CN107819724B - 一种退信攻击的识别方法、装置及电子设备 - Google Patents
一种退信攻击的识别方法、装置及电子设备 Download PDFInfo
- Publication number
- CN107819724B CN107819724B CN201610818726.5A CN201610818726A CN107819724B CN 107819724 B CN107819724 B CN 107819724B CN 201610818726 A CN201610818726 A CN 201610818726A CN 107819724 B CN107819724 B CN 107819724B
- Authority
- CN
- China
- Prior art keywords
- returned
- bounce
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种退信攻击的识别方法、装置及电子设备;所述退信攻击的识别方法包括:当收到退信时,提取所述退信中携带的邮件信息;根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。本申请能够有效识别退信攻击。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种退信攻击的识别方法、装置及电子设备。
背景技术
一种退信攻击的做法如下:攻击者伪造邮件系统内的某个用户向外部邮件系统大量发信。在一定条件下(例如收件人不存在,收件人邮箱已满等),外部邮件系统可能会将退信退到邮件系统内的该用户的邮箱,导致该用户受到骚扰。
目前,一种识别退信攻击的解决方案是在邮件系统外发邮件时,增加邮件头标识。当外部邮件系统退信的时候,检查退信中附带的原始邮件。如果不包含邮件头标识,就进行阻断。
此解决方案的主要问题是:只能识别带原始附件的退信,攻击者可以专门挑选退信不带附件的邮件系统作为目标。另外伪造成本低,攻击者可以通过注册、试探账号等拿到被攻击系统的一个账号,使用该账号冒充另一用户的账号向目标系统发送电子邮件。然后使用所发送的电子邮件对上述另一用户的账号发起攻击,就可以绕过对邮件头标识的检查。
发明内容
本申请提供一种退信攻击的识别方法、装置及电子设备,能够有效识别退信攻击。
本申请采用如下技术方案。
一种退信攻击的识别方法,包括:
当收到退信时,提取所述退信中携带的邮件信息;
根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
可选地,退信中携带的邮件信息包括以下一或多个:退信的收件人账号、退信所针对的电子邮件的发件人账号、退信所针对的电子邮件的收件人账号、退信所针对的电子邮件的标识;
发出电子邮件时所记录的邮件信息包括以下一个或多个:发件人账号、收件人账号、电子邮件的标识、电子邮件的发送时刻。
可选地,所述根据退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击包括:
根据所述退信中携带的邮件信息,在发出电子邮件时所记录的邮件信息中查找是否存在所述退信针对的电子邮件的邮件信息;
如果不存在,则判断所述退信是退信攻击;
如果存在,则根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击。
可选地,所述根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击包括以下一种或多种方式:
按照预设的算法,分别对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息进行计算,比对计算结果是否相同,不同则判断所述退信是退信攻击;
比对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息,如果不一致则判断所述退信是退信攻击;
比对退信的收件人账号,和发出所述退信所针对的电子邮件时记录的发件人账号是否相同,不同则判断所述退信是退信攻击;
计算当前时刻和发出所述退信针对的电子邮件时记录的发送时刻之间所间隔的时间长度,如果计算出的时间长度不在预设的时间范围内,则判断所述退信是退信攻击。
可选地,所述的退信攻击的识别方法还包括:
在待发送的电子邮件中添加邮件头标识;所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的。
可选地,所述根据退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击前还包括:
从所述退信中提取邮件头标识;
从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击。
可选地,所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个前还包括:
解析所述退信中携带的邮件头标识;
如果解析失败,则阻断该邮件;如果成功则进行所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个的步骤。
可选地,所述从退信中提取邮件头标识包括以下一或多种方式:
如果是RFC 3464格式的退信,则在所述退信的格式为message/rfc822的附件中提取邮件头标识;
如果不是RFC 3464格式的退信,或者格式为message/rfc822的附件中不存在邮件头标识,则在所述退信中携带的、所述退信所针对的电子邮件中,或所述退信的正文中提取邮件头标识。
可选地,所述提取退信所携带的邮件信息包括以下一或多种方式:
从所提取的邮件头标识中提取邮件信息;
对于RFC 3464格式的退信,在所述退信的message/delivery-status中提取所述退信所携带的邮件信息;
在所述退信的正文中过滤出邮件信息。
一种退信攻击的识别装置,包括:
提取模块,用于当收到退信时,提取所述退信中携带的邮件信息;
识别模块,用于根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
可选地,退信中携带的邮件信息包括以下一或多个:退信的收件人账号、退信所针对的电子邮件的发件人账号、退信所针对的电子邮件的收件人账号、退信所针对的电子邮件的标识;
发出电子邮件时所记录的邮件信息包括以下一个或多个:发件人账号、收件人账号、电子邮件的标识、电子邮件的发送时刻。
可选地,所述识别模块包括:
查找单元,用于根据所述退信中携带的邮件信息,在发出电子邮件时所记录的邮件信息中查找是否存在所述退信针对的电子邮件的邮件信息;
判断单元,用于当不存在所述退信针对的电子邮件的邮件信息时,判断所述退信是退信攻击;当存在所述退信针对的电子邮件的邮件信息时,根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击。
可选地,所述判断单元根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击包括以下一种或多种方式:
按照预设的算法,分别对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息进行计算,比对计算结果是否相同,不同则判断所述退信是退信攻击;
比对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息,如果不一致则判断所述退信是退信攻击;
比对退信的收件人账号,和发出所述退信所针对的电子邮件时记录的发件人账号是否相同,不同则判断所述退信是退信攻击;
计算当前时刻和发出所述退信针对的电子邮件时记录的发送时刻之间所间隔的时间长度,如果计算出的时间长度不在预设的时间范围内,则判断所述退信是退信攻击。
可选地,所述的退信攻击的识别装置还包括:
添加模块,用于在待发送的电子邮件中添加邮件头标识;所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的。
可选地,所述提取模块还用于从所述退信中提取邮件头标识;
所述识别模块还用于从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击。
可选地,所述识别模块还用于在从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个前,解析所述退信中携带的邮件头标识;如果解析失败,则阻断该邮件;如果成功则进行所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个的操作。
可选地,所述提取模块从退信中提取邮件头标识包括以下一或多种方式:
如果是RFC 3464格式的退信,则在所述退信的格式为message/rfc822的附件中提取邮件头标识;
如果不是RFC 3464格式的退信,或者格式为message/rfc822的附件中不存在邮件头标识,则在所述退信中携带的、所述退信所针对的电子邮件中,或所述退信的正文中提取邮件头标识。
可选地,所述所述提取模块提取退信所携带的邮件信息包括以下一或多种方式:
从所提取的邮件头标识中提取邮件信息;
对于RFC 3464格式的退信,在所述退信的message/delivery-status中提取所述退信所携带的邮件信息;
在所述退信的正文中过滤出邮件信息。
一种用于进行退信攻击识别的电子设备,包括:存储器和处理器;
所述存储器用于保存用于进行退信攻击识别的程序;所述用于进行退信攻击识别的程序在被所述处理器读取执行时,执行下述操作:
当收到退信时,提取所述退信中携带的邮件信息;
根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
本申请包括以下优点:
本申请的至少一个实施例中,通过比对退信中携带的信息和被攻击系统的发信历史来判断是否退信攻击,无论退信中是否带有原始邮件作为附件,都可以有效进行识别;而且攻击者无法通过拿到邮件系统的一个账号,来对邮件系统中的其它账号进行退信攻击。
本申请实施例的一种实施方式中,在发信时增加专门设计的邮件头标识,可以提高对退信攻击的识别效率。
本申请实施例的一种实施方式中,不拘泥于在某个特定位置提取退信携带的信息,而是根据退信的格式,判断出退信中信息将携带在哪个位置,从而可以自适应地调整提取信息的位置,对各种格式的退信都能进行退信攻击识别。
当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有优点。
附图说明
图1是实施例一的退信攻击的识别方法的流程图;
图2是实施例一的例子中生成邮件头标识的流程图;
图3是实施例一的例子中验证邮件头标识的流程图;
图4是实施例一的例子中提取退信中携带的信息的流程图;
图5是实施例一的退信攻击的识别装置的示意图。
具体实施方式
下面将结合附图及实施例对本申请的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本申请实施例以及实施例中的各个特征可以相互结合,均在本申请的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在一种配置中,邮件系统中的邮件服务器等计算设备可包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存(memory)。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。内存可能包括模块1,模块2,……,模块N(N为大于2的整数)。
计算机可读介质包括永久性和非永久性、可移动和非可移动的存储介质,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM),快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
实施例一、一种退信攻击的识别方法,如图1所示,包括步骤S110~S120:
