JP6053421B2 - スパムメール検知装置、方法及びプログラム - Google Patents
スパムメール検知装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6053421B2 JP6053421B2 JP2012208952A JP2012208952A JP6053421B2 JP 6053421 B2 JP6053421 B2 JP 6053421B2 JP 2012208952 A JP2012208952 A JP 2012208952A JP 2012208952 A JP2012208952 A JP 2012208952A JP 6053421 B2 JP6053421 B2 JP 6053421B2
- Authority
- JP
- Japan
- Prior art keywords
- spf
- spam
- spam mail
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
したがって、スパムメール検知装置は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、スパムメールに特有のSPFレコードの情報を蓄積して精度良くスパムメールを検知できる。
したがって、スパムメール検知装置は、SPF又はSender−ID等により正常なメールと判定されてしまうスパムメールの特徴を記憶し、このようなスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、過去のスパムメールの送信元と同一のホストから送信されたスパムメールを精度良く検知できる。
したがって、スパムメール検知装置は、スパムメール送信者がSPFレコードの登録に利用するIPアドレスの組み合わせのパターンを記憶し、このパターンが一致することを検知することにより、単一のIPアドレス又はIPアドレスレンジを照合することに比べて、スパムメールの誤検知を低減して検知精度を向上できる。
既知のブラックリストに登録済みのホストからは、スパムメールが送信される可能性が高い。したがって、スパムメール検知装置は、このような既知のブラックリストに登録済みのIPアドレスを含む組み合わせを記憶することにより、スパムメールの誤検知を低減して検知精度を向上できる。
したがって、スパムメール検知装置は、SPFレコードを登録することにより送信元メールアドレスを偽装せずに送信されたスパムメールを精度良く検知できる。
以下、本発明の第1実施形態について説明する。
本実施形態に係るスパムメール検知装置1は、SPFレコードに含まれる文字列の特徴に基づいて、スパムメールを検知するサーバ装置である。
スパムメール検知装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
このとき、生成部12は、既知のスパムメールがSPFレコードに基づいて、SPF又はSender−ID等により認証された場合に、このSPFレコードに含まれているホスト名のリストを記憶する。つまり、SPFレコードに基づく認証では検出できないスパムメールを検出するためのブラックリスト21が生成される。
この例では、「xxxxxxxx.jp」に対応するSPFレコードは、「v=spf1 include:yyyyyyyy.net include:yyyyyyyy.jp 〜all」である。
具体的には、判定部13は、取得部11により取得されたSPFレコードに含まれる所定の文字列、すなわちホスト名の少なくとも一部がブラックリスト21の文字列と一致する場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。
ステップS1において、取得部11は、既知のスパムメールのヘッダ情報、又はSMTPサーバログを収集する。
ステップS11において、取得部11は、新たに受信したメールのヘッダ情報又はSMTPサーバログを取得する。
例えば、使い捨て(一時的な)メールアドレスドメインを使っているスパムメール送信者が多いが、これらのメールアドレスは、すぐに使われなくなってしまう。このため、ドメインベースのブラックリストを作ったとしても効果は短期間に限られてしまう。しかし、このような使い捨てのドメインを使っているスパムメール送信者は、逐一SPFレコードを登録しているため、ドメインが違っていてもSPFレコードが同じである場合が多い。したがって、メールアドレスドメインに基づくブラックリストよりも効果が高い。
以下、本発明の第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
なお、生成部12は、第1実施形態と同様に、既知のスパムメールがSPFレコードに基づいて、SPF又はSender−ID等により認証された場合に、このSPFレコードに含まれているIPアドレスの組み合わせを記憶する。つまり、SPFレコードに基づく認証では検出できないスパムメールを検出するためのブラックリスト21が生成される。
この場合、生成部12は、IPアドレス全てを別々にブラックリスト21に登録するのではなく、機構が「ip4」、かつ、クオリファイアが「+」又は省略されているIPアドレスの組み合わせをブラックリスト21に登録する。この例では、「ip4:x.x.x.x/24」及び「ip4:y.y.y.y/28」の組み合わせがリストの1つの要素として記憶される。
この場合、判定部13は、新たに受信したメールに関して、取得部11により取得されたSPFレコードに含まれるホスト名、又はIPアドレスの組み合わせがブラックリスト21に含まれている場合に、メールの送信ドメインがスパムメール送信ドメインであると判定する。
10 制御部
11 取得部
12 生成部
13 判定部
20 記憶部
21 ブラックリスト
30 通信部
40 入力部
50 表示部
Claims (10)
- メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得部と、
予め収集された既知のスパムメールに関して前記取得部により取得されたSPFレコードの情報を記憶する記憶部と、
受信したメールに関して前記取得部により取得されたSPFレコードに含まれる所定の文字列が前記記憶部に記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する判定部と、を備えるスパムメール検知装置。 - 前記記憶部は、前記既知のスパムメールが前記SPFレコードに基づいて認証された場合に、当該SPFレコードの情報を記憶する請求項1に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードに含まれるホスト名のリストを記憶し、
前記判定部は、前記取得部により取得されたSPFレコードに含まれるホスト名の少なくとも一部が前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する請求項1又は請求項2に記載のスパムメール検知装置。 - 前記記憶部は、前記SPFレコードに含まれるホスト名の出現頻度が所定以上の場合に、当該ホスト名を記憶する請求項3に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードに含まれるホスト名が所定のホワイトリストに含まれている場合に、当該ホスト名を記憶しない請求項3又は請求項4に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードに含まれるIPアドレスの組み合わせのリストを記憶し、
前記判定部は、前記取得部により取得されたSPFレコードに含まれるIPアドレスの組み合わせが前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する請求項1又は請求項2に記載のスパムメール検知装置。 - 前記記憶部は、前記SPFレコードに含まれるIPアドレスの組み合わせの少なくとも一部が所定のブラックリストに含まれている場合に、当該SPFレコードに含まれるIPアドレスの組み合わせを記憶する請求項6に記載のスパムメール検知装置。
- 前記記憶部は、前記SPFレコードの情報に加えて、前記SPFレコードに含まれるホスト名に対応して再帰的に取得されるSPFレコードの情報をリストとして記憶し、
前記判定部は、前記取得部により取得されたSPFレコードに含まれるホスト名、又はIPアドレスの組み合わせが前記記憶部に記憶されているリストに含まれている場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する請求項1又は請求項2に記載のスパムメール検知装置。 - メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得ステップと、
予め収集された既知のスパムメールに関して前記取得ステップにおいて取得されたSPFレコードの情報を記憶する記憶ステップと、
受信したメールに関して前記取得ステップにおいて取得されたSPFレコードに含まれる所定の文字列が前記記憶ステップで記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する判定ステップと、をコンピュータが実行するスパムメール検知方法。 - メールの送信ドメインに対応するSPF(Sender Policy Framework)レコードを取得する取得ステップと、
予め収集された既知のスパムメールに関して前記取得ステップにおいて取得されたSPFレコードの情報を記憶する記憶ステップと、
受信したメールに関して前記取得ステップにおいて取得されたSPFレコードに含まれる所定の文字列が前記記憶ステップで記憶されているSPFレコードの情報と一致する場合に、前記メールの送信ドメインがスパムメール送信ドメインであると判定する判定ステップと、をコンピュータに実行させるためのスパムメール検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012208952A JP6053421B2 (ja) | 2012-09-21 | 2012-09-21 | スパムメール検知装置、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012208952A JP6053421B2 (ja) | 2012-09-21 | 2012-09-21 | スパムメール検知装置、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014063402A JP2014063402A (ja) | 2014-04-10 |
JP6053421B2 true JP6053421B2 (ja) | 2016-12-27 |
Family
ID=50618562
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012208952A Active JP6053421B2 (ja) | 2012-09-21 | 2012-09-21 | スパムメール検知装置、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6053421B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6262093B2 (ja) * | 2014-07-29 | 2018-01-17 | Kddi株式会社 | リスト作成装置、リスト作成方法及びコンピュータプログラム |
JP6329458B2 (ja) * | 2014-08-06 | 2018-05-23 | Kddi株式会社 | メール判定装置、メール判定方法及びコンピュータプログラム |
JP6266487B2 (ja) * | 2014-09-30 | 2018-01-24 | Kddi株式会社 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
MA41502A (fr) * | 2015-02-14 | 2017-12-19 | Valimail Inc | Validation centralisée d'expéditeurs d'email par ciblage de noms ehlo et d'adresses ip |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257564B2 (en) * | 2003-10-03 | 2007-08-14 | Tumbleweed Communications Corp. | Dynamic message filtering |
WO2005101770A1 (ja) * | 2004-04-05 | 2005-10-27 | Hewlett-Packard Development Company L.P. | 迷惑メール処理装置およびその方法 |
JP2009259176A (ja) * | 2008-04-15 | 2009-11-05 | Takafumi Okamura | 送信者認証情報を公開していない送信サイトを認証する仕組み |
JP5396779B2 (ja) * | 2008-09-03 | 2014-01-22 | ヤマハ株式会社 | 中継装置およびプログラム |
JP5366504B2 (ja) * | 2008-11-05 | 2013-12-11 | Kddi株式会社 | メール受信サーバ、スパムメールの受信拒否方法およびプログラム |
JP5147078B2 (ja) * | 2009-07-01 | 2013-02-20 | 日本電信電話株式会社 | アドレスリスト構築方法およびアドレスリスト構築システム、ならびにそのためのプログラム |
-
2012
- 2012-09-21 JP JP2012208952A patent/JP6053421B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014063402A (ja) | 2014-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10530806B2 (en) | Methods and systems for malicious message detection and processing | |
US10148645B2 (en) | Method and device for classifying TCP connection carrying HTTP traffic | |
JP5128848B2 (ja) | フィッシング検知方法及びシステム | |
US20170318041A1 (en) | Method and system for detecting malicious behavior, apparatus and computer storage medium | |
US11677783B2 (en) | Analysis of potentially malicious emails | |
US11258759B2 (en) | Entity-separated email domain authentication for known and open sign-up domains | |
CN114006778B (zh) | 一种威胁情报的识别方法、装置、电子设备及存储介质 | |
JP6053421B2 (ja) | スパムメール検知装置、方法及びプログラム | |
Le Pochat et al. | Funny accents: Exploring genuine interest in internationalized domain names | |
JPWO2015141665A1 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
US20090210501A1 (en) | Blocking of spoofed e-mail | |
EP3195140B1 (en) | Malicious message detection and processing | |
US9740858B1 (en) | System and method for identifying forged emails | |
JP5668034B2 (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
WO2014059159A2 (en) | Systems and methods for testing and managing defensive network devices | |
JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
Jo et al. | You're not who you claim to be: Website identity check for phishing detection | |
US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
JP7453886B2 (ja) | 検知装置、検知方法及び検知プログラム | |
EP4287044A1 (en) | Computer-readable recording medium storing domain detection program, domain detection method, and information processing device | |
EP4174684A1 (en) | Domain search program, method of searching domain, and information processing apparatus | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
JP2018151739A (ja) | メール配送装置およびWebプロキシサーバ | |
Shukla et al. | Spoofed Email Based Cyberattack Detection Using Machine Learning | |
Hageman | Network Measurements and Security: Untangling the Web of Domain Names, Certificates, and Mobile Apps |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150122 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151201 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160823 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161024 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161129 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6053421 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |