CN105721276B - 垃圾邮件判定方法及其邮件服务器 - Google Patents
垃圾邮件判定方法及其邮件服务器 Download PDFInfo
- Publication number
- CN105721276B CN105721276B CN201410738216.8A CN201410738216A CN105721276B CN 105721276 B CN105721276 B CN 105721276B CN 201410738216 A CN201410738216 A CN 201410738216A CN 105721276 B CN105721276 B CN 105721276B
- Authority
- CN
- China
- Prior art keywords
- domain
- server
- reference server
- internet protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012545 processing Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 5
- 238000012546 transfer Methods 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 8
- 238000011156 evaluation Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000002040 relaxant effect Effects 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 241000196324 Embryophyta Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种垃圾邮件判定方法及其邮件服务器。所述方法包括:当接收到邮件时,提取邮件的邮件标头;从邮件标头中的接收线程中取得多个参考服务器;取得所述多个参考服务器个别的邮件转送主机的多个邮件转送信息以及邮件接收主机的多个邮件接收信息;比较第i个参考服务器的所述多个邮件转送信息以及第(i‑1)个参考服务器的所述多个邮件接收信息;以及当所述第i个参考服务器的所述多个邮件转送信息完全不匹配于所述第(i‑1)个参考服务器的所述多个邮件接收信息时,判定邮件为垃圾邮件。
Description
技术领域
本发明是有关于一种邮件判定方法及其服务器,且特别是有关于一种垃圾邮件判定方法及其邮件服务器。
背景技术
请参照图1,图1是熟知的邮件转送示意图。如图1所示,一封邮件从使用者110送出时,会经由邮件使用者代理服务器112(Mail User Agent,MUA)送到邮件传输代理服务器114(Mail Transfer Agent,MTA)。MTA 114会依照邮件地址把邮件送给收件者的MTA 116(MTA 114及116之间可能存在其他用于转送邮件的MTA),最后再转送给收件者120的MUA118。
熟知判别垃圾邮件的方式主要分为两种:(1)基于网域名称系统(Domain NameSystem,DNS)的验证方法(2)基于邮件传送路径判别垃圾邮件。
在第一种方式中,当接收端MTA(例如是MTA 116)收到邮件时,可通过DNS解析与DNS反解析查询寄件者的网际网络协议(Internet protocol,IP)地址或网域名称。若查询结果与此邮件的Helo域(helo domain)不符,则认定该封邮件为垃圾邮件。
DNS能够做网域名称与IP地址之间的转换,而DNS解析即是查询IP地址以得到此IP地址在注册时相对应的网域名称。DNS反解析则是查询网域名称以得到此网域名称在注册时相对应的IP地址,而Helo域则是MTA宣称的主机(hostname)名称。
另一方面,第二种方式的原理在于通过邮件标头(Header)中,接收栏位(Receivedfield)的路径信息,再分析MTA的历史行为。请参照图2,图2为熟知的邮件标头示意图。在图2虚线所框住的接收线程210(received line)的多个接收栏位中,越下方的接收栏位越接近寄件者,而越上方则是越接近收件者。
针对标注过的邮件集合,可分为垃圾邮件与合法邮件。接着,可取得接收栏位中所有MTA对应的IP地址,并统计这些IP地址在垃圾邮件及合法邮件中的出现频率,进而评分MTA的信誉度(credibility)。之后,假设收到的邮件来自信誉度较高的MTA,则标注此邮件为合法邮件,否则标注此邮件为垃圾邮件。
然而,在第一种方式中,DNS会将某些宣称网域名称的设定有误的MTA误判为垃圾邮件服务器。另外,在第二种方式中,需要用到历史评价(例如,信誉度)来决定邮件是否为垃圾邮件。
实际上,许多MTA所宣称的网域名称与其IP地址所注册的网域之间可能会因设定人员的操作疏失而出现误差,因而可能导致邮件被误判为垃圾邮件。
发明内容
有鉴于此,本发明提供一种垃圾邮件过滤方法及其邮件服务器,其增加了邮件分析的可靠度。并且,本发明的方法及邮件服务器可针对邮件路径连续性的分析做判断,因而可在不需要用到历史评价的情况下提升垃圾邮件判断的精准度。