S110、当收到退信时,提取所述退信中携带的邮件信息;
S120、根据退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
本实施例中,通过比对退信中携带的邮件信息和本邮件系统的发信时的历史记录来判断是否为退信攻击;由于发出电子邮件时对邮件信息进行了记录,因此无论退信中是否带有原始邮件作为附件,都可以有效进行识别;而且由于攻击者很难修改到邮件系统中的历史记录,因此即使攻击者拿到邮件系统的一个账号,也无法对邮件系统中的其它账号进行退信攻击。
本实施例的识别方法可以但不限于由邮件系统中的邮件服务器执行;通常,某个邮件系统中的账号发给外部邮件系统的电子邮件、以及从外部邮件系统发送给该邮件系统中某个账号的电子邮件,都会通过该邮件系统中的邮件服务器进行转发,因此邮件服务器可以很方便地在发送电子邮件时对邮件信息进行记录,并在收到外部邮件系统的退信时进行比对和识别。
一种实施方式中,退信中携带的邮件信息可以包括以下一或多个:退信的收件人账号、退信所针对的电子邮件(也可称为原始邮件)的发件人账号、退信所针对的电子邮件的收件人账号、退信所针对的电子邮件的标识;
发出电子邮件时所记录的邮件信息包括以下一个或多个:发件人账号、收件人账号、电子邮件的标识、电子邮件的发送时刻。
其中,退信的收件人账号是指该退信的目的账号,即:要将该退信发送给哪个账号。发件人账号可以但不限于是发送邮箱地址,也可以用发件人在邮件系统中的唯一标识代替;收件人账号可以但不限于是接收邮箱地址,也可以用收件人在外部邮件系统的唯一标识代替。
比如邮件系统A中的某个用户通过邮箱XXX@insystem.com,向邮件系统A之外的邮箱YYY@outsystem.com发送了电子邮件;发出电子邮件时所记录的发件人账号为XXX@insystem.com,收件人账号为YYY@outsystem.com。如果该电子邮件被退信,则该电子邮件就是退信所针对的电子邮件,退信所针对的电子邮件的发件人账号(发送邮箱地址)是XXX@insystem.com,退信所针对的电子邮件的收件人账号(接收邮箱地址)是YYY@outsystem.com。
其中,电子邮件的标识可以是指:至少能将一封电子邮件与其它具有相同发件人账号和收件人账号的电子邮件相区分开的信息。比如,在一个邮箱在同一个时刻只能向另一个邮箱发送一封电子邮件(群发时虽然同一个时刻可以向多个邮箱发信,但发送给其中某一个邮箱的电子邮件只能是一封)的情况下,电子邮件的标识可以是发送时刻,根据发送时刻、发件人账号和收件人账号,就能在邮件系统中唯一确定一封电子邮件。再比如,电子邮件的标识可以是对发送时刻、发件人账号和收件人账号这个整体,或者对这个整体进行计算的结果,根据电子邮件的标识就能在邮件系统中唯一确定一封电子邮件。
虽然退信格式多样,关于投递失败的原因描述的详细程度不同,但是退信的目的是统一的:通知邮件的发送者,发往哪个邮箱的哪封邮件未投递成功。因此,退信中必然携带有这些邮件信息。本实施方式可以通过在发送邮件时对邮件信息进行记录,并在收到退信时提取相应的邮件信息进行比对,来识别退信攻击。
一种实施方式中,本实施例的所述识别方法还可以包括:
保存最近预定长度的时间内,本邮件系统内每个用户对外发送的每封电子邮件的邮件信息。
其中,预定长度的时间可以是合理的退信间隔;比如一封邮件发送后,最迟应当在两天内收到退信,“两天”就是合理的退信间隔,超过两天的邮件信息,可以不再保留;这样超过两天回来的退信,将无法在历史记录中找到发出电子邮件时时记录的邮件信息,可以被识别为退信攻击。
一种实施方式中,所述步骤S120可以包括:
根据所述退信中携带的邮件信息,在发出电子邮件时所记录的邮件信息中查找是否存在所述退信针对的电子邮件的邮件信息;
如果不存在,则判断所述退信是退信攻击;
如果存在,则根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击。
本实施方式中,根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击可以包括以下一种或多种方式:
按照预设的算法,分别对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息进行计算,比对计算结果是否相同,不同则判断所述退信是退信攻击;
比对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息,如果不一致则判断所述退信是退信攻击;
比对退信的收件人账号,和发出所述退信所针对的电子邮件时记录的发件人账号是否相同,不同则判断所述退信是退信攻击;
计算当前时刻和发出所述退信针对的电子邮件时记录的发送时刻之间所间隔的时间长度,如果计算出的时间长度不在预设的时间范围内,则判断所述退信是退信攻击。
本实施方式中,判断所述退信是退信攻击后还可以包括:对于所述退信进行阻断。
阻断可以但不限于是指,不将退信发送给相应的用户,或者是指,丢弃退信,不进行处理。
一种实施方式中,本实施例的所述识别方法还可以包括:
在待发送的电子邮件中添加邮件头标识;所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的。
本实施方式中,增加的邮件头标识可以作为一个预筛选的标准,在将退信中携带的邮件信息和发出电子邮件时记录的邮件信息比对之前,可以先对邮件头标识进行验证,如果验证无法通过,则直接判定为退信攻击,这样可以加速判断退信攻击。
本实施方式中,可以由邮件服务器在转发本邮件系统中某个账号发送到外部邮件系统的电子邮件时,生成邮件头标识,并添加在该电子邮件中后,再将该电子邮件发送到外部邮件系统。
其中,发件人账号可以但不限于是发送邮箱地址,也可以用发件人在邮件系统中的唯一标识代替;收件人账号可以但不限于是接收邮箱地址,也可以用收件人在外部邮件系统的唯一标识代替。
其中,电子邮件的发送时刻可以是指生成邮件头标识的时刻或发件人发出该电子邮件的时刻,也可以是指邮件服务器从发件人账号收到该电子邮件的时刻,还可以是指该电子邮件被邮件服务器转发到外部邮件系统的时刻。
其中,邮件头标识H的目的是防伪造,如果攻击者修改了用于计算数字签名的邮件信息,将会导致修改后的邮件信息计算出的数字签名和原始邮件中邮件头标识中携带的数字签名不同。
其中,邮件头标识中还可以包括邮件体中其他信息等。H的格式可以但不限于为:M;R;T;S,也可以采用其它格式组织H中包含的信息。
其中,数字签名也可以是对其它邮件体中的信息、M、R、T中的一个或多个进行计算得到。
其中,邮件头标识可以但不限于设置在准备发送到外部邮件系统的电子邮件的头部。
其它实施方式中,也可以不采用邮件头标识,直接利用根据退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
本实施方式中,所述步骤S120前还可以包括:
从所述退信中提取邮件头标识;
从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击。
本实施方式中,对邮件头标识进行验证,验证时所采用的签名算法、计算时所根据的信息都和生成邮件头标识时的相同。如果生成邮件头标识时是根据M、R、T以及邮件体的其它信息一起进行计算得到数字签名,则步骤S120中也是根据相同的信息一起进行计算。
本实施方式的一种备选方案中,所述比较计算结果和所述退信中携带的数字签名后,如果计算结果和所述退信中携带的数字签名相同,还可以继续进行以下一或多个判断:
判断当前时刻和所述发送时刻T所间隔的时间长度是否在预设的时间范围内,如果不在则阻断所述退信;
判断退信的收件人账号,和退信中携带的退信所针对的电子邮件的发件人账号M是否相同;如果不同则阻断所述退信。
本备选方案中的判断也可以在比较计算结果和所述退信中携带的数字签名之前进行,如果阻断退信,则无需比较计算结果和所述退信中携带的数字签名。
本备选方案的判断和前文中根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击的方式不同之处在于,这里利用从退信中提取出的信息即可完成判断,发送时刻T和退信所针对的电子邮件的发件人账号M都可以从邮件头标识里提取,当前时刻可以直接检测得到,退信的收件人账号可以从退信中提取。
而前文中根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击的方式里,所用到的发送时刻、退信所针对的电子邮件的发件人账号都是从发出电子邮件时所记录的邮件信息中获得的。
本实施方式中,所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个前还可以包括:
解析所述退信中携带的邮件头标识;
如果解析失败,则阻断该邮件;如果成功则进行所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个的步骤。
下面用一个例子说明本实施方式。
邮件头标识生成流程如图2所示,包括步骤201~205:
201、获取电子邮件的发件人账号M;
202、获取电子邮件的收件人账号R;
203、获取当前时刻作为发送时刻T;
204、使用M、R、T,根据预定的签名算法,计算得到数字签名S;
205、生成邮件头标识H=M;R;T;S。
后续可以返回到发送电子邮件的流程,将邮件头标识添加到待发送到外部邮件系统的电子邮件的头部,添加后发送该电子邮件。
收到退信后,邮件头标识的验证流程如图3所示,包括步骤301~307:
301、解析退信中的邮件头标识,获取M、R、T、S;
302、判断解析是否成功;如果解析失败则阻断该退信,流程结束;如果解析成功则进行步骤303;
303、使用M、R、T及预定的签名算法,计算得到数字签名S1;
304、判断S和S1是否相等;如果不相等则阻断该退信,流程结束;如果相等则进行步骤305;
305、获取当前时刻N;
306、判断N–T(即:当前时刻和所述发送时刻T所间隔的时间长度)是否在预设的时间范围内;如果不在则阻断该退信,流程结束;如果在则进行步骤307;
307、判断退信的收件人账号和M是否相同;如果不同则阻断该退信,流程结束;如果相同则验证通过,返回到处理该退信的流程,后续可以转发该退信。
上述步骤303~308的顺序可以调整,比如可以先对发件人账号M或间隔的时间长度进行判断,再进行其它判断步骤。
一种实施方式中,所述从退信中提取邮件头标识可以包括以下一或多种方式:
如果是RFC 3464格式的退信,则在所述退信的格式为message/rfc822的附件中提取邮件头标识;
如果不是RFC 3464格式的退信,或者格式为message/rfc822的附件中不存在邮件头标识,则在所述退信中携带的、所述退信所针对的电子邮件中,或所述退信的正文中提取邮件头标识。
一种实施方式中,所述提取退信所携带的邮件信息可以包括以下一或多种方式:
从所提取的邮件头标识中提取邮件信息;
对于RFC 3464格式的退信,在所述退信的message/delivery-status中提取所述退信所携带的邮件信息;
在所述退信的正文中过滤出邮件信息。
目前各个邮件系统退信格式不统一,会给攻击识别带来难度。比如有的退信中将未投递成功的原始邮件作为附件,有的退信中将未投递成功的原始邮件的邮件头作为邮件内容。有的是满足请求评议(Request For Comments,RFC)3464的退信。也有自定义格式的退信,只描述了收件人账号、发件人账号、时间、标题等。
退信可以包括如下几种情况:
(1)退信的格式是RFC 3464,存在message/rfc822格式的附件,其中可能携带有邮件头标识;
(2)退信的格式是RFC 3464,存在message/delivery-status,其中可能携带有退信所针对的电子邮件的收件人账号等;
(3)退信附有原始邮件作为附件,原始邮件中可能携带有邮件头标识;
(4)退信将原始邮件头作为邮件正文,原始邮件头中可能携带有邮件头标识;
(5)退信采用自定义格式,邮件正文自定义格式描述:发往哪个用户的邮件由于什么原因被退。
本实施方式中,可以先判断是否能提取到邮件头标识,如果能,则从邮件头标识中提取邮件信息,比如但不限于退信所针对的电子邮件的收件人账号;如果不能,则从其它位置提取邮件信息,比如但不限于退信所针对的电子邮件的收件人账号。
本实施方式中,会根据所述退信所采用的格式,在所述退信的相应位置提取所述退信所携带的邮件信息;不拘泥于在某个特定位置提取退信携带的信息,而是根据退信的格式,判断出退信中信息将携带在哪个位置,从而可以自适应地调整提取信息的位置,对各种格式的退信都能进行退信攻击识别。
本实施方式的一个例子如图4所示,包括步骤401~409:
401、收到一封退信后,检查是否是RFC 3464格式的退信;如果不是转到步骤406;如果是则进行步骤402;
402、检查退信中是否存在message/rfc822格式的附件,如果存在则进行步骤403;如果不存在则转到步骤404;
403、判断message/rfc822格式的附件中是否存在邮件头标识,存在则提取邮件头标识;不存在则转到步骤406;
404、检查退信中是否存在投递状态(delivery-status),如果不存在转到步骤406;如果存在则转到步骤405;
405、检查是否存在退信所针对的电子邮件的收件人账号,比如可以在delivery-status中的字段:原始收件人(Original-Recipient)或者最终收件人(Final-Recipient)中找到退信所针对的电子邮件的收件人账号,如果不存在转到步骤406;如果存在则提取退信所针对的电子邮件的收件人账号;
406、检查退信中是否带有原始邮件作为附件,如果没有则转到步骤408;如果有原始邮件则进行步骤407;
407、判断作为退信的附件的原始邮件中是否有邮件头标识;存在则提取邮件头标识;不存在则转到步骤408;
408、判断退信的邮件正文中是否有邮件头标识;存在则提取邮件头标识;不存在则转到步骤409;
409、从退信的邮件正文过滤Email地址,从中获取退信所针对的电子邮件的收件人账号;如果获取不到则阻断该退信。
上述步骤401~409的顺序可以调整,比如可以先判断附件或邮件正文中是否存在邮件头标识,不存在的话再进行其它判断。
本例子中,如果提取到的是邮件头标识,则可以执行上文的邮件头标识的验证过程,验证成功的话可以参照上文执行后续操作;如果提取到的是退信所针对的电子邮件的收件人账号,则可以查询发出退信所针对的电子邮件时记录的邮件信息,如果查找不到记录的邮件信息,则阻断该退信。
实施例二、一种退信攻击的识别装置,如图5所示,包括:
提取模块51,用于当收到退信时,提取所述退信中携带的邮件信息;
识别模块52,用于根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
其中,提取模块51是上述装置中负责提取邮件信息的部分,可以是软件、硬件或两者的结合。
其中,识别模块52是上述装置中负责识别退信攻击的部分,可以是软件、硬件或两者的结合。
一种实施方式中,退信中携带的邮件信息可以包括以下一或多个:退信的收件人账号、退信所针对的电子邮件的发件人账号、退信所针对的电子邮件的收件人账号、退信所针对的电子邮件的标识;
发出电子邮件时所记录的邮件信息可以包括以下一个或多个:发件人账号、收件人账号、电子邮件的标识、电子邮件的发送时刻。
一种实施方式中,所述识别模块包括:
查找单元,用于根据所述退信中携带的邮件信息,在发出电子邮件时所记录的邮件信息中查找是否存在所述退信针对的电子邮件的邮件信息;
判断单元,用于当不存在所述退信针对的电子邮件的邮件信息时,判断所述退信是退信攻击;当存在所述退信针对的电子邮件的邮件信息时,根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击。
其中,查找单元是上述识别模块中负责查找历史记录的部分,可以是软件、硬件或两者的结合。
其中,判断单元是上述识别模块中负责判断退信攻击的部分,可以是软件、硬件或两者的结合。
一种实施方式中,所述判断单元根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击包括以下一种或多种方式:
按照预设的算法,分别对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息进行计算,比对计算结果是否相同,不同则判断所述退信是退信攻击;
比对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息,如果不一致则判断所述退信是退信攻击;
比对退信的收件人账号,和发出所述退信所针对的电子邮件时记录的发件人账号是否相同,不同则判断所述退信是退信攻击;
计算当前时刻和发出所述退信针对的电子邮件时记录的发送时刻之间所间隔的时间长度,如果计算出的时间长度不在预设的时间范围内,则判断所述退信是退信攻击。
一种实施方式中,所述的装置还包括:
添加模块,用于在待发送的电子邮件中添加邮件头标识;所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的。
一种实施方式中,所述提取模块还用于从所述退信中提取邮件头标识;
所述识别模块还用于从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击。
一种实施方式中,所述识别模块还用于在从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个前,解析所述退信中携带的邮件头标识;如果解析失败,则阻断该邮件;如果成功则进行所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个的操作。
一种实施方式中,所述提取模块从退信中提取邮件头标识包括以下一或多种方式:
如果是RFC 3464格式的退信,则在所述退信的格式为message/rfc822的附件中提取邮件头标识;
如果不是RFC 3464格式的退信,或者格式为message/rfc822的附件中不存在邮件头标识,则在所述退信中携带的、所述退信所针对的电子邮件中,或所述退信的正文中提取邮件头标识。
一种实施方式中,所述所述提取模块提取退信所携带的邮件信息包括以下一或多种方式:
从所提取的邮件头标识中提取邮件信息;
对于RFC 3464格式的退信,在所述退信的message/delivery-status中提取所述退信所携带的邮件信息;
在所述退信的正文中过滤出邮件信息。
本实施例的装置中的各模块所执行的操作分别对应于实施例一的步骤S110~S120,这些模块所执行的操作的其它实现细节可以参见实施例一。
实施例三、一种用于进行退信攻击识别的电子设备,包括:存储器和处理器;
所述存储器用于保存用于进行退信攻击识别的程序;所述用于进行退信攻击识别的程序在被所述处理器读取执行时,执行下述操作:
当收到退信时,提取所述退信中携带的邮件信息;
根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
本实施例中,所述用于进行垃圾邮件识别的程序所执行的操作对应于实施例一的步骤S110~S120,该程序所执行的操作的其它实现细节可以参见实施例一。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
当然,本申请还可有其他多种实施例,在不背离本申请精神及其实质的情况下,熟悉本领域的技术人员当可根据本申请作出各种相应的改变和变形,但这些相应的改变和变形都应属于本申请的权利要求的保护范围。
Claims (15)
1.一种退信攻击的识别方法,包括:
当收到退信时,提取所述退信中携带的邮件信息;
如果能从所述退信中提取到邮件头标识,则从邮件头标识中提取所述邮件信息,如果不能提取到邮件头标识则从所述退信其它位置提取所述邮件信息;其中,所述邮件头标识是在所发出的电子邮件中包含的,所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的;
从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击;如果相同,则
根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
2.如权利要求1所述的退信攻击的识别方法,其特征在于:
退信中携带的邮件信息包括以下一或多个:退信的收件人账号、退信所针对的电子邮件的发件人账号、退信所针对的电子邮件的收件人账号、退信所针对的电子邮件的标识;
发出电子邮件时所记录的邮件信息包括以下一个或多个:发件人账号、收件人账号、电子邮件的标识、电子邮件的发送时刻。
3.如权利要求1所述的退信攻击的识别方法,其特征在于,所述根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击包括:
根据所述退信中携带的邮件信息,在发出电子邮件时所记录的邮件信息中查找是否存在所述退信针对的电子邮件的邮件信息;
如果不存在,则判断所述退信是退信攻击;
如果存在,则根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击。
4.如权利要求3所述的退信攻击的识别方法,其特征在于,所述根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击包括以下一种或多种方式:
按照预设的算法,分别对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息进行计算,比对计算结果是否相同,不同则判断所述退信是退信攻击;
比对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息,如果不一致则判断所述退信是退信攻击;
比对退信的收件人账号,和发出所述退信所针对的电子邮件时记录的发件人账号是否相同,不同则判断所述退信是退信攻击;
计算当前时刻和发出所述退信针对的电子邮件时记录的发送时刻之间所间隔的时间长度,如果计算出的时间长度不在预设的时间范围内,则判断所述退信是退信攻击。
5.如权利要求1所述的退信攻击的识别方法,其特征在于,所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个前还包括:
解析所述退信中携带的邮件头标识;
如果解析失败,则阻断该邮件;如果成功则进行所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个的步骤。
6.如权利要求1所述的退信攻击的识别方法,其特征在于,从退信中提取邮件头标识包括以下一或多种方式:
如果是RFC 3464格式的退信,则在所述退信的格式为message/rfc822的附件中提取邮件头标识;
如果不是RFC 3464格式的退信,或者格式为message/rfc822的附件中不存在邮件头标识,则在所述退信中携带的、所述退信所针对的电子邮件中,或所述退信的正文中提取邮件头标识。
7.如权利要求1所述的退信攻击的识别方法,其特征在于,所述提取所述退信所携带的邮件信息包括以下一或多种方式:
从所提取的邮件头标识中提取邮件信息;
对于RFC 3464格式的退信,在所述退信的message/delivery-status中提取所述退信所携带的邮件信息;
在所述退信的正文中过滤出邮件信息。
8.一种退信攻击的识别装置,其特征在于,包括:
提取模块,用于当收到退信时,提取所述退信中携带的邮件信息,还用于从所述退信中提取邮件头标识;
如果能从所述退信中提取到邮件头标识,则从邮件头标识中提取所述邮件信息,如果不能提取到邮件头标识则从所述退信其它位置提取所述邮件信息;
识别模块,用于从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击;如果相同,则根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击;
添加模块,用于在待发送的电子邮件中添加所述邮件头标识;所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的。
9.如权利要求8所述的退信攻击的识别装置,其特征在于:
退信中携带的邮件信息包括以下一或多个:退信的收件人账号、退信所针对的电子邮件的发件人账号、退信所针对的电子邮件的收件人账号、退信所针对的电子邮件的标识;
发出电子邮件时所记录的邮件信息包括以下一个或多个:发件人账号、收件人账号、电子邮件的标识、电子邮件的发送时刻。
10.如权利要求8所述的退信攻击的识别装置,其特征在于,所述识别模块包括:
查找单元,用于根据所述退信中携带的邮件信息,在发出电子邮件时所记录的邮件信息中查找是否存在所述退信针对的电子邮件的邮件信息;
判断单元,用于当不存在所述退信针对的电子邮件的邮件信息时,判断所述退信是退信攻击;当存在所述退信针对的电子邮件的邮件信息时,根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击。
11.如权利要求10所述的退信攻击的识别装置,其特征在于,所述判断单元根据所述退信中携带的邮件信息,和发出所述退信针对的电子邮件时记录的邮件信息,判断所述退信是否为退信攻击包括以下一种或多种方式:
按照预设的算法,分别对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息进行计算,比对计算结果是否相同,不同则判断所述退信是退信攻击;
比对退信中携带的邮件信息、以及发出所述退信针对的电子邮件时所记录的邮件信息,如果不一致则判断所述退信是退信攻击;
比对退信的收件人账号,和发出所述退信所针对的电子邮件时记录的发件人账号是否相同,不同则判断所述退信是退信攻击;
计算当前时刻和发出所述退信针对的电子邮件时记录的发送时刻之间所间隔的时间长度,如果计算出的时间长度不在预设的时间范围内,则判断所述退信是退信攻击。
12.如权利要求8所述的退信攻击的识别装置,其特征在于:
所述识别模块还用于在从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个前,解析所述退信中携带的邮件头标识;如果解析失败,则阻断该邮件;如果成功则进行所述从邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个的操作。
13.如权利要求8所述的退信攻击的识别装置,其特征在于,所述提取模块从退信中提取邮件头标识包括以下一或多种方式:
如果是RFC 3464格式的退信,则在所述退信的格式为message/rfc822的附件中提取邮件头标识;
如果不是RFC 3464格式的退信,或者格式为message/rfc822的附件中不存在邮件头标识,则在所述退信中携带的、所述退信所针对的电子邮件中,或所述退信的正文中提取邮件头标识。
14.如权利要求8所述的退信攻击的识别装置,其特征在于,所述提取模块提取退信所携带的邮件信息包括以下一或多种方式:
从所提取的邮件头标识中提取邮件信息;
对于RFC 3464格式的退信,在所述退信的message/delivery-status中提取所述退信所携带的邮件信息;
在所述退信的正文中过滤出邮件信息。
15.一种用于进行退信攻击识别的电子设备,包括:存储器和处理器;
其特征在于:
所述存储器用于保存用于进行退信攻击识别的程序;所述用于进行退信攻击识别的程序在被所述处理器读取执行时,执行下述操作:
当收到退信时,提取所述退信中携带的邮件信息;
如果能从所述退信中提取到邮件头标识,则从邮件头标识中提取所述邮件信息,如果不能提取到邮件头标识则从所述退信其它位置提取所述邮件信息;其中,所述邮件头标识是在所发出的电子邮件中包含的,所述邮件头标识包括以下一个或多个信息:电子邮件的发件人账号M、电子邮件的收件人账号R、电子邮件的发送时刻T、数字签名;其中,数字签名是按照预定的签名算法,对M、R、T中的一个或多个进行计算得到的;
从所述邮件头标识里提取所述退信所针对的电子邮件的发件人账号M、收件人账号R、发送时刻T中的一个或多个,按照预定的签名算法进行计算;比较计算结果和所述邮件头标识中携带的数字签名,如果不相同则判断所述退信是退信攻击;如果相同,则
根据所述退信中携带的邮件信息,和发出电子邮件时所记录的邮件信息,识别所述退信是否为退信攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610818726.5A CN107819724B (zh) | 2016-09-12 | 2016-09-12 | 一种退信攻击的识别方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610818726.5A CN107819724B (zh) | 2016-09-12 | 2016-09-12 | 一种退信攻击的识别方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819724A CN107819724A (zh) | 2018-03-20 |
| CN107819724B true CN107819724B (zh) | 2021-03-05 |
Family
ID=61601122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610818726.5A Active CN107819724B (zh) | 2016-09-12 | 2016-09-12 | 一种退信攻击的识别方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819724B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030033569A (ko) * | 2001-10-24 | 2003-05-01 | 한국신용정보 주식회사 | 온라인망을 기반으로 하는 반송 전자메일 처리 방법 |
| CN1968091A (zh) * | 2006-07-19 | 2007-05-23 | 王李琰 | 一种基于标识的密码技术的邮件认证及可靠分类传递方法 |
| CN101414983A (zh) * | 2007-10-18 | 2009-04-22 | 村田机械株式会社 | 邮件中继装置及邮件中继方法 |
| US8103627B1 (en) * | 2009-03-02 | 2012-01-24 | Trend Micro, Inc. | Bounce attack prevention based on e-mail message tracking |
| CN105847113A (zh) * | 2016-03-15 | 2016-08-10 | 新浪网技术(中国)有限公司 | 企业邮件海外转发方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110224A1 (en) * | 2001-12-12 | 2003-06-12 | Cazier Robert Paul | Message auto-routing for electronic mail |
-
2016
- 2016-09-12 CN CN201610818726.5A patent/CN107819724B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030033569A (ko) * | 2001-10-24 | 2003-05-01 | 한국신용정보 주식회사 | 온라인망을 기반으로 하는 반송 전자메일 처리 방법 |
| CN1968091A (zh) * | 2006-07-19 | 2007-05-23 | 王李琰 | 一种基于标识的密码技术的邮件认证及可靠分类传递方法 |
| CN101414983A (zh) * | 2007-10-18 | 2009-04-22 | 村田机械株式会社 | 邮件中继装置及邮件中继方法 |
| US8103627B1 (en) * | 2009-03-02 | 2012-01-24 | Trend Micro, Inc. | Bounce attack prevention based on e-mail message tracking |
| CN105847113A (zh) * | 2016-03-15 | 2016-08-10 | 新浪网技术(中国)有限公司 | 企业邮件海外转发方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107819724A (zh) | 2018-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11277365B2 (en) | Email fraud prevention | |
| US7835294B2 (en) | Message filtering method | |
| KR101745624B1 (ko) | 실시간 스팸 탐색 시스템 | |
| US8135780B2 (en) | Email safety determination | |
| US8566938B1 (en) | System and method for electronic message analysis for phishing detection | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| US20050125667A1 (en) | Systems and methods for authorizing delivery of incoming messages | |
| US20190306192A1 (en) | Detecting email sender impersonation | |
| CN103716335A (zh) | 基于伪造发件人的垃圾邮件检测与过滤方法 | |
| CN108683589B (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
| CN107819724B (zh) | 一种退信攻击的识别方法、装置及电子设备 | |
| CN107453973B (zh) | 一种甄别电子邮件发送者身份特征的方法和装置 | |
| WO2010127586A1 (zh) | 一种电子邮箱系统及其系统邮件的输出方法及装置 | |
| CN108696422B (zh) | 电子邮件处理装置和电子邮件处理方法 | |
| US20170026411A1 (en) | Phishing source tool | |
| US11438292B1 (en) | Method and apparatus for filtering undesired email messages | |
| CN115037542A (zh) | 一种异常邮件检测方法及装置 | |
| KR102460497B1 (ko) | 발신전용 메일 및 알 수 없는 발신자 메일 관리 방법 및 시스템 | |
| EP4059199B1 (en) | Electronic mail security | |
| CN110034996A (zh) | 垃圾邮件识别方法、装置和系统 | |
| CN109495372B (zh) | 垃圾邮件的识别方法和装置 | |
| CN117220950A (zh) | 一种钓鱼邮件识别方法、装置、设备及介质 | |
| CN117061159A (zh) | 一种钓鱼邮件拦截方法及装置 | |
| CN116866057A (zh) | 基于评分的dmarc检测方法、系统、设备及存储介质 | |
| CN109714242A (zh) | 垃圾邮件的识别方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |