CN108683589B - 垃圾邮件的检测方法、装置及电子设备 - Google Patents

Abstract

本发明提供一种垃圾邮件的检测方法、装置及电子设备，该检测方法包括：提取待检测邮件的头部信息中的From字段，并从所述From字段中解析发件人的邮件域，作为所述发件人的标记邮件域MDN；提取待检测邮件的头部信息中的Received字段，并从所述Received字段中解析所述发件人的真实邮件域MSDN或者真实IP地址；基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件；或者，基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件。本发明能够有效检测虚假邮件发件人的垃圾邮件，为网络管理、网络安全监控以及网络在线取证提供有效技术支持。

Description

垃圾邮件的检测方法、装置及电子设备

技术领域

本发明涉及互联网技术领域，更具体地，涉及一种垃圾邮件的检测方法、装置及电子设备。

背景技术

在互联网技术迅猛发展的今天，电子邮件依然是互联网最重要的应用之一。电子邮件系统的设计都基于一个基本的假设：邮件发送者是可信的。然而，随着互联网的迅猛发展，电子邮件系统日益普及，电子邮件的安全性问题也越来越严重。其中，最主要的就是垃圾邮件泛滥，大多数邮箱每天都会收到大量的垃圾邮件，将严重干扰用户正常使用邮件系统，甚至给用户带来巨大经济损失。

目前，常用的反垃圾邮件技术多种多样，如黑白名单技术、过滤技术以及增强认证技术等。另外，还有些技术在邮件客户端和邮件服务器端分别设置各种垃圾邮件过滤机制，来对垃圾邮件进行过滤。更高级别的应对垃圾邮件的技术还有雅虎提出的Domain Key以及Eric Raymond提出的Sender Policy Framwork(SPF)等，但均依赖于邮件本身的内容及特征等。

然而事实上，垃圾邮件制造者的主要目的是向邮件接收人推送广告及其它信息，无需收件人进行回复。同时，为了躲避各种过滤手段，每次都临时随机构造一个虚假的发信人地址来发送邮件，使得黑白名单技术与基于内容与特征的过滤技术等失效。此类垃圾邮件被称为虚假邮件发件人的垃圾邮件(Counterfeit Sender Spam,CSSpam)。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种垃圾邮件的检测方法、装置及电子设备，用以有效检测虚假邮件发件人的垃圾邮件，为网络管理、网络安全监控以及网络在线取证提供有效技术支持。

第一方面，本发明提供一种垃圾邮件的检测方法，包括：

提取待检测邮件的头部信息中的From字段，并从所述From字段中解析发件人的邮件域，作为所述发件人的标记邮件域MDN；

提取待检测邮件的头部信息中的Received字段，并从所述Received字段中解析所述发件人的真实邮件域MSDN或者真实IP地址；

基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件；

或者，基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件。

其中，所述基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件的步骤进一步包括：判断所述标记邮件域MDN与所述真实邮件域MSDN是否一致，若否，则判定所述待检测邮件为垃圾邮件，若是，判定所述待检测邮件为非垃圾邮件。

其中，所述基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件的步骤进一步包括：

初始化发件人邮件域集合S_DN；

基于所述真实邮件域MSDN，进行DNS的邮件域正向查询，获取所述真实邮件域MSDN所在邮件系统的所有邮件域，添加到所述发件人邮件域集合S_DN中；

通过判断所述标记邮件域MDN是否包含在所述发件人邮件域集合S_DN中，确定所述待检测邮件是否为垃圾邮件。

其中，所述基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件的步骤进一步包括：

初始化发件人邮件域集合S_DN；

基于所述真实IP地址，进行邮件域的反向解析，获取所述真实IP地址所在邮件系统的所有邮件域，添加到所述发件人邮件域集合S_DN中；

通过判断所述标记邮件域MDN是否包含在所述发件人邮件域集合S_DN中，确定所述待检测邮件是否为垃圾邮件。

进一步的，在所述判定所述待检测邮件是否为垃圾邮件的步骤之后，所述方法还包括：

若判断获知所述判定的结果为垃圾邮件，则丢弃所述待检测邮件，或者给所述待检测邮件添加垃圾邮件的标签，并将添加标签后的邮件进行转发；

若判断获知所述判定的结果为非垃圾邮件，则根据所述待检测邮件的收件人地址，将所述待检测邮件进行转发。

进一步的，在所述判定所述待检测邮件是否为垃圾邮件的步骤之后，所述方法还包括：

若所述判定的结果为垃圾邮件，则分析并追查所述待检测邮件的源头邮件服务器，并指令邮件服务器守护进程拒绝来自所述源头邮件服务器的SMTP连接请求。

第二方面，本发明提供一种垃圾邮件的检测装置，包括：

第一提取解析模块，用于提取待检测邮件的头部信息中的From字段，并从所述From字段中解析发件人的邮件域，作为所述发件人的标记邮件域MDN；

第二提取解析模块，用于提取待检测邮件的头部信息中的Received字段，并从所述Received字段中解析所述发件人的真实邮件域MSDN或者真实IP地址；

检测处理模块，用于基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件；

或者，基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件。

进一步的，所述检测装置还包括：

垃圾邮件过滤模块，用于若判断获知所述判定的结果为垃圾邮件，则丢弃所述待检测邮件，或者给所述待检测邮件添加垃圾邮件的标签，并将添加标签后的邮件进行转发；

若判断获知所述判定的结果为非垃圾邮件，则根据所述待检测邮件的收件人地址，将所述待检测邮件进行转发；

垃圾邮件追踪模块，用于若所述判定的结果为垃圾邮件，则分析并追查所述待检测邮件的源头邮件服务器，并指令邮件服务器守护进程拒绝来自所述源头邮件服务器的SMTP连接请求。

其中，所述检测装置被部署在邮件队列单元与邮件发送单元之间。

第三方面，本发明提供一种电子设备，包括：至少一个处理器，以及至少一个与所述处理器通信连接的存储器；所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上所述的垃圾邮件的检测方法。

本发明提供的一种垃圾邮件的检测方法、装置及电子设备，通过对待检测邮件的头部信息进行提取和解析，确定发件人的标记邮件域和真实邮件域，并据此判断待检测邮件是否为垃圾邮件，能够对虚假邮件发件人的垃圾邮件进行有效检测，为网络管理、网络安全监控以及网络在线取证提供有效技术支持。

附图说明

图1为本发明实施例一种垃圾邮件的检测方法的流程图；

图2为根据本发明实施例一封正常邮件的部分邮件头信息示意图；

图3为根据本发明实施例一封典型的CSSpam邮件头的示意图；

图4为根据本发明实施例的一种CSSpam的检测流程示意图；

图5为本发明实施例一种垃圾邮件的检测装置的结构示意图；

图6为根据本发明实施例一种CSSpam检测过滤引擎在Qmail邮件系统中部署的位置示意图；

图7为根据本发明实施例的一种CSSpam体系结构示意图；

图8为本发明实施例一种电子设备的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有电子邮件系统所存在的诸多安全问题归根到底是由于缺乏对发信人的源地址进行认证所造成的，现有基于SMTP协议和客户/服务器模式的电子邮件系统采用类似路由器的转发机制，服务器无法验证最初发送者的身份或源地址的真实性，最终导致垃圾邮件泛滥。

针对垃圾邮件的特点以及现有垃圾邮件检测与过滤方法所存在的问题，本发明实施例提出一种垃圾邮件的检测思路，即：通过分析邮件头(Header)中相关字段所记录的邮件传输过程的详细信息，如发信人的邮件地址、发信人的邮件域以及邮件在传输过程中所经过的邮件服务器等，准确判断出基于虚假邮件发件人的垃圾邮件。

以上解决思路能够有效检测与过滤基于虚假邮件发件人的垃圾邮件，同时保证正常邮件不会被错误过滤，该方法广泛应用于网络管理、安全监控、网络行为分析等领域。

作为本发明实施例的一个方面，本实施例提供一种垃圾邮件的检测方法，参考图1，为本发明实施例一种垃圾邮件的检测方法的流程图，包括：

S101，提取待检测邮件的头部信息中的From字段，并从From字段中解析发件人的邮件域，作为发件人的标记邮件域MDN。

可以理解为，一封完整的邮件通常都包含一个头部信息，即邮件头。该邮件头中通常又至少包含两部分内容，即From字段和Received字段。其中From字段会记录发件人的标记信息，即实际呈现出的发件人的信息。

具体而言，在待检测邮件的邮件头中，From字段记录了邮件发件人的Email地址MSA，其格式为MSA@MDN。其中，MDN为邮件域的名称，MSA为发件人在该邮件域内的账号名。

在接收到一封邮件并需要对该邮件进行检测时，该邮件即成为待检测邮件。采用一定的信息提取方式，可以从该待检测邮件中提取其所包含的头部信息。之后，可进一步根据该头部信息确定其中的From字段。

然后，采用一定的信息解析工具，从From字段中解析发件人的邮件域，并将解析到的该邮件域作为发件人的标记邮件域MDN。其中该标记邮件域MDN可以认为是邮件中实际呈现出的发件人的邮件域，也可以认为是发件人想要别人看到的一个邮件地址的邮件域。在邮件中该标记邮件域MDN即是邮件实际显示的发件人的邮件地址的邮件域。

S102，提取待检测邮件的头部信息中的Received字段，并从Received字段中解析发件人的真实邮件域MSDN或者真实IP地址。

可以理解为，在上述步骤中的邮件头中，通常还有一个或多个Received字段，Received字段会记录邮件在投递过程中所经过的邮件服务器的域名(MSDN)或IP地址。则在对待检测邮件进行检测时，也会从邮件头中提取该Received字段。

然后，根据Received字段中实际所包含的发件人的实际信息为邮件域或者IP地址，分两种情况从Received字段中解析发件人的真实信息。具体当包含的为邮件域时，采用一定的信息解析工具，从Received字段中解析发件人的邮件域，作为发件人的真实邮件域MSDN。当包含的为IP地址时，从Received字段中解析发件人的IP地址，作为发件人的真实IP地址。

S103，基于标记邮件域MDN和真实邮件域MSDN，判定待检测邮件是否为垃圾邮件；或者，基于标记邮件域MDN和真实IP地址，判定待检测邮件是否为垃圾邮件。

可以理解为，通常若一封邮件为正常邮件时，从邮件头解析到的发件人的标记信息和真实信息应该是一致的。因此，可以通过判断从邮件头中解析到的标记邮件域MDN与真实邮件域MSDN或者真实IP地址信息的一致性，来判定相应待检测邮件是否为垃圾邮件。

其中，在一个实施例中，基于标记邮件域MDN和真实邮件域MSDN，判定待检测邮件是否为垃圾邮件的步骤进一步包括：判断标记邮件域MDN与真实邮件域MSDN是否一致，若否，则判定待检测邮件为垃圾邮件，若是，判定待检测邮件为非垃圾邮件。

可以理解为，在本发明实施例中，若一封邮件为正常邮件时，则表现为从From字段中解析到的标记邮件域MDN和从Received字段中解析到的真实邮件域MSDN是一致的。因此，当从Received字段中解析到的是真实邮件域MSDN时，通过判断标记邮件域MDN和真实邮件域MSDN的一致性，即可判断该待检测邮件是否为垃圾邮件。

本发明实施例提供的一种垃圾邮件的检测方法，通过对待检测邮件的头部信息进行提取和解析，确定发件人的标记邮件域和真实邮件域，并据此判断待检测邮件是否为垃圾邮件，能够对虚假邮件发件人的垃圾邮件进行有效检测，为网络管理、网络安全监控以及网络在线取证提供有效技术支持。

对于上述实施例，可以举例进行更详细的说明，但不对本发明的保护范围进行限制。

例如，如图2所示，为根据本发明实施例一封正常邮件的部分邮件头信息示意图，邮件头中的From字段记录了邮件发件人的Email地址(EMA)：crade@johndotools.com，表明邮件发件人来自邮件域(MDN)：johndotools.com，其账号名(MSA)为crade。在正常邮件中，可以在Received字段中发现与MDN相同的MSDN，在图2所示的例子中，可以看到MDN＝MSDN＝johndotools.com，说明该邮件为正常邮件，即非垃圾邮件。

另一种情况，对于虚假邮件发件人的垃圾邮件CSSpam而言，垃圾邮件发送者为了逃避检测与追踪，总是伪造发信人地址，这样就会出现MDN与MSDN不符的异常情况。如图3所示，为根据本发明实施例一封典型的CSSpam的邮件头的示意图，从图3中可以看出，邮件头的From字段中的邮件域MDN＝galvserv.com，而邮件服务器的域名MSDN＝sun.genuinewebhost.com，不难看出，From字段中的邮件域MDN与Received字段中的MSDN不相同的，因此这是借用邮件服务器sun.genuinewebhost.com发送的一份垃圾邮件。

其中，根据上述实施例可选的，基于标记邮件域MDN和真实邮件域MSDN，判定待检测邮件是否为垃圾邮件的步骤进一步包括：

初始化发件人邮件域集合S_DN；

基于真实邮件域MSDN，进行DNS的邮件域正向查询，获取真实邮件域MSDN所在邮件系统的所有邮件域，添加到发件人邮件域集合S_DN中；

通过判断标记邮件域MDN是否包含在发件人邮件域集合S_DN中，确定待检测邮件是否为垃圾邮件。

可以理解为，由于不同的邮件系统在实现细节上并未严格遵循电子邮件的相关协议与标准(如RFC822等)，且由于邮件系统自身的配置差错，在具体实施CSSpam的检测与过滤时，可能会遇到一些技术性问题。

例如，有些邮件系统支持虚拟邮件域(即一个邮件系统同时管理多个邮件域)，发送邮件时写入Received字段中的邮件域MSDN不一定是From字段中的邮件域MDN。这样就可能给CSSpam的检测带来一些操作上的困难，出现误杀正常邮件的可能。

为解决上述问题，本实施例考虑根据从Received字段中解析到的信息进行推算，解析这些信息所对应的所有邮件域，并在此基础上来判断待检测邮件是否为垃圾邮件。具体为更便于进行比对，首先初始化一个数据集合，作为发件人的真实邮件域的集合，即发件人邮件域集合S_DN。

之后，根据从Received字段中解析到的信息的情况，来解析该信息对应的真实邮件域。具体当解析到的是真实邮件域MSDN时，在邮件系统中进行DNS的邮件域正向查询，获取真实邮件域MSDN所在邮件系统的所有邮件域，并将这些邮件域全部添加到发件人邮件域集合S_DN中。

在根据上述步骤对发件人邮件域集合S_DN进行填充之后，该发件人邮件域集合S_DN内即包含了根据本次待检测邮件解析到的邮件实际经过的所有邮件域。因此，只要在该发件人邮件域集合S_DN内存在与发件人的标记邮件域MDN一致的邮件域，即说明该待检测邮件是正常邮件。

具体根据标记邮件域MDN和发件人邮件域集合S_DN进行判断，当标记邮件域MDN存在于发件人邮件域集合S_DN时，判定待检测邮件为正常邮件，否则判断待检测邮件为垃圾邮件。即具体根据如下规则进行判断：

若

则判定该邮件为垃圾邮件；

若MD∈S_DN，则判定该邮件为正常邮件。

本发明实施例提供的一种垃圾邮件的检测方法，通过DNS的正向查询，对与邮件相关的所有实际邮件域进行解析，能够准确检测出基于虚假邮件发送地址的垃圾邮件，同时能够保证正常邮件不会被错误判定，可靠性更高。

其中，根据上述实施例可选的，基于标记邮件域MDN和真实IP地址，判定待检测邮件是否为垃圾邮件的步骤进一步包括：

初始化发件人邮件域集合S_DN；

基于真实IP地址，进行邮件域的反向解析，获取真实IP地址所在邮件系统的所有邮件域，添加到发件人邮件域集合S_DN中；

通过判断标记邮件域MDN是否包含在发件人邮件域集合S_DN中，确定待检测邮件是否为垃圾邮件。

可以理解为，由于不同的邮件系统在实现细节上并未严格遵循电子邮件的相关协议与标准(如RFC822等)，且由于邮件系统自身的配置差错，在具体实施CSSpam的检测与过滤时，可能会遇到一些技术性问题。例如，有些非标准邮件系统发送邮件时，在Received字段中写入的不是域名而是IP地址。

为解决上述问题，本实施例考虑根据从Received字段中解析到的信息进行推算，解析这些信息所对应的所有邮件域，并在此基础上来判断待检测邮件是否为垃圾邮件。具体为更便于进行比对，首先初始化一个数据集合，作为发件人的真实邮件域的集合，即发件人邮件域集合S_DN。

之后，根据从Received字段中解析到的信息的情况，来解析该信息对应的真实邮件域。具体当从Received字段中解析到的是真实IP地址时，先根据该真实IP地址在邮件系统中进行邮件域的反向解析，获取真实IP地址所在邮件系统的所有邮件域，并将这些邮件域添加到发件人邮件域集合S_DN中。

在根据上述步骤对发件人邮件域集合S_DN进行填充之后，该发件人邮件域集合S_DN内即包含了根据本次待检测邮件解析到的邮件实际经过的所有邮件域。因此，只要在该发件人邮件域集合S_DN内存在与发件人的标记邮件域MDN一致的邮件域，即说明该待检测邮件是正常邮件。

具体根据标记邮件域MDN和发件人邮件域集合S_DN进行判断，当标记邮件域MDN存在于发件人邮件域集合S_DN时，判定待检测邮件为正常邮件，否则判断待检测邮件为垃圾邮件。即具体根据如下规则进行判断：

若

则判定该邮件为垃圾邮件；

若MD∈S_DN，则判定该邮件为正常邮件。

本发明提供的一种垃圾邮件的检测方法，通过根据IP地址的反向解析，对与邮件相关的所有实际邮件域进行解析，能够准确检测出基于虚假邮件发送地址的垃圾邮件，同时能够保证正常邮件不会被错误判定，可靠性更高。

在其中一个实施例中，通过解析工具NSLOOKUP查询MX记录等技术手段，实现DNS的正向查询或者根据IP地址的反向解析，获取对应所在邮件系统的所有邮件域。

进一步的，在上述实施例的基础上，在判定待检测邮件是否为垃圾邮件的步骤之后，本发明实施例的方法还包括：

若判断获知判定的结果为垃圾邮件，则丢弃待检测邮件，或者给待检测邮件添加垃圾邮件的标签，并将添加标签后的邮件进行转发；

若判断获知判定的结果为非垃圾邮件，则根据待检测邮件的收件人地址，将待检测邮件进行转发。

可以理解为，在根据上述实施例对垃圾邮件进行判定之后，为对判定出的垃圾邮件进行控制，避免垃圾邮件污染，对该垃圾邮件进行过滤处理。具体而言，如果对待检测邮件判定的结果为垃圾邮件，则根据垃圾邮件过滤规则进行处理：过滤掉该邮件，或者给该邮件打上垃圾邮件的标签，然后根据收件人地址进行转发；如果对待检测邮件判定的结果为非垃圾邮件，则直接根据收件人地址转发该邮件。

本发明提供的一种垃圾邮件的检测方法，在对垃圾邮件进行检测判定的基础上，对垃圾邮件进行过滤处理，能够有效避免垃圾邮件的污染，提升用户体验，并保障用户数据安全。

进一步的，在上述实施例的基础上，在判定待检测邮件是否为垃圾邮件的步骤之后，本发明实施例的方法还包括：若判定的结果为垃圾邮件，则分析并追查待检测邮件的源头邮件服务器，并指令邮件服务器守护进程拒绝来自源头邮件服务器的SMTP连接请求。

可以理解为，考虑到邮件检测和拦截效率，可以通过对大量邮件数据的分析和统计，追查发件人经常用到的垃圾邮件源头邮件服务器，并认为由该服务器发出的邮件均为垃圾邮件，当检测到邮件由该服务器发出时，即直接判定为垃圾邮件，对邮件进行拦截。

具体而言，当邮件被判定为CSSpam邮件后，进行CSSpam的追踪。具体采用CSSpam追踪结合CSSpam分析/统计模块，来进一步追查邮件的源头。比如，如果大量CSSpam邮件来自同一个邮件服务器，则此邮件服务器为垃圾邮件发送器，通知邮件服务器守护进程tcpserver/inetd拒绝来自该邮件服务器的SMTP连接请求。