本发明提供一种垃圾邮件判定方法,适于邮件服务器。所述方法包括:当接收到邮件时,提取邮件的邮件标头;从邮件标头中的接收线程中取得多个参考服务器,其中所述多个参考服务器个别为邮件传输代理服务器,且所述多个参考服务器依据顺序传送邮件;取得所述多个参考服务器个别的邮件转送主机的多个邮件转送信息以及邮件接收主机的多个邮件接收信息;比较所述多个参考服务器中的第i个参考服务器的所述多个邮件转送信息以及第(i-1)个参考服务器的所述多个邮件接收信息,其中i为正整数;以及当所述第i个参考服务器的所述多个邮件转送信息完全不匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息时,判定邮件为垃圾邮件。
在本发明之一实施例中,所述多个参考服务器为转送邮件的所有服务器。
在本发明之一实施例中,从邮件标头中的接收线程中取得多个参考服务器的步骤包括:分析邮件标头以找出转送邮件的所有服务器;判断接收线程中是否存在子集合,其中子集合包括所述多个服务器中属于同一个网域的多个特定服务器;以及当接收线程中存在子集合时,以所述多个特定服务器的其中之一作为代表所述多个特定服务器的参考服务器。
在本发明之一实施例中,比较所述多个参考服务器中的所述第i个参考服务器的所述多个邮件转送信息以及所述第(i-1)个参考服务器的所述多个邮件接收信息的步骤包括:判断所述第i个参考服务器的所述多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息的其中之一。
在本发明之一实施例中,所述第i个参考服务器的所述多个邮件转送信息包括所述第i个参考服务器的邮件转送主机的第一Helo域、第一网际网络协议地址以及第一网际网络协议域。所述第(i-1)个参考服务器的所述多个邮件接收信息包括所述第(i-1)个参考服务器的邮件接收主机的第二Helo域、第二网际网络协议地址以及第二网际网络协议域。
在本发明之一实施例中,判断所述第i个参考服务器的所述多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息的其中之一的步骤包括:反解析第一Helo域及第一网际网络协议域以取得多个第一地址;反解析第二Helo域以及第二网际网络协议域以取得多个第二地址;以及判断所述多个第一地址以及第一网际网络协议地址的其中之一是否匹配于所述多个第二地址以及第二网际网络协议地址的其中之一。
在本发明之一实施例中,判断所述多个第一地址以及第一网际网络协议地址的其中之一是否匹配于所述多个第二地址以及第二网际网络协议地址的其中之一的步骤包括:个别从第一网际网络协议地址以及所述多个第一地址中提取出多个第一部分地址;个别从第二网际网络协议地址以及所述多个第二地址中提取出多个第二部分地址;以及判断所述多个第一部分地址的其中之一是否匹配于所述多个第二部分地址的其中之一。
在本发明之一实施例中,判断所述第i个参考服务器的所述多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息的其中之一的步骤包括:解析第一网际网络协议地址以取得第一域名;解析第二网际网络协议地址以取得第二域名;以及判断第一域名、第一Helo域及第一网际网络协议域的其中之一是否匹配于第二域名、第二Helo域及第二网际网络协议域的其中之一。
在本发明之一实施例中,判断第一域名、第一Helo域及第一网际网络协议域的其中之一是否匹配于第二域名、第二Helo域及第二网际网络协议域的其中之一的步骤包括个别从第一Helo域、第一域名以及第一网际网络协议域中提取出多个第一基域名;个别从第二Helo域、第二域名以及第二网际网络协议域中提取出多个第二基域名;以及判断所述多个第一基域名的其中之一是否匹配于所述多个第二基域名的其中之一。
在本发明之一实施例中,当所述第i个参考服务器的所述多个邮件转送信息的其中之一匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息的其中之一时,定义所述第i个参考服务器与所述第(i-1)个参考服务器之间具有连续性;当所述多个参考服务器中连续的任意两个参考服务器皆具有连续性时,判定邮件为正常邮件。
本发明提供一种邮件服务器,包括储存单元以及处理单元。储存单元储存多个模块。处理单元耦接储存单元,存取并执行所述多个模块。所述多个模块包括提取模块、第一取得模块、第二取得模块、比较模块以及判定模块。当接收到邮件时,提取模块提取邮件的邮件标头。第一取得模块从邮件标头中的接收线程中取得多个参考服务器。所述多个参考服务器个别为邮件传输代理服务器,且所述多个参考服务器依据顺序传送邮件。第二取得模块取得所述多个参考服务器个别的邮件转送主机的多个邮件转送信息以及邮件接收主机的多个邮件接收信息。比较模块比较所述多个参考服务器中的第i个参考服务器的所述多个邮件转送信息以及第(i-1)个参考服务器的所述多个邮件接收信息,其中i为正整数。当所述第i个参考服务器的所述多个邮件转送信息完全不匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息时,判定模块判定邮件为垃圾邮件。
在本发明之一实施例中,所述多个参考服务器为转送邮件的所有服务器。
在本发明之一实施例中,第一取得模块经配置以:分析邮件标头以找出转送邮件的所有服务器;判断接收线程中是否存在子集合,其中子集合包括所述多个服务器中属于同一个网域的多个特定服务器;以及当接收线程中存在子集合时,以所述多个特定服务器的其中之一作为代表所述多个特定服务器的参考服务器。
在本发明之一实施例中,比较模块经配置以:判断所述第i个参考服务器的所述多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息的其中之一。
在本发明之一实施例中,所述第i个参考服务器的所述多个邮件转送信息包括所述第i个参考服务器的邮件转送主机的第一Helo域、第一网际网络协议地址以及第一网际网络协议域。所述第(i-1)个参考服务器的所述多个邮件接收信息包括所述第(i-1)个参考服务器的邮件接收主机的第二Helo域、第二网际网络协议地址以及第二网际网络协议域。
在本发明之一实施例中,比较模块经配置以:反解析第一Helo域及第一网际网络协议域以取得多个第一地址;反解析第二Helo域以及第二网际网络协议域以取得多个第二地址;以及判断所述多个第一地址以及第一网际网络协议地址的其中之一是否匹配于所述多个第二地址以及第二网际网络协议地址的其中之一。
在本发明之一实施例中,比较模块经配置以:个别从第一网际网络协议地址以及所述多个第一地址中提取出多个第一部分地址;个别从第二网际网络协议地址以及所述多个第二地址中提取出多个第二部分地址;以及判断所述多个第一部分地址的其中之一是否匹配于所述多个第二部分地址的其中之一。
在本发明之一实施例中,比较模块经配置以:解析第一网际网络协议地址以取得第一域名;解析第二网际网络协议地址以取得第二域名;以及判断第一域名、第一Helo域及第一网际网络协议域的其中之一是否匹配于第二域名、第二Helo域及第二网际网络协议域的其中之一。
在本发明之一实施例中,比较模块经配置以:个别从第一Helo域、第一域名以及第一网际网络协议域中提取出多个第一基域名;个别从第二Helo域、第二域名以及第二网际网络协议域中提取出多个第二基域名;以及判断所述多个第一基域名的其中之一是否匹配于所述多个第二基域名的其中之一。
在本发明之一实施例中,当所述第i个参考服务器的所述多个邮件转送信息的其中之一匹配于所述第(i-1)个参考服务器的所述多个邮件接收信息的其中之一时,判定模块经配置以定义所述第i个参考服务器与所述第(i-1)个参考服务器之间具有连续性,并且,当所述多个参考服务器中连续的任意两个参考服务器皆具有连续性时,判定模块经配置以判定邮件为正常邮件。
基于上述,本发明实施例提出的方法以及邮件服务器可基于各个参考服务器之间的连续性来判定邮件是否为垃圾邮件。当任意两个连续的参考服务器之间不存在连续性时,即判定此邮件为垃圾邮件。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图式作详细说明如下。
附图说明
图1是熟知的邮件转送示意图。
图2为熟知的邮件标头示意图。
图3是依据本发明的一实施例所示的邮件服务器功能方块图。
图4是依据本发明的一实施例所示的垃圾邮件判定方法流程图。
图5是依据本发明的一实施例所示的接收线程示意图。
其中,附图标记说明如下:
110:使用者
112、118:MUA
114、116:MTA
120:收件者
210、500:接收线程
300:邮件服务器
310:储存单元
310_1:提取模块
310_2:第一取得模块
310_3:第二取得模块
310_4:比较模块
310_5:判定模块
320:处理单元
510~540:子集合
m0~m8:服务器
m0’~m3’:参考服务器
S410~S450:步骤
具体实施方式
图3是依据本发明的一实施例所示的邮件服务器功能方块图。在本实施例中,邮件服务器300例如是MUA或是其他可用于处理电子邮件的服务器,其包括储存单元310以及处理单元320。储存单元310例如是存储器、硬盘或是其他任何可用于储存数据的元件,而可用以记录多个程序码或模块。
处理单元320耦接储存单元310。处理单元320例如是一般用途处理器、特殊用途处理器、传统的处理器、数字信号处理器、多个微处理器(microprocessor)、一个或多个结合数字信号处理器核心的微处理器、控制器、微控制器、特殊应用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、现场可编程门阵列电路(Field ProgrammableGate Array,FPGA)、任何其他种类的集成电路、状态机、基于进阶精简指令集机器(Advanced RISC Machine,ARM)的处理器以及类似品。
在本实施例中,处理单元320可存取储存单元310所储存的提取模块310_1、第一取得模块310_2、第二取得模块310_3、比较模块310_4以及判定模块310_5以执行本发明提出的垃圾邮件判定方法。
图4是依据本发明的一实施例所示的垃圾邮件判定方法流程图。本实施例提出的方法可由图3的邮件服务器300执行,以下即搭配图3的各个元件来说明本方法的详细步骤。
在步骤S410中,当接收到邮件时,提取模块310_1可提取邮件的邮件标头(例如是图2所示的邮件标头)。接着,在步骤S420中,第一取得模块310_2可从邮件标头中的接收线程中取得多个参考服务器。所述多个参考服务器个别可以是MTA,且依据一顺序传送所述邮件。在一实施例中,所述多个参考服务器例如是转送此邮件的所有服务器。以图1为例,所述多个参考服务器例如是MTA 114及116,其依序地将来自使用者110的邮件传送至收件者120,但本发明的可实施方式不限于此。
在步骤S430中,第二取得模块310_3可取得所述多个参考服务器个别的邮件转送主机的的多个邮件转送信息以及邮件接收主机的多个邮件接收信息。具体而言,第二取得模块310_3可从各个参考服务器对应的接收栏位来取得步骤S430中的各种信息。
针对第i个参考服务器而言,其对应的邮件转送主机即为第(i-1)个参考服务器,亦即将邮件转送给第i个参考服务器的服务器),而此邮件转送主机的邮件转送信息例如包括其Helo域、IP地址以及IP域(IP domain)。在本实施例中,假设所述多个参考服务器的数量为N,则i为介于1与N之间的任意正整数。
另一方面,对应于第i个参考服务器的邮件接收主机即为第(i+1)个参考服务器,亦即接收第i个参考服务器所转发邮件的服务器,而此邮件接收主机的邮件转送信息例如包括其Helo域、IP地址以及IP域。
在第二取得模块310_3对每个参考服务器皆取得对应的邮件转送信息以及邮件接收信息之后,在步骤S440中,比较模块310_4可比较所述多个参考服务器中的第i个参考服务器的所述多个邮件转送信息以及第(i-1)个参考服务器的所述多个邮件接收信息。
在步骤S450中,当第i个参考服务器的所述多个邮件转送信息完全不匹配于第(i-1)个参考服务器的所述多个邮件接收信息时,判定模块310_5可判定邮件为垃圾邮件。
具体而言,当第i个参考服务器的所述多个邮件转送信息完全不匹配于第(i-1)个参考服务器的所述多个邮件接收信息时,即代表第i个参考服务器与第(i-1)个参考服务器之间不具有连续性,也就是第i个参考服务器的接收来源与第(i-1)个参考服务器的转发目的地出现不一致的情形。在此情况下,判定模块310_5才会判定邮件为垃圾邮件。
从另一观点而言,除非第i个参考服务器和/或第(i-1)个参考服务器的设定人员在设定上述信息时出现过多的误植或是其他的失误情形,否则第i个参考服务器的所述多个邮件转送信息与第(i-1)个参考服务器的所述多个邮件接收信息出现完全不一致情形的机率相当低。亦即,在实施本发明的方法后,即便设定人员在设定时出现误植的情形,只要此情形不会导致第i个参考服务器的所述多个邮件转送信息与第(i-1)个参考服务器的所述多个邮件接收信息之间完全不一致的情形,所述邮件仍不会被轻易地判定为垃圾邮件。如此一来,邮件被误判为垃圾邮件的机率即可大幅地降低。
在其他实施例中,当第i个参考服务器的所述多个邮件转送信息的其中之一匹配于第(i-1)个参考服务器的所述多个邮件接收信息的其中之一时,判定模块310_5可定义第i个参考服务器与第(i-1)个参考服务器之间具有连续性,也就是第i个参考服务器的接收来源与第(i-1)个参考服务器的转发目的地之间具有一致性。并且,当所述多个参考服务器中连续的任意两个参考服务器皆具有连续性时,判定模块310_5可判定邮件为正常邮件。
也就是说,通过合理地放宽参考服务器之间连续性判断标准的方式,本发明的方法可让邮件不会轻易地因人为疏失而导致被误判为垃圾邮件,进而提升了邮件分析的可靠度。并且,本发明的方法可在不需要用到参考服务器历史评价的情况下提升垃圾邮件判断的精准度。
在其他实施例中,步骤S440可采用多种可能的实施方式来实现,以下将分别进行说明。为了便于说明,以下将第i个参考服务器的各个邮件转送信息表示为“fi=(heloDomaini f,ipi f,ipDomaini f)”的形式,其中heloDomaini f、ipi f及ipDomaini f分别为第i个参考服务器的邮件转送主机的Helo域、IP地址以及IP域。并且,以下将第(i-1)个参考服务器的多个邮件接收信息“bi-1=(heloDomaini-1 b,ipi-1 b,ipDomaini-1 b)”的形式,其中heloDomaini-1 b、ipi-1 b及ipDomaini-1 b分别为第(i-1)个参考服务器的邮件接收主机的Helo域、IP地址以及IP域。
具体而言,比较模块310_4可判断第i个参考服务器的多个邮件转送信息的其中之一是否匹配于第(i-1)个参考服务器的多个邮件接收信息的其中之一。
在一第一实施例中,为了便于将fi及bi-1中的各个信息进行比较,比较模块310_4可先通过例如DNS反解析的方式来将各个域转换为对应的IP位置。具体而言,比较模块310_4可反解析heloDomaini f及ipDomaini f以取得多个第一地址。接着,比较模块310_4可反解析heloDomaini-1 b及ipDomaini-1 b以取得多个第二地址。
之后,比较模块310_4可判断所述多个第一地址以及ipi f的其中之一是否匹配于所述多个第二地址以及ipi-1 b的其中之一。若是,比较模块310_4即可判断第i个参考服务器与第(i-1)个参考服务器之间具有连续性。
此外,在一第二实施例中,可将第一实施例的判断方式进一步改进以降低判断时所需的运算量。举例而言,比较模块310_4可个别从ipi f以及所述多个第一地址中提取出多个第一部分地址。所述多个第一部分地址例如是ipi f以及所述多个第一地址中前面16个位元的部分地址,但本发明的可实施方式不限于此。举例而言,假设ipi f为“140.121.196.101”,则其对应的第一部分地址可以是“140.121”,亦即ipi f的前面16个位元。同理,比较模块310_4亦可个别从ipi-1 b以及所述多个第二地址中提取出多个第二部分地址。接着,比较模块310_4可判断所述多个第一部分地址的其中之一是否匹配于所述多个第二部分地址的其中之一。若是,比较模块310_4即可判断第i个参考服务器与第(i-1)个参考服务器之间具有连续性。
在一第三实施例中,为了便于将fi及bi-1中的各个信息进行比较,比较模块310_4可先通过例如DNS解析的方式来将各个IP地址转换为对应的域(与第一实施例的方式相反)。具体而言,比较模块310_4可解析ipi f以取得第一域名,以及解析ipi-1 b以取得第二域名。之后,比较模块310_4可判断第一域名、heloDomaini f及ipDomaini f的其中之一是否匹配于第二域名、heloDomaini-1 b及ipDomaini-1 b的其中之一。若是,比较模块310_4即可判断第i个参考服务器与第(i-1)个参考服务器之间具有连续性。
此外,在一第四实施例中,可将第三实施例的判断方式进一步改进以降低判断时所需的运算量。举例而言,比较模块310_4可个别从第一域名、heloDomaini f及ipDomaini f中提取出多个第一基域名(base domain)。假设第一域名为“mx.google.com”,则其对应的第一基域名可以是“google.com”,但本发明的可实施方式不限于此。同理,比较模块310_4亦可个别从第二域名、heloDomaini-1 b及ipDomaini-1 b中提取出多个第二基域名。接着,比较模块310_4可判断所述多个第一基域名的其中之一是否匹配于所述多个第二基域名的其中之一。若是,比较模块310_4即可判断第i个参考服务器与第(i-1)个参考服务器之间具有连续性。
在其他实施例中,当所述多个参考服务器中出现属于同一个网域的连续多个特定服务器(即,同一个网域中的内部节点)时,由于这些特定服务器之间必然具有连续性,因此本发明可通过以下方式适当地排除这些特定服务器中的一部分以减少运算量。
具体而言,第一取得模块310_2可分析邮件的邮件标头以找出转送此邮件的所有服务器。接着,第一取得模块310_2可判断接收线程中是否存在子集合。所述子集合包括服务器中属于同一个网域的多个特定服务器。当接收线程中存在子集合时,第一取得模块310_2可采用所述多个特定服务器的其中之一作为代表所述多个特定服务器的参考服务器。
请参照图5,图5是依据本发明的一实施例所示的接收线程示意图。在本实施例中,接收线程500包括服务器m0~m8,其为用于传送邮件的所有服务器。在接收线程500中,假设服务器m0~m2皆属于第一网域,服务器m3~m4皆属于第二网域,服务器m5~m6皆属于第三网域,而服务器m7~m8皆属于第四网域。换言之,服务器m0~m2可组成子集合510;服务器m3~m4可组成子集合520;服务器m5~m6可组成子集合530;服务器m7~m8可组成子集合540。
接着,由于第一取得模块310_2判断接收线程500中存在子集合510~540,因此,对于子集合510~540而言,第一取得模块310_2可采用各个子集合所包括的服务器之一作为代表子集合中各个服务器的参考服务器m0’~m3’。
在以参考服务器m0’~m3’代表服务器m0~m8之后,由于用来判定邮件是否为垃圾邮件的信息量已大幅地下降,因而能够有效地提升本发明所提出方法的效率。
综上所述,本发明实施例提出的方法以及邮件服务器可基于各个参考服务器之间的连续性来判定邮件是否为垃圾邮件。当任意两个连续的参考服务器之间不存在连续性时,即判定此邮件为垃圾邮件。另一方面,当各个参考服务器之间全部都存在连续性时,即判定此邮件为正常邮件。
并且,通过合理地放宽参考服务器之间连续性判断标准的方式,本发明的方法可让邮件不会轻易地因人为疏失而导致被误判为垃圾邮件,进而提升了邮件分析的可靠度。并且,本发明的方法可在不需要用到参考服务器历史评价的情况下提升垃圾邮件判断的精准度。
虽然本发明已以实施例揭露如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视后附的权利要求所界定为准。
Claims (18)
1.一种垃圾邮件判定方法,适于一邮件服务器,包括:
当接收到一邮件时,提取该邮件的一邮件标头;
从该邮件标头中的一接收线程中取得多个参考服务器,其中该多个参考服务器个别为一邮件传输代理服务器,且该多个参考服务器依据一顺序传送该邮件;
取得该多个参考服务器个别的一邮件转送主机的多个邮件转送信息以及一邮件接收主机的多个邮件接收信息;
比较该多个参考服务器中的第i个参考服务器的该多个邮件转送信息以及第(i-1)个参考服务器的该多个邮件接收信息,其中i为正整数;
当所述第i个参考服务器的该多个邮件转送信息完全不匹配于所述第(i-1)个参考服务器的该多个邮件接收信息时,判定该邮件为一垃圾邮件;
其中从该邮件标头中的接收线程中取得多个参考服务器的步骤包括:
分析该邮件标头以找出转送该邮件的所有服务器;
判断该接收线程中是否存在一子集合,其中该子集合包括该所有服务器中属于同一个网域的多个特定服务器;以及
当该接收线程中存在该子集合时,以该多个特定服务器的其中之一作为代表该多个特定服务器的参考服务器。
2.如权利要求1所述的方法,其中该多个参考服务器为转送该邮件的所有服务器。
3.如权利要求1所述的方法,其中比较该多个参考服务器中的所述第i个参考服务器的该多个邮件转送信息以及所述第(i-1)个参考服务器的该多个邮件接收信息的步骤包括:
判断所述第i个参考服务器的该多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的该多个邮件接收信息的其中之一。
4.如权利要求3所述的方法,其中,所述第i个参考服务器的该多个邮件转送信息包括所述第i个参考服务器的该邮件转送主机的一第一Helo域、一第一网际网络协议地址以及一第一网际网络协议域;
所述第(i-1)个参考服务器的该多个邮件接收信息包括所述第(i-1)个参考服务器的该邮件接收主机的一第二Helo域、一第二网际网络协议地址以及一第二网际网络协议域。
5.如权利要求4所述的方法,其中判断所述第i个参考服务器的该多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的该多个邮件接收信息的其中之一的步骤包括:
反解析该第一Helo域及该第一网际网络协议域以取得多个第一地址;
反解析该第二Helo域以及该第二网际网络协议域以取得多个第二地址;以及
判断该多个第一地址以及该第一网际网络协议地址的其中之一是否匹配于该多个第二地址以及该第二网际网络协议地址的其中之一。
6.如权利要求5所述的方法,其中判断该多个第一地址以及该第一网际网络协议地址的其中之一是否匹配于该多个第二地址以及该第二网际网络协议地址的其中之一的步骤包括:
个别从该第一网际网络协议地址以及该多个第一地址中提取出多个第一部分地址;
个别从该第二网际网络协议地址以及该多个第二地址中提取出多个第二部分地址;以及
判断该多个第一部分地址的其中之一是否匹配于该多个第二部分地址的其中之一。
7.如权利要求4所述的方法,其中判断所述第i个参考服务器的该多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的该多个邮件接收信息的其中之一的步骤包括:
解析该第一网际网络协议地址以取得一第一域名;
解析该第二网际网络协议地址以取得一第二域名;以及
判断该第一域名、该第一Helo域及该第一网际网络协议域的其中之一是否匹配于该第二域名、该第二Helo域及该第二网际网络协议域的其中之一。
8.如权利要求7所述的方法,其中判断该第一域名、该第一Helo域及该第一网际网络协议域的其中之一是否匹配于该第二域名、该第二Helo域及该第二网际网络协议域的其中之一的步骤包括:
个别从该第一Helo域、该第一域名以及该第一网际网络协议域中提取出多个第一基域名;
个别从该第二Helo域、该第二域名以及该第二网际网络协议域中提取出多个第二基域名;以及
判断该多个第一基域名的其中之一是否匹配于该多个第二基域名的其中之一。
9.如权利要求3所述的方法,其中当所述第i个参考服务器的该多个邮件转送信息的其中之一匹配于所述第(i-1)个参考服务器的该多个邮件接收信息的其中之一时,定义所述第i个参考服务器与所述第(i-1)个参考服务器之间具有一连续性;
当该多个参考服务器中连续的任意两个参考服务器皆具有该连续性时,判定该邮件为一正常邮件。
10.一种邮件服务器,包括:
一储存单元,储存多个模块;以及
一处理单元,耦接该储存单元,存取并执行该多个模块,该多个模块包括:
一提取模块,当接收到一邮件时,提取该邮件的一邮件标头;
一第一取得模块,从该邮件标头中的一接收线程中取得多个参考服务器,其中该多个参考服务器个别为一邮件传输代理服务器,且该多个参考服务器依据一顺序传送该邮件;
一第二取得模块,取得该多个参考服务器个别的一邮件转送主机的多个邮件转送信息以及一邮件接收主机的多个邮件接收信息;
一比较模块,比较该多个参考服务器中的第i个参考服务器的该多个邮件转送信息以及第(i-1)个参考服务器的该多个邮件接收信息,其中i为正整数;
一判定模块,当所述第i个参考服务器的该多个邮件转送信息完全不匹配于所述第(i-1)个参考服务器的该多个邮件接收信息时,判定该邮件为一垃圾邮件;
其中该第一取得模块经配置以:
分析该邮件标头以找出转送该邮件的所有服务器;
判断该接收线程中是否存在一子集合,其中该子集合包括该所有服务器中属于同一个网域的多个特定服务器;以及
当该接收线程中存在该子集合时,以该多个特定服务器的其中之一作为代表该多个特定服务器的参考服务器。
11.如权利要求10所述的邮件服务器,其中该多个参考服务器为转送该邮件的所有服务器。
12.如权利要求10所述的邮件服务器,其中该比较模块经配置以:
判断所述第i个参考服务器的该多个邮件转送信息的其中之一是否匹配于所述第(i-1)个参考服务器的该多个邮件接收信息的其中之一。
13.如权利要求12所述的邮件服务器,其中,所述第i个参考服务器的该多个邮件转送信息包括所述第i个参考服务器的该邮件转送主机的一第一Helo域、一第一网际网络协议地址以及一第一网际网络协议域;
所述第(i-1)个参考服务器的该多个邮件接收信息包括所述第(i-1)个参考服务器的该邮件接收主机的一第二Helo域、一第二网际网络协议地址以及一第二网际网络协议域。
14.如权利要求13所述的邮件服务器,其中该比较模块经配置以:
反解析该第一Helo域及该第一网际网络协议域以取得多个第一地址;
反解析该第二Helo域以及该第二网际网络协议域以取得多个第二地址;以及
判断该多个第一地址以及该第一网际网络协议地址的其中之一是否匹配于该多个第二地址以及该第二网际网络协议地址的其中之一。
15.如权利要求14所述的邮件服务器,其中该比较模块经配置以:
个别从该第一网际网络协议地址以及该多个第一地址中提取出多个第一部分地址;
个别从该第二网际网络协议地址以及该多个第二地址中提取出多个第二部分地址;以及
判断该多个第一部分地址的其中之一是否匹配于该多个第二部分地址的其中之一。
16.如权利要求13所述的邮件服务器,其中该比较模块经配置以:
解析该第一网际网络协议地址以取得一第一域名;
解析该第二网际网络协议地址以取得一第二域名;以及
判断该第一域名、该第一Helo域及该第一网际网络协议域的其中之一是否匹配于该第二域名、该第二Helo域及该第二网际网络协议域的其中之一。
17.如权利要求16所述的邮件服务器,其中该比较模块经配置以:
个别从该第一Helo域、该第一域名以及该第一网际网络协议域中提取出多个第一基域名;
个别从该第二Helo域、该第二域名以及该第二网际网络协议域中提取出多个第二基域名;以及
判断该多个第一基域名的其中之一是否匹配于该多个第二基域名的其中之一。
18.如权利要求12所述的邮件服务器,其中当所述第i个参考服务器的该多个邮件转送信息的其中之一匹配于所述第(i-1)个参考服务器的该多个邮件接收信息的其中之一时,该判定模块经配置以定义所述第i个参考服务器与所述第(i-1)个参考服务器之间具有一连续性,并且,当该多个参考服务器中连续的任意两个参考服务器皆具有该连续性时,该判定模块经配置以判定该邮件为一正常邮件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW103139766 | 2014-11-17 | ||
| TW103139766A TWI544764B (zh) | 2014-11-17 | 2014-11-17 | 垃圾郵件判定方法及其郵件伺服器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105721276A CN105721276A (zh) | 2016-06-29 |
| CN105721276B true CN105721276B (zh) | 2018-12-25 |
Family
ID=55962743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410738216.8A Active CN105721276B (zh) | 2014-11-17 | 2014-12-05 | 垃圾邮件判定方法及其邮件服务器 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9680780B2 (zh) |
| CN (1) | CN105721276B (zh) |
| TW (1) | TWI544764B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453436B (zh) * | 2016-12-21 | 2019-05-31 | 北京奇虎科技有限公司 | 一种网络安全的检测方法和装置 |
| CN113315741B (zh) * | 2020-02-27 | 2022-11-22 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188580A (zh) * | 2007-12-05 | 2008-05-28 | 中国联合通信有限公司 | 一种实时垃圾电子邮件过滤方法及系统 |
| CN103516596A (zh) * | 2013-10-24 | 2014-01-15 | 深圳先进技术研究院 | 电子邮件处理方法和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030172291A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
| US7490128B1 (en) | 2002-09-09 | 2009-02-10 | Engate Technology Corporation | Unsolicited message rejecting communications processor |
| US7272853B2 (en) | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
| US8533270B2 (en) * | 2003-06-23 | 2013-09-10 | Microsoft Corporation | Advanced spam detection techniques |
| US20050289239A1 (en) * | 2004-03-16 | 2005-12-29 | Prakash Vipul V | Method and an apparatus to classify electronic communication |
| US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
-
2014
- 2014-11-17 TW TW103139766A patent/TWI544764B/zh active
- 2014-12-05 CN CN201410738216.8A patent/CN105721276B/zh active Active
-
2015
- 2015-03-20 US US14/663,458 patent/US9680780B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188580A (zh) * | 2007-12-05 | 2008-05-28 | 中国联合通信有限公司 | 一种实时垃圾电子邮件过滤方法及系统 |
| CN103516596A (zh) * | 2013-10-24 | 2014-01-15 | 深圳先进技术研究院 | 电子邮件处理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201620272A (zh) | 2016-06-01 |
| CN105721276A (zh) | 2016-06-29 |
| US9680780B2 (en) | 2017-06-13 |
| TWI544764B (zh) | 2016-08-01 |
| US20160142353A1 (en) | 2016-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8959157B2 (en) | Real-time spam look-up system | |
| US9838403B2 (en) | System and method for identifying abusive account registration | |
| US9571511B2 (en) | Systems and methods for traffic classification | |
| CN108011752A (zh) | 故障定位分析方法及装置、计算机可读存储介质 | |
| US20150095359A1 (en) | Volume Reducing Classifier | |
| US20060168006A1 (en) | System and method for the classification of electronic communication | |
| KR101668272B1 (ko) | 미등록 도메인 명칭의 특징화 | |
| CN101014020A (zh) | 用于识别垃圾电子邮件的方法和系统 | |
| CN108200034A (zh) | 一种识别域名的方法及装置 | |
| Korczynski et al. | Reputation metrics design to improve intermediary incentives for security of TLDs | |
| Zhang et al. | Toward unsupervised protocol feature word extraction | |
| EP2692119A1 (en) | Non-existent domain names traffic analysis | |
| US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
| CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
| CN105721276B (zh) | 垃圾邮件判定方法及其邮件服务器 | |
| US10666536B1 (en) | Network asset discovery | |
| EP2749001A2 (en) | Determining validity of sip messages without parsing | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| US11411919B2 (en) | Deep packet inspection application classification systems and methods | |
| CN113746738A (zh) | 数据转发方法、装置及相关设备 | |
| Nasrin et al. | How many users are enough? Exploring semi-supervision and stylometric features to uncover a russian troll farm | |
| WO2022143483A1 (zh) | 确定数据流标签的方法、装置以及相关设备 | |
| CN108847962A (zh) | 一种信息审计方法及装置 | |
| Torres et al. | Strategies for automatic labelling of web traffic traces |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |