CN103716335A - 基于伪造发件人的垃圾邮件检测与过滤方法 - Google Patents
基于伪造发件人的垃圾邮件检测与过滤方法 Download PDFInfo
- Publication number
- CN103716335A CN103716335A CN201410030188.4A CN201410030188A CN103716335A CN 103716335 A CN103716335 A CN 103716335A CN 201410030188 A CN201410030188 A CN 201410030188A CN 103716335 A CN103716335 A CN 103716335A
- Authority
- CN
- China
- Prior art keywords
- sender
- spam
- fspam
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及互联网技术领域,具体公开了一种基于伪造发件人的垃圾邮件检测与过滤方法。本发明包括步骤:启动邮件监听系统;接收邮件;提取邮件头;初始化发件人邮件域集合S_DN;从From字段中解析出发件人邮件域MD;从Received字段中解析出发件人邮件域DN;垃圾邮件判定:如果MD∈S_DN,则判定该邮件为垃圾邮件;如果MD∈S_DN,则为正常邮件。本发明实现了有效检测与过滤伪造发件人的垃圾邮件,保证正常邮件不会被错误过滤,为网络管理、网络安全监控、以及网络在线取证提供技术支持。
Description
技术领域
本发明涉及互联网技术领域,具体公开了一种基于伪造发件人的垃圾邮件检测与过滤方法。
背景技术
电子邮件一直是互联网最重要的应用之一,早期的电子邮件系统设计,基于一个基本的假设,即发信人是可信的,因而很少考虑邮件系统的安全性。随着互联网的迅速发展,电子邮件系统越来越普及,随之而来的就是越来越严重的安全性问题,其中最主要的就是垃圾邮件的泛滥,绝大多数邮箱每天都会收到大量的垃圾邮件,给社会、集体和个人带来巨大的损失和不便。如何有效防止垃圾邮件已经成了摆在当前邮件系统面前的最为严峻的问题。目前人们想尽了一切办法与垃圾邮件进行斗争,如黑白名单技术、过滤技术、增强认证技术等。然而垃圾邮件仍然呈不断上升的趋势。
现有电子邮件系统所存在的诸多安全问题归根到底是由于缺乏对发信人的源地址进行认证所造成的,现有基于SMTP协议和客户/服务器模式的电子邮件系统采用类似路由器的转发机制,服务器无法验证最初发送者的身份或源地址的真实性,导致垃圾邮件泛滥。
面对凶猛的垃圾邮件,人们采取各种手段,希望能有效遏制垃圾邮件,但收效不大。
垃圾邮件的过滤包括邮件客户端过滤和邮件服务器端过滤两种途径。一般用户所使用的邮件客户端软件,比如Out look Express、FoxMail和自由软件Mozilla Mail等,都有过滤垃圾邮件的功能,这实际上是对用户已经接受下来的邮件进行过滤,一般都可以按照发件人和主题设置过滤条件,好处是由接收者决定什么是垃圾邮件,是否删除。坏处是这要将所有邮件接收到本地进行,会耗费用户的带宽和精力,对拨号用户,问题尤为严重。服务器端的过滤软件,比如著名的Spamassassin,是通过对邮件文本进行复杂的贝叶斯分析,对邮件中一些符合垃圾邮件特点的文本特征打分,超过某个标准分就判断为垃圾邮件,这些过滤软件再加上对邮件服务器端进行一些设置,就可以在服务器端对垃圾邮件进行标记、转发、存档甚至删除。这样做的好处是,由邮件服务器对付垃圾邮件,用户不必亲自动手,垃圾邮件在服务器端就被阻挡,不会再收到用户本地计算机的信箱中。但是,这对过滤软件的要求很高,要求误判率要尽可能低,因为用户一般宁愿接收10份垃圾邮件也不愿被服务器误删除一份正常的邮件。另外,道高一尺,魔高一丈,面对各种过滤系统,垃圾邮件制造者总会想出各种应对办法。比如,垃圾邮件发送者经常会针对过滤软件的打分系统,在邮件里随机放置一些无意义的词汇,用html语言排版为白底白字,这样用户不会看到,但却可以干扰过滤邮件的打分系统。
除了用户端和服务器端的过滤,更高级的对付垃圾邮件的技术还包括雅虎提出的Domain Key和Eric Raymond提出的Sender PolicyFramwork(SPF)等。
事实上,上述解决方案不可能从根本杜绝垃圾邮件的泛滥,垃圾邮件制造者如此猖狂的根本原因在于目前还没有办法对其身份与地址进行认证与追踪的机制,Domain Key和SPF虽然也具有一定程度的认证与追踪机制,但它只能认证到邮件域,而不能认证到邮件发送人。
事实上,垃圾邮件制造者的主要目的是向邮件接收人推送广告及其它信息,无需收件人进行回复,同时为了躲避各种过滤手段,每次都临时随机构造一个虚假的发信人地址发送邮件,使得黑白名单技术与基于内容与特征的过滤技术失效,我们称这类垃圾邮件为伪造发件人的垃圾邮件(Faked Sender of Spam,FSpam)。
针对垃圾邮件的特点及现有垃圾邮件检测与过滤方法存在的问题,本发明实现了一种基于伪造发件人的垃圾邮件检测与过滤方法,该方法通过分析邮件头(Header)中相关字段所记录的邮件传输过程的详细信息,如发信人的邮件地址、发信人的邮件域、以及邮件在传输过程中所经过的邮件服务器等信息,从而准确地判断出伪造发件人的垃圾邮件。该方法能有效检测与过滤虚伪造发件人的垃圾邮件,同时能保证正常邮件不会被错误过滤,该方法广泛应用于网络管理、安全监控、网络行为分析等领域。
发明内容
本发明的目的在于:实现有效检测与过滤伪造发件人的垃圾邮件,保证正常邮件不会被错误过滤,为网络管理、网络安全监控、以及网络在线取证提供技术支持。
为了实现上述发明目的,本发明采用的技术方案如下:
本发明所采用的技术原理在于:
邮件头中的From字段记录了邮件发送人的Emai l地址MA(格式为MCMD,MD为邮件域的名称,MC为发件人在该邮件域内的账号名),此外邮件头中还有一个或多个Received字段,它记录了邮件在投递过程中所经过的邮件服务器的域名(DN)或IP地址。如图l所示是一封正常邮件的部分邮件头信息,邮件头中的From字段记录了邮件发送人的Email地址(MA):springerscientific-direct.net,表明邮件发送人来自邮件域(MD):scientific-direct.net,其账号名(MC)为springer。在正常邮件中,可以在Received字段中发现与MD相同的DN,例如在图1所示的例子中,我们会发现MD=DN=scientific-direct.net。
对于伪造发件人的垃圾邮件FSpam而言,垃圾邮件发送者为了逃避检测与追踪,总是伪造发信人地址,这样就会出现MD与DN不相同的异常情况,反而成了检测与过滤FSpam的基本依据。如图2所示为一封典型的FSpam的邮件头,不难看出,From字段中的邮件域MD与Received字段中的DN不相同。
依据上述技术原理,基于伪造发件人的垃圾邮件检测与过滤方法,包括步骤:
l、启动邮件监听系统;
2、接收邮件;
3、提取邮件头;
4、初始化发件人邮件域集合S_DN;
5、从From字段中解析出发件人邮件域MD;
6、从Received字段中解析出发件人邮件域DN;
7、垃圾邮件判定:如果MD∈S_DN,则判定该邮件为垃圾邮件;如果MD∈S_DN,则为正常邮件。
与现有技术相比,本发明的有益效果是:
1、AFSpam能够准确地检测出虚假垃圾邮件,同时能够保证正常邮件不会被错误过滤;
2、AFSpam为插件形式,运行效率高,兼容多种邮件系统,安装部署与卸载都非常方便,不影响邮件系统正常工作;
3、提供应用编程接口APl,可以方便地与入侵检测系统、攻击源追踪系统、在线取证系统等安全管理与安全监控系统实现数据交换与信息通信。
附图说明
图l为正常邮件头代码格式示意图;
图2为伪造发件人的垃圾邮件头代码格式示意图;
图3为FSpam检测/过滤引擎在Qmail邮件系统中的方位示意图;
图4为FSpam系统结构示意图;
图5为FSpam测试环境示意图;
图6为FSpam测试结果示意图。
具体实施方式
下面结合具体实施方式对本发明的上述发明内容作进一步的详细描述。
但不应将此理解为本发明上述主题的范围仅限于下述实施例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段,做出各种替换和变更,均应包括在本发明的范围内。
实施例
由于不同的邮件系统在实现细节上并未严格遵循电子邮件的相关协议与标准如RFC822等,以及邮件系统自身的配置差错,在具体实施FSpam的检测与过滤时可能会遇到一些技术性问题。比如,有些非标准邮件系统发送邮件时,在Received字段中写入的不是域名而是IP地址;另外,有些邮件系统支持虚拟邮件域(即一个邮件系统同时管理多个邮件域),发送邮件时写入Received字段中的邮件域ND不一定是From字段中的邮件域MD。这样就可能给FSpam的检测带来一些操作上的困难,出现误杀正常邮件的可能。对于上述问题,可以通过DNS正向查询、反向解析以及通过NSLOOKUP查询MX记录等技术手段得到较好的解决。
本实施例列举的基于伪造发件人的垃圾邮件检测与过滤方法,包括如下步骤:
1、FSpam检测/过滤引擎AFSpam的部署;
邮件系统具体实现FSpam的检测与过滤时,需要选择一个最佳的切入点。本发明以Qmai l邮件系统为例加以说明。如图3所示,邮件系统处理的邮件包括4种:
(1)从外部邮件域发往其它外部邮件域但需要经过本邮件服务器进行中转的邮件;
(2)从外部邮件域发往本域的邮件;
(3)从本域发往外部邮件域的邮件;
(4)从本域发往本域的邮件。
检测/过滤引擎必须能处理所有这些邮件,因此,虚假发信人垃圾邮件的检测与处理的最佳位置应该是在邮件队列中进行。本发明将FSpam检测/过滤引擎以插件的形式安装部署在Qmai l邮件系统的qmai l-queue与qmai卜send之间,这样不会影响原有系统结构,安装、移除都很方便,运行效率也很高。
2、FSpam检测/过滤引擎AFSpam的体系结构与实施流程。
具体实施过程中,在一台Linux操作系统CentOS6.0上安装部署了Qmail邮件服务器系统,并将FSpam检测/过滤引擎AFSpam以插件的形式安装部署在Qmail邮件系统的qmai卜queue(负责处理邮件队列)与qmai卜send(负责发送经过qmai l-queue处理后的邮件队列)之间,使得邮件服务器可以正常工作而不受AFSpam引擎的影响。
AFSpam引擎的体系结构如图4所示,主要包括邮件头解析、FSpam检测引擎、FSpam过滤、FSpam追踪、FSpam分析/统计以及可视化输出等模块。实施过程主要包括以下步骤(如图4中的虚框内部所示):
(1)邮件系统启动后自动启动FSpam检测/过滤引擎AFSpam,开始监听邮件系统,并进行初始化工作:
(2)邮件头解析模块从来自邮件队列qmail-queue中邮件的邮件头中的相关字段如From、Received等中提取出MD、MC、DN信息,然后提交给AFSpam检测引擎进行处理;
(3)FSA检测引擎接收来自邮件头解析模块中提取出的MD、MC、DN等信息,作为输入信息调用FSA检测算法判定是否为FSpam;
(4)垃圾邮件的判断与处理:
①如果判定为正常邮件,则将邮件提交给qmail-send进行正常投递;
②如果判定为FSpam,则AFSpam过滤模块根据用户事先设定的规则对FSpam进行过滤,目前本系统支持的过滤形式包括:打上[FSpam]标签,然后放行;直接丢弃该邮件。
(5)FSpam追踪。当邮件被判定为FSpam邮件时,本系统还提供了一个FSpam追踪功能,结合FSpam分析/统计模块用以进一步追查邮件的源头。比如,如果大量FSpam邮件来自同一个邮件服务器,则此邮件服务器为垃圾邮件发送器,通知邮件服务器守护进程tcpserver/inetd拒绝来自该邮件服务器的SMTP连接请求。
实验例
FSpam检测/过滤引擎AFSpam的性能测试
为了验证FSpam检测/过滤器的功能,设计了如图5所示的FSpam过滤对比实验:
1、通过FSpam发送平台向收件人l iuwucernet.edu.cn随机发送一些FSpam邮件与正常邮件
2、邮件服务器cernet.edu.cn上未部署FSpam检测/过滤器Anti-FSpam,并且cernet.edu.cn邮件服务器自动将发往l iuwucernet.edu.cn的邮件转发给l iuwuvhost.galaxy.edu.cn
3、在邮件服务器vhost.galaxy.edu.cn上部署了FSpam检测过滤器Anti-FSASpam。
4、如果Anti-FSpam检测过滤系统工作正常,那么liuwucernet.edu.cn的邮箱中将接收到所有来自FSpam发送器所发送的邮件,而liuwuvhost.galaxy.edu.cn的邮箱中只能接收到FSpam发送器所发送的正常邮件。那么,通过对比liuwucernet.edu.cn与l iuwuvhost.galaxy.edu.cn中的邮件就可判定FSpam检测过滤系统Anti-FSASpam是否正常工作。
图6所示为测试结果,其中:
FSpam检测率=liuwuvhost.galaxy.edu.cn收到的邮件数量/发送的FSpam数量×100%,即正确检测出FSpam邮件的比率。
误判率=(l iuwuvhost.galaxy.edu.cn收到的邮件数量-正常邮牛数量)/正常邮件数量×100%,即将正常邮件误判为FSpam邮件的比率。
实验表明,AFSpam能够准确地检测出虚假垃圾邮件,同时能够呆证正常邮件不会被错误过滤。
Claims (1)
1.基于伪造发件人的垃圾邮件检测与过滤方法,其特征在于,包括步骤:
启动邮件监听系统;
接收邮件;
提取邮件头;
初始化发件人邮件域集合S_DN;
从From字段中解析出发件人邮件域MD;
从Received字段中解析出发件人邮件域DN;
垃圾邮件判定:如果MD∈S_DN,则判定该邮件为垃圾邮件;如果MD∈S_DN,则为正常邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410030188.4A CN103716335A (zh) | 2014-01-12 | 2014-01-12 | 基于伪造发件人的垃圾邮件检测与过滤方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410030188.4A CN103716335A (zh) | 2014-01-12 | 2014-01-12 | 基于伪造发件人的垃圾邮件检测与过滤方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103716335A true CN103716335A (zh) | 2014-04-09 |
Family
ID=50408915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410030188.4A Pending CN103716335A (zh) | 2014-01-12 | 2014-01-12 | 基于伪造发件人的垃圾邮件检测与过滤方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103716335A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187298A (zh) * | 2015-08-17 | 2015-12-23 | 武汉闪达科技有限公司 | 一种邮件发送中可信通道的建立系统及方法 |
| CN106060021A (zh) * | 2016-05-20 | 2016-10-26 | 腾讯科技(深圳)有限公司 | 一种电子邮件识别方法、装置和系统 |
| CN106992926A (zh) * | 2017-06-13 | 2017-07-28 | 深信服科技股份有限公司 | 一种伪造邮件检测的方法与系统 |
| CN108683589A (zh) * | 2018-07-23 | 2018-10-19 | 清华大学 | 垃圾邮件的检测方法、装置及电子设备 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN109802883A (zh) * | 2018-12-27 | 2019-05-24 | 南京信息职业技术学院 | 一种邮件传输方法及其系统 |
| CN110324231A (zh) * | 2018-03-29 | 2019-10-11 | 基点资讯股份有限公司 | 非熟识电子邮件的提醒方法 |
| CN110661750A (zh) * | 2018-06-28 | 2020-01-07 | 深信服科技股份有限公司 | 一种邮件发件人身份检测方法、系统、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098632A (zh) * | 2011-01-28 | 2011-06-15 | 宇龙计算机通信科技(深圳)有限公司 | 邮件过滤方法和移动终端 |
| US20110258201A1 (en) * | 2008-05-28 | 2011-10-20 | Barracuda Inc. | Multilevel intent analysis apparatus & method for email filtration |
| CN103001848A (zh) * | 2011-09-08 | 2013-03-27 | 中国电信股份有限公司 | 垃圾邮件过滤方法及装置 |
| CN103186845A (zh) * | 2011-12-29 | 2013-07-03 | 盈世信息科技(北京)有限公司 | 一种垃圾邮件过滤方法 |
-
2014
- 2014-01-12 CN CN201410030188.4A patent/CN103716335A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110258201A1 (en) * | 2008-05-28 | 2011-10-20 | Barracuda Inc. | Multilevel intent analysis apparatus & method for email filtration |
| CN102098632A (zh) * | 2011-01-28 | 2011-06-15 | 宇龙计算机通信科技(深圳)有限公司 | 邮件过滤方法和移动终端 |
| CN103001848A (zh) * | 2011-09-08 | 2013-03-27 | 中国电信股份有限公司 | 垃圾邮件过滤方法及装置 |
| CN103186845A (zh) * | 2011-12-29 | 2013-07-03 | 盈世信息科技(北京)有限公司 | 一种垃圾邮件过滤方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘武等: "一种垃圾邮件检测与过滤方法", 《中国科技论文在线》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187298A (zh) * | 2015-08-17 | 2015-12-23 | 武汉闪达科技有限公司 | 一种邮件发送中可信通道的建立系统及方法 |
| CN106060021A (zh) * | 2016-05-20 | 2016-10-26 | 腾讯科技(深圳)有限公司 | 一种电子邮件识别方法、装置和系统 |
| CN106060021B (zh) * | 2016-05-20 | 2018-11-27 | 腾讯科技(深圳)有限公司 | 一种电子邮件识别方法、装置和系统 |
| CN106992926A (zh) * | 2017-06-13 | 2017-07-28 | 深信服科技股份有限公司 | 一种伪造邮件检测的方法与系统 |
| CN110324231A (zh) * | 2018-03-29 | 2019-10-11 | 基点资讯股份有限公司 | 非熟识电子邮件的提醒方法 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN110661750A (zh) * | 2018-06-28 | 2020-01-07 | 深信服科技股份有限公司 | 一种邮件发件人身份检测方法、系统、设备及存储介质 |
| CN108683589A (zh) * | 2018-07-23 | 2018-10-19 | 清华大学 | 垃圾邮件的检测方法、装置及电子设备 |
| CN108683589B (zh) * | 2018-07-23 | 2020-07-14 | 清华大学 | 垃圾邮件的检测方法、装置及电子设备 |
| CN109802883A (zh) * | 2018-12-27 | 2019-05-24 | 南京信息职业技术学院 | 一种邮件传输方法及其系统 |
| CN109802883B (zh) * | 2018-12-27 | 2021-07-30 | 南京信息职业技术学院 | 一种邮件传输方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103716335A (zh) | 基于伪造发件人的垃圾邮件检测与过滤方法 | |
| US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| US20180234368A1 (en) | Email Fraud Prevention | |
| CN101558398B (zh) | 基于被引用资源的概率分析检测不想要的电子邮件消息 | |
| US20190319905A1 (en) | Mail protection system | |
| CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| CN101087259A (zh) | 一种过滤国际互联网络中垃圾电子邮件的系统及其实现方法 | |
| CA2654796A1 (en) | Systems and methods for identifying potentially malicious messages | |
| CN108683589B (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
| CN106656728A (zh) | 一种邮件检测与监控系统 | |
| US20190028510A1 (en) | System and method for detecting phishing e-mails | |
| CN111404805A (zh) | 一种垃圾邮件检测方法、装置、电子设备及存储介质 | |
| CN109039874B (zh) | 一种基于行为分析的邮件审计方法及装置 | |
| US8473556B2 (en) | Apparatus, a method, a program and a system for processing an e-mail | |
| KR20170083494A (ko) | 악성 전자 메시지의 검출 기술 | |
| CN113630397A (zh) | 电子邮件安全控制方法、客户端及系统 | |
| CN116074278A (zh) | 恶意邮件的识别方法、系统、电子设备和存储介质 | |
| JP6039378B2 (ja) | 不正メール判定装置、不正メール判定方法、及びプログラム | |
| CN104363160B (zh) | 一种携带文档附件的邮件处理方法、装置和系统 | |
| KR101814088B1 (ko) | 지능형 및 학습형 메일 방화벽 장치 | |
| CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| KR101666614B1 (ko) | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 | |
| CN113938311A (zh) | 一种邮件攻击溯源方法及系统 | |
| CN101951563B (zh) | 邮件网关的故障避免方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140409 |
|
| WD01 | Invention patent application deemed withdrawn after publication |