JP6053421B2 - スパムメール検知装置、方法及びプログラム - Google Patents
スパムメール検知装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6053421B2 JP6053421B2 JP2012208952A JP2012208952A JP6053421B2 JP 6053421 B2 JP6053421 B2 JP 6053421B2 JP 2012208952 A JP2012208952 A JP 2012208952A JP 2012208952 A JP2012208952 A JP 2012208952A JP 6053421 B2 JP6053421 B2 JP 6053421B2
- Authority
- JP
- Japan
- Prior art keywords
- spf
- spam
- spam mail
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、スパムメールを検知する装置、方法及びプログラムに関する。
従来、迷惑メール(スパムメール)への対策として、メール本文の特徴から迷惑メールを判定する方式(例えば、非特許文献1又は2参照)と、ホスト若しくはメールアドレスの情報から迷惑メールを判定する方式(例えば、非特許文献3、4又は5参照)とが知られている。
SpamAssassin、[online]、[平成24年6月20日検索]、インターネット<http://spamassassin.apache.org/index.html>
TransWARE、[online]、[平成24年6月20日検索]、インターネット<http://www.transware.co.jp/product/ah/svm.html>
Spamhaus、[online]、[平成24年6月20日検索]、インターネット<http://www.spamhaus.org/>
SPF、[online]、[平成24年6月20日検索]、インターネット<http://www.ietf.org/rfc/rfc4408.txt>
S25R、[online]、[平成24年6月20日検索]、インターネット<http://http://www.gabacho−net.jp/anti−spam/anti−spam−system.html>
非特許文献4の技術は、あるドメインのメールを送信できる正規のサーバのIPアドレスを管理し、このドメインと無関係なメールサーバを利用して送信元を偽ったメールが送信されると、受信側でIPアドレスが異なることを検出して受け取りを拒否できる。
しかしながら、スパムメール送信者がDNS(Domain Name System)にSPF(Sender Policy Framework)レコードを登録している場合もある。この場合、スパムメールがSPF又はSender−ID等による認証を通過してしまい、検知されなかった。
本発明は、スパムメールを精度良く検知できるスパムメール検知装置、方法及びプログラムを提供することを目的とする。
本発明では、以下のような解決手段を提供する。
(1)メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得部と、受信したメールに関して前記取得部により取得されたSPFレコードに含まれる文字列の特徴に基づいて、前記メールの送信ドメインがスパムメール送信ドメインであるか否かを判定する判定部と、を備えるスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、受信したメールに関するSPFレコードを取得し、このSPFレコードに含まれる文字列の特徴に基づいて、スパムメールであることを検知できる。
したがって、スパムメール検知装置は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
(2)既知のスパムメールの送信ドメインに対応するSPFレコードの情報を記憶する記憶部を備え、前記判定部は、前記取得部により取得されたSPFレコードに含まれる所定の文字列が前記記憶部に記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する(1)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、既知のスパムメールに関するSPFレコードの情報を記憶しておき、新たに受信したメールのSPFレコードに含まれる所定の文字列を、記憶されている情報と照合することにより、スパムメールを検知できる。
したがって、スパムメール検知装置は、スパムメールに特有のSPFレコードの情報を蓄積して精度良くスパムメールを検知できる。
したがって、スパムメール検知装置は、スパムメールに特有のSPFレコードの情報を蓄積して精度良くスパムメールを検知できる。
(3)前記記憶部は、前記既知のスパムメールが前記SPFレコードに基づいて認証された場合に、当該SPFレコードの情報を記憶する(2)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、SPFレコードに基づいて認証されてしまうスパムメールに関して、このSPFレコードの情報を記憶する。
したがって、スパムメール検知装置は、SPF又はSender−ID等により正常なメールと判定されてしまうスパムメールの特徴を記憶し、このようなスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、SPF又はSender−ID等により正常なメールと判定されてしまうスパムメールの特徴を記憶し、このようなスパムメールを精度良く検知できる。
(4)前記記憶部は、前記SPFレコードに含まれるホスト名のリストを記憶し、前記判定部は、前記取得部により取得されたSPFレコードに含まれるホスト名の少なくとも一部が前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する(2)又は(3)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、既知のスパムメールに関するSPFレコードに含まれるホスト名を記憶し、同一のホスト名がSPFレコードに現れるメールをスパムメールと判定する。
したがって、スパムメール検知装置は、過去のスパムメールの送信元と同一のホストから送信されたスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、過去のスパムメールの送信元と同一のホストから送信されたスパムメールを精度良く検知できる。
(5)前記記憶部は、前記SPFレコードに含まれるホスト名の出現頻度が所定以上の場合に、当該ホスト名を記憶する(4)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、所定以上の頻度で出現するホスト名を記憶するので、より確実な情報を記憶し、スパムメールの検知精度を向上できる。スパムメール検知装置は、例えば、事前に収集したスパムメールの情報に正常なメールの情報が混在していた場合に、誤検知を引き起こすのを抑制できる。
(6)前記記憶部は、前記SPFレコードに含まれるホスト名が所定のホワイトリストに含まれている場合に、当該ホスト名を記憶しない(4)又は(5)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、既にホワイトリストに登録されており正常なメールを送信しているホスト名を記憶しないので、正常なメールをスパムメールと判定する誤検知を抑制できる。
(7)前記記憶部は、前記SPFレコードに含まれるIPアドレスの組み合わせのリストを記憶し、前記判定部は、前記取得部により取得されたSPFレコードに含まれるIPアドレスの組み合わせが前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する(2)又は(3)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、既知のスパムメールに関するSPFレコードに含まれるIPアドレスの組み合わせを記憶し、同一の組み合わせがSPFレコードに現れるメールをスパムメールと判定する。
したがって、スパムメール検知装置は、スパムメール送信者がSPFレコードの登録に利用するIPアドレスの組み合わせのパターンを記憶し、このパターンが一致することを検知することにより、単一のIPアドレス又はIPアドレスレンジを照合することに比べて、スパムメールの誤検知を低減して検知精度を向上できる。
したがって、スパムメール検知装置は、スパムメール送信者がSPFレコードの登録に利用するIPアドレスの組み合わせのパターンを記憶し、このパターンが一致することを検知することにより、単一のIPアドレス又はIPアドレスレンジを照合することに比べて、スパムメールの誤検知を低減して検知精度を向上できる。
(8)前記記憶部は、前記SPFレコードに含まれるIPアドレスの少なくとも一部が所定のブラックリストに含まれている場合に、当該IPアドレスの組み合わせを記憶する(7)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、既に公開されている所定のブラックリストに含まれるIPアドレスがSPFレコードに登録されている場合に、このSPFレコードに含まれているIPアドレスの組み合わせを記憶する。
既知のブラックリストに登録済みのホストからは、スパムメールが送信される可能性が高い。したがって、スパムメール検知装置は、このような既知のブラックリストに登録済みのIPアドレスを含む組み合わせを記憶することにより、スパムメールの誤検知を低減して検知精度を向上できる。
既知のブラックリストに登録済みのホストからは、スパムメールが送信される可能性が高い。したがって、スパムメール検知装置は、このような既知のブラックリストに登録済みのIPアドレスを含む組み合わせを記憶することにより、スパムメールの誤検知を低減して検知精度を向上できる。
(9)前記記憶部は、前記SPFレコードに含まれるホスト名、及び当該ホスト名に対応するSPFレコードの情報を再帰的にリストとして記憶し、前記判定部は、前記取得部により取得されたSPFレコードに含まれるホスト名、又はIPアドレスの組み合わせが前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する(2)又は(3)に記載のスパムメール検知装置。
このような構成によれば、スパムメール検知装置は、既知のスパムメールについてのSPFレコードを再帰的に取得することにより、既知のスパムメールに関連して、ホスト名又はIPアドレスの組み合わせを、より豊富に蓄積することができる。
したがって、スパムメール検知装置は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
(10)メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得ステップと、受信したメールに関して前記取得ステップにおいて取得されたSPFレコードに含まれる文字列の特徴に基づいて、前記メールの送信ドメインがスパムメール送信ドメインであるか否かを判定する判定ステップと、をコンピュータが実行するスパムメール検知方法。
このような構成によれば、スパムメール検知方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。
(11)メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得ステップと、受信したメールに関して前記取得ステップにおいて取得されたSPFレコードに含まれる文字列の特徴に基づいて、前記メールの送信ドメインがスパムメール送信ドメインであるか否かを判定する判定ステップと、をコンピュータに実行させるためのスパムメール検知プログラム。
このような構成によれば、スパムメール検知プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。
本発明によれば、スパムメールを精度良く検知できる。
<第1実施形態>
以下、本発明の第1実施形態について説明する。
本実施形態に係るスパムメール検知装置1は、SPFレコードに含まれる文字列の特徴に基づいて、スパムメールを検知するサーバ装置である。
以下、本発明の第1実施形態について説明する。
本実施形態に係るスパムメール検知装置1は、SPFレコードに含まれる文字列の特徴に基づいて、スパムメールを検知するサーバ装置である。
図1は、本実施形態に係るスパムメール検知装置1の機能構成を示す図である。
スパムメール検知装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
スパムメール検知装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
制御部10は、スパムメール検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
記憶部20は、ハードウェア群をスパムメール検知装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が記憶する各種データは後述する。
通信部30は、スパムメール検知装置1が他の装置と情報を送受信する場合のネットワーク・アダプタである。
入力部40は、スパムメール検知装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部又はタッチパネル等により構成される。
表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、スパムメール検知装置1による処理結果の画面を表示したりするものである。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。
前述の制御部10は、取得部11と、生成部12と、判定部13とを備える。また、記憶部20は、ブラックリスト21を記憶する。
取得部11は、既知のスパムメール又は新たに受信したメールに関して、メールの送信ドメインに対応するSPFレコードを取得する。具体的には、取得部11は、メールのヘッダ情報又はSMTPサーバログを取得し、ヘッダ情報からは「From」、「Recent−From」等から、SMTPサーバログからは「envelope−from」内のメールアドレスを抽出する。そして、取得部11は、抽出したメールアドレスについて、DNSに対してSPFレコード(DNSのTXTレコード)を問い合わせる。
生成部12は、既知のスパムメールの送信ドメインに対応するSPFレコードからホスト名を抽出し、ブラックリスト21を生成して記憶部20に記憶する。
このとき、生成部12は、既知のスパムメールがSPFレコードに基づいて、SPF又はSender−ID等により認証された場合に、このSPFレコードに含まれているホスト名のリストを記憶する。つまり、SPFレコードに基づく認証では検出できないスパムメールを検出するためのブラックリスト21が生成される。
このとき、生成部12は、既知のスパムメールがSPFレコードに基づいて、SPF又はSender−ID等により認証された場合に、このSPFレコードに含まれているホスト名のリストを記憶する。つまり、SPFレコードに基づく認証では検出できないスパムメールを検出するためのブラックリスト21が生成される。
また、生成部12は、SPFレコードに含まれるホスト名の出現頻度が所定以上の場合に、このホスト名を記憶することとしてもよい。具体的には、例えば、出現頻度が高い順に所定数のホスト名が登録されてもよいし、2回以上出現したホスト名が登録されてもよい。
また、生成部12は、SPFレコードに含まれるホスト名が所定のホワイトリストに含まれている場合に、このホスト名を記憶しないこととしてよい。これにより、正常なメールが含まれ得るホスト名が除外されるので、正常なメールが誤ってスパムメールと判定される場合が抑制される。
図2は、本実施形態に係るSPFレコードの例を示す図である。
この例では、「xxxxxxxx.jp」に対応するSPFレコードは、「v=spf1 include:yyyyyyyy.net include:yyyyyyyy.jp 〜all」である。
この例では、「xxxxxxxx.jp」に対応するSPFレコードは、「v=spf1 include:yyyyyyyy.net include:yyyyyyyy.jp 〜all」である。
生成部12は、SPFレコードの中から、例えば、機構が「include」、かつ、クオリファイアが「+」又は省略されているものを抽出し、ブラックリスト21として登録する。つまり、生成部12は、「include:yyyyyyyy.net」及び「include:yyyyyyyy.jp」をブラックリスト21に追加する。
なお、機構は「include」に限らず、ドメイン形式で記述可能な機構「a」等、ホスト名が出現するものであればよい。
判定部13は、新たに受信したメールに関して取得部11により取得されたSPFレコードに含まれる文字列の特徴に基づいて、メールの送信ドメインがスパムメール送信ドメインであるか否かを判定する。
具体的には、判定部13は、取得部11により取得されたSPFレコードに含まれる所定の文字列、すなわちホスト名の少なくとも一部がブラックリスト21の文字列と一致する場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。
具体的には、判定部13は、取得部11により取得されたSPFレコードに含まれる所定の文字列、すなわちホスト名の少なくとも一部がブラックリスト21の文字列と一致する場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。
図3は、本実施形態に係るブラックリスト21の生成処理を示すフローチャートである。
ステップS1において、取得部11は、既知のスパムメールのヘッダ情報、又はSMTPサーバログを収集する。
ステップS1において、取得部11は、既知のスパムメールのヘッダ情報、又はSMTPサーバログを収集する。
ステップS2において、取得部11は、ステップS1で収集したヘッダ情報又はSMTPサーバログから、メールアドレスを抽出する。
ステップS3において、取得部11は、ステップS2で抽出したメールアドレスについて、DNSに対して問い合わせを行い、SPFレコードを取得する。
ステップS4において、生成部12は、ステップS3で取得されたSPFレコードからホスト名を抽出し、ブラックリスト21として記憶する。
図4は、本実施形態に係るスパムメールの検知処理を示すフローチャートである。
ステップS11において、取得部11は、新たに受信したメールのヘッダ情報又はSMTPサーバログを取得する。
ステップS11において、取得部11は、新たに受信したメールのヘッダ情報又はSMTPサーバログを取得する。
ステップS12において、取得部11は、ステップS11で取得したヘッダ情報又はSMTPサーバログから、メールアドレスを抽出する。
ステップS13において、取得部11は、ステップS12で抽出したメールアドレスについて、DNSに対して問い合わせを行い、SPFレコードを取得する。
ステップS14において、判定部13は、ステップS13で取得したSPFレコードに含まれているホスト名を、ブラックリスト21と照合し、ブラックリスト21に含まれている場合に、受信したメールをスパムメールと判定する。
以上のように、本実施形態によれば、スパムメール検知装置1は、受信したメールに関するSPFレコードを取得し、このSPFレコードに含まれる文字列の特徴に基づいて、スパムメールであることを検知できる。したがって、スパムメール検知装置1は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
例えば、使い捨て(一時的な)メールアドレスドメインを使っているスパムメール送信者が多いが、これらのメールアドレスは、すぐに使われなくなってしまう。このため、ドメインベースのブラックリストを作ったとしても効果は短期間に限られてしまう。しかし、このような使い捨てのドメインを使っているスパムメール送信者は、逐一SPFレコードを登録しているため、ドメインが違っていてもSPFレコードが同じである場合が多い。したがって、メールアドレスドメインに基づくブラックリストよりも効果が高い。
例えば、使い捨て(一時的な)メールアドレスドメインを使っているスパムメール送信者が多いが、これらのメールアドレスは、すぐに使われなくなってしまう。このため、ドメインベースのブラックリストを作ったとしても効果は短期間に限られてしまう。しかし、このような使い捨てのドメインを使っているスパムメール送信者は、逐一SPFレコードを登録しているため、ドメインが違っていてもSPFレコードが同じである場合が多い。したがって、メールアドレスドメインに基づくブラックリストよりも効果が高い。
また、スパムメール検知装置1は、既知のスパムメールに関するSPFレコードの情報を記憶しておき、新たに受信したメールのSPFレコードに含まれる所定の文字列を、記憶されている情報と照合することにより、スパムメールを検知できる。したがって、スパムメール検知装置1は、スパムメールに特有のSPFレコードの情報を蓄積して精度良くスパムメールを検知できる。
また、スパムメール検知装置1は、SPFレコードに基づいて認証されてしまうスパムメールに関して、このSPFレコードの情報を記憶する。したがって、スパムメール検知装置1は、SPF又はSender−ID等により正常なメールと判定されてしまうスパムメールの特徴を記憶し、このようなスパムメールを精度良く検知できる。
また、スパムメール検知装置1は、既知のスパムメールに関するSPFレコードに含まれるホスト名を記憶し、同一のホスト名がSPFレコードに現れるメールをスパムメールと判定する。したがって、スパムメール検知装置1は、過去のスパムメールの送信元と同一のホストから送信されたスパムメールを精度良く検知できる。
また、スパムメール検知装置1は、所定以上の頻度で出現するホスト名を記憶するので、より確実な情報を記憶し、スパムメールの検知精度を向上できる。つまり、スパムメール検知装置1は、例えば、事前に収集したスパムメールの情報に正常なメールの情報が混在していた場合に、誤検知を引き起こすのを抑制できる。
また、スパムメール検知装置1は、既にホワイトリストに登録されており正常なメールを送信しているホスト名を記憶しないので、正常なメールをスパムメールと判定する誤検知を抑制できる。
<第2実施形態>
以下、本発明の第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
以下、本発明の第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
第2実施形態は、生成部12及び判定部13の処理内容、並びにブラックリスト21の内容が第1実施形態と異なる。
生成部12は、SPFレコードに含まれるIPアドレスを抽出し、これらのIPアドレスの組み合わせのリストをブラックリスト21として記憶部20に記憶する。この処理内容は、第1実施形態の生成処理(図3)におけるステップS4に相当する。
なお、生成部12は、第1実施形態と同様に、既知のスパムメールがSPFレコードに基づいて、SPF又はSender−ID等により認証された場合に、このSPFレコードに含まれているIPアドレスの組み合わせを記憶する。つまり、SPFレコードに基づく認証では検出できないスパムメールを検出するためのブラックリスト21が生成される。
なお、生成部12は、第1実施形態と同様に、既知のスパムメールがSPFレコードに基づいて、SPF又はSender−ID等により認証された場合に、このSPFレコードに含まれているIPアドレスの組み合わせを記憶する。つまり、SPFレコードに基づく認証では検出できないスパムメールを検出するためのブラックリスト21が生成される。
SPFレコードは、ip4メカニズムで構成される場合、例えば、「v=spf1 ip4:x.x.x.x/24 ip4:y.y.y.y/28 〜all」のように記載されている。
この場合、生成部12は、IPアドレス全てを別々にブラックリスト21に登録するのではなく、機構が「ip4」、かつ、クオリファイアが「+」又は省略されているIPアドレスの組み合わせをブラックリスト21に登録する。この例では、「ip4:x.x.x.x/24」及び「ip4:y.y.y.y/28」の組み合わせがリストの1つの要素として記憶される。
この場合、生成部12は、IPアドレス全てを別々にブラックリスト21に登録するのではなく、機構が「ip4」、かつ、クオリファイアが「+」又は省略されているIPアドレスの組み合わせをブラックリスト21に登録する。この例では、「ip4:x.x.x.x/24」及び「ip4:y.y.y.y/28」の組み合わせがリストの1つの要素として記憶される。
なお、機構は「ip4」に限らず、IPアドレス形式で記述可能な機構「ip6」、又は「a:」に含まれるホスト名のaレコード内のIPアドレス等、IPアドレスが出現するものであればよい。
このとき、生成部12は、SPFレコードに含まれるIPアドレスの少なくとも一部が、既に公開されている所定のブラックリストに含まれている場合に、このIPアドレスの組み合わせを記憶することとしてよい。
判定部13は、取得部11により取得されたSPFレコードに含まれるIPアドレスの組み合わせが記憶部20に記憶されているブラックリスト21に含まれている場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。この処理内容は、第1実施形態の生成処理(図4)におけるステップS14に相当する。
以上のように、本実施形態によれば、スパムメール検知装置1は、既知のスパムメールに関するSPFレコードに含まれるIPアドレスの組み合わせを記憶し、同一の組み合わせがSPFレコードに現れるメールをスパムメールと判定する。したがって、スパムメール検知装置1は、スパムメール送信者がSPFレコードの登録に利用するIPアドレスの組み合わせのパターンを記憶し、このパターンが一致することを検知することにより、単一のIPアドレス又はIPアドレスレンジを照合することに比べて、スパムメールの誤検知を低減して検知精度を向上できる。
また、スパムメール検知装置1は、既に公開されている所定のブラックリストに含まれるIPアドレスがSPFレコードに登録されている場合に、このSPFレコードに含まれているIPアドレスの組み合わせを記憶する。したがって、スパムメール検知装置1は、このような既知のブラックリストに登録済みのIPアドレスを含む組み合わせを記憶することにより、スパムメールの誤検知を低減して検知精度を向上できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
スパムメール検知装置1は、第1実施形態ではホスト名を、第2実施形態ではIPアドレスの組み合わせを、それぞれブラックリスト21として記憶したが、これには限られず、ホスト名及びIPアドレスの組み合わせの双方を記憶し、運用してもよい。
また、記憶部20は、SPFレコードに含まれるホスト名と、このホスト名について、さらにDNSに問い合わせることにより得られるSPFレコードを再帰的に取得し、得られたホスト名、及びIPアドレスの組み合わせを、ブラックリスト21として記憶してもよい。
この場合、判定部13は、新たに受信したメールに関して、取得部11により取得されたSPFレコードに含まれるホスト名、又はIPアドレスの組み合わせがブラックリスト21に含まれている場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。
この場合、判定部13は、新たに受信したメールに関して、取得部11により取得されたSPFレコードに含まれるホスト名、又はIPアドレスの組み合わせがブラックリスト21に含まれている場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。
このような構成によれば、スパムメール検知装置1は、既知のスパムメールに関連して、ホスト名又はIPアドレスの組み合わせを、より豊富に蓄積することができる。したがって、スパムメール検知装置1は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールの検知精度を向上できる。
スパムメール検知装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
1 スパムメール検知装置
10 制御部
11 取得部
12 生成部
13 判定部
20 記憶部
21 ブラックリスト
30 通信部
40 入力部
50 表示部
10 制御部
11 取得部
12 生成部
13 判定部
20 記憶部
21 ブラックリスト
30 通信部
40 入力部
50 表示部
Claims (10)
- メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得部と、
予め収集された既知のスパムメールに関して前記取得部により取得されたSPFレコードの情報を記憶する記憶部と、
受信したメールに関して前記取得部により取得されたSPFレコードに含まれる所定の文字列が前記記憶部に記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する判定部と、を備えるスパムメール検知装置。 - 前記記憶部は、前記既知のスパムメールが前記SPFレコードに基づいて認証された場合に、当該SPFレコードの情報を記憶する請求項1に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードに含まれるホスト名のリストを記憶し、
前記判定部は、前記取得部により取得されたSPFレコードに含まれるホスト名の少なくとも一部が前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する請求項1又は請求項2に記載のスパムメール検知装置。 - 前記記憶部は、前記SPFレコードに含まれるホスト名の出現頻度が所定以上の場合に、当該ホスト名を記憶する請求項3に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードに含まれるホスト名が所定のホワイトリストに含まれている場合に、当該ホスト名を記憶しない請求項3又は請求項4に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードに含まれるIPアドレスの組み合わせのリストを記憶し、
前記判定部は、前記取得部により取得されたSPFレコードに含まれるIPアドレスの組み合わせが前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する請求項1又は請求項2に記載のスパムメール検知装置。 - 前記記憶部は、前記SPFレコードに含まれるIPアドレスの組み合わせの少なくとも一部が所定のブラックリストに含まれている場合に、当該SPFレコードに含まれるIPアドレスの組み合わせを記憶する請求項6に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードの情報に加えて、前記SPFレコードに含まれるホスト名に対応して再帰的に取得されるSPFレコードの情報をリストとして記憶し、
前記判定部は、前記取得部により取得されたSPFレコードに含まれるホスト名、又はIPアドレスの組み合わせが前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する請求項1又は請求項2に記載のスパムメール検知装置。 - メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得ステップと、
予め収集された既知のスパムメールに関して前記取得ステップにおいて取得されたSPFレコードの情報を記憶する記憶ステップと、
受信したメールに関して前記取得ステップにおいて取得されたSPFレコードに含まれる所定の文字列が前記記憶ステップで記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する判定ステップと、をコンピュータが実行するスパムメール検知方法。 - メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得ステップと、
予め収集された既知のスパムメールに関して前記取得ステップにおいて取得されたSPFレコードの情報を記憶する記憶ステップと、
受信したメールに関して前記取得ステップにおいて取得されたSPFレコードに含まれる所定の文字列が前記記憶ステップで記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する判定ステップと、をコンピュータに実行させるためのスパムメール検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012208952A JP6053421B2 (ja) | 2012-09-21 | 2012-09-21 | スパムメール検知装置、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012208952A JP6053421B2 (ja) | 2012-09-21 | 2012-09-21 | スパムメール検知装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014063402A JP2014063402A (ja) | 2014-04-10 |
| JP6053421B2 true JP6053421B2 (ja) | 2016-12-27 |
Family
ID=50618562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012208952A Active JP6053421B2 (ja) | 2012-09-21 | 2012-09-21 | スパムメール検知装置、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6053421B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6262093B2 (ja) * | 2014-07-29 | 2018-01-17 | Kddi株式会社 | リスト作成装置、リスト作成方法及びコンピュータプログラム |
| JP6329458B2 (ja) * | 2014-08-06 | 2018-05-23 | Kddi株式会社 | メール判定装置、メール判定方法及びコンピュータプログラム |
| JP6266487B2 (ja) * | 2014-09-30 | 2018-01-24 | Kddi株式会社 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
| MA41502A (fr) * | 2015-02-14 | 2017-12-19 | Valimail Inc | Validation centralisée d'expéditeurs d'email par ciblage de noms ehlo et d'adresses ip |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7257564B2 (en) * | 2003-10-03 | 2007-08-14 | Tumbleweed Communications Corp. | Dynamic message filtering |
| WO2005101770A1 (ja) * | 2004-04-05 | 2005-10-27 | Hewlett-Packard Development Company L.P. | 迷惑メール処理装置およびその方法 |
| JP2009259176A (ja) * | 2008-04-15 | 2009-11-05 | Takafumi Okamura | 送信者認証情報を公開していない送信サイトを認証する仕組み |
| JP5396779B2 (ja) * | 2008-09-03 | 2014-01-22 | ヤマハ株式会社 | 中継装置およびプログラム |
| JP5366504B2 (ja) * | 2008-11-05 | 2013-12-11 | Kddi株式会社 | メール受信サーバ、スパムメールの受信拒否方法およびプログラム |
| JP5147078B2 (ja) * | 2009-07-01 | 2013-02-20 | 日本電信電話株式会社 | アドレスリスト構築方法およびアドレスリスト構築システム、ならびにそのためのプログラム |
-
2012
- 2012-09-21 JP JP2012208952A patent/JP6053421B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014063402A (ja) | 2014-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10530806B2 (en) | Methods and systems for malicious message detection and processing | |
| US10148645B2 (en) | Method and device for classifying TCP connection carrying HTTP traffic | |
| JP5128848B2 (ja) | フィッシング検知方法及びシステム | |
| US20170318041A1 (en) | Method and system for detecting malicious behavior, apparatus and computer storage medium | |
| US11677783B2 (en) | Analysis of potentially malicious emails | |
| US11258759B2 (en) | Entity-separated email domain authentication for known and open sign-up domains | |
| CN114006778B (zh) | 一种威胁情报的识别方法、装置、电子设备及存储介质 | |
| JP6053421B2 (ja) | スパムメール検知装置、方法及びプログラム | |
| Le Pochat et al. | Funny accents: Exploring genuine interest in internationalized domain names | |
| JPWO2015141665A1 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
| US20090210501A1 (en) | Blocking of spoofed e-mail | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| US9740858B1 (en) | System and method for identifying forged emails | |
| JP5668034B2 (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
| WO2014059159A2 (en) | Systems and methods for testing and managing defensive network devices | |
| JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
| Jo et al. | You're not who you claim to be: Website identity check for phishing detection | |
| US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
| JP7453886B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| EP4287044A1 (en) | Computer-readable recording medium storing domain detection program, domain detection method, and information processing device | |
| EP4174684A1 (en) | Domain search program, method of searching domain, and information processing apparatus | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| JP2018151739A (ja) | メール配送装置およびWebプロキシサーバ | |
| Shukla et al. | Spoofed Email Based Cyberattack Detection Using Machine Learning | |
| Hageman | Network Measurements and Security: Untangling the Web of Domain Names, Certificates, and Mobile Apps |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150122 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151201 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160125 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160823 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161024 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161129 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6053421 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |