CN113422716B - 一种邮件安全控制方法和系统 - Google Patents
一种邮件安全控制方法和系统 Download PDFInfo
- Publication number
- CN113422716B CN113422716B CN202110734543.6A CN202110734543A CN113422716B CN 113422716 B CN113422716 B CN 113422716B CN 202110734543 A CN202110734543 A CN 202110734543A CN 113422716 B CN113422716 B CN 113422716B
- Authority
- CN
- China
- Prior art keywords
- local
- security gateway
- result
- mail security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种邮件安全控制方法和系统,涉及网络安全技术领域。该方法的一具体实施方式包括:响应于接收到端口镜像流量,解析端口镜像流量;将解析的结果发送给邮件安全网关;通过邮件安全网关处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;根据调整后的五元组信息包括的本地回环虚拟IP地址和本地端口,将邮件安全网关的处理结果回复给本地透明代理应用;基于本地透明代理应用接收到的处理结果,调控邮件安全网关,并通过邮件安全网关的串行模式监控邮件的安全性。该实施方式使邮件安全网关能够兼顾串行模式和旁路模式。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种邮件安全控制方法和系统。
背景技术
目前邮件安全主要通过邮件网关实现。其中,邮件网关的实现方式可以有旁路模式和串行模式。其中,旁路模式是指邮件网关获取邮件的镜像流量,通过分析镜像流量判断邮件是否安全;串行模式是指邮件网关拦截邮件,并对邮件进行解析,通过将解析的结果与预设的黑名单或者白名单等进行匹配,根据匹配的结果,判断邮件是否安全。
由于串行模式和旁路模式下,邮件安全网关的内部工作方式不同,导致邮件安全网关不能兼顾串行模式和旁路模式。
发明内容
有鉴于此,本发明实施例提供一种邮件安全控制方法和系统,使邮件安全网关能够兼顾串行模式和旁路模式。
为实现上述目的,根据本发明实施例的一个方面,提供了一种邮件安全控制方法,包括:
响应于接收到端口镜像流量,解析所述端口镜像流量;
将解析的结果发送给邮件安全网关;
通过所述邮件安全网关处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;
根据调整后的五元组信息包括的所述本地回环虚拟IP地址和所述本地端口,将所述邮件安全网关的处理结果回复给本地透明代理应用;
基于所述本地透明代理应用接收到的所述处理结果,调控所述邮件安全网关,并通过所述邮件安全网关的串行模式监控邮件的安全性。
优选地,上述邮件安全控制方法,进一步包括:采用特征标识标注所述解析的结果;
在所述邮件安全网关接收到数据包的情况下,判断所述数据包是否包含有所述特征标识,如果是,则执行通过所述邮件安全网关处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口的步骤。
优选地,
如果判断的结果指示所述数据包未包含所述特征标识,判断所述数据包是否安全,如果是,则根据所述五元组信息包括的所述目的IP地址和所述目的端口,将所述数据包传输给邮件管理服务器;否则,拦截所述数据包或者标注所述数据包为风险邮件。
优选地,上述邮件安全控制方法,进一步包括:在本地设置邮件黑洞模块;
所述通过所述邮件安全网关处理所述解析的结果,包括:
所述邮件安全网关将所述解析的结果传输到所述邮件黑洞模块。
优选地,所述将解析的结果发送给邮件安全网关,包括:
将解析的结果传输给本地透明代理应用;
所述本地透明代理应用将所述解析的结果发送给邮件安全网关。
优选地,上述邮件安全控制方法,进一步包括:为所述本地透明代理应用构建TCP连接的五元组自定义协议;
所述将解析的结果传输给本地透明代理应用,包括:
基于所述五元组自定义协议,通过本地unix-socket将所述解析的结果传输给所述本地透明代理应用。
优选地,上述邮件安全控制方法,进一步包括:
为所述本地透明代理应用设置SMTP状态机,并在所述本地透明代理应用和所述邮件安全网关之间设置标准SMTP协议,以使所述本地透明代理应用通过所述标准SMTP协议发送所述解析的结果给所述邮件安全网关。
优选地,上述邮件安全控制方法,进一步包括:
针对所述处理结果指示对邮件进一步处理的指令;
如果所述处理结果指示的对邮件进一步处理的指令无法被所述SMTP状态机处理,则直接忽略所述处理结果指示的对邮件进一步处理的指令。
优选地,上述邮件安全控制方法可进一步包括:
为所述邮件安全网关的处理结果标注结果标识;
基于所述结果标识,执行将所述邮件安全网关的处理结果回复给本地透明代理应用的步骤。
第二方面,本发明实施例提供一种邮件安全控制系统,包括:邮件处理设备、本地透明代理应用、邮件安全网关以及安全调控模块,其中,
所述邮件处理设备,用于响应于接收到端口镜像流量,解析所述端口镜像流量;将解析的结果传输给本地透明代理应用;
所述本地透明代理应用,用于将所述解析的结果发送给邮件安全网关;
所述邮件安全网关,用于处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;根据调整后的五元组信息包括的所述本地回环虚拟IP地址和所述本地端口,将所述处理结果回复给所述本地透明代理应用;
所述安全调控模块,用于基于所述本地透明代理应用接收到的所述处理结果,调控所述邮件安全网关,并通过所述邮件安全网关监控邮件的安全性。
上述发明中的一个实施例具有如下优点或有益效果:因为通过将端口镜像流量的解析的结果发送给邮件安全网关,邮件安全网关处理该解析的结果,同时,由于将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口将邮件安全网关的处理结果回复给本地透明代理应用,基于所述本地透明代理应用接收到的所述处理结果,调控邮件安全网关,实现邮件安全网关的旁路模式,另外,邮件安全网关还可以串行模式监控邮件的安全性,即通过调整预设的五元组信息中的目的IP地址和目的端口,可控制邮件安全网关处理后的结果的发送方向,以满足串行模式和旁路模式的需求。因此,本发明实施例提供的方案使邮件安全网关能够兼顾串行模式和旁路模式。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的邮件安全控制方法的应用场景示意图;
图2是根据本发明实施例的邮件安全控制方法的示意图;
图3是根据本发明另一实施例的邮件安全控制方法的示意图;
图4是根据本发明实施例的邮件安全控制方法实现架构的示意图;
图5是根据本发明实施例的邮件安全控制系统的主要设备的示意图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1示出了可以应用本发明实施例的邮件安全控制方法的应用场景的示例性系统架构100。
如图1所示,系统架构100可以包括多个邮件处理设备110、邮件安全网关120以及网络130。其中,多个邮件处理设备110之间通过网络130和邮件安全网关120通信。
如图1所示,该邮件处理设备110可包括终端设备111、112、113,内部通信网关114、网络115和邮件管理服务器116。网络115用以在终端设备111、112、113和内部通信网关114之间、内部通信网关114和邮件管理服务器116之间提供通信链路的介质。网络130以及网络115可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备111、112、113通过网络115以及内部通信网关114与邮件管理服务器116交互,以接收或发送消息等。终端设备111、112、113上可以安装有各种通讯客户端应用,例如即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
比如,用户可以使用终端设备111、112、113通过网络115以及内部通信网关114发送邮件给邮件管理服务器116;一个邮件管理服务器116可以通过网络130以及邮件安全网关120将接收到的邮件转发给另一个邮件管理服务器116,该另一个邮件管理服务器116可以通过其连接的网络115以及内部通信网关114将接收到的邮件发送给对应的终端设备111、112、113。
终端设备111、112、113可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
邮件管理服务器116可以安装有本地透明代理应用,以实现邮件安全网关120的旁路模式;和/或,终端设备111、112、113可以安装有本地透明代理应用,以实现内部通信网关114的旁路模式。
需要说明的是,本发明实施例所提供的邮件安全控制方法一般由终端设备111、112、113、内部通信网关114、邮件管理服务器116结合执行或者多个邮件管理服务器116以及邮件安全网关120结合执行。
应该理解,图1中的终端设备、网络、内部通信网关、邮件管理服务器以及邮件安全网关的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、内部通信网关、邮件管理服务器以及邮件安全网关。
图2是根据本发明实施例的一种邮件安全控制方法。如图2所示,该邮件安全控制方法可包括如下步骤:
步骤S201:响应于接收到端口镜像流量,解析端口镜像流量;
针对图1所示的终端设备111、112、113发送邮件信息给邮件管理服务器116的情况,该步骤是在终端设备111、112、113中完成的。针对图1所示的一个邮件管理服务器116发送邮件信息给另一个邮件管理服务器116的情况,该步骤是在发送邮件信息的邮件管理服务器116中完成的。
在通过发送邮件信息的邮件管理服务器116完成该步骤时,该端口镜像流量可以从交换机或路由等中间设备获取。该端口镜像流量一般是邮件传输过程中,针对该邮件的镜像邮件,其并不会对原邮件产生影响。
另外,该步骤可采用数据包流量分析工具比如BRO等,作为数据包抓取层来接收端口镜像流量,并可通过在数据包流量分析工具上配置过滤器,来选择需要解析的端口镜像流量,并对需要解析的端口镜像流量进行解析。
步骤S202:将解析的结果发送给邮件安全网关;
步骤S203:通过邮件安全网关处理解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;
通过将五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口实现更改信息发送的地址和端口,以控制将邮件安全网关处理后的结果发送的目的地,该目的地可以为目的IP地址和目的端口对应的图1示出的邮件管理服务器116,该本地回环虚拟IP地址和本地端口为本地透明代理应用对应的地址和端口。
该通过邮件安全网关处理解析的结果可以为对解析的结果是否安全进行特征标注,也可以为屏蔽存在安全隐患的信息等。
预设的五元组信息包括:源IP地址,源端口,目的IP地址,目的端口,和传输层协议这五个量组成的一个集合,通过调整目的IP地址和目的端口可以调整邮件安全网关处理的结果发送的目标。
步骤S204:根据调整后的五元组信息包括的本地回环虚拟IP地址和本地端口,将邮件安全网关的处理结果回复给本地透明代理应用;
在该步骤之前,还可进一步包括:为邮件安全网关的处理结果标注结果标识;相应地,可基于该结果标识,执行该步骤。通过为邮件安全网关的处理结果标注结果标识,可以从本地回环虚拟IP地址和本地端口接收到的数据中,快速的分辨出邮件安全网关的处理结果,从而准确的将该邮件安全网关的处理结果发送给本地透明代理应用。
步骤S205:基于本地透明代理应用接收到的处理结果,调控邮件安全网关,并通过邮件安全网关的串行模式监控邮件的安全性。
该调控邮件安全网关可以为:如果邮件安全网关处理的结果指示邮件存在安全隐患,其实际邮件是安全的;又比如,如果邮件安全网关处理的结果指示邮件为安全的,其实际邮件存在危险,则需要对邮件安全网关的设置进行调整,以有效地提高邮件安全网关的串行模式下对邮件处理的准确性。
值得说明的是,上述在通过调整后的五元组信息包括的本地回环虚拟IP地址和本地端口,将邮件安全网关的处理结果回复给本地透明代理应用实现邮件的旁路模式的情况下,邮件安全网关还可通过串行模式监控邮件的安全性,以对存在安全隐患的邮件进行拦截。
在图2所示的实施例中,因为通过将端口镜像流量的解析的结果发送给邮件安全网关,邮件安全网关处理该解析的结果,同时,由于将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口将邮件安全网关的处理结果回复给本地透明代理应用,基于所述本地透明代理应用接收到的所述处理结果,调控邮件安全网关,实现邮件安全网关的旁路模式,另外,邮件安全网关还可以串行模式监控邮件的安全性,即通过调整预设的五元组信息中的目的IP地址和目的端口,可控制邮件安全网关处理后的结果的发送方向,以满足串行模式和旁路模式的需求。因此,本发明实施例提供的方案使邮件安全网关能够兼顾串行模式和旁路模式。
在本发明实施例中,如图3所示,上述邮件安全控制方法可进一步包括如下步骤:
步骤S301:采用特征标识标注解析的结果;
该特征标识是用来指示通过对端口镜像流量进行解析得到的解析的结果。如果邮件安全网关接收到数据包存在该特征标识,则说明该数据包是对端口镜像流量进行解析得到的解析的结果;如果邮件安全网关接收到数据包不存在该特征标识,则说明该数据包可能是终端设备或者邮件管理服务器直接发送给邮件安全网关的数据包。
步骤S302:在邮件安全网关接收到数据包的情况下,判断数据包是否包含有特征标识,如果是,则执行步骤S303;否则,执行步骤S304;
步骤S303:通过邮件安全网关处理解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口,并结束当前流程;
步骤S304:判断数据包是否安全,如果是,则执行步骤S305;否则,执行步骤S306;
步骤S305:根据五元组信息包括的目的IP地址和目的端口,将数据包传输给邮件管理服务器,并结束当前流程;
步骤S306:拦截数据包或者标注数据包为风险邮件。
通过上述过程使邮件安全网关能够针对不同的数据包进行不同的处理,即针对端口镜像流量对应的数据包,则将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口,以将对数据包处理的结果回复给本地回环虚拟IP地址和本地端口对应的本地透明代理应用。针对没有特征标识的数据包,则直接判断数据包的安全性,并根据五元组信息包括的目的IP地址和目的端口,将数据包传输给邮件管理服务器(即图1所示的邮件管理服务器),可使邮件安全网关的串行模式和旁路模式同时存在,通过旁路模式调控邮件安全网关在串行模式下的工作,可实现实时调控邮件安全网关,有效地提高了邮件安全网关处理邮件的准确性。
在本发明实施例中,上述邮件安全控制方法可进一步包括:在本地设置邮件黑洞模块;相应地,通过邮件安全网关处理解析的结果的具体实施方式可包括:邮件安全网关将解析的结果传输到邮件黑洞模块。由于在旁路模式下,模拟投递到邮件安全网关中的邮件(即前述的解析的结果)不能投递到真实的网络。本申请通过设置邮件黑洞模块完成邮件丢弃服务,以通过该邮件黑洞模块丢弃邮件的投递动作。丢弃服务可以在邮件安全网关中实现,也可以利用本地配置一个邮件黑洞模块(邮件服务器下一跳指向此邮件黑洞模块)。如果使用邮件黑洞模块的方式实现丢弃。通过上述邮件黑洞模块实现邮件丢弃过程,保证旁路模式运行正常。
在本发明实施例中,上述将解析的结果发送给邮件安全网关的具体实施方式可包括:将解析的结果传输给本地透明代理应用;本地透明代理应用将解析的结果发送给邮件安全网关。
具体地,可结合数据包流量分析工具如BRO开发的自定义协议,为本地透明代理应用构建TCP连接的五元组自定义协议;将解析的结果传输给本地透明代理应用的具体实施方式可包括:基于五元组自定义协议,通过本地unix-socket将解析的结果传输给本地透明代理应用。相应地,需要在本地透明代理应用中开发tcp-replay模式来接收通过本地unix-socket传输的解析的结果,使用自定义的五元组信息,根据数据包的类型(比如syn,rst,fin,data)来模拟真实TCP连接以及数据传递过程。
更具体地,为本地透明代理应用设置SMTP状态机,并在本地透明代理应用和邮件安全网关之间设置标准SMTP协议,以使本地透明代理应用通过标准SMTP协议发送解析的结果给邮件安全网关。其中,SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)是用来传输电子邮件的一个协议,基于TCP协议,主要用于系统之间的邮件信息传递,并提供有关的来信通知。基于该SMTP状态机和标准SMTP协议,在本地透明代理应用实现的旁路模式下实现SMTP状态机可实现上述将连接原始邮件服务的IP,端口,调整成连接本地回环口上的IP,端口(此IP和端口由本地邮件安全网关监听)。则解析的结果就会直接连接到本地邮件安全网关,邮件安全网关接收到连接的源IP就是真实客户端的源IP。由于是旁路模式,邮件安全网关回复的数据包是无用的,可在SMTP状态机中直接对邮件安全网关的回包做丢弃处理。
进一步包括:针对处理结果指示对邮件进一步处理的指令;如果处理结果指示的对邮件进一步处理的指令无法被SMTP状态机处理,则直接忽略处理结果指示的对邮件进一步处理的指令。由于通过邮件安全网关模拟真实邮件管理服务器,不等于完全具备待监控邮件管理服务器的所有特性,有些命令是无法被处理的,需要在SMTP状态机中忽略掉。比如AUTH命令,MAIL FROM的参数,RCPT TO的参数,STARTTLS命令等,因此,在SMTP状态机中队部分处理的指令直接忽略,以保证邮件旁路模式能够正常运行。
下面以如图4所示的架构对实现邮件安全网关的旁路模式进行说明。通过在本地(图1所示的终端设备和/或邮件管理服务器)设置BRO数据包流量分析工具,并通过BRO的自定义协议设置Tcp-replay组装模块,并在本地代理应用中设置Tcp-replay还原模块,通过Tcp-replay组装模块和Tcp-replay还原模块实现终端设备和/或邮件管理服务器与其本地的本地代理应用实现Tcp-replay协议通信,并通过在本地代理应用中设置SMTP状态机,实现本地代理应用与邮件安全网关之间通过标准SMTP协议通信,该SMTP状态机对于收到的部分请求包(前述的邮件安全网关处理的结果),丢弃回复包,以避免资源过度开销,从而避免因资源过度开销产生的运行卡顿的问题。
另外,为了使邮件传输能够模拟真实邮件传输过程,邮件安全网关将针对旁路模式传输的邮件的处理结果传输到邮件黑洞,以避免无用邮件堆积。
综上可知,本发明实施例提供的方案在旁路部署和串行部署下,拥有完整一致的使用体验。并且能够在旁路模式下,验证串行模式下的功能,为串行模式部署做提前预演,减少邮件安全网关上线风险。
如图5所示,本发明实施例提供一种邮件安全控制系统500,该邮件安全控制系统500可包括:邮件处理设备501、本地透明代理应用502、邮件安全网关503以及安全调控模块504,其中,
邮件处理设备501,用于响应于接收到端口镜像流量,解析端口镜像流量;将解析的结果传输给邮件安全网关503;
邮件安全网关503,用于处理解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;根据调整后的五元组信息包括的本地回环虚拟IP地址和本地端口,将处理结果回复给本地透明代理应用502,其中,本地透明代理应用502设置于邮件处理设备501内;
安全调控模块504,用于基于本地透明代理应用502接收到的处理结果,调控邮件安全网关503,并通过邮件安全网关503监控邮件的安全性。
在本发明实施例中,邮件处理设备501,进一步用于采用特征标识标注解析的结果;
邮件安全网关503,进一步用于在邮件安全网关接收到数据包的情况下,判断数据包是否包含有所述特征标识,如果是,则执行通过邮件安全网关处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口的步骤;如果判断的结果指示数据包未包含特征标识,判断数据包是否安全,如果是,则根据五元组信息包括的目的IP地址和目的端口,将数据包传输给邮件管理服务器;否则,拦截数据包或者标注数据包为风险邮件。
在本发明实施例中,邮件处理设备501设置有邮件黑洞模块(图中未示出),其中,
邮件安全网关503,进一步用于将解析的结果传输到邮件黑洞模块。
在本发明实施例中,邮件处理设备501,进一步用于将解析的结果传输给本地透明代理应用502;
本地透明代理应用502进一步用于接收解析的结果,并将解析的结果发送给邮件安全网关。
在本发明实施例中,本地透明代理应用502构建有TCP连接的五元组自定义协议;
邮件处理设备501,进一步用于基于五元组自定义协议,通过本地unix-socket将解析的结果传输给本地透明代理应用。
在本发明实施例中,本地透明代理应用502设置有SMTP状态机(图中未示出);并在本地透明代理应用502和邮件安全网关503之间设置标准SMTP协议,以使本地透明代理应用502通过标准SMTP协议发送解析的结果给邮件安全网关503。
在本发明实施例中,针对处理结果指示对邮件进一步处理的指令;本地透明代理应用502进一步用于如果处理结果指示的对邮件进一步处理的指令无法被SMTP状态机处理,则直接忽略处理结果指示的对邮件进一步处理的指令。
在本发明实施例中,邮件安全网关503,进一步用于为处理结果标注结果标识;
邮件处理设备501,进一步用于基于所述结果标识,执行将所述邮件安全网关的处理结果回复给本地透明代理应用的步骤。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备或邮件管理服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:响应于接收到端口镜像流量,解析端口镜像流量;将解析的结果发送给邮件安全网关;通过邮件安全网关处理解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;根据调整后的五元组信息包括的本地回环虚拟IP地址和本地端口,将邮件安全网关的处理结果回复给本地透明代理应用;基于本地透明代理应用接收到的处理结果,调控邮件安全网关,并通过邮件安全网关的串行模式监控邮件的安全性。
根据本发明实施例的技术方案,因为通过将端口镜像流量的解析的结果发送给邮件安全网关,邮件安全网关处理该解析的结果,同时,由于将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口将邮件安全网关的处理结果回复给本地透明代理应用,基于所述本地透明代理应用接收到的所述处理结果,调控邮件安全网关,实现邮件安全网关的旁路模式,另外,邮件安全网关还可以串行模式监控邮件的安全性,即通过调整预设的五元组信息中的目的IP地址和目的端口,可控制邮件安全网关处理后的结果的发送方向,以满足串行模式和旁路模式的需求。因此,本发明实施例提供的方案使邮件安全网关能够兼顾串行模式和旁路模式。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (12)
1.一种邮件安全控制方法,其特征在于,包括:
响应于接收到端口镜像流量,解析所述端口镜像流量;
将解析的结果发送给邮件安全网关;
通过所述邮件安全网关处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;
根据调整后的五元组信息包括的所述本地回环虚拟IP地址和所述本地端口,将所述邮件安全网关的处理结果回复给本地透明代理应用;
基于所述本地透明代理应用接收到的所述处理结果,调控所述邮件安全网关,并通过所述邮件安全网关的串行模式监控邮件的安全性。
2.根据权利要求1所述的方法,其特征在于,
进一步包括:采用特征标识标注所述解析的结果;
在所述邮件安全网关接收到数据包的情况下,判断所述数据包是否包含有所述特征标识,如果是,则执行通过所述邮件安全网关处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口的步骤。
3.根据权利要求2所述的方法,其特征在于,
如果判断的结果指示所述数据包未包含所述特征标识,判断所述数据包是否安全,如果是,则根据所述五元组信息包括的所述目的IP地址和所述目的端口,将所述数据包传输给邮件管理服务器;否则,拦截所述数据包或者标注所述数据包为风险邮件。
4.根据权利要求1所述的方法,其特征在于,
进一步包括:在本地设置邮件黑洞模块;
所述通过所述邮件安全网关处理所述解析的结果,包括:
所述邮件安全网关将所述解析的结果传输到所述邮件黑洞模块。
5.根据权利要求1所述的方法,其特征在于,所述将解析的结果发送给邮件安全网关,包括:
将解析的结果传输给本地透明代理应用;
所述本地透明代理应用将所述解析的结果发送给邮件安全网关。
6.根据权利要求5所述的方法,其特征在于,
进一步包括:为所述本地透明代理应用构建TCP连接的五元组自定义协议;
所述将解析的结果传输给本地透明代理应用,包括:
基于所述五元组自定义协议,通过本地unix-socket将所述解析的结果传输给所述本地透明代理应用。
7.根据权利要求5所述的方法,其特征在于,进一步包括:
为所述本地透明代理应用设置SMTP状态机,并在所述本地透明代理应用和所述邮件安全网关之间设置标准SMTP协议,以使所述本地透明代理应用通过所述标准SMTP协议发送所述解析的结果给所述邮件安全网关。
8.根据权利要求7所述的方法,其特征在于,进一步包括:
针对所述处理结果指示对邮件进一步处理的指令;
如果所述处理结果指示的对邮件进一步处理的指令无法被所述SMTP状态机处理,则直接忽略所述处理结果指示的对邮件进一步处理的指令。
9.根据权利要求1所述的方法,其特征在于,进一步包括:
为所述邮件安全网关的处理结果标注结果标识;
基于所述结果标识,执行将所述邮件安全网关的处理结果回复给本地透明代理应用的步骤。
10.一种邮件安全控制系统,其特征在于,包括:邮件处理设备、本地透明代理应用、邮件安全网关以及安全调控模块,其中,
所述邮件处理设备,用于响应于接收到端口镜像流量,解析所述端口镜像流量;将解析的结果传输给本地透明代理应用;
所述邮件安全网关,用于处理所述解析的结果,并将预设的五元组信息中的目的IP地址和目的端口调整为本地回环虚拟IP地址和本地端口;根据调整后的五元组信息包括的所述本地回环虚拟IP地址和所述本地端口,将所述处理结果回复给所述本地透明代理应用;
所述安全调控模块,用于基于所述本地透明代理应用接收到的所述处理结果,调控所述邮件安全网关,并通过所述邮件安全网关监控邮件的安全性。
11.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-9中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110734543.6A CN113422716B (zh) | 2021-06-30 | 2021-06-30 | 一种邮件安全控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110734543.6A CN113422716B (zh) | 2021-06-30 | 2021-06-30 | 一种邮件安全控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113422716A CN113422716A (zh) | 2021-09-21 |
| CN113422716B true CN113422716B (zh) | 2022-07-15 |
Family
ID=77717891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110734543.6A Active CN113422716B (zh) | 2021-06-30 | 2021-06-30 | 一种邮件安全控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113422716B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453249A (zh) * | 2016-08-31 | 2017-02-22 | 杭州华途软件有限公司 | 一种网络邮件业务监视方法 |
| CN112751861A (zh) * | 2020-12-29 | 2021-05-04 | 赛尔网络有限公司 | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3159572A1 (en) * | 2019-10-30 | 2021-05-06 | Liveperson, Inc. | Message rerouting from an e-mail environment to a messaging environment |
-
2021
- 2021-06-30 CN CN202110734543.6A patent/CN113422716B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453249A (zh) * | 2016-08-31 | 2017-02-22 | 杭州华途软件有限公司 | 一种网络邮件业务监视方法 |
| CN112751861A (zh) * | 2020-12-29 | 2021-05-04 | 赛尔网络有限公司 | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113422716A (zh) | 2021-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11792046B2 (en) | Method for generating forwarding information, controller, and service forwarding entity | |
| US10659354B2 (en) | Processing data packets using a policy based network path | |
| US10264079B2 (en) | Fastpath web sessions with HTTP header modification by redirecting clients | |
| US10129722B2 (en) | Service processing method and network device | |
| US20120163186A1 (en) | Systems and methods for content type classification | |
| CN106254235B (zh) | 一种负荷分担的方法及其设备 | |
| CN106470136B (zh) | 平台测试方法以及平台测试系统 | |
| EP3499845A1 (en) | Data packet transmission method and system | |
| CN110234112A (zh) | 消息处理方法、系统及用户面功能设备 | |
| EP3135016B1 (en) | Managing sequence values with added headers in computing devices | |
| CN113726789B (zh) | 一种敏感数据拦截方法和装置 | |
| CN106656648B (zh) | 基于家庭网关的应用流量动态保护方法、系统及家庭网关 | |
| CN106789993B (zh) | Tcp代理方法及装置 | |
| CN113595927A (zh) | 一种旁路模式下镜像流量的处理方法和装置 | |
| CN113438256B (zh) | 一种基于双层ssl的数据传输方法、系统和代理服务器 | |
| KR102425919B1 (ko) | 서비스 기능의 지연 시간 측정 시스템, 장치 및 방법 | |
| CN113422716B (zh) | 一种邮件安全控制方法和系统 | |
| US20160112241A1 (en) | Instant messenger applications for interacting with network infrastructure devices | |
| CN113411228B (zh) | 一种网络状况的确定方法及服务器 | |
| CN103368956A (zh) | 一种服务端使用vnc的rfb协议安全通信方法及rfb代理服务器 | |
| CN111866100A (zh) | 一种控制数据传输速率的方法、装置和系统 | |
| EP3176986A1 (en) | Method, device and system for remote desktop protocol gateway to conduct routing and switching | |
| US11824767B2 (en) | Communication system and method of verifying continuity | |
| CN113037541B (zh) | 网络设备管理方法、设备及存储介质 | |
| US11330437B2 (en) | Detecting data exfiltration using machine learning on personal e-mail account display names |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |