CN106992926A - 一种伪造邮件检测的方法与系统 - Google Patents
一种伪造邮件检测的方法与系统 Download PDFInfo
- Publication number
- CN106992926A CN106992926A CN201710442563.XA CN201710442563A CN106992926A CN 106992926 A CN106992926 A CN 106992926A CN 201710442563 A CN201710442563 A CN 201710442563A CN 106992926 A CN106992926 A CN 106992926A
- Authority
- CN
- China
- Prior art keywords
- outbox
- server
- target email
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
本发明实施例公开了一种伪造邮件检测的方法与系统,用于检测识别伪造邮件,降低电子邮件被恶意攻击的风险。本发明实施例方法包括:获取目标电子邮件的传输协议数据;从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息;检测所述发件方的身份信息是否存在伪造,若存在伪造,则确定所述目标电子邮件为伪造邮件。
Description
技术领域
本发明涉及电子邮件技术领域,尤其涉及一种伪造邮件检测的方法与系统。
背景技术
当今世界电子邮件已经成为最常用的网络交流方式之一,几乎每个网络用户有一个电子邮件账户,越来越多的公司和个人告别传统的邮件通信方式而使用电子邮件和及时通讯软件进行通信。
不幸的是尽管电子邮件在商业、个人领域的渗透力不断增强,但是电子邮件的威胁、脆弱性仍然没有引起人们足够的重视,大部分用户在接收邮件时仍然面临很大的安全风险,例如,若未对发件方的身份信息进行识别,当恶意用户通过假冒发件服务器的域名发送伪造电子邮件时,会对正常用户产生负面影响。
随着电子邮件被更多的企业使用,针对假冒发件方身份信息发送伪造电子邮件问题,已经成为亟待解决的问题。
发明内容
本发明实施例提供了一种伪造邮件检测的方法与系统,用于伪造邮件检测。
本发明实施例第一方面提供了一种伪造邮件检测的方法,可包括:
获取目标电子邮件的传输协议数据;
从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息;
检测所述发件方的身份信息是否存在伪造,若存在伪造,则确定所述目标电子邮件为伪造邮件。
结合第一方面,在第一方面的第一种可能的实现方式中,所述目标电子邮件的发件方的身份信息,包括:
所述目标电子邮件的发件服务器的域名,和/或所述目标电子邮件的发件人邮箱的顶级域名。
结合第一方面,第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述检测所述发件服务器的发件方的身份信息是否存在伪造,包括:
校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致,若不一致,则确定所述发件方的身份信息存在伪造。
结合第一方面,第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述检测所述发件服务器的域名是否存在伪造,包括:
根据所述目标电子邮件的发件服务器的域名解析所述发件服务器的第一IP;
从所述传输协议数据中识别所述发件服务器的第二IP,所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP;
校验所述第二IP是否与所述第一IP一致,若不一致,则确定所述发件方的身份信息存在伪造。
结合第一方面,第一方面的第一种可能的实现方式,第一方面的第二种可能的实现方式,第一方面的第三种可能的实现方式中任一种可能的实现方式,在第一方面的第四种可能的实现方式中,在确定所述目标电子邮件为伪造邮件之后,该方法还包括:
对所述目标电子邮件进行标记,以指示所述目标电子邮件为伪造邮件。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,在检测所述发件服务器的域名是否存在伪造之前,该方法还包括:
校验所述第二IP是否与恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定所述目标电子邮件为伪造邮件。
本发明实施例第二方面提供了一种伪造邮件检测系统,可包括:
邮件协议识别模块,用于获取目标电子邮件的传输协议数据;
邮件解析模块,用于从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息;
邮件检测模块,用于检测所述发件服务器的发件方的身份信息是否存在伪造,若存在伪造,则确定所述目标电子邮件为伪造邮件。
结合第二方面,在第二方面的第一种可能的实现方式中,所述邮件检测模块,包括:
第一校验单元,用于校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致,若不一致,则确定所述发件方的身份信息存在伪造。
结合第二方面,在第二方面的第二种可能的实现方式中,所述邮件检测模块,包括:
解析单元,用于根据所述目标电子邮件的发件服务器的域名解析所述发件服务器的第一IP;
第二识别单元,用于从所述传输协议数据中识别所述发件服务器的第二IP,所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP;
第二校验单元,用于校验所述第二IP是否与所述第一IP一致,若不一致,则确定所述发件方的身份信息存在伪造。
结合第二方面,第二方面的第一种可能的实现方式,第二方面的第二种可能的实现方式中任一种可能的实现方式,在第二方面的第三种可能的实现方式中,该系统还包括:
标记模块,用于对所述目标电子邮件进行标记,以指示所述目标电子邮件为伪造邮件。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,该系统还包括:
恶意邮件信誉库,用于记录恶意IP;
校验模块,用于校验所述第二IP是否与所述恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定所述目标电子邮件为伪造邮件。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,通过在获取到的目标电子邮件的传输协议数据中识别目标电子邮件的发件服务器的发件方的身份信息,并检测该发件方的身份信息是否存在伪造,若存在伪造,则可以确定目标电子邮件为伪造邮件,即本发明实施例可以通过识别发件方的身份信息的方式识别伪造邮件,降低了正常用户被伪造电子邮件攻击的风险。
附图说明
图1为本发明实施例中伪造邮件检测的方法一个实施例示意图;
图2为本发明实施例中伪造邮件检测的方法另一个实施例示意图;
图3为本发明实施例中伪造邮件检测的方法另一个实施例示意图;
图4为本发明实施例中伪造邮件检测系统一个实施例示意图;
图5为本发明实施例中伪造邮件检测系统另一个实施例示意图;
图6为本发明实施例中伪造邮件检测系统另一个实施例示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,现对现有技术中电子邮件的传输流程进行简单说明,用户在电子邮件客户端中编辑好目标电子邮件之后,电子邮件客户端往往会将目标电子邮件转发到该电子邮件客户端设置的发件服务器中,通过发件服务器将目标电子邮件转发到收件人地址对应的收件服务器中,以待收件人收取目标电子邮件。在此数据传输过程中,电子邮件客户端及发件服务器均会根据所遵循的电子邮件传输协议在传输的数据中加入部分信息作为在目标电子邮件的传输协议数据,电子邮件客户端会在传输协议数据中加入发件人地址信息、收件人的地址信息等信息,发件服务器会在邮件协议数据中加入自身的身份信息,例如域名、IP等信息。
现有技术中,在简单邮件传输协议SMTP(Simple Mail Transfer Protocol)协议下,发件服务器发出的传输协议数据中的发件人邮箱的域名及发件服务器的域名是可以人为更改的,恶意用户为了逃避检测与追踪,往往采用不真实的发件方身份信息发送伪造邮件。
为解决上述问题,本发明实施例提供了一种伪造邮件检测的方法,用于伪造邮件检测。下面对本发明实施例中伪造邮件检测的方法的具体流程进行描述,请参阅图1,本发明实施例中伪造邮件检测的方法一个实施例可包括:
101、获取目标电子邮件的传输协议数据;
本实施例中的伪造邮件检测的方法可以在收件服务器侧实施,伪造邮件检测系统可以从发件服务器侧接收到的数据中,识别获取目标电子邮件的传输协议数据。
102、从传输协议数据中识别目标电子邮件的发件方的身份信息;
在获取到目标电子邮件的传输协议数据之后,伪造邮件检测系统可以根据所采用的邮件传输协议的特征对该协议下的传输协议数据进行识别,以获得目标电子邮件的发件方的身份信息。
103、检测发件方的身份信息是否存在伪造。
现有技术中发件方的身份信息为发件服务器发送到收件服务器侧,恶意的服务器可能伪造发件方的身份信息向收件服务器发送恶意电子邮件,因而可以对目标电子邮件的传输协议数据中的发件方的身份信息进行检测,以确定传输协议数据中的发件方的身份信息是否存在伪造,若存在伪造,则确定目标电子邮件为伪造邮件,具体的检测方式将在下述的实施例中详细描述。
实际运用中,目标电子邮件的传输协议数据中的发件方的身份信息可以是目标电子邮件的发件服务器的域名及目标电子邮件的发件人邮箱的顶级域名中的一种或多种。
本发明实施例中,通过在获取到的目标电子邮件的传输协议数据中识别目标电子邮件的发件方的身份信息,并检测该发件方的身份信息是否存在伪造,若该发件方的身份信息存在伪造,则可以确定目标电子邮件为伪造邮件,即本发明实施例可以通过识别发件方的身份信息的方式识别伪造邮件,降低了正常用户被伪造电子邮件攻击的风险。
上述实施例中检测传输协议数据中的发件方的身份信息是否存在伪造,具体包括两种伪造方式:一、伪造传输协议数据中的发件人邮箱的域名不伪造发件服务器的域名,或者同时伪造传输协议数据中的发件人邮箱的域名及发件服务器的域名,但是两者不匹配;二、同时伪造传输协议数据中的发件人邮箱的域名及发件服务器的域名,使两者相匹配。对应的实施方式有以下两种:
一、请参阅图2,本发明实施例中伪造邮件检测的方法另一个实施例可包括:
201、获取目标电子邮件的传输协议数据;
本实施例中的伪造邮件检测的方法可以在收件服务器侧实施,伪造邮件检测系统可以从发件服务器侧接收到的数据中,识别获取目标电子邮件的传输协议数据。
202、从传输协议数据中识别目标电子邮件的发件服务器的域名;
在获取到目标电子邮件的传输协议数据之后,伪造邮件检测系统可以根据所采用的邮件传输协议的特征对该协议下的传输协议数据进行识别,以获得目标电子邮件的发件服务器的域名。
根据现有的邮件传输协议中规定,传输协议数据中记录发件服务器的域名等信息的数据段前有标志性的数据段,例如Received from字段之后写入的是发件服务器的域名、IP等信息,from字段之后写入的是发件人邮箱的域名信息。
可以理解的是,不同的电子邮件传输协议中规定的标志性字段可能不同,可以根据用户采用的电子邮件传输协议进行合理的设置,具体的标志性的字段,甚至可以采用特定编译程序从目标电子邮件的传输协议数据的源码中查询到对应的发件服务器域名,具体此处不做限定。
并根据设置的标志性字段识别发件服务器的域名。
实际运用中伪造邮件检测系统可以将先将获取到的包含目标电子邮件的及其传输协议数据的数据存储下来,以便于进一步获取传输协议数据及识别其中的发件服务器的域名。
203、从传输协议数据中识别出发件人邮箱的顶级域名;
实际运用中可以从Received from字段之后读取到发件服务器的域名,从from字段之后读取到发件人邮箱的域名,邮箱的顶级域名为注册该邮箱时对应的服务器的域名,现有技术中发件人邮箱的域名中的顶级域名与对应的服务器的域名是一致的,伪造邮件检测系统可以通过对比发件人邮箱的顶级域名与发件服务器的域名来检测发件服务器的域名是否存在伪造。
可以理解的是,步骤202与203的顺序可以根据实际运用情况进行调整,具体不做限定。
204、校验发件人邮箱的顶级域名是否与发件服务器的域名一致,若不一致,则确定目标电子邮件为伪造邮件;
伪造邮件检测系统校验发件人邮箱的顶级域名是否与发件服务器的域名一致,若不一致,则确定发件服务器的域名存在伪造,即目标电子邮件为伪造邮件,若一致,则可以将包含目标电子邮件的及其传输协议数据的数据传递给收件服务器,以便于收件人收取目标电子邮件。
205、对伪造邮件进行标记;
可选的,在确定目标电子邮件发件服务器的域名存在伪造时,伪造邮件检测系统可以将该电子邮件打上恶意邮件的标签以提醒用户防范可能存在的安全风险,甚至根据用户的设定的规则,不接收伪造邮件。
206、记录传输协议数据中记录的发件服务器的IP到恶意邮件信誉库中;
伪造邮件检测系统可以将伪造电子邮件的发件服务器的IP记录在恶意邮件信誉库中,当再次收到该服务器的邮件时可以根据恶意邮件信誉库,快速筛选识别出恶意邮件。
可以理解的是,步骤206的执行可以根据用户的需求选择执行与否,甚至可以根据用户的设置选择合理的恶意IP,可以根据网络资源上公布的恶意IP合理更新恶意邮件信誉库,此处不做限定。
进一步的,在步骤201之后,本实施例还可以包括:
207、校验传输协议数据中记录的发件服务器的IP是否与恶意邮件信誉库中的任一恶意IP匹配。
为快速筛选恶意邮件,伪造邮件检测系统可以校验传输协议数据中记录的发件服务器的IP是否与恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定目标电子邮件为伪造邮件,若不匹配,则可以执行步骤202。
可以理解的是,步骤207的执行可以根据用户的需求选择执行与否,甚至可以根据用户的设置选择合理的恶意IP,可以根据网络资源上公布的恶意IP合理更新恶意邮件信誉库,此处不做限定。
本发明实施例中,通过在获取到的目标电子邮件的传输协议数据中识别目标电子邮件的发件服务器的域名,并识别出发件人的顶级域名,校验发件人邮箱的顶级域名是否与发件服务器的域名一致,若不一致,则该域名存在伪造,则可以确定目标电子邮件为伪造邮件,降低了正常用户被伪造电子邮件攻击的风险。
二、请参阅图3,本发明实施例中伪造邮件检测的方法另一个实施例可包括:
301、获取目标电子邮件的传输协议数据;
本实施例中的伪造邮件检测的方法可以在收件服务器侧实施,伪造邮件检测系统可以从发件服务器侧接收到的数据中,识别获取目标电子邮件的传输协议数据。
302、从传输协议数据中识别目标电子邮件的发件服务器的域名;
在获取到目标电子邮件的传输协议数据之后,伪造邮件检测系统可以根据所采用的邮件传输协议的特征对该协议下的传输协议数据进行识别,以获得目标电子邮件的发件服务器的域名。
根据现有的邮件传输协议中规定,传输协议数据中记录发件服务器的域名等信息的数据段前有标志性的数据段,例如,Received from字段之后写入的是发件服务器的域名、IP等信息,from字段之后写入的是发件人邮箱的域名信息。
可以理解的是,不同的电子邮件传输协议中规定的标志性字段可能不同,可以根据用户采用的电子邮件传输协议进行合理的设置,具体的标志性的字段,此处不做限定,并根据设置的标志性字段识别发件服务器的域名。
实际运用中伪造邮件检测系统可以将先将获取到的包含目标电子邮件的及其传输协议数据的数据存储下来,以便于进一步获取传输协议数据及识别其中的发件服务器的域名。
303、根据目标电子邮件的发件服务器的域名解析发件服务器的第一IP;
在获取到目标电子邮件的发件服务器的域名之后,伪造邮件检测系统可以通过DNS域名系统查询发件服务器的域名对应的第一IP,具体的查询方式为现有技术,此处不做赘述。
304、校验第二IP是否与第一IP一致,若不一致,则确定发件服务器的域名存在伪造;
传输协议数据中的Received from字段之后写有发件服务器的真实IP作为第二IP,伪造邮件检测系统可以通过校验查询到的服务器的域名对应的第一IP是否与服务器的第二IP一致,来确定目标邮件是否为伪造邮件,若不一致,则确定发件服务器的域名存在伪造,若一致,则可以将包含目标电子邮件的及其传输协议数据的数据传递给收件服务器,以便于收件人收取目标电子邮件。
可以理解的是,不同的电子邮件传输协议中规定的标志性字段及其格式可能不同,可以根据用户采用的电子邮件传输协议进行合理的设置,并根据设置的标志性字段识别发件服务器的IP,甚至可以采用特定编译程序从目标电子邮件的传输协议数据的源码中查询到对应的发件服务器IP,具体此处不做限定。
305、对伪造邮件进行标记;
可选的,在确定目标电子邮件发件服务器的域名存在伪造时,伪造邮件检测系统可以将该电子邮件打上恶意邮件的标签以提醒用户防范可能存在的安全风险,甚至根据用户的设定的规则,不接受恶意邮件。
306、记录传输协议数据中记录的发件服务器的IP到恶意邮件信誉库中;
伪造邮件检测系统可以将伪造电子邮件的发件服务器的IP记录在恶意邮件信誉库中,当再次收到该服务器的邮件时可以根据恶意邮件信誉库,快速筛选识别出恶意邮件。
可以理解的是,步骤306的执行可以根据用户的需求选择执行与否,甚至可以根据用户的设置选择合理的恶意IP,可以根据网络资源上公布的恶意IP合理更新恶意邮件信誉库,此处不做限定。
进一步的,在步骤301之后,本实施例还可以包括:
307、校验传输协议数据中记录的发件服务器的IP是否与恶意邮件信誉库中的任一恶意IP匹配。
为快速筛选恶意邮件,伪造邮件检测系统可以校验传输协议数据中记录的发件服务器的IP是否与恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定目标电子邮件为伪造邮件,若不匹配,则可以执行步骤302。
可以理解的是,步骤306的执行可以根据用户的需求选择执行与否,甚至可以根据用户的设置选择合理的恶意IP,可以根据网络资源上公布的恶意IP合理更新恶意邮件信誉库,此处不做限定。
本发明实施例中,通过在获取到的目标电子邮件的传输协议数据中识别目标电子邮件的发件服务器的域名,并根据域名查询系统DNS查询该域名对应的第一IP,校验传输协议数据中记录的发件服务器的真实IP是否与第一IP一致,若不一致,则该域名存在伪造,则可以确定目标电子邮件为伪造邮件,降低了正常用户被伪造电子邮件攻击的风险。
为了便于理解,下面结合具体运用实例对本发明实施例中伪造邮件检测的方法进行描述。
实际运用中,如果lisi想给demo发送邮件,lisi的邮箱为lisi@alpha.com,发件服务器为:mail.alpha.com。demo的邮箱为demo@263.net,收件服务器为mail.263.net,发件服务器发现这是发送给263.net的某个用户的信件,则将邮件传送给mail.263.net,之后邮件则被存储在mail.263.net之上直到demo在自己的客户端收取信件。
在这个过程中,编辑邮件的客户程序以及发件服务器会在邮件中加入邮件协议数据,当lisi的邮件客户程序编辑邮件并将其发送给mail.alpha.com时,邮件传输协议数据的内容可以包括:
From:lisi@alpha.com
To:demo@263.net
Date:Tue,Mar 18 1997 14:36:14 PST
当邮件从mail.alpha.com传送到mail.263.net时,邮件协议数据可以包括:Received:from mail.alpha.com([124.211.3.78])by mail.263.net(8.8.5/8.7.2)From:lisi@alpha.com
To:demo@263.net
Date:Tue,Mar 18 1997 14:36:14 PST
下面是对其中内容的详细分析:
Received from mail.alpha.com;表示该邮件是来自于自称是mail.alpha.com的服务器(该字段是可以被人为更改)。
([124.211.3.78]);表示该服务器的真实IP为124.211.3.78(该字段是无法人为更改的)。
by mail.263.net(8.8.5/8.7.2);表示接收这封邮件的机器是mail.263.net,其运行的邮件程序版本为8.8.5/8.7.2。
for demo@263.net;表示该邮件是发送给地址demo@263.net的。
From:lisi@alpha.com;表示该邮件是由lisi@alpha.com发送的(该字段也是可以被更改的)。
To:demo@263.net;表示邮件目的地址为:demo@263.net。
Date:Tue,Mar 18 1997 14:36:14 PST表示邮件编辑时间为14:36:14 PacificStandard Time on Tuesday,March 18,1997。
在实际运用实施例中,伪造邮件检测系统在获取到目标电子邮件的传输协议数据之后,可以在Received from字段之后识别出发件服务器的域名为:alpha.com。此后伪造邮件检测系统还可以在from字段之后继续识别出发件人邮箱的域名为:lisi@alpha.com其顶级域名为:alpha.com。可以知道发件服务器的域名与发件人的顶级域名一致,即该邮件为正常邮件,实际运用中,若发件人的顶级域名与发件服务器的域名不一致,则可以判定对应的电子邮件为伪造邮件。
实际运用中,伪造邮件检测系统在获取到目标电子邮件的传输协议数据之后,可以继续识别Received from字段之后的发件服务器的真实IP为:124.211.3.78。伪造邮件检测系统可以在域名查询系统中查询alpha.com对应的第一IP,若查询到的第一IP与真实IP一致,则该邮件为正常邮件,若查询到的第一IP与真实IP不一致,则可以判定对应的电子邮件为伪造邮件。
上述实施例对本发明实施例中伪造邮件检测的方法进行了描述,下面将对本发明实施例中伪造邮件检测系统进行描述,请参阅图4,本发明实施例中伪造邮件检测系统一个实施例可包括:
邮件协议识别模块401,用于获取目标电子邮件的传输协议数据;
邮件解析模块402,用于从传输协议数据中识别目标电子邮件的发件方的身份信息;
邮件检测模块403,用于检测发件方的身份信息是否存在伪造,若存在伪造,则确定目标电子邮件为伪造邮件。
本实施例中所示的伪造邮件检测系统的具体功能与上述图1所示的实施例中描述的内容类似,具体请参阅图1所示的实施例,此处不再赘述。
请参阅图5,本发明实施例中伪造邮件检测系统另一个实施例可包括:
邮件协议识别模块501,用于获取目标电子邮件的传输协议数据;
邮件解析模块502,用于从传输协议数据中识别目标电子邮件的发件方的身份信息;
邮件检测模块503,用于检测发件方的身份信息名是否存在伪造,若存在伪造,则确定目标电子邮件为伪造邮件。
可选的,本实施例中,该伪造邮件检测系统还可以包括:
标记模块504,用于对目标电子邮件进行标记,以指示目标电子邮件为伪造邮件。
进一步的,本实施例中的邮件检测模块503可以包括:
第一校验单元5031,用于校验发件人邮箱的顶级域名是否与发件服务器的域名一致,若不一致,则确定发件方的身份信息存在伪造。
可选的,本实施例中,该伪造邮件检测系统还可以包括:
恶意邮件信誉库505,用于记录恶意IP;
校验模块506,用于校验第二IP是否与恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定目标电子邮件为伪造邮件。
本实施例中所示的伪造邮件检测系统的具体功能与上述图2所示的实施例中描述的内容类似,具体请参阅图2所示的实施例,此处不再赘述。
请参阅图6,本发明实施例中伪造邮件检测系统另一个实施例可包括:
邮件协议识别模块601,用于获取目标电子邮件的传输协议数据;
邮件解析模块602,用于从传输协议数据中识别目标电子邮件的发件方的身份信息;
邮件检测模块603,用于检测发件方的身份信息是否存在伪造,若存在伪造,则确定目标电子邮件为伪造邮件。
可选的,本实施例中,该伪造邮件检测系统还可以包括:
标记模块604,用于对目标电子邮件进行标记,以指示目标电子邮件为伪造邮件。
进一步的,本实施例中的邮件检测模块603可以包括:
解析单元6031,用于根据目标电子邮件的发件服务器的域名解析发件服务器的第一IP;
第二识别单元6032,用于从传输协议数据中识别发件服务器的第二IP,第二IP为传输协议数据中记录的发件服务器的真实IP;
第二校验单元6033,用于校验第二IP是否与第一IP一致,若不一致,则确定发件方的身份信息存在伪造。
可选的,本实施例中,该伪造邮件检测系统还可以包括:
恶意邮件信誉库605,用于记录恶意IP;
校验模块606,用于校验第二IP是否与恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定目标电子邮件为伪造邮件。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种伪造邮件检测的方法,其特征在于,包括:
获取目标电子邮件的传输协议数据;
从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息;
检测所述发件方的身份信息是否存在伪造,若存在伪造,则确定所述目标电子邮件为伪造邮件。
2.根据权利要求1所述的方法,其特征在于,所述目标电子邮件的发件方的身份信息,包括:
所述目标电子邮件的发件服务器的域名,和/或所述目标电子邮件的发件人邮箱的顶级域名。
3.根据权利要求2所述的方法,其特征在于,所述检测所述发件方的身份信息是否存在伪造,包括:
校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致,若不一致,则确定所述发件方的身份信息存在伪造。
4.根据权利要求2所述的方法,其特征在于,所述检测所述发件方的身份信息是否存在伪造,包括:
根据所述目标电子邮件的发件服务器的域名解析得到对应服务器的第一IP;
从所述传输协议数据中识别所述发件服务器的第二IP,所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP;
校验所述第二IP是否与所述第一IP一致,若不一致,则确定所述发件方的身份信息存在伪造。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在确定所述目标电子邮件为伪造邮件之后,还包括:
对所述目标电子邮件进行标记,以指示所述目标电子邮件为伪造邮件。
6.根据权利要求5所述的方法,其特征在于,在检测所述发件服务器的域名是否存在伪造之前,还包括:
校验所述第二IP是否与恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定所述目标电子邮件为伪造邮件。
7.一种伪造邮件检测系统,其特征在于,包括:
邮件协议识别模块,用于获取目标电子邮件的传输协议数据;
邮件解析模块,用于从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息;
邮件检测模块,用于检测所述发件方的身份信息是否存在伪造,若存在伪造,则确定所述目标电子邮件为伪造邮件。
8.根据权利要求7所述的系统,其特征在于,所述邮件检测模块,包括:
第一校验单元,用于校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致,若不一致,则确定所述发件方的身份信息存在伪造。
9.根据权利要求7所述的系统,其特征在于,所述邮件检测模块,包括:
解析单元,用于根据所述目标电子邮件的发件服务器的域名解析所述发件服务器的第一IP;
第二识别单元,用于从所述传输协议数据中识别所述发件服务器的第二IP,所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP;
第二校验单元,用于校验所述第二IP是否与所述第一IP一致,若不一致,则确定所述发件方的身份信息存在伪造。
10.根据权利要求7至9中任一项所述的系统,其特征在于,还包括:
标记模块,用于对所述目标电子邮件进行标记,以指示所述目标电子邮件为伪造邮件。
11.根据权利要求10所述的系统,其特征在于,还包括:
恶意邮件信誉库,用于记录恶意IP;
校验模块,用于校验所述第二IP是否与所述恶意邮件信誉库中的任一恶意IP匹配,若存在匹配,则确定所述目标电子邮件为伪造邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710442563.XA CN106992926A (zh) | 2017-06-13 | 2017-06-13 | 一种伪造邮件检测的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710442563.XA CN106992926A (zh) | 2017-06-13 | 2017-06-13 | 一种伪造邮件检测的方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106992926A true CN106992926A (zh) | 2017-07-28 |
Family
ID=59421951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710442563.XA Pending CN106992926A (zh) | 2017-06-13 | 2017-06-13 | 一种伪造邮件检测的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106992926A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474611A (zh) * | 2018-12-11 | 2019-03-15 | 四川大学 | 一种基于多因素的邮箱安全防护检测技术 |
| CN109561017A (zh) * | 2018-12-29 | 2019-04-02 | 北京奇安信科技有限公司 | 一种邮件的仿冒检查处理方法及装置 |
| CN109587034A (zh) * | 2017-09-28 | 2019-04-05 | 北京博瑞彤芸文化传播股份有限公司 | 一种垃圾用户过滤模块及方法 |
| CN109768916A (zh) * | 2018-12-29 | 2019-05-17 | 论客科技(广州)有限公司 | 一种邮件的处理方法及系统 |
| CN110661750A (zh) * | 2018-06-28 | 2020-01-07 | 深信服科技股份有限公司 | 一种邮件发件人身份检测方法、系统、设备及存储介质 |
| CN111177490A (zh) * | 2019-12-30 | 2020-05-19 | 西安锐驰电器有限公司 | 一种通信信息处理方法 |
| CN113381983A (zh) * | 2021-05-19 | 2021-09-10 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN113746814A (zh) * | 2021-08-17 | 2021-12-03 | 上海硬通网络科技有限公司 | 邮件处理方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102224493A (zh) * | 2008-09-03 | 2011-10-19 | 雅马哈株式会社 | 中继设备、中继方法和记录介质 |
| CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
| US20130318178A1 (en) * | 2004-05-27 | 2013-11-28 | Frank Addante | Systems and Methods for Processing Emails |
| CN103716335A (zh) * | 2014-01-12 | 2014-04-09 | 绵阳师范学院 | 基于伪造发件人的垃圾邮件检测与过滤方法 |
| CN105743876A (zh) * | 2015-08-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
| US20160344770A1 (en) * | 2013-08-30 | 2016-11-24 | Rakesh Verma | Automatic Phishing Email Detection Based on Natural Language Processing Techniques |
| CN107154926A (zh) * | 2017-03-22 | 2017-09-12 | 国家计算机网络与信息安全管理中心 | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
-
2017
- 2017-06-13 CN CN201710442563.XA patent/CN106992926A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130318178A1 (en) * | 2004-05-27 | 2013-11-28 | Frank Addante | Systems and Methods for Processing Emails |
| CN102224493A (zh) * | 2008-09-03 | 2011-10-19 | 雅马哈株式会社 | 中继设备、中继方法和记录介质 |
| CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
| US20160344770A1 (en) * | 2013-08-30 | 2016-11-24 | Rakesh Verma | Automatic Phishing Email Detection Based on Natural Language Processing Techniques |
| CN103716335A (zh) * | 2014-01-12 | 2014-04-09 | 绵阳师范学院 | 基于伪造发件人的垃圾邮件检测与过滤方法 |
| CN105743876A (zh) * | 2015-08-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
| CN107154926A (zh) * | 2017-03-22 | 2017-09-12 | 国家计算机网络与信息安全管理中心 | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587034A (zh) * | 2017-09-28 | 2019-04-05 | 北京博瑞彤芸文化传播股份有限公司 | 一种垃圾用户过滤模块及方法 |
| CN109587034B (zh) * | 2017-09-28 | 2021-04-27 | 北京博瑞彤芸科技股份有限公司 | 一种垃圾用户过滤模块及方法 |
| CN110661750A (zh) * | 2018-06-28 | 2020-01-07 | 深信服科技股份有限公司 | 一种邮件发件人身份检测方法、系统、设备及存储介质 |
| CN109474611A (zh) * | 2018-12-11 | 2019-03-15 | 四川大学 | 一种基于多因素的邮箱安全防护检测技术 |
| CN109561017A (zh) * | 2018-12-29 | 2019-04-02 | 北京奇安信科技有限公司 | 一种邮件的仿冒检查处理方法及装置 |
| CN109768916A (zh) * | 2018-12-29 | 2019-05-17 | 论客科技(广州)有限公司 | 一种邮件的处理方法及系统 |
| CN111177490A (zh) * | 2019-12-30 | 2020-05-19 | 西安锐驰电器有限公司 | 一种通信信息处理方法 |
| CN113381983A (zh) * | 2021-05-19 | 2021-09-10 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN113381983B (zh) * | 2021-05-19 | 2023-09-22 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN113746814A (zh) * | 2021-08-17 | 2021-12-03 | 上海硬通网络科技有限公司 | 邮件处理方法、装置、电子设备及存储介质 |
| CN113746814B (zh) * | 2021-08-17 | 2024-01-09 | 上海硬通网络科技有限公司 | 邮件处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106992926A (zh) | 一种伪造邮件检测的方法与系统 | |
| US7962558B2 (en) | Program product and system for performing multiple hierarchical tests to verify identity of sender of an e-mail message and assigning the highest confidence value | |
| US9524334B2 (en) | Using distinguishing properties to classify messages | |
| US8073912B2 (en) | Sender authentication for difficult to classify email | |
| EP2446411B1 (en) | Real-time spam look-up system | |
| US8132011B2 (en) | System and method for authenticating at least a portion of an e-mail message | |
| US20040236838A1 (en) | Method and code for authenticating electronic messages | |
| US20060004896A1 (en) | Managing unwanted/unsolicited e-mail protection using sender identity | |
| CN101014020A (zh) | 用于识别垃圾电子邮件的方法和系统 | |
| WO2006129962A1 (en) | System for blocking spam mail and method of the same | |
| CN103929411B (zh) | 信息显示方法、终端、安全服务器及系统 | |
| CN110519150A (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN108683589A (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
| CN103198396A (zh) | 基于社会网络行为特征的邮件分类方法 | |
| CN104410564B (zh) | 一种重要邮件判断方法 | |
| CN108462625A (zh) | 回复电子邮件过程中确定收件人的方法和装置 | |
| CN110460582A (zh) | 一种风险邮箱地址的检测方法和装置 | |
| CN1744123A (zh) | 一种过滤群发垃圾邮件的方法 | |
| CN107453973A (zh) | 一种甄别电子邮件发送者身份特征的方法和装置 | |
| WO2006134226A1 (en) | Method and server for authenticating sender of email and notifying exchange information of email | |
| CN105847131A (zh) | 邮件发送方法和系统、邮件发送服务器、邮件接收服务器 | |
| CN108965350A (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| CN110661750B (zh) | 一种邮件发件人身份检测方法、系统、设备及存储介质 | |
| JP3899948B2 (ja) | メールサーバおよびメール配信制御方法 | |
| JP6578035B1 (ja) | 電子メールシステム及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170728 |
|
| RJ01 | Rejection of invention patent application after publication |