードに対する更新を検出するために、定期的に(例えば、毎日)DNS照会を実行する許可するDNSサーバ130上のソフトウェア構成要素となるはずである。これらの更新は、次いで、許可するDNSサーバ130によりデータベースの中に組み込まれ得る。
ターゲット妥当性検証レコードを生成した後、許可するDNSサーバ130は、レコードを、元の照会への応答として、受信メールシステム120に送り返す360。
受信メールシステム120は、受信されたターゲット妥当性検証レコードを用いて電子メールメッセージを認証する330。
一実施形態では、上記で述べたように、SPFの「include」メカニズムを使用することに代えて、本明細書で述べるシステムは、SPFの一部である「a」、「mx」、または「exists」メカニズムを使用するように構成され得る。これらのメカニズムの1つが使用される場合、電子メールドメイン所有者の挙動は、ほとんど不変であり得る、すなわち、「a」、「mx」、または「exists」メカニズムは、この場合、「include」メカニズムの代わりに置き換えるだけである。
この変形形態の下では、許可するDNSサーバ130の挙動は、その返す値を除き、大部分変化しない。許可するDNSサーバ130が、メッセージは認証されないことを示す場合、許可するDNSサーバ130は、NXDOMAINコードを返すことができる。またターゲット妥当性検証レコードを返す代わりに、許可するDNSサーバ130は、ターゲット妥当性検証レコードに対してIPアドレスをマッチさせることができる。IPアドレスがそのレコードにマッチしない場合、許可するDNSサーバ130は、NXDOMAINを返すことができる。あるいは、IPアドレスがマッチすることが見出された場合、許可するDNSサーバ130は、A、MX、またはIPアドレスを含むAレコードを返すことができる。
一実施形態では、許可するDNSサーバ130は、遠隔のSPF監査ツールとして使用される。SPF解決は、受信電子メールシステム120上で行われ、したがって、その評価の結果は、専用のソフトウェアがインストールされない限り、概して、外部の監査システムで利用可能にはなり得ない。ターゲテッドSPFドメイン仕様が、EHLO名とIPアドレスの両方を含むように構造化されている場合、許可するDNSサーバ130は、メッセージがそこから配信される各(EHLO名、IPアドレス)組合せに対して少なくとも1回呼び出され得る。この情報を用いて、リゾルバは、受信電子メールシステム120により実施されるSPF評価をミラーリングし、対応する結果を記録することができる。
例示的なマシンアーキテクチャ
図4は、マシン可読媒体から命令を読み取り、かつプロセッサ(またはコントローラ)で命令を実行することのできる例示的なマシンの構成要素を示すブロック図である。具体的には、図4は、マシンの図式的な表現を、コンピュータシステム400の例示的な形態で示している。コンピュータシステム400は、マシンに、本明細書で述べられた方法(またはプロセス)のうちの任意の1または複数のものを実施させるための命令424(例えば、プログラムコードまたはソフトウェア)を実行するために使用され得る。代替的実施形態では、マシンは、スタンドアロンのデバイスとして、または他のマシンに接続される接続された(例えば、ネットワーク化された)デバイスとして動作する。ネットワーク化された展開において、マシンは、サーバ/クライアントネットワーク環境におけるサーバマシンまたはクライアントマシンの役割で、またはピアツーピア(もしくは分散された)ネットワーク環境におけるピアマシンとして動作することができる。
マシンは、サーバコンピュータ、クライアントコンピュータ、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、スマートフォン、モノのインターネット(IoT)機器、ネットワークルータ、スイッチもしくはブリッジ、またはそのマシンにより行われるアクションを指定する命令424を(順次に、またはその他の形で)実行できる任意のマシンとすることができる。さらに、単一のマシンだけが示されているが、用語「マシン」はまた、個々に、または共同で命令424を実行して、本明細書で論じられる方法の任意の1または複数のものを実施するマシンの任意の集合体を含むように解釈されるべきである。
例示的なコンピュータシステム400は、1または複数の処理ユニット(一般的に、プロセッサ402)を含む。プロセッサ402は、例えば、中央演算処理装置(CPU)、グラフィックス処理装置(GPU)、デジタル信号プロセッサ(DSP)、コントローラ、状態マシン、1または複数の特定用途向けIC(ASIC)、1または複数の高周波集積回路(RFIC)、またはこれらの任意の組合せである。コンピュータシステム400はまた、主メモリ404を含む。コンピュータシステムは、記憶ユニット416を含むことができる。プロセッサ402、メモリ404、および記憶ユニット416は、バス408を介して通信する。
さらにコンピュータシステム40は、スタティックメモリ406、ディスプレイドライバ410(例えば、プラズマディスプレイパネル(PDP)、液晶ディスプレイ(LCD)、またはプロジェクタを駆動するためのもの)を含むことができる。コンピュータシステム400はまた、英数字入力デバイス412(例えば、キーボード)、カーソル制御デバイス414(例えば、マウス、トラックボール、ジョイスティック、モーションセンサ、または他の指示機器)、信号生成デバイス418(例えば、スピーカ)、およびネットワークインターフェースデバイス420を含むことができ、それらはまた、バス408を介して通信するように構成される。
記憶ユニット416は、本明細書で述べられる方法または機能の任意の1または複数のものを実施する命令424(例えば、ソフトウェア)が記憶されるマシン可読媒体422を含む。命令424はまた、完全に、または少なくとも部分的に、主メモリ404内に、またはコンピュータシステム400によるその実行中にはプロセッサ402内に(例えば、プロセッサのキャッシュメモリ内に)常駐することができ、主メモリ404およびプロセッサ402はまた、マシン可読媒体を構成する。命令424は、ネットワークインターフェースデバイス420により、ネットワーク426を介して送信または受信され得る。
マシン可読媒体422が、例示的な実施形態で、単一の媒体であるように示されているが、用語「マシン可読媒体」は、命令424を記憶できる単一の媒体、または複数の媒体(例えば、集中化された、もしくは分散されたデータベース、または関連するキャッシュおよびサーバ)を含むものと解釈されるべきである。用語「マシン可読媒体」はまた、マシンにより実行するための、かつ本明細書で開示される方法の任意の1または複数のものをマシンに実施させる命令424を記憶できる任意の媒体を含むように解釈されるべきである。用語「マシン可読媒体」は、これだけに限らないが、ソリッドステートメモリ、光学的な媒体、および磁気的な媒体の形態のデータリポジトリを含む。
さらなる考慮事項
上記で述べられたシステムおよびプロセスを用いて、ドメイン所有者は、電子メールを送るために、他のサードパーティの配信機構およびそれらの配信電子メールシステムのサービスを利用することができ、なおこれらの電子メールが、正当なものであるとして受信電子メールシステムにより妥当性が検証されることができる。様々な電子メールドメイン妥当性検証レコードを更新することに代えて、DNSサーバは、集中化された場所で、電子メールを送った配信電子メールシステムに対して、受信電子メールシステムから受信された識別情報に応じて簡単なルールのセットを生成する。さらに、受信電子メールシステムは、電子メールドメイン妥当性検証レコードにおけるルールに存在し得る多数のDNSレコードを照会する必要がない。こうすることは、性能を向上させ、かつサードパーティエージェントにより電子メールを送る管理を簡単化するが、なお、セキュリティを提供し、不正な、または疑わしいメッセージが受信されるのを阻止する。
本明細書の全体を通して、複数の例は、単一の例として述べられた構成要素、動作、または構造を実施することができる。1または複数の方法の個々のオペレーションが、別々のオペレーションとして示され、かつ述べられているが、個々のオペレーションの1または複数のものは、同時に実施されることも可能であり、またオペレーションが、示された順序で実施される必要はない。例示的な構成において、別々の構成要素として示された構造および機能は、組み合わされた構造または構成要素として実施されることができる。同様に、単一の構成要素として提示された構造および機能は、別々の構成要素として実施され得る。これらの、および他の変形、変更、追加、および改良は、本明細書の主題の範囲に含まれる。
いくつかの実施形態が、例えば、図1〜図4で示されるように、論理、またはいくつかの構成要素、モジュール、もしくはメカニズムを含むものとして本明細書に記述されている。モジュールは、ソフトウェアモジュール(例えば、マシン可読媒体上で、または送信信号で実施されるコードなど)、またはハードウェアモジュールのいずれかを構成することができる。ハードウェアモジュールは、いくつかのオペレーションを実施できる有形なユニットであり、一定の方法で構成され、または配置され得る。例示的な実施形態では、1または複数のコンピュータシステム(例えば、スタンドアロンの、クライアント、またはサーバコンピュータシステム)、またはコンピュータシステムの1または複数のハードウェアモジュール(例えば、プロセッサ、もしくはプロセッサの群)は、本明細書で述べられるいくつかのオペレーションを実施するように動作するハードウェアモジュールとして、ソフトウェア(例えば、アプリケーションもしくはアプリケーション部分)により構成され得る。
様々な実施形態では、ハードウェアモジュールは、機械的に、または電子的に実施され得る。例えば、ハードウェアモジュールは、いくつかのオペレーションを実施するように、(例えば、フィールドプログラマブルゲートアレイ(FPGA)、または特定用途向けIC(ASIC)など、専用のプロセッサとして)恒久的に構成される専用の回路もしくは論理を備えることができる。ハードウェアモジュールはまた、ソフトウェアによりいくつかのオペレーションを実施するように一時的に構成されるプログラム可能な論理もしくは回路(例えば、汎用プロセッサまたは他のプログラム可能なプロセッサ内に含まれる)を含むことができる。ハードウェアモジュールを、専用かつ恒久的に構成された回路で機械的に、または一時的に構成された(例えば、ソフトウェアで構成された)回路で実施する判断は、コストおよび時間を考慮することにより行われ得る。
本明細書で述べられる例示的な方法の様々なオペレーションは、関連するオペレーションを実施するように一時的に(ソフトウェアにより)構成された、または恒久的に構成された1または複数のプロセッサによって、少なくとも部分的に実施され得る。一時的に構成されるか、それとも恒久的に構成されるかにかかわらず、このようなプロセッサは、1または複数のオペレーションもしくは機能を実施するように動作するプロセッサで実施されるモジュールを構成することができる。本明細書で称されるモジュールとは、いくつかの例示的な実施形態において、プロセッサで実施されるモジュールを含むことができる。
1または複数のプロセッサはまた、「クラウドコンピューティング」環境における、または「サービスとしてのソフトウェア」(SaaS:software as a service)として、関連するオペレーションの実施をサポートするように動作することができる。例えば、少なくともいくつかのオペレーションは、コンピュータの群(例として、プロセッサを含むマシンなど)により実施することができ、これらのオペレーションは、ネットワーク(例えば、インターネット)を介して、また1または複数の適切なインターフェース(例えば、アプリケーションプログラムインターフェース(API))を介して、アクセス可能である。
いくつかのオペレーションの実施は、単一のマシン内に常駐するだけではなく、いくつかのマシンにわたって展開された、1または複数のプロセッサの中で分散され得る。いくつかの例示的な実施形態では、1または複数のプロセッサ、またはプロセッサで実施されるモジュールは、単一の地理的場所に(例えば、ホーム環境、オフィス環境、またはサーバファーム内など)位置することができる。他の例示的な実施形態では、1または複数のプロセッサ、またはプロセッサで実施されるモジュールは、いくつかの地理的場所にわたって分散され得る。
本明細書のいくつかの部分は、マシンメモリ(例えば、コンピュータメモリ)内に、ビットまたは2値デジタル信号として記憶されたデータに対するオペレーションのアルゴリズムもしくは記号表現により提示される。これらのアルゴリズムもしくは記号表現は、データ処理技術における当業者により使用される技法の例であり、当業者の成果の内容を他の当業者に伝える。本明細書で使用される場合、「アルゴリズム」とは、望ましい結果へと導く、自己矛盾のないオペレーションのシーケンス、または同様の処理のことである。本コンテキストでは、アルゴリズムおよびオペレーションは、物理量の物理的な操作を含む。必ずしもそうではないが、通常、このような量は、記憶され、アクセスされ、転送され、組み合わされ、比較され、またはマシンによりその他の形で操作できる電気的、磁気的、または光学的な信号の形態を取ることができる。「データ」、「コンテンツ」、「ビット」、「値」、「要素」、「記号」、「キャラクタ」、「項」、「番号」、「数」、または同様のものなどの用語を用いてこのような信号を参照することは、主として一般に使用するために便利なことが多い。しかし、これらの用語は、単に便宜的なラベルに過ぎず、適切な物理量に関連付けられるべきである。
その他の形で特に述べられない限り、本明細書で「処理する」、「コンピュータを使用する」、「計算する」、「決定する」、「提示する」、「表示する」、または同様のものなどの用語を用いる論議は、1または複数のメモリ(例えば、揮発性メモリ、不揮発性メモリ、またはそれらの組合せ)、レジスタ、または情報を受信し、記憶し、送信し、もしくは表示する他のマシン構成要素に含まれる物理的な(例えば、電子、磁気、または光学的な)量として表現されるデータを操作もしくは変換するマシン(例えば、コンピュータ)のアクションもしくはプロセスを指すことができる。
本明細書で使用される場合、「一実施形態」、または「実施形態」への何らかの参照は、実施形態に関連して述べられた特定の要素、機能、構造、または特性が、少なくとも1つの実施形態に含まれることを意味する。本明細書の様々な場所で、「一実施形態では」というフレーズが出現することは、必ずしもすべてが同じ実施形態を参照するものではない。
いくつかの実施形態は、「結合される」、および「接続される」という表現を、それらの派生語と共に用いて述べることができる。例えば、いくつかの実施形態は、2つ以上の要素が直接、物理的に、または電気的に接触していることを示すために、「結合される」という用語を用いて述べることができる。しかし「結合される」という用語はまた、2つ以上の要素が、互いに直接接触していないが、なお互いに協動する、または相互作用することを意味することができる。諸実施形態は、このコンテキストに限定されない。
本明細書で使用される場合、用語「含む/備える(comprises)」、「含む/備える(comprising)」、「含む(includes)」、「含む(including)」、「有する(has)」、「有する(having)」、またはそれらの任意の他の変形形態は、非排他的に含めることを包含するように意図されている。例えば、要素のリストを含むプロセス、方法、物品、もしくは装置は、必ずしもこれらの要素だけに限定されるものではなく、明示的に列挙されていない他の要素、またはこのようなプロセス、方法、物品、もしくは装置などに固有の他の要素を含むことができる。さらに、その反対のことが明示的に述べられていない限り、「または」は、包含的なまたはを指し、排他的なまたはを指すものではない。例えば、条件AまたはBは、以下のいずれか1つにより満たされる、すなわち、Aは真(または存在する)であり、Bは偽(または存在しない)であること、Aは偽(または存在しない)であり、Bは真(または存在する)であること、およびAとBは共に真(または存在する)であること。
さらに、「a」、または「an」の使用は、本明細書の実施形態の要素および構成要素を記述するために使用される。これは、単に便宜上行われるものであり、本発明の一般的な意味を与えるに過ぎない。この記述は、1つ、または少なくとも1つのものを含むように読まれるべきであり、単数形はまた、それが他の形を意味することが明らかではない限り複数も含む。
本開示を読めば、当業者であれば、EHLO名およびIPアドレスターゲティングにより媒介を通じて電子メール送信者の妥当性を検証できるシステムおよびプロセスに関する付加的で代替的な構造的かつ機能的な設計を理解されよう。したがって、特定の実施形態および用途が示され、かつ述べられてきたが、開示された実施形態は、本明細書で開示された正確な構成および構成要素に限定されないことを理解されたい。当業者には明らかなはずの様々な修正、変更、および変形は、添付の特許請求の範囲で定義される趣旨および範囲から逸脱することなく、本明細書で開示される方法および装置の配置、オペレーション、ならびにその細部に行うことができる。

Claims (24)

  1. 命令を記憶するように構成された非一時的なコンピュータ可読記憶媒体であって、前記命令は、プロセッサにより実行されたとき、前記プロセッサに、
    電子メールドメインのドメイン名システム(DNS)レコードに含めるように電子メールドメイン妥当性検証レコードを生成させ、前記電子メールドメイン妥当性検証レコードは、ターゲットドメインから電子メールを受信したとき、受信電子メールシステムにより構文解析され、かつ電子メールの送信者が前記電子メールドメインに対する許可された送信者であるかどうかを前記受信電子メールシステムに示し、前記電子メールドメイン妥当性検証レコードの前記生成は、前記プロセッサにより実行されたとき、前記プロセッサに、
    ターゲットドメインを含めるように前記電子メールドメイン妥当性検証レコードを生成することであって、前記ターゲットドメインは、前記電子メールドメインとは異なるドメインであり、前記受信電子メールシステムに、前記電子メールドメイン妥当性検証レコードを構文解析するとき、妥当性検証レコードを求める第2の要求を前記ターゲットドメインに提出させることと、
    識別情報を指定する1または複数の送信者ポリシーフレームワーク(SPF)マクロ文を含めるように前記電子メールドメイン妥当性検証レコードを生成することであって、前記マクロ文は、前記受信電子メールシステムに、前記電子メールドメイン妥当性検証レコードを構文解析するとき、前記第2の要求に、前記電子メールの前記送信者の拡張HELO(EHLO)名、およびインターネットプロトコル(IP)アドレスを、識別情報として含めるようにさせることと、
    前記作成された電子メールドメイン妥当性検証レコードを前記電子メールドメインのDNSレコードとしてパブリッシュすることと
    を実施させる命令を含むことを特徴とするコンピュータ可読記憶媒体。
  2. 前記電子メールドメイン妥当性検証レコードは、送信者ポリシーフレームワーク(SPF)レコードであることを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
  3. 前記電子メールドメイン妥当性検証レコードにおける前記マクロ文および前記ターゲットドメインは、ホスト名の形成において許可されていない分離文字によって分離されていることを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
  4. 前記DNSレコードは、1または複数のDNSカノニカルネームレコード(CNAME)エントリの背後にさらに隠されていることを特徴とする請求項1に記載のコンピュータ可読記憶媒体。
  5. コンピュータで実行されるプロセスであって、
    ドメイン名システム(DNS)サーバにおいて、受信電子メールシステムから、前記DNSサーバに記憶された電子メールドメインに関するDNS照会を受信するステップであって、前記DNS照会は、電子メールの送信者の識別情報を含み、かつ前記電子メールは、前記電子メールドメインからのものであると識別される、ステップと、
    複数の配信機構の1つを識別するために、前記DNS照会から、前記電子メール送信者の前記識別情報を抽出するステップと、
    前記識別された配信機構が、前記電子メールドメインに代わって電子メールを配信することが許可されているかどうかを判定するステップと、
    前記識別された配信機構が、前記電子メールドメインに代わって電子メールを配信することが許可されていると決定したことに応答して、前記許可された配信機構および前記電子メールドメインの識別に基づき、ターゲット妥当性検証レコードを生成するステップであって、前記ターゲット妥当性検証レコードは、前記配信機構が、前記電子メールドメインにとって許可された電子メールの送信者であることを、前記受信電子メールシステムに示す1または複数のルールを含む、ステップと、
    前記DNS照会に応答して、前記ターゲット妥当性検証レコードを前記受信電子メールシステムに送信するステップと
    を含むことを特徴とするコンピュータで実行されるプロセス。
  6. 前記識別情報は、拡張HELO(EHLO)名および(インターネットプロトコル)IPアドレスを含み、また前記識別情報から複数の配信機構の1つを前記識別することは、
    前記識別情報で示された前記EHLO名およびIPアドレスが与えられると、配信機構を決定するために、EHLO名およびIPアドレスを前記配信機構に関連付けるデータベースにアクセスするステップ
    をさらに含むことを特徴とする請求項5に記載のプロセス。
  7. 前記データベースは、
    正しく認証され、かつ配信された統計的に有意な数の電子メールのヘッダ情報にアクセスするステップと、
    前記データベースにおける複数の一意のエントリを生成するステップであって、前記データベースにおける各エントリは、前記電子メールの前記ヘッダ情報から構文解析されたEHLO名、IPアドレス、および配信機構名を含む、ステップと
    により作成されることを特徴とする請求項6に記載のプロセス。
  8. 前記データベースは、
    統計的に有意な数の電子メールドメインのドメイン登録情報にアクセスするステップと、
    前記データベースにおける複数の一意のエントリを生成するステップであって、前記データベースにおける各エントリは、前記電子メールドメインのドメイン登録情報から構文解析されたドメイン名、IPアドレス、および配信機構名を含む、ステップと
    により作成されることを特徴とする請求項6に記載のプロセス。
  9. 前記識別された配信機構は、配信機構の既知のリスト中にあると決定するステップをさらに含むことを特徴とする請求項5に記載のプロセス。
  10. 前記識別された配信機構は、前記電子メールドメインに代わって電子メールを配信することが許可されているかどうかを決定する前記ステップは、
    前記配信機構が、前記電子メールドメインに代わって電子メールを送ることが許可されているかどうかを判定するために、1または複数の許可された配信機構を電子メールドメインに関連付けるデータベースにアクセスするステップをさらに含むことを特徴とする請求項5に記載のプロセス。
  11. 前記識別情報は、前記電子メールに対するリターンパスアドレスのローカルパートを含み、かつ前記データベースは、前記1または複数の配信機構が電子メールを送ることが許可されているリターンパスアドレスの1または複数のローカルパートを、各電子メールドメインに対してさらに関連付け、前記プロセスは、
    前記データベースにアクセスして、前記配信機構が、前記電子メールドメインの前記電子メールに対する前記リターンパスアドレスの前記識別されたローカルパートに代わって、電子メールを送ることが許可されるかどうかを判定するステップをさらに含むことを特徴とする請求項10に記載のプロセス。
  12. ターゲット妥当性検証レコードを生成する前記ステップは、
    許可された配信機構に対する1または複数のターゲット妥当性検証レコードを示すデータベースにアクセスするステップであって、各ターゲット妥当性検証レコードは、前記配信機構が、前記電子メールに対する許可された送信者であることを示す1または複数のルールを含む、ステップ
    をさらに含むことを特徴とする請求項5に記載のプロセス。
  13. 各配信機構に対する前記1または複数のターゲット妥当性検証レコードは、その配信機構の前記電子メールドメインに対する前記妥当性検証レコードに基づいて生成されることを特徴とする請求項12に記載のプロセス。
  14. 前記生成されるターゲット妥当性検証レコードは、送信者ポリシーフレームワーク(SPF)レコードであることを特徴とする請求項5に記載のプロセス。
  15. 命令を記憶するように構成された非一時的なコンピュータ可読記憶媒体であって、前記命令は、プロセッサにより実行されたとき、前記プロセッサに、
    電子メールドメインのドメイン名システム(DNS)レコードに含めるように電子メールドメイン妥当性検証レコードを生成させ、前記電子メールドメイン妥当性検証レコードは、ターゲットドメインから電子メールを受信したとき、受信電子メールシステムにより構文解析され、かつ電子メールの送信者が前記電子メールドメインに対する許可された送信者であるかどうかを前記受信電子メールシステムに示し、前記電子メールドメイン妥当性検証レコードの前記生成は、前記プロセッサにより実行されたとき、前記プロセッサに、
    ターゲットドメインを含めるように前記電子メールドメイン妥当性検証レコードを生成することであって、前記ターゲットドメインは、前記電子メールドメインとは異なるドメインであり、前記受信電子メールシステムに、前記電子メールドメイン妥当性検証レコードを構文解析するとき、妥当性検証レコードを求める第2の要求を前記ターゲットドメインに提出させることと、
    識別情報を指定する1または複数のマクロ文を含むように前記電子メールドメイン妥当性検証レコードを生成することであって、前記マクロ文は、前記受信電子メールシステムに、前記電子メールドメイン妥当性検証レコードを構文解析するとき、前記第2の要求に、前記電子メールの前記送信者の識別情報を含めるようにさせることと、
    前記作成された電子メールドメイン妥当性検証レコードを前記電子メールドメインのDNSレコードとしてパブリッシュすることと
    を実施させる命令を含むことを特徴とするコンピュータ可読記憶媒体。
  16. 前記電子メールドメイン妥当性検証レコードは、送信者ポリシーフレームワーク(SPF)レコードであることを特徴とする請求項15に記載のコンピュータ可読記憶媒体。
  17. 前記マクロ文は、送信者ポリシーフレームワーク(SPF)マクロであり、かつ前記マクロ文は、前記受信電子メールシステムに、識別情報として、前記電子メールの前記送信者の拡張HELO(EHLO)名およびインターネットプロトコル(IP)アドレスを含むように命令することを特徴とする請求項15に記載のコンピュータ可読記憶媒体。
  18. 前記電子メールドメイン妥当性検証レコードにおける前記マクロ文および前記ターゲットドメインは、ホスト名の形成において許可されない分離文字により分離されることを特徴とする請求項17に記載のコンピュータ可読記憶媒体。
  19. 前記DNSレコードは、1または複数のDNSカノニカルネームレコード(CNAME)エントリの背後にさらに隠されることを特徴とする請求項15に記載のコンピュータ可読記憶媒体。
  20. コンピュータで実行されるプロセスであって、
    電子メールドメインのドメイン名システム(DNS)レコードに含めるように電子メールドメイン妥当性検証レコードを生成するステップを含み、前記電子メールドメイン妥当性検証レコードは、ターゲットドメインから電子メールを受信したとき、受信電子メールシステムにより構文解析され、かつ電子メールの送信者が前記電子メールドメインに対する許可された送信者であるかどうかを前記受信電子メールシステムに示し、前記電子メールドメイン妥当性検証レコードの前記作成は、
    ターゲットドメインを含めるように前記電子メールドメイン妥当性検証レコードを生成するステップであって、前記ターゲットドメインは、前記電子メールドメインとは異なるドメインであり、前記受信電子メールシステムに、前記電子メールドメイン妥当性検証レコードの構文解析をしたとき、妥当性検証レコードを求める第2の要求を前記ターゲットドメインに提出させる、ステップと、
    識別情報を指定する1または複数のマクロ文を含むように前記電子メールドメイン妥当性検証レコードを生成するステップであって、前記マクロ文は、前記受信電子メールシステムに、前記電子メールドメイン妥当性検証レコードを構文解析するとき、前記第2の要求に、前記電子メールの前記送信者の識別情報を含めさせる、ステップと、
    前記作成された電子メールドメイン妥当性検証レコードを前記電子メールドメインのDNSレコードとしてパブリッシュするステップと
    を含むことを特徴とするコンピュータで実行されるプロセス。
  21. 前記電子メールドメイン妥当性検証レコードは、送信者ポリシーフレームワーク(SPF)レコードであることを特徴とする請求項20に記載のプロセス。
  22. 前記マクロ文は、送信者ポリシーフレームワーク(SPF)マクロであり、また前記マクロ文は、前記受信電子メールシステムに、前記電子メールの前記送信者の拡張HELO(EHLO)名、およびインターネットプロトコル(IP)アドレスを、識別情報として含むように命令することを特徴とする請求項20に記載のプロセス。
  23. 前記電子メールドメイン妥当性検証レコードにおける前記マクロ文および前記ターゲットドメインは、ホスト名の形成において許可されない分離文字により分離されることを特徴とする請求項22に記載のプロセス。
  24. 前記DNSレコードは、1または複数のDNSカノニカルネームレコード(CNAME)エントリの背後にさらに隠されていることを特徴とする請求項20に記載のプロセス。
JP2017560878A 2015-02-14 2016-01-29 Ehlo名およびipアドレスターゲティングによる電子メール送信者の集中型検証 Active JP6514365B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562116409P 2015-02-14 2015-02-14
US62/116,409 2015-02-14
PCT/US2016/015796 WO2016130339A1 (en) 2015-02-14 2016-01-29 Centralized validation of email senders via ehlo name and ip address targeting

Publications (3)

Publication Number Publication Date
JP2018508169A true JP2018508169A (ja) 2018-03-22
JP2018508169A5 JP2018508169A5 (ja) 2019-03-22
JP6514365B2 JP6514365B2 (ja) 2019-05-15

Family

ID=56615490

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017560878A Active JP6514365B2 (ja) 2015-02-14 2016-01-29 Ehlo名およびipアドレスターゲティングによる電子メール送信者の集中型検証

Country Status (9)

Country Link
US (10) US9762618B2 (ja)
EP (3) EP3764623B1 (ja)
JP (1) JP6514365B2 (ja)
CN (1) CN107533535B (ja)
AU (1) AU2016218339B2 (ja)
BR (1) BR112017017424A2 (ja)
CA (1) CA2976462A1 (ja)
MA (1) MA41502A (ja)
WO (1) WO2016130339A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7453886B2 (ja) 2020-09-15 2024-03-21 Kddi株式会社 検知装置、検知方法及び検知プログラム

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10270755B2 (en) 2011-10-03 2019-04-23 Verisign, Inc. Authenticated name resolution
US10867003B2 (en) 2014-09-15 2020-12-15 Hubspot, Inc. Method of enhancing customer relationship management content and workflow
US10404634B2 (en) * 2015-07-01 2019-09-03 Sean P. Fenlon Method for publishing and sharing content on the internet
US10447633B2 (en) * 2015-09-25 2019-10-15 Amit Gupta Method and system for optimizing and preventing failure of sender policy framework (SPF) lookups
US11082353B2 (en) * 2015-09-28 2021-08-03 Arris Enterprises Llc Domain name system response spoofing at customer premise equipment device
US10791085B2 (en) 2015-11-12 2020-09-29 Verisign, Inc. Techniques for directing a domain name service (DNS) resolution process
US10999240B1 (en) * 2016-08-31 2021-05-04 Verisign, Inc. Client controlled domain name service (DNS) resolution
US20180137203A1 (en) 2016-11-09 2018-05-17 HubSpot Inc. Methods and systems for a content development and management platform
US10904211B2 (en) 2017-01-21 2021-01-26 Verisign, Inc. Systems, devices, and methods for generating a domain name using a user interface
US10771425B2 (en) 2017-01-30 2020-09-08 Hubspot, Inc. Electronic message lifecycle management
US10587561B2 (en) * 2017-02-09 2020-03-10 Amit Gupta Method and system for optimizing and preventing failure of Sender Policy Framework (SPF) lookups by dynamically generating and returning flattened SPF records
US20180262457A1 (en) * 2017-03-09 2018-09-13 Microsoft Technology Licensing, Llc Self-debugging of electronic message bugs
US10951600B2 (en) * 2017-05-08 2021-03-16 Microsoft Technology Licensing, Llc Domain authentication
WO2018209254A1 (en) 2017-05-11 2018-11-15 Hubspot, Inc. Methods and systems for automated generation of personalized messages
US10791086B2 (en) * 2017-11-14 2020-09-29 Cisco Technology, Inc. Transparent DNS subtree redirection inclusive of subtree owner
US11349868B2 (en) * 2018-01-18 2022-05-31 Forcepoint, LLC Detection of spoofed internally-addressed email using trusted third party's SPF records
US11200581B2 (en) 2018-05-10 2021-12-14 Hubspot, Inc. Multi-client service system platform
US11265332B1 (en) * 2018-05-17 2022-03-01 Securly, Inc. Managed network content monitoring and filtering system and method
US10623365B2 (en) * 2018-05-25 2020-04-14 Binarytree.com, Inc. Message redirection protocol
US11025580B2 (en) * 2018-07-20 2021-06-01 Arnexa, Inc. Method, apparatus and product for delivery of electronic messages to electronically un-addressable entities
US11025589B1 (en) * 2018-08-31 2021-06-01 Cisco Technology, Inc Location-independent data-object name mapping
EP3854059A4 (en) * 2018-09-17 2022-06-15 Valimail Inc. ENTITY-SEPARATE EMAIL DOMAIN AUTHENTICATION FOR KNOWN AND OPEN SIGNALING DOMAINS
US11329986B2 (en) * 2018-12-05 2022-05-10 Digital Minion LLC System for centralized certification of electronic communications
US11012414B2 (en) * 2019-04-30 2021-05-18 Centripetal Networks, Inc. Methods and systems for prevention of attacks associated with the domain name system
WO2021041998A2 (en) * 2019-08-29 2021-03-04 Fraudmarc Inc. Low-latency, outbound message monitoring, control, and authentication
US11522859B2 (en) 2019-09-25 2022-12-06 Shopify Inc. Systems and methods for facilitating authentication of emails sent by 3rd parties
US11063763B2 (en) 2019-09-25 2021-07-13 Valimail Inc. Centralized session key issuance and rotation
US11522862B2 (en) * 2019-09-25 2022-12-06 Shopify Inc. Systems and methods for a trusted entity to facilitate authentication of emails sent by 3rd parties
US11363060B2 (en) 2019-10-24 2022-06-14 Microsoft Technology Licensing, Llc Email security in a multi-tenant email service
US11388201B2 (en) 2019-11-20 2022-07-12 Proofpoint, Inc. Systems and methods for dynamic DMARC enforcement
US11038897B1 (en) 2020-01-22 2021-06-15 Valimail Inc. Interaction control list determination and device adjacency and relative topography
AU2021209899B2 (en) * 2020-01-22 2024-01-18 Valimail Inc. Automated authentication and authorization in a communication system
US11775494B2 (en) 2020-05-12 2023-10-03 Hubspot, Inc. Multi-service business platform system having entity resolution systems and methods
EP4009583A1 (en) 2020-12-01 2022-06-08 Valimail Inc. Automated device discovery and workflow enrichment
US11171939B1 (en) 2020-12-01 2021-11-09 Valimail Inc. Automated device discovery and workflow enrichment
US11695745B2 (en) 2020-12-01 2023-07-04 Valimail Inc. Automated DMARC device discovery and workflow
US11277375B1 (en) * 2021-01-04 2022-03-15 Saudi Arabian Oil Company Sender policy framework (SPF) configuration validator and security examinator
US11489811B1 (en) * 2021-08-31 2022-11-01 Check Point Software Technologies Ltd. On-device protected DNS
US11818094B1 (en) * 2022-08-29 2023-11-14 Zixcorp Systems, Inc. Systems and methods for synchronizing hostnames and IP addresses in email systems
WO2024059209A1 (en) 2022-09-16 2024-03-21 Valimail Inc. Automated email protocol analyzer in a privacy-safe environment
US11991139B2 (en) 2022-09-16 2024-05-21 Valimail Inc. Automated email protocol analyzer in a privacy-safe environment
CN115808612B (zh) * 2023-01-30 2023-06-02 成都爱旗科技有限公司 一种芯片物理ip测试系统、方法及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014063402A (ja) * 2012-09-21 2014-04-10 Kddi Corp スパムメール検知装置、方法及びプログラム

Family Cites Families (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418504B2 (en) * 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7188138B1 (en) * 1999-03-22 2007-03-06 Eric Schneider Method, product, and apparatus for resource identifier registration and aftermarket services
US7486958B2 (en) * 2001-09-05 2009-02-03 Networks In Motion, Inc. System and method for maintaining an online point-of-interest directory
US8868467B2 (en) * 2002-10-23 2014-10-21 Oleg Serebrennikov Method for performing transactional communication using a universal transaction account identifier assigned to a customer
US7072944B2 (en) * 2002-10-07 2006-07-04 Ebay Inc. Method and apparatus for authenticating electronic mail
US8595495B2 (en) * 2003-01-12 2013-11-26 Yaron Mayer System and method for secure communications
US20050021644A1 (en) * 2003-05-28 2005-01-27 Glenn Hancock Systems and methods for validating electronic communications
US7313700B2 (en) * 2003-08-26 2007-12-25 Yahoo! Inc. Method and system for authenticating a message sender using domain keys
US6986049B2 (en) * 2003-08-26 2006-01-10 Yahoo! Inc. Method and system for authenticating a message sender using domain keys
US7849142B2 (en) 2004-05-29 2010-12-07 Ironport Systems, Inc. Managing connections, messages, and directory harvest attacks at a server
US7437558B2 (en) * 2004-06-01 2008-10-14 Cisco Technology, Inc. Method and system for verifying identification of an electronic mail message
US20060004896A1 (en) 2004-06-16 2006-01-05 International Business Machines Corporation Managing unwanted/unsolicited e-mail protection using sender identity
US8738708B2 (en) * 2004-12-21 2014-05-27 Mcafee, Inc. Bounce management in a trusted communication network
US7487217B2 (en) * 2005-02-04 2009-02-03 Microsoft Corporation Network domain reputation-based spam filtering
JP4880675B2 (ja) * 2005-05-05 2012-02-22 シスコ アイアンポート システムズ エルエルシー 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出
US7917943B1 (en) * 2006-12-01 2011-03-29 Goodmail Systems, Inc. E-mail Stamping with accredited entity name
US7904520B2 (en) * 2005-06-09 2011-03-08 Trueffect, Inc. First party advertisement serving
US7987251B2 (en) * 2005-09-16 2011-07-26 Microsoft Corporation Validation of domain name control
US8078681B2 (en) * 2005-09-29 2011-12-13 Teamon Systems, Inc. System and method for provisioning an email account using mail exchange records
US8117267B2 (en) * 2005-09-29 2012-02-14 Teamon Systems, Inc. System and method for provisioning an email account using mail exchange and address records
US7467230B2 (en) * 2006-02-28 2008-12-16 Microsoft Corporation Global names zone
US8713188B2 (en) * 2007-12-13 2014-04-29 Opendns, Inc. Per-request control of DNS behavior
US20080034212A1 (en) 2006-08-07 2008-02-07 Emanuele Altieri Method and system for authenticating digital content
US8533822B2 (en) * 2006-08-23 2013-09-10 Threatstop, Inc. Method and system for propagating network policy
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
US20080172468A1 (en) * 2007-01-15 2008-07-17 John Almeida Virtual email method for preventing delivery of unsolicited and undesired electronic messages
WO2008097869A1 (en) * 2007-02-02 2008-08-14 Iconix, Inc. Authenticating and confidence marking e-mail messages
US20080201487A1 (en) * 2007-02-16 2008-08-21 Microsoft Corporation Open dynamic domain name system
CN100502367C (zh) * 2007-04-04 2009-06-17 华为技术有限公司 保存域名系统记录的方法、装置
US20080276318A1 (en) * 2007-05-02 2008-11-06 Brian Leung Spam detection system based on the method of delayed-verification on the purported responsible address of a message
US10284597B2 (en) * 2007-05-07 2019-05-07 Gary Stephen Shuster E-mail authentication
US8126971B2 (en) * 2007-05-07 2012-02-28 Gary Stephen Shuster E-mail authentication
WO2009047783A2 (en) * 2007-06-07 2009-04-16 Bhavin Turakhia Method and system for providing a predetermined service to a domain registrant by a dns manager
US8073912B2 (en) * 2007-07-13 2011-12-06 Michael Gregor Kaplan Sender authentication for difficult to classify email
US20090043855A1 (en) * 2007-08-08 2009-02-12 Blake Bookstaff System for providing information to originator of misdirected email
CN101217555A (zh) * 2008-01-10 2008-07-09 厦门三五互联科技股份有限公司 一种智能反垃圾反病毒网关及其过滤方法
US20100011420A1 (en) * 2008-07-02 2010-01-14 Barracuda Networks Inc. Operating a service on a network as a domain name system server
US7996475B2 (en) * 2008-07-03 2011-08-09 Barracuda Networks Inc Facilitating transmission of email by checking email parameters with a database of well behaved senders
US8219644B2 (en) * 2008-07-03 2012-07-10 Barracuda Networks, Inc. Requesting a service or transmitting content as a domain name system resolver
US8301743B2 (en) 2008-07-24 2012-10-30 Go Daddy Operating Company, LLC Enhanced domain name generation and registration
US8850180B2 (en) * 2008-08-29 2014-09-30 Empire Technology Development, Llc Secure data communication system
US8285798B2 (en) * 2009-04-15 2012-10-09 Ecert, Inc. System and method for the management of message policy
US8380870B2 (en) * 2009-08-05 2013-02-19 Verisign, Inc. Method and system for filtering of network traffic
EP2326057A1 (en) 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
US9009330B2 (en) 2010-04-01 2015-04-14 Cloudflare, Inc. Internet-based proxy service to limit internet visitor connection speed
US8719900B2 (en) 2010-05-18 2014-05-06 Amazon Technologies, Inc. Validating updates to domain name system records
US8707420B2 (en) * 2010-05-21 2014-04-22 Microsoft Corporation Trusted e-mail communication in a multi-tenant environment
CA2810852C (en) * 2010-09-10 2016-06-21 David Jaray Hanson System and method for providing a plurality of prioritised email domain names
US20120124369A1 (en) * 2010-11-09 2012-05-17 Jose Castejon Amenedo Secure publishing of public-key certificates
US20120215892A1 (en) * 2011-02-22 2012-08-23 Kelly Wanser System and method to customize dns replies based on connection identity
US9015469B2 (en) * 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
GB201115794D0 (en) * 2011-09-13 2011-10-26 Red Morning Ltd Handling Emails
CN102664817A (zh) * 2012-02-17 2012-09-12 上海电机学院 一种垃圾邮件过滤的方法及系统
US9992155B2 (en) * 2012-03-29 2018-06-05 Hitachi Vantara Corporation DNS alias synchronization in replication topology
US8959337B2 (en) * 2012-06-25 2015-02-17 International Business Machines Corporation Digital certificate issuer-correlated digital signature verification
US20140019558A1 (en) * 2012-07-12 2014-01-16 Thinmail System and method of short domain names used for remailing to apply computations to email en route and enable private sharing of files stored in the cloud
US20140379420A1 (en) * 2013-03-15 2014-12-25 Rocket Science LLC Methods and Systems for Finding Connections Among Subscribers to an Email Campaign
EP3000054A4 (en) * 2013-05-20 2017-04-05 Citrix Systems Inc. Methods and systems for validating multiple methods of input using a unified rule set
US9521138B2 (en) * 2013-06-14 2016-12-13 Go Daddy Operating Company, LLC System for domain control validation
US9191403B2 (en) 2014-01-07 2015-11-17 Fair Isaac Corporation Cyber security adaptive analytics threat monitoring system and method
US9300623B1 (en) * 2014-02-18 2016-03-29 Sprint Communications Company L.P. Domain name system cache integrity check
US10069787B2 (en) * 2014-04-01 2018-09-04 Cloudflare, Inc. Domain name system CNAME record management
US9009353B1 (en) 2014-04-11 2015-04-14 Cable Television Laboratories, Inc. Split network address translation
US10397407B1 (en) * 2014-04-24 2019-08-27 8X8, Inc. Apparatus and method for user configuration and reporting of virtual services
US10171318B2 (en) * 2014-10-21 2019-01-01 RiskIQ, Inc. System and method of identifying internet-facing assets
EP3249861B1 (en) * 2015-03-05 2018-12-19 Nippon Telegraph and Telephone Corporation Device for collecting communication destination correspondence relation,method for collecting communication destination correspondence relation, andprogram for collecting communication destination correspondence relation
US9641516B2 (en) * 2015-07-01 2017-05-02 International Business Machines Corporation Using resource records for digital certificate validation
US10009312B2 (en) * 2015-08-11 2018-06-26 Go Daddy Operating Company, LLC Delegating DNS records to additional providers
US10135790B2 (en) * 2015-08-25 2018-11-20 Anchorfree Inc. Secure communications with internet-enabled devices
US10447633B2 (en) * 2015-09-25 2019-10-15 Amit Gupta Method and system for optimizing and preventing failure of sender policy framework (SPF) lookups
US10673878B2 (en) * 2016-05-19 2020-06-02 International Business Machines Corporation Computer security apparatus
US10873596B1 (en) * 2016-07-31 2020-12-22 Swimlane, Inc. Cybersecurity alert, assessment, and remediation engine
US10587561B2 (en) * 2017-02-09 2020-03-10 Amit Gupta Method and system for optimizing and preventing failure of Sender Policy Framework (SPF) lookups by dynamically generating and returning flattened SPF records
US11979390B2 (en) * 2017-09-20 2024-05-07 Swoop Ip Holdings Llc Email-based authentication for account login, account creation and security for passwordless transactions
US11349868B2 (en) * 2018-01-18 2022-05-31 Forcepoint, LLC Detection of spoofed internally-addressed email using trusted third party's SPF records
EP3841544A4 (en) * 2018-08-21 2022-05-18 Viruthagiri Thirumavalavan DOMAIN-BASED ISOLATED MAILBOXES
US20200137021A1 (en) * 2018-10-31 2020-04-30 Hewlett Packard Enterprise Development Lp Using intent to access in discovery protocols in a network for analytics
US11343275B2 (en) * 2019-09-17 2022-05-24 Fortinet, Inc. Detecting potential domain name system (DNS) hijacking by identifying anomalous changes to DNS records

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014063402A (ja) * 2012-09-21 2014-04-10 Kddi Corp スパムメール検知装置、方法及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
S. KETTERMAN: "Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1", RFC7208, JPN6019007643, April 2014 (2014-04-01) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7453886B2 (ja) 2020-09-15 2024-03-21 Kddi株式会社 検知装置、検知方法及び検知プログラム

Also Published As

Publication number Publication date
JP6514365B2 (ja) 2019-05-15
US20180302446A1 (en) 2018-10-18
US20170339193A1 (en) 2017-11-23
US20160315969A1 (en) 2016-10-27
US20210329034A1 (en) 2021-10-21
BR112017017424A2 (pt) 2018-04-03
US10122765B1 (en) 2018-11-06
WO2016130339A1 (en) 2016-08-18
US11368494B2 (en) 2022-06-21
US11582263B2 (en) 2023-02-14
EP3256954B1 (en) 2021-12-01
US10897485B2 (en) 2021-01-19
US9762618B2 (en) 2017-09-12
US20220070224A1 (en) 2022-03-03
US11057437B2 (en) 2021-07-06
EP3256954A1 (en) 2017-12-20
US20230224334A1 (en) 2023-07-13
AU2016218339A1 (en) 2017-09-07
US20240089295A1 (en) 2024-03-14
EP3979087A1 (en) 2022-04-06
US20220038504A1 (en) 2022-02-03
EP3256954A4 (en) 2018-10-10
AU2016218339B2 (en) 2021-02-04
US20210152606A1 (en) 2021-05-20
US10257231B2 (en) 2019-04-09
EP3764623B1 (en) 2023-06-28
US11431756B2 (en) 2022-08-30
CN107533535A (zh) 2018-01-02
US11811831B2 (en) 2023-11-07
US20200076855A1 (en) 2020-03-05
MA41502A (fr) 2017-12-19
CN107533535B (zh) 2021-06-15
EP3764623A1 (en) 2021-01-13
CA2976462A1 (en) 2016-08-18

Similar Documents

Publication Publication Date Title
US11431756B2 (en) Authentication of email senders via authorizing DNS server
EP3043535A1 (en) Systems and methods for registering, managing, and communicating with iot devices using domain name system processes
US11265397B2 (en) Systems and methods for providing secure access to shared registration systems
US20220353242A1 (en) Entity-separated email domain authentication for known and open sign-up domains
EP3874379A1 (en) Signed message header storing sender account authentication method
US11218326B1 (en) System and method for generating current live and test versions of DNS data for rollover
US11297033B2 (en) System and method for generating current live and test versions of DNS data for HSM changes
Wesselius et al. Email Authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190205

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190205

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190411

R150 Certificate of patent or registration of utility model

Ref document number: 6514365

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250