本发明提供的一种垃圾邮件的检测方法，通过对大量邮件数据的分析和统计，追查发件人经常用到的垃圾邮件源头邮件服务器，并对该服务器发出的邮件直接进行拦截，能够有效提高邮件检测和拦截的效率，避免垃圾邮件污染。

针对上述实施例的技术方案以及上述实施例所带来的有益效果，可以举例进行更详细的说明，但不对本发明的保护范围进行限制。

以下以Qmail邮件系统为例进行详细说明，在Qmail邮件系统中，所处理的邮件包括4种：从外部邮件域发往其它外部邮件域但需要经过本邮件服务器进行中转的邮件、从外部邮件域发往本域的邮件、从本域发往外部邮件域的邮件以及从本域发往本域的邮件。

参考图4，为根据本发明实施例的一种CSSpam的检测流程示意图，包括：

通过CSSpam垃圾邮件发送平台向收件人随机发送一些CSSpam邮件与正常邮件，这些邮件将同时发送给两给邮件接收人邮箱A和B；

A为正常邮件接收人邮箱，B为在邮件服务器上部署了CSSpam检测过滤插件，被CSSpam判定为垃圾邮件的，直接扔掉，只有被判定为正常的邮件，才会发送到收件人邮箱中；

在其中一个邮件服务器上部署了CSSpam检测过滤器，如果CSSpam检测过滤系统工作正常，那么A邮箱中将接收到所有来自CSSpam发送器所发送的邮件，而B邮箱中只能接收到CSSpam发送器所发送的正常邮件(基于虚假邮件发送地址的垃圾邮件应该被CSSpam过滤掉)；

通过对比A与B中的邮件就可判定CSSpam检测过滤系统是否正常工作。

如表1所示，为根据上述实例的检测结果输出表。

表1，为根据本发明实例的检测结果输出表

在上表中，CSSpam检测率＝|A收到的邮件数量-B收到的邮件数量|/发送的CSSpam数量×100％，即正确检测出CSSpam邮件的比率。

误判率＝|发送的正常邮件数量-B收到的邮件数量|/正常邮件数量×100％，即将正常邮件误判为CSSpam邮件的比率。

为了充分反映邮件发送与接收的4种不同模式，又不影响邮件服务器的正常工作，本实施例临时申请了一个子域名csspam.edu.cn，并配置了相应的DNS服务器和邮件服务器，创建了测试用的邮件帐号：liuwu@csspam.edu.cn和csspam@csspam.edu.cn。

另外，前面所述4种邮件发送模式，实际上可以分为两大类：相同邮件域内部之间的邮件通信与不同邮件域之间的邮件通信。在实际操作中根据CSSpam部署的位置，考虑以下3种邮件通信模式：

(1)本地发往本地的邮件，亦即在同一个邮件域的不同邮件帐号之间测试CSSpam。此时：A＝liuwu@csspam.edu.cn用于接收未经CSSpam处理的邮件、B＝csspam@csspam.edu.cn用于接收经过CSSpam过滤后的邮件。如表1所示，通过CSSpam一共发送1078封邮件，其中正常邮件497封，CSSpam邮件581封，实验结束后，A一共收到1078封邮件，B一共收到497封邮件。因此：

CSSpam检测率＝|A收到的邮件数量-B收到的邮件数量|/发送的CSSpam数量×100％＝|1078-497|/581×100％＝100％；

误判率＝|发送的正常邮件数量-B收到的邮件数量|/正常邮件数量×100％＝|497-497|/497×100％＝0％。

(2)本地发往外地的邮件。为了实现本地发往外地的CSSpam测试，将CSSpam部署在本地csspam.edu.cn测试域的邮件服务器上，外地邮件域的接收邮件帐号为liuwu@cernet.edu.cn。此时：A＝liuwu@cernet.edu.cn用于接收未经CSSpam处理的邮件、B＝liuwu@csspam.edu.cn用于接收经过CSSpam过滤后的邮件。如表1所示，通过CSSpam一共发送1359封邮件，其中正常邮件591封，CSSpam邮件768封，实验结束后，A一共收到1357封邮件，B一共收到590封邮件。因此：

CSSpam检测率＝|A收到的邮件数量-B收到的邮件数量|/发送的CSSpam数量×100％＝|1357-590|/768×100％＝99.87％；

误判率＝|发送的正常邮件数量-B收到的邮件数量|/正常邮件数量×100％＝|591-590|/591×100％＝0.17％。

说明：本实施例中发送的邮件总数为1359封，而A(未经CSSpam处理)只收到1357封邮件，说明有2封邮件在传输过程中发生丢失的现象，后经检查，是测传输过程中被中间服务器因为其它原因丢弃所致。

(3)外地发往本地的邮件。为了实现外地发往本地的CSSpam测试，将CSSpam部署在csspam.edu.cn域的邮件服务器上，外地邮件域的发送邮件帐号为liuwu@cernet.edu.cn。此时：A＝liuwu@cernet.edu.cn用于接收未经CSSpam处理的邮件、B＝csspam@csspam.edu.cn用于接收经过CSSpam过滤后的邮件。如表1所示，通过CSSpam一共发送1246封邮件，其中正常邮件627封，CSSpam邮件619封，实验结束后A一共收到1242封邮件，B一共收到628封邮件。因此：

CSSpam检测率＝|A收到的邮件数量-B收到的邮件数量|/发送的CSSpam数量×100％＝|1242-628|/619×100％＝99.19％；

误判率＝|发送的正常邮件数量-B收到的邮件数量|/正常邮件数量×100％＝|627-628|/627×100％＝0.16％。

说明：本实施例中发送的邮件总数为1246封，而A(未经CSSpam处理)只收到1242封邮件，说明有4封邮件在传输过程中发生丢失的现象，后经检查，是测传输过程中被中间服务器因为其它原因丢弃所致。

上述实施例表明，CSSpam能够准确地检测出虚假垃圾邮件，同时能够保证正常邮件不会被错误过滤。

另外，本发明实施例提供应用编程接口，可以方便地与垃圾检测、攻击源追踪、在线取证等安全管理及安全监控系统实现数据交换与信息通信。

作为本发明实施例的另一个方面，本发明实施例根据上述实施例提供一种垃圾邮件的检测装置，该装置用于在上述各实施例中实现对虚假邮件发件人的垃圾邮件的有效检测。因此，在上述各实施例的垃圾邮件的检测方法中的描述和定义，可以用于本发明实施例中各个执行模块的理解，具体可参考上述实施例，此处不在赘述。

根据本发明实施例的一个实施例，所提供的垃圾邮件的检测装置的结构如图5所示，为本发明实施例一种垃圾邮件的检测装置的结构示意图，包括：第一提取解析模块501、第二提取解析模块502和检测处理模块503。

其中，第一提取解析模块501用于提取待检测邮件的头部信息中的From字段，并从From字段中解析发件人的邮件域，作为发件人的标记邮件域MDN；第二提取解析模块502用于提取待检测邮件的头部信息中的Received字段，并从Received字段中解析发件人的真实邮件域MSDN或者真实IP地址；检测处理模块503用于基于标记邮件域MDN和真实邮件域MSDN，判定待检测邮件是否为垃圾邮件；或者，基于标记邮件域MDN和真实IP地址，判定待检测邮件是否为垃圾邮件。

其中可选的，检测处理模块具体用于：判断标记邮件域MDN与真实邮件域MSDN是否一致，若否，则判定待检测邮件为垃圾邮件，若是，判定待检测邮件为非垃圾邮件。

其中可选的，检测处理模块具体用于：初始化发件人邮件域集合S_DN；基于真实邮件域MSDN，进行DNS的邮件域正向查询，获取真实邮件域MSDN所在邮件系统的所有邮件域，添加到发件人邮件域集合S_DN中；通过判断标记邮件域MDN是否包含在发件人邮件域集合S_DN中，确定待检测邮件是否为垃圾邮件。

其中可选的，检测处理模块具体用于：初始化发件人邮件域集合S_DN；基于真实IP地址，进行邮件域的反向解析，获取真实IP地址所在邮件系统的所有邮件域，添加到发件人邮件域集合S_DN中；通过判断标记邮件域MDN是否包含在发件人邮件域集合S_DN中，确定待检测邮件是否为垃圾邮件。

进一步的，在上述实施例的基础上，垃圾邮件的检测装置还包括垃圾邮件过滤模块，用于：若判断获知判定的结果为垃圾邮件，则丢弃待检测邮件，或者给待检测邮件添加垃圾邮件的标签，并将添加标签后的邮件进行转发；若判断获知判定的结果为非垃圾邮件，则根据待检测邮件的收件人地址，将待检测邮件进行转发。

进一步的，在上述实施例的基础上，垃圾邮件的检测装置还包括垃圾邮件追踪模块，用于：若判定的结果为垃圾邮件，则分析并追查待检测邮件的源头邮件服务器，并指令邮件服务器守护进程拒绝来自源头邮件服务器的SMTP连接请求。

其中，在一个实施例中，本发明实施例的检测装置被部署在邮件队列单元与邮件发送单元之间。

可以理解为，在垃圾邮件的检测时，需要对各个传输层面的邮件进行检测，即检测装置必须能处理所有这些邮件，因此，虚假发信人垃圾邮件的检测与处理的最佳位置应该是在邮件队列中进行。例如，在Qmail邮件系统中，将CSSpam检测过滤引擎以插件的形式安装部署在Qmail邮件系统的qmail-queue(邮件队列单元，负责处理邮件队列)与qmail-send(邮件发送单元，负责发送经过qmail-queue处理后的邮件队列)之间，这样既不会影响原有系统结构，安装、移除也都很方便，同时运行效率也很高。

本实施例CSSpam为插件形式部署在邮件队列中，运行效率高，兼容多种邮件系统，安装部署与卸载都非常方便，不影响邮件系统正常工作。

可以理解的是，本发明实施例中可以通过硬件处理器(hardware processor)来实现上述各实施例的检测装置中的各相关功能模块。并且，本发明实施例各垃圾邮件的检测装置所产生的有益效果与对应的上述各方法实施例相同，可以参考上述各方法实施例，此处不再赘述。

为进一步说明本发明的技术方案，以下以Qmail邮件系统为例进行详细说明，但不对本发明的保护范围进行限制。

首先，进行CSSpam检测过滤引擎，即垃圾邮件的检测装置的部署。

邮件系统具体实现CSSpam的检测与过滤时，需要选择一个最佳的切入点。检测过滤引擎必须能处理所有这些邮件，因此，虚假发信人垃圾邮件的检测与处理的最佳位置应该是在邮件队列中进行。

如图6所示，为根据本发明实施例一种CSSpam检测过滤引擎在Qmail邮件系统中部署的位置示意图。图中将CSSpam检测过滤引擎以插件的形式安装部署在Qmail邮件系统的qmail-queue(负责处理邮件队列)与qmail-send(负责发送经过qmail-queue处理后的邮件队列)之间，这样既不会影响原有系统结构，安装、移除也都很方便，同时运行效率也很高。

具体实施过程中，在一台Linux操作系统CentOS 6.5上安装部署Qmail邮件服务器系统，并将CSSpam检测过滤引擎以插件的形式安装部署在Qmail邮件系统的qmail-queue与qmail-send之间，使得邮件服务器可以正常工作而不受CSSpam引擎的影响。

其次，实现CSSpam检测过滤引擎的实施流程。

CSSpam引擎的体系结构如图7所示，为根据本发明实施例的一种CSSpam体系结构示意图，主要包括邮件头提取、邮件域解析、CSSpam判定、CSSpam过滤、CSSpam追踪、CSSpam知识库、CSSpam分析/统计、CSSpam可视化输出以及决策支持系统等模块。具体检测实施过程主要包括以下步骤：

邮件系统启动时，自动启动CSSpam检测过滤引擎CSSpam，开始监听邮件系统，并进行初始化工作；

接收到邮件后，提交给CSSpam检测过滤引擎，邮件头解析模块从来自邮件队列qmail-queue中邮件的邮件头中的相关字段如From、Received等中提取出MDN、MSA等信息；

通过邮件域解析模块，获取MSDN等信息，然后提交给CSSpam检测引擎进行处理；

CSSpam检测引擎接收来自邮件头解析模块中提取出的MDN、MSA、MSDN等信息，作为输入信息调用CSSpam检测算法判定是否为CSSpam。

其中在进行垃圾邮件的判断与处理时，按如下规则进行：

如果判定为正常邮件，则将邮件提交给qmail-send进行正常投递；

如果判定为CSSpam，则CSSpam过滤模块根据用户事先设定的规则，对CSSpam进行过滤，目前本系统支持的过滤形式主要包括：

a.打上[CSSpam]标签，然后放行；

b.直接丢弃该邮件。

在此基础上，还可以进行CSSpam追踪。具体当邮件被判定为CSSpam邮件时，CSSpam追踪结合CSSpam分析/统计模块，用以进一步追查邮件的源头。比如，如果大量CSSpam邮件来自同一个邮件服务器，则此邮件服务器为垃圾邮件发送器，通知邮件服务器守护进程tcpserver/inetd拒绝来自该邮件服务器的SMTP连接请求。

作为本发明实施例的又一个方面，本实施例根据上述实施例提供一种电子设备，参考图8，为本发明实施例一种电子设备的结构框图，包括：至少一个处理器801，以及至少一个与处理器801通信连接的存储器802。其中，存储器802中存储有可在处理器801上运行的计算机程序，处理器801执行该计算机程序时，实现如上述实施例的垃圾邮件的检测方法。

可以理解为，该电子设备中至少包含一个处理器801和一个存储器802，且处理器801和存储器802之间形成通信连接，可以进行相互间信息和指令的传输，如处理器801从存储器802中读取垃圾邮件的检测方法的程序指令等。

电子设备运行时，处理器801调用存储器802中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：从所述From字段中解析发件人的邮件域，作为所述发件人的标记邮件域MDN，并从所述Received字段中解析所述发件人的邮件域，作为所述发件人的真实邮件域MSDN，或者解析所述发件人的IP地址，作为所述发件人的真实IP地址；以及判断所述标记邮件域MDN与所述真实邮件域MSDN是否一致，若否，则判定所述待检测邮件为垃圾邮件，若是，判定所述待检测邮件为非垃圾邮件等。

本发明另一个实施例中，提供一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令使计算机执行如上述实施例的垃圾邮件的检测方法。

可以理解为，上述的计算机指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。或者，实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例提供的一种电子设备和一种非暂态计算机可读存储介质，通过对待检测邮件的头部信息进行提取和解析，确定发件人的标记邮件域和真实邮件域，并据此判断待检测邮件是否为垃圾邮件，能够对虚假邮件发件人的垃圾邮件进行有效检测，为网络管理、网络安全监控以及网络在线取证提供有效技术支持。

可以理解的是，以上所描述的检测装置、电子设备及存储介质的实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，既可以位于一个地方，或者也可以分布到不同网络单元上。可以根据实际需要选择其中的部分或全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上实施方式的描述，本领域的技术人员可以清楚地了解，各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如U盘、移动硬盘、ROM、RAM、磁碟或者光盘等，包括若干指令，用以使得一台计算机设备(如个人计算机，服务器，或者网络设备等)执行上述各方法实施例或者方法实施例的某些部分所述的方法。

另外，本领域内的技术人员应当理解的是，在本发明的申请文件中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明的说明书中，说明了大量具体细节。然而应当理解的是，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本发明公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。

然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种垃圾邮件的检测方法，其特征在于，包括：

提取待检测邮件的头部信息中的From字段，并从所述From字段中解析发件人的邮件域，作为所述发件人的标记邮件域MDN；

提取待检测邮件的头部信息中的Received字段，并从所述Received字段中解析所述发件人的真实邮件域MSDN或者真实IP地址；

基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件；

或者，基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件；

其中，所述基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件的步骤进一步包括：

初始化发件人邮件域集合S_DN；

基于所述真实邮件域MSDN，进行DNS的邮件域正向查询，获取所述真实邮件域MSDN所在邮件系统的所有邮件域，添加到所述发件人邮件域集合S_DN中；

通过判断所述标记邮件域MDN是否包含在所述发件人邮件域集合S_DN中，确定所述待检测邮件是否为垃圾邮件；

所述基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件的步骤进一步包括：

初始化发件人邮件域集合S_DN；

基于所述真实IP地址，进行邮件域的反向解析，获取所述真实IP地址所在邮件系统的所有邮件域，添加到所述发件人邮件域集合S_DN中；

通过判断所述标记邮件域MDN是否包含在所述发件人邮件域集合S_DN中，确定所述待检测邮件是否为垃圾邮件。

2.根据权利要求1所述的方法，其特征在于，所述基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件的步骤进一步包括：

判断所述标记邮件域MDN与所述真实邮件域MSDN是否一致，若否，则判定所述待检测邮件为垃圾邮件，若是，判定所述待检测邮件为非垃圾邮件。

3.根据权利要求1所述的方法，其特征在于，在所述判定所述待检测邮件是否为垃圾邮件的步骤之后，还包括：

若判断获知所述判定的结果为垃圾邮件，则丢弃所述待检测邮件，或者给所述待检测邮件添加垃圾邮件的标签，并将添加标签后的邮件进行转发；

若判断获知所述判定的结果为非垃圾邮件，则根据所述待检测邮件的收件人地址，将所述待检测邮件进行转发。

4.根据权利要求1所述的方法，其特征在于，在所述判定所述待检测邮件是否为垃圾邮件的步骤之后，还包括：

若所述判定的结果为垃圾邮件，则分析并追查所述待检测邮件的源头邮件服务器，并指令邮件服务器守护进程拒绝来自所述源头邮件服务器的SMTP连接请求。

5.一种垃圾邮件的检测装置，其特征在于，包括：

第一提取解析模块，用于提取待检测邮件的头部信息中的From字段，并从所述From字段中解析发件人的邮件域，作为所述发件人的标记邮件域MDN；

第二提取解析模块，用于提取待检测邮件的头部信息中的Received字段，并从所述Received字段中解析所述发件人的真实邮件域MSDN或者真实IP地址；

检测处理模块，用于基于所述标记邮件域MDN和所述真实邮件域MSDN，判定所述待检测邮件是否为垃圾邮件，包括：

初始化发件人邮件域集合S_DN；

基于所述真实邮件域MSDN，进行DNS的邮件域正向查询，获取所述真实邮件域MSDN所在邮件系统的所有邮件域，添加到所述发件人邮件域集合S_DN中；

通过判断所述标记邮件域MDN是否包含在所述发件人邮件域集合S_DN中，确定所述待检测邮件是否为垃圾邮件；

或者，基于所述标记邮件域MDN和所述真实IP地址，判定所述待检测邮件是否为垃圾邮件，包括：

初始化发件人邮件域集合S_DN；

基于所述真实IP地址，进行邮件域的反向解析，获取所述真实IP地址所在邮件系统的所有邮件域，添加到所述发件人邮件域集合S_DN中；

通过判断所述标记邮件域MDN是否包含在所述发件人邮件域集合S_DN中，确定所述待检测邮件是否为垃圾邮件。

6.根据权利要求5所述的检测装置，其特征在于，还包括：

垃圾邮件过滤模块，用于若判断获知所述判定的结果为垃圾邮件，则丢弃所述待检测邮件，或者给所述待检测邮件添加垃圾邮件的标签，并将添加标签后的邮件进行转发；

若判断获知所述判定的结果为非垃圾邮件，则根据所述待检测邮件的收件人地址，将所述待检测邮件进行转发；

垃圾邮件追踪模块，用于若所述判定的结果为垃圾邮件，则分析并追查所述待检测邮件的源头邮件服务器，并指令邮件服务器守护进程拒绝来自所述源头邮件服务器的SMTP连接请求。

7.根据权利要求5或6所述的检测装置，其特征在于，所述检测装置被部署在邮件队列单元与邮件发送单元之间。

8.一种电子设备，其特征在于，包括：至少一个处理器，以及至少一个与所述处理器通信连接的存储器；

所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1至4中任一所述的方法。

Images