CN115622970A - 电子邮件审计方法、装置、设备及存储介质 - Google Patents

电子邮件审计方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115622970A
CN115622970A CN202110786153.3A CN202110786153A CN115622970A CN 115622970 A CN115622970 A CN 115622970A CN 202110786153 A CN202110786153 A CN 202110786153A CN 115622970 A CN115622970 A CN 115622970A
Authority
CN
China
Prior art keywords
mail
new file
file
outgoing
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110786153.3A
Other languages
English (en)
Inventor
王振宇
张志良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110786153.3A priority Critical patent/CN115622970A/zh
Publication of CN115622970A publication Critical patent/CN115622970A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种电子邮件审计方法、装置、设备及存储介质。该方法包括:基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;基于新文件的数据,对数据进行邮件审计;或者,读取邮件客户端的数据库;确定数据库中存在新文件的标识信息时,则判定数据库存在更新;基于新文件的标识信息,在数据库中查找外发属性信息;基于外发属性信息确定新文件为外发邮件时,则获取新文件的数据,并基于数据进行邮件审计。可以在不修改邮件客户端的相关文件的前提下,对邮件客户端的外发邮件进行审计,增强了邮件审计的独立性及安全性。

Description

电子邮件审计方法、装置、设备及存储介质
技术领域
本申请涉及电子邮件安全领域,尤其涉及一种电子邮件审计方法、装置、设备及存储介质。
背景技术
电子邮件(Electronic Mail,简称E-Mail)是一种采用电子手段提供信息交换的通信方式,在互联网中广为应用。例如,通过网络的电子邮件系统,用户可以以非常低廉的价格(不管发送到哪里,都只需负担网费)、非常快速的方式(几秒钟之内可以发送到世界上任何指定的目的地),与世界上任何一个角落的网络用户联系。电子邮件可以是文字、图像、声音等多种形式。同时,用户可以得到大量免费的新闻、专题邮件,并轻松实现轻松的信息搜索。电子邮件的存在极大地方便了人与人之间的沟通与交流,促进了社会的发展。
邮件客户端可以基于电子邮件协议发送及接收电子邮件,例如,常见的电子邮件协议包括:SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、POP(Post OfficeProtocol,邮局协议)、IMAP(Internet Message Access Protocol,网际邮件访问协议)等。
为了避免外发邮件导致的信息泄露,需要对邮件客户端外发邮件进行审计,相关技术中,往往采用静态注入方法实现邮件客户端的外发审计,即通过修改邮件客户端的二进制文件,在其中添加一条加载动态库的命令实现代码注入,但是该方法修改了邮件客户端的相关文件,需要获取相关的授权权限,亦存在安全隐患及法律风险。
发明内容
有鉴于此,本申请实施例提供了一种电子邮件审计方法、装置、设备及存储介质,旨在可靠地实现邮件客户端的外发审计。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种电子邮件审计方法,包括:
基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;
基于所述新文件的数据,对所述数据进行邮件审计。
在一些实施方案中,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:
基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成;
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,打开所述新文件,以获取所述新文件的数据;
基于所述新文件的数据,确定所述新文件为外发邮件时,则基于所述新文件的数据进行邮件审计。
在一些实施方案中,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:
基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成;
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,在目标数据库中查询所述新文件的外发属性信息,其中,所述外发属性信息用于指示所述新文件是否为外发邮件;
在基于所述新文件的外发属性信息确定所述新文件为外发邮件时,基于所述文件名,打开所述新文件,以获取所述新文件的数据,并基于所述数据进行邮件审计。
在一些实施方案中,所述方法还包括:
基于所述管道监控到所述邮件客户端的进程访问目标路径的次数达到设定值,则记录所述目标路径;
基于所述新文件的文件名,在所述目标数据库中获取附件的附件名信息;
若确定所述附件名信息与所述目标路径匹配时,则确定所述目标路径下的文件为外发的附件;
基于所述目标路径下的文件,进行附件审计。
本申请实施例还提供了一种电子邮件审计方法,包括:
读取邮件客户端的数据库;
确定所述数据库中存在新文件的标识信息时,则判定所述数据库存在更新;
基于所述新文件的标识信息,在所述数据库中查找外发属性信息;
基于所述外发属性信息确定所述新文件为外发邮件时,则获取所述新文件的数据,并基于所述数据进行邮件审计。
在一些实施方案中,所述方法还包括:
基于所述标识信息,在所述数据库中查询记录本地附件的第一属性信息;
基于所述第一属性信息,在用于缓存附件的文件夹中存在与所述第一属性信息匹配的文件时,则基于该文件进行本地附件审计。
在一些实施方案中,所述方法还包括:
基于读取日志的管道确定所述邮件客户端存在访问目标路径中的文件并将文件发送至云端,则记录所述目标路径;
基于所述标识信息,在所述数据组中查询记录云附件的第二属性信息;
若所述第二属性信息与所述目标路径匹配,则基于所述目标路径获取云附件;
对所述云附件进行附件审计。
在一些实施方案中,所述管道为MAC操作系统提供的/dev/auditpipe,所述邮件客户端具体为安装在MAC操作系统中的邮件客户端。
在一些实施方案中,基于所述管道读取的日志记录了各个事件。
本申请实施例还提供了一种电子邮件审计装置,包括:
第一监控模块,用于基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;
第一审计模块,用于基于所述新文件的数据,对所述数据进行邮件审计。
本申请实施例又提供了一种电子邮件审计装置,包括:
第二监控模块,用于读取邮件客户端的数据库;确定所述数据库中存在新文件的标识信息时,则判定所述数据库存在更新;
第二审计模块,用于基于所述新文件的标识信息,在所述数据库中查找外发属性信息;基于所述外发属性信息确定所述新文件为外发邮件时,则获取所述新文件的数据,并基于所述数据进行邮件审计。
本申请实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本申请实施例所述方法的步骤。
本申请实施例又提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本申请实施例所述方法的步骤。
本申请实施例提供的技术方案,基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;基于新文件的数据,对数据进行邮件审计;或者,读取邮件客户端的数据库;确定数据库中存在新文件的标识信息时,则判定数据库存在更新;基于新文件的标识信息,在数据库中查找外发属性信息;基于外发属性信息确定新文件为外发邮件时,则获取新文件的数据,并基于数据进行邮件审计。可以在不修改邮件客户端的相关文件的前提下,对邮件客户端的外发邮件进行审计,增强了邮件审计的独立性及安全性。
附图说明
图1为本申请一实施例电子邮件审计方法的流程示意图;
图2为本申请一应用示例电子邮件审计方法的流程示意图;
图3为本申请另一应用示例电子邮件审计方法的流程示意图;
图4为本申请一应用示例中判断新文件为外发邮件的示意图;
图5为本申请一应用示例中基于Auditpipe监控到foxmail进程出现连续五次访问同一路径的open/read事件的示意图;
图6为本申请又一应用示例电子邮件审计方法的流程示意图;
图7A至7C为获取外发邮件内容的示意图;
图8为本申请另一实施例电子邮件审计方法的流程示意图;
图9为本申请再一应用示例电子邮件审计方法的流程示意图;
图10为本申请一应用示例中监控特殊事件组合的示意图;
图11为本申请一实施例电子邮件审计装置的结构示意图;
图12为本申请另一实施例电子邮件审计装置的结构示意图;
图13为本申请一实施例电子设备的结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
本申请实施例提供了一种电子邮件审计方法,如图1所示,该电子邮件审计方法包括:
步骤101,基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;
步骤102,基于所述新文件的数据,对所述数据进行邮件审计。
本申请实施例基于读取日志的管道确定邮件客户端的存储路径所处的目标文件夹有新文件生成;基于新文件的数据,对数据进行邮件审计。可以在不修改邮件客户端的相关文件的前提下,对邮件客户端的外发邮件进行审计,增强了邮件审计的独立性及安全性。
示例性地,邮件客户端可以设置于Mac OS(麦克操作系统)的电子设备中,该MacOS是一套由苹果开发的运行于Macintosh系列电子设备上的操作系统。对于Mac OS来说,读取日志的管道可以为Auditpipe。Auditpipe为Mac OS电子设备提供的读取日志的管道/dev/auditpipe,可以实时读取产生的日志内容,该日志内容包括执行操作的用户,事件类型,产生事件的进程和操作的文件等。
本申请实施例中,可以基于Auditpipe读取实时的日志内容,进而判断邮件客户端的目标文件夹是否有新文件生成,并在有新文件生成时,读取新文件的数据,基于数据进行邮件审计。与传统的静态注入方法相比,基于Auditpipe的监测方案,不需要修改邮件客户端的二进制文件的文件内容,且准确性高,不存在法律风险,增强了邮件审计的独立性及安全性。
示例性地,对于Mac OS来说,基于管道读取的日志记录了各个事件,即可以基于事件确定邮件客户端的目标文件夹是否有新文件生成。需要说明的是,可以通过管道反馈的事件来确定是否有新文件的产生等,但本申请是否局限于事件的形式,取决于“管道”的实现方式。
这里,目标文件夹可以是邮件客户端的存储路径对应的文件夹。
在一些实施例中,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成。例如,目标文件夹可以为邮件客户端的草稿箱和/或发件箱的文件夹。
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,打开所述新文件,以获取所述新文件的数据;
基于所述新文件的数据确定所述新文件为外发邮件时,则基于所述新文件的数据进行邮件审计。
在一应用示例中,邮件客户端为MAC自带mail,如图2所示,本应用示例的电子邮件审计方法包括:
步骤201,用Auditpipe监控mail存放邮件文件的文件夹。
示例性地,用Auditpipe监控mail存放邮件文件的文件夹,文件夹路径可以包括:草稿箱和/或发件箱的文件夹路径。例如,草稿箱的文件夹路径为:/Users/用户名/Library/Mail/V6/xxx(文件夹名字随机产生)/Drafts(草稿箱).mbox/xxx(文件夹名字随机产生)/Data/Messages文件夹;发件箱的文件夹路径为:/Users/用户名/Library/Mail/V6/xxx(文件夹名字随机产生)/Sent Messages.mbox(Sent.mbox)/xxx(文件夹名字随机产生)/Data/Messages/文件夹。
步骤202,判断对应文件夹下是否有新文件生成,若是,则执行步骤203;若否,则返回步骤201。
这里,可以基于Auditpipe监控到mail进程的草稿箱和/或发件箱的文件夹是否存在生成新文件的事件,若是,则执行步骤203;若否,则返回步骤201,以继续监控mail存放邮件文件的文件夹。
步骤203,提取内容,判断是否为外发邮件,若是,则执行步骤204;若否,则返回步骤201。
示例性地,可以对生成的新文件提取指示其是否为外发邮件的指示信息,基于该指示信息判断该新文件是否为外发邮件,若不是外发邮件,则返回步骤201,若该新文件为外发邮件,则执行步骤204。
步骤204,对外发邮件进行邮件审计。
解析该外发邮件,从而获得该外发邮件的相关信息,例如,邮件主题信息、邮件正文信息、邮件附件信息、邮件标题信息和邮件的收件人信息等。可以基于预设限定的邮件审计策略对相关信息进行外发邮件进行审计,进而生成并输出审计日志。具体的邮件审计策略可以基于关键字、附件文件类型等进行设定,本申请对此不做具体限定。
示例性地,邮件审计策略还可以包括:审计时间段,例如,用户可以在电子设备的输入界面设定需要对外发邮件进行邮件审计的审计时间段,电子设备基于外发邮件的外发时间与审计时间段进行匹配,若外发时间属于该审计时间段,则继续对外发邮件的内容和/或附件进行审计,例如,基于关键字、附件文件类型等进行审计;若外发时间不属于该审计时间段,则跳过对外发邮件的内容和/或附件进行审计,返回步骤201。这里,对外发邮件的内容进行审计是指对外发邮件的邮件主题信息、邮件正文信息、邮件标题信息和邮件的收件人信息等进行审计;对外发邮件的附件进行审计是指对外发邮件的附件文件进行审计。具体的审计规则可以基于信息安全的需求进行合理设计,在此不做限定。
可以理解的是,对于MAC自带mail邮件客户端,基于Auditpipe对该客户端存放发送邮件和/或草稿的文件夹进行监视,监视到有新文件生成时,可以直接进行解析审计,可以在不修改邮件客户端的相关文件的前提下,对邮件客户端的外发邮件进行审计,增强了邮件审计的独立性及安全性。
在一些实施例中,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成。
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,在目标数据库中查询所述新文件的外发属性信息,其中,所述外发属性信息用于指示所述新文件是否为外发邮件;
基于所述新文件的外发属性信息确定所述新文件为外发邮件时,基于所述文件名,打开所述新文件,以获取所述新文件的数据,并基于所述数据进行邮件审计。
在一应用示例中,邮件客户端为MAC foxmail邮件客户端,如图3所示,本应用示例的电子邮件审计方法包括:
步骤301,用Auditpipe监控foxmail的本地存放邮件的目录。
示例性地,foxmail的本地存放邮件的目录为Users/(MAC用户名)/Library/Containers/com.tencent.Foxmail/Data/Library/Foxmail/Profiles/(邮箱账号)/Mail文件夹,即foxmail缓存文件的文件夹。
步骤302,判断是否有新文件生成,若是,则执行步骤303;若否,则返回步骤301。
这里,可以基于Auditpipe监控到foxmail进程的本地存放邮件的目录是否存在生成新文件的事件,若是,则执行步骤303;若否,则返回步骤301,以继续监控foxmail缓存文件的文件夹。
步骤303,获取新文件的文件名,与数据库交互。
示例性地,当“Users/(MAC用户名)
/Library/Containers/com.tencent.Foxmail/Data/Library/Foxmail/Profiles/(邮箱账号)/Mail”文件夹有新.mail文件生成时,获取该新文件的文件名,通过文件名查询数据库,判断该新文件是否为外发邮件的缓存文件。
这里,数据库用于存放foxmail的文件属性信息,数据库存放的位置可以为“Users/(MAC用户名)
/Library/Containers/com.tencent.Foxmail/Data/Library/Foxmail/Profiles/(邮箱账号)”。
步骤304,判断新文件是否为外发邮件,若是,则执行步骤305;若否,则返回步骤301。
示例性地,假定新文件的文件名为mail_id,根据该mail_id查询数据库中的mailinfo表的mail_id列,例如,通过数据库命令根据文件名(在mailinfo表的mail_id列查找)可以找到数据库中记录这一条邮件信息的那一行。在找的这一行的mail_folder列,基于mail_folder列的值判断该新文件是否为外发邮件,如果数值为2或者3,就可以断定该新文件是一个外发邮件(如图4所示)。即新文件的属性信息包括存储指示该新文件是否为外发邮件的列,可以基于该列的值来确定其是否为外发邮件。
步骤305,对外发邮件进行邮件审计。
解析该外发邮件,即解析前述的新.mail文件,从而获得该外发邮件的相关信息,例如,邮件主题信息、邮件正文信息、邮件附件信息、邮件标题信息和邮件的收件人信息等。可以基于预设限定的邮件审计策略对相关信息进行外发邮件进行审计,进而生成并输出审计日志。具体的邮件审计策略可以基于关键字、附件文件类型等进行设定,本申请对此不做具体限定。
示例性地,邮件审计策略还可以包括:审计时间段,例如,用户可以在电子设备的输入界面设定需要对外发邮件进行邮件审计的审计时间段,电子设备基于外发邮件的外发时间与审计时间段进行匹配,若外发时间属于该审计时间段,则继续对外发邮件的内容和/或附件进行审计,例如,基于关键字、附件文件类型等进行审计;若外发时间不属于该审计时间段,则跳过对外发邮件的内容和/或附件进行审计,返回步骤301。
示例性地,外发邮件的外发时间可以基于文件名查询数据库来确定,例如,通过数据库命令根据文件名(在mailinfo表的mail_id列查找)可以找到数据库中记录这一条邮件信息的那一行。再找的这一行的date列,date列的数值是外发时间的时间戳,可以根据date列的数值判断外发时间是否与审计时间段匹配。
实际应用中,foxmail邮箱的附件超过设定大小就不会存放在前述的缓存文件夹中,例如,超过30MB的附件就不会存在缓存文件夹中了,若基于该缓存文件夹的新文件进行邮件审计,则会漏洞30MB以上的附件。基于此,本申请实施例电子邮件审计方法还可以基于auditpipe监控,对大附件(例如,超过30MB的附件)进行外发审计。
在一些实施例中,该电子邮件审计方法还包括:
所述管道监控到所述邮件客户端的进程访问目标路径的次数达到设定值,则记录所述目标路径;
基于所述新文件的文件名,在所述目标数据库中获取附件的标识信息;
若确定所述标识信息与所述目标路径匹配,则确定所述目标路径的文件为外发的附件;
基于所述目标路径下的文件,进行附件审计。
示例性地,可以基于Auditpipe监控到foxmail进程出现连续五次访问同一路径的open/read事件(如图5所示),将路径记录下来。
可以通过数据库命令根据文件名(在mailinfo表的mail_id列查找)可以找到数据库中记录这一条邮件信息的那一行。在找的这一行的abstract列,abstract列可以记录外发附件的文件名(即附件的标识信息),可以根据abstract列的文件名与记录的路径进行匹配,若abstract列的文件名与记录的路径中的文件名相同,则确定二者匹配,将该记录的路径作为附件的访问路径。基于附件的访问路径提取该附件,对该附件解析并进行附件审计,如此,可以实现对foxmail中的大附件进行外发审计,进一步提升了邮件审计的安全性。
可以理解的是,对于foxmail邮件客户端,基于Auditpipe对该客户端存放缓存文件的文件夹进行监视,监视到有新文件生成时,再通过获取新文件的mail_id(新文件名),再通过对数据库文件中数据进行读取,判断新文件是否为外发邮件,如果是外发邮件,可直接读取新文件的内容进行审计。
在一些实施例中,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成。
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,以文本格式打开所述新文件,以获取所述新文件的数据;
基于所述新文件的数据确定所述新文件为外发邮件时,则基于所述新文件的数据进行邮件审计。
在一些实施例中,所述方法还包括:
基于所述新文件的数据确定存在邮件附件,则对所述邮件附件进行附件审计。
在一应用示例中,邮件客户端为MAC outlook邮件客户端,如图6所示,本应用示例的电子邮件审计方法包括:
步骤601,用Auditpipe监控outlook的本地存放邮件的目录。
示例性地,outlook的本地存放邮件的目录为/Users/(MAC用户名)/Library/Group Containers/UBF8T346G9.Office/Outlook/Outlook 15Profiles/Main Profile/Data/Messages source/目录,即outlook缓存文件的文件夹。
步骤602,判断是否有新文件生成,若是,则执行步骤603;若否,则返回步骤601。
这里,可以基于Auditpipe监控到outlook进程的本地存放邮件的目录是否存在生成新文件的事件,若是,则执行步骤603;若否,则返回步骤601,以继续监控outlook缓存文件的文件夹。
示例性地,Auditpipe监控客户端进程Microsoft Outlook进程,当有rename事件发生时,证明有新文件生成。
步骤603,解析新文件,获取文件内容。
这里,以文本格式打开所述新文件,提取所述新文件的数据。
步骤604,判断新文件是否为外发邮件,若是,则执行步骤605;若否,则返回步骤601。
示例性地,为了判断该新文件是否为外发邮件,首先记录下Message-ID:097F76BB-7C83-4862-9082-CBE4AD193223@qq.com,通过这个ID调用数据库命令在Outlook.sqlite数据库的Mail表的Message_MessageID列中找到那一行,这一行Message_IsoutGoingMessgae列如果值为1,则证明这个文件是外发邮件的缓存文件。
步骤605,对外发邮件进行邮件审计。
示例性地,将新文件改为TXT(文本格式)文件,可以从该新文件中获取邮件的正文、发件人信息、收件人信息及主题等信息,同时也可获取附件内容(如图7A至7C所示)。
其中,Content-type:text/plain下面是邮件正文内容。
可以理解的是,当有Content-transfer-encoding:quoted-printable字样时,证明下面的内容需要用quoted-printable解密。
Content-disposition:attachment下面是附件内容。filename=”zzq.zip”是附件的名字。Content-transfer-encoding:base64后面是真正的附件内容,需要用base64解码。
可以理解的是,对于outlook邮件客户端,基于Auditpipe对该客户端存放缓存文件的文件夹进行监视,监视到有新文件生成时,再通过解析新文件获取的Message_MessageID列,基于Message_MessageID列对数据库文件中数据进行读取,判断新文件是否为外发邮件,如果是外发邮件,可直接读取新文件的文件内容进行审计。
本申请实施例还提供了一种电子邮件审计方法,如图8所示,该电子邮件审计方法包括:
步骤801,读取邮件客户端的数据库。
这里,该数据库用于存放邮件客户端的文件属性信息。
步骤802,确定所述数据库中存在新文件的标识信息时,则判定所述数据库存在更新。
这里,可以周期性读取数据库,判断数据库中是否出现新文件的标识信息,若有,则判定数据库存在更新。
步骤803,基于所述标识信息,在所述数据库中查找外发属性信息。
这里,可以基于新文件的标识信息,在数据库中查找该新文件的外发属性信息,该外发属性信息用于标识该新文件是否为外发邮件。
步骤804,基于所述外发属性信息确定所述新文件为外发邮件时,则获取所述新文件的数据,并基于所述数据进行邮件审计。
在一些实施例中,所述电子邮件审计方法还包括:
基于所述标识信息,在所述数据库中查询记录本地附件的第一属性信息;
基于所述第一属性信息访问缓存附件的文件夹,提取本地附件;
对所述本地附件进行附件审计。
这里,可以基于新文件的标识信息查询数据中记录是否存在本地附件的列,基于该列的属性值确定存在本地附件,则查询本地附件的访问路径,提取本地附件并对本地附件进行附件审计,如此,可以实现对本地附件的外发审计。
在一些实施例中,所述电子邮件审计方法还包括:
基于读取日志的管道确定所述邮件客户端存在访问目标路径中的文件并将文件发至云端,则记录所述目标路径;
基于所述标识信息,在所述数据库中查询记录云附件的第二属性信息;
若所述第二属性信息与所述目标路径匹配,则基于所述目标路径提取云附件;
对所述云附件进行附件审计。
可以理解的是,对于云附件,即存储在云端的附件,可以基于读取日志的管道的监控与数据库中记录云附件的第二属性信息结合,实现对云附件的外发审计。
在一应用示例中,邮件客户端为网易邮箱大师,如图9所示,本应用示例的电子邮件审计方法包括:
步骤901,用Auditpipe监控网易邮箱大师审计事件。
步骤902,判断是否有云附件特殊事件组合,若是,则执行步骤903;若否,则执行步骤904。
示例性地,如图10所示,判断Auditpipe是否监控到MailMaster进程出现一个getattrlist,open/read,getattrlist的组合事件(间隔不超过一秒钟),如果有,则执行步骤903;如果没有,则执行步骤904。
步骤903,记录访问路径,并执行后续的步骤904;
步骤904,判断数据库是否有新的LocalID生成,若是,则执行步骤905;若否,则返回步骤901。
示例性地,可以定时读取mail.db数据库,判断MailMeta表LocalID列有没有新的数值ID生成。(示例性地,该ID最新的是LocalID列数值最大的),如果有新数值产生,则判定数据库中存在新文件,执行步骤905;否则,返回步骤901。
示例性地,数据库的路径为“/Users/(mac用户名)
/Library/Containers/com.netease.macmail/Data/Library/ApplicationSupport/data/(邮箱账号加后缀)/mail.db”。
步骤905,判断新文件是否为外发邮件,若是,则执行步骤906;若否,则返回步骤901。
示例性地,可以基于前述的新数值的LocalID,可以获取新生成那一行的MailBox列的值,该MailBox列的值可以判断新文件是否为外发邮件,如果数值为2或3,则表明这一行记录的邮件信息为外发邮件,在数据库中将邮件内容,发件人,收件人信息等保存下来,用于内容审计。
步骤906,获取新文件的数据,并基于记录下的路径判断是否存在云附件。
这里,除了获取新文件的内容之外,还可以获取新文件的本地附件和云附件。
示例性地,对于新文件的本地附件,可以基于LocalID通过数据库命令MailAttachment表中MailID列找到记录该邮件记录附件的那一行,先取出LocalID这一列的值,假设值为233,这时遍历一下/Users/(mac用户名)/Library/Containers/com.netease.macmail/Data/Library/Application Support/data/(邮箱账号加后缀)/parts/(数字)/的所有文件,如果存在233这个文件,这个文件就是该邮件的本地附件。
示例性地,对于新文件的云附件,还需要基于LocalID查看附件信息那一行,判断那一行的hudgeAttachUrl列中有没有字符串,若有,则该外发邮件存在云附件,接着,基于附件信息那一行的Name列与之前记录的访问路径进行匹配,若Name列的文件名与访问路径中提取的文件名相同,则判定存在云附件,并基于该访问路径提取云附件,进行云附件的外发审计。
步骤907,进行邮件审计。
可以理解的是,这里的邮件审计包括:对邮件内容的审计和对邮件附件的审计,其中,邮件内容包括但不限于:邮件主题信息、邮件正文信息、邮件标题信息和邮件的收件人信息等;邮件附件可以包括:本地附件和云附件。具体的审计规则(即审计策略)可以基于信息安全的需求进行合理设计,在此不做限定。
示例性地,邮件审计策略还可以包括:审计时间段,例如,用户可以在电子设备的输入界面设定需要对外发邮件进行邮件审计的审计时间段,电子设备基于外发邮件的外发时间与审计时间段进行匹配,若外发时间属于该审计时间段,则继续对外发邮件的内容和/或附件进行审计,例如,基于关键字、附件文件类型等进行审计;若外发时间不属于该审计时间段,则跳过对外发邮件的内容和/或附件进行审计,返回步骤901。
示例性地,外发邮件的外发时间可以基于LocalID查询数据库来确定,例如,通过数据库命令根据LocalID可以找到数据库中记录这一条邮件信息的那一行。再找的这一行的OrigDate列,OrigDate列记录邮件的发送时间,可以根据OrigDate列的数值判断外发时间是否与审计时间段匹配。
可以理解的是,对于网易邮箱大师邮件客户端,对该客户端的数据库文件进行监控,获取邮件内容和附件存放的路径,配合监控MailMaster进程发生事件可以做到审计云附件。
可以理解的是,本申请实施例中,基于管道读取的日志记录了各个事件,例如,前述的监控是否有新文件生成的事件、连续访问同一路径的事件、是否有云附件的组合事件等,本申请实施例对此不做限定。管道读取的日志是否局限于事件的实现,取决于管道的实现方式,本申请实施例对此亦不做限定。
为了实现本申请实施例的方法,本申请实施例还提供一种电子邮件审计装置,如图11所示,该电子邮件审计装置包括:第一监控模块1101及第一审计模块1102。第一监控模块1101用于基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;第一审计模块1102用于基于所述新文件的数据,对所述数据进行邮件审计。
在一些实施例中,第一监控模块1101具体用于:基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成;相应地,第一审计模块1102具体用于:
基于所述管道获取所述新文件的文件名;
基于所述文件名,打开所述新文件,以获取所述新文件的数据;
基于所述新文件的数据,确定所述新文件为外发邮件时,则基于所述新文件的数据进行邮件审计。
在一些实施例中,第一监控模块1101具体用于:基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成;相应地,第一审计模块1102具体用于:
基于所述管道获取所述新文件的文件名;
基于所述文件名,在目标数据库中查询所述新文件的外发属性信息,其中,所述外发属性信息用于指示所述新文件是否为外发邮件;
在基于所述新文件的外发属性信息确定所述新文件为外发邮件时,基于所述文件名,打开所述新文件,以获取所述新文件的数据,并基于所述数据进行邮件审计。
示例性地,第一审计模块1102还用于:
基于所述管道监控到所述邮件客户端的进程访问目标路径的次数达到设定值,则记录所述目标路径;
基于所述新文件的文件名,在所述目标数据库中获取附件的附件名信息;
若确定所述附件名信息与所述目标路径匹配时,则确定所述目标路径下的文件为外发的附件;
基于所述目标路径下的文件,进行附件审计。
实际应用时,第一监控模块1101及第一审计模块1102,可以由电子邮件审计装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
为了实现本申请实施例的方法,本申请实施例又提供了一种电子邮件审计装置,如图12所示,该电子邮件审计装置包括:第二监控模块1201和第二审计模块1202。第二监控模块1201用于读取邮件客户端的数据库;确定所述数据库中存在新文件的标识信息时,则判定所述数据库存在更新;第二审计模块1202用于基于所述新文件的标识信息,在所述数据库中查找外发属性信息;基于所述外发属性信息确定所述新文件为外发邮件时,则获取所述新文件的数据,并基于所述数据进行邮件审计。
示例性地,第二审计模块1202还用于:
基于所述标识信息,在所述数据库中查询记录本地附件的第一属性信息;
基于所述第一属性信息,在用于缓存附件的文件夹中存在与所述第一属性信息匹配的文件时,则基于该文件进行本地附件审计。
示例性地,第二审计模块1202还用于:
基于读取日志的管道确定所述邮件客户端存在访问目标路径中的文件并将文件发送至云端,则记录所述目标路径;
基于所述标识信息,在所述数据组中查询记录云附件的第二属性信息;
若所述第二属性信息与所述目标路径匹配,则基于所述目标路径获取云附件;
对所述云附件进行附件审计。
实际应用时,第二监控模块1201和第二审计模块1202,可以由电子邮件审计装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
需要说明的是:上述实施例提供的电子邮件审计装置在进行电子邮件审计时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的电子邮件审计装置与电子邮件审计方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供一种电子设备。图13仅仅示出了该电子设备的示例性结构而非全部结构,根据需要可以实施图13示出的部分结构或全部结构。该电子设备可以为个人计算机、平板电脑、笔记本、服务器等。
如图13所示,本申请实施例提供的电子设备1300包括:至少一个处理器1301、存储器1302、用户接口1303和至少一个网络接口1304。电子设备1300中的各个组件通过总线系统1305耦合在一起。可以理解,总线系统1305用于实现这些组件之间的连接通信。总线系统1305除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图13中将各种总线都标为总线系统1305。
其中,用户接口1303可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本申请实施例中的存储器1302用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
本申请实施例揭示的电子邮件审计方法可以应用于处理器1301中,或者由处理器1301实现。处理器1301可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,电子邮件审计方法的各步骤可以通过处理器1301中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1301可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1301可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器1302,处理器1301读取存储器1302中的信息,结合其硬件完成本申请实施例提供的电子邮件审计方法的步骤。
在示例性实施例中,电子设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程逻辑门阵列(FPGA,Field Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,存储器1302可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read OnlyMemory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器1302,上述计算机程序可由电子设备的处理器1301执行,以完成本申请实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请披露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (13)

1.一种电子邮件审计方法,其特征在于,包括:
基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;
基于所述新文件的数据,对所述数据进行邮件审计。
2.根据权利要求1所述的方法,其特征在于,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:
基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成;
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,打开所述新文件,以获取所述新文件的数据;
基于所述新文件的数据,确定所述新文件为外发邮件时,则基于所述新文件的数据进行邮件审计。
3.根据权利要求1所述的方法,其特征在于,所述基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成,包括:
基于读取日志的管道确定所述邮件客户端存放邮件的文件夹有新文件生成;
相应地,所述基于所述新文件的数据,对所述数据进行邮件审计,包括:
基于所述管道获取所述新文件的文件名;
基于所述文件名,在目标数据库中查询所述新文件的外发属性信息,其中,所述外发属性信息用于指示所述新文件是否为外发邮件;
在基于所述新文件的外发属性信息确定所述新文件为外发邮件时,基于所述文件名,打开所述新文件,以获取所述新文件的数据,并基于所述数据进行邮件审计。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
基于所述管道监控到所述邮件客户端的进程访问目标路径的次数达到设定值,则记录所述目标路径;
基于所述新文件的文件名,在所述目标数据库中获取附件的附件名信息;
若确定所述附件名信息与所述目标路径匹配时,则确定所述目标路径下的文件为外发的附件;
基于所述目标路径下的文件,进行附件审计。
5.一种电子邮件审计方法,其特征在于,包括:
读取邮件客户端的数据库;
确定所述数据库中存在新文件的标识信息时,则判定所述数据库存在更新;
基于所述新文件的标识信息,在所述数据库中查找外发属性信息;
基于所述外发属性信息确定所述新文件为外发邮件时,则获取所述新文件的数据,并基于所述数据进行邮件审计。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
基于所述标识信息,在所述数据库中查询记录本地附件的第一属性信息;
基于所述第一属性信息,在用于缓存附件的文件夹中存在与所述第一属性信息匹配的文件时,则基于该文件进行本地附件审计。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
基于读取日志的管道确定所述邮件客户端存在访问目标路径中的文件并将文件发送至云端,则记录所述目标路径;
基于所述标识信息,在所述数据库中查询记录云附件的第二属性信息;
若所述第二属性信息与所述目标路径匹配,则基于所述目标路径获取云附件;
对所述云附件进行附件审计。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述管道为MAC操作系统提供的/dev/auditpipe,所述邮件客户端具体为安装在MAC操作系统中的邮件客户端。
9.根据权利要求1至7中任一项所述的方法,其特征在于,基于所述管道读取的日志记录了各个事件。
10.一种电子邮件审计装置,其特征在于,包括:
第一监控模块,用于基于读取日志的管道确定邮件客户端的目标文件夹有新文件生成;
第一审计模块,用于基于所述新文件的数据,对所述数据进行邮件审计。
11.一种电子邮件审计装置,其特征在于,包括:
第二监控模块,用于读取邮件客户端的数据库;确定所述数据库中存在新文件的标识信息时,则判定所述数据库存在更新;
第二审计模块,用于基于所述新文件的标识信息,在所述数据库中查找外发属性信息;基于所述外发属性信息确定所述新文件为外发邮件时,则获取所述新文件的数据,并基于所述数据进行邮件审计。
12.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至9任一项所述方法的步骤。
13.一种存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至9任一项所述方法的步骤。
CN202110786153.3A 2021-07-12 2021-07-12 电子邮件审计方法、装置、设备及存储介质 Pending CN115622970A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110786153.3A CN115622970A (zh) 2021-07-12 2021-07-12 电子邮件审计方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110786153.3A CN115622970A (zh) 2021-07-12 2021-07-12 电子邮件审计方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115622970A true CN115622970A (zh) 2023-01-17

Family

ID=84855647

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110786153.3A Pending CN115622970A (zh) 2021-07-12 2021-07-12 电子邮件审计方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115622970A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656728A (zh) * 2015-10-30 2017-05-10 国家电网公司 一种邮件检测与监控系统
CN110611608A (zh) * 2019-09-29 2019-12-24 武汉思普崚技术有限公司 一种web邮件审计方法及系统
CN111090623A (zh) * 2019-12-05 2020-05-01 深信服科技股份有限公司 一种数据审计方法、装置、电子设备及存储介质
US20200145439A1 (en) * 2018-11-05 2020-05-07 cmdSecurity Inc. Systems and methods for security monitoring processing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656728A (zh) * 2015-10-30 2017-05-10 国家电网公司 一种邮件检测与监控系统
US20200145439A1 (en) * 2018-11-05 2020-05-07 cmdSecurity Inc. Systems and methods for security monitoring processing
CN110611608A (zh) * 2019-09-29 2019-12-24 武汉思普崚技术有限公司 一种web邮件审计方法及系统
CN111090623A (zh) * 2019-12-05 2020-05-01 深信服科技股份有限公司 一种数据审计方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US8830840B1 (en) Network search methods and systems
US8095551B2 (en) Annotating shared contacts with public descriptors
JP5208358B2 (ja) ナレッジ交換プロファイルを生成する方法、システム、および装置
US8429233B2 (en) Method and system for journaling electronic messages
US7657603B1 (en) Methods and systems of electronic message derivation
KR101161520B1 (ko) 알림 전달 아키텍처를 위한 방법 및 시스템
US7333976B1 (en) Methods and systems for processing contact information
US8423616B2 (en) Identifying and correlating electronic mail messages
US20170300467A1 (en) Using text messages to interact with spreadsheets
US20080071824A1 (en) Record relationship processing
US20040119761A1 (en) Contact page
CN112262388A (zh) 使用个人身份信息(pii)的标记和持久性来保护pii
US20040044536A1 (en) Providing common contact discovery and management to electronic mail users
Bader et al. iPhone 3GS forensics: Logical analysis using apple iTunes backup utility
WO2008140925A1 (en) Summarization of attached, linked or related materials
JP2007305135A (ja) 電子通信文書のコピーが格納されている電子通信文書を関係者に示す方法及びプログラム、ならびに、電子通信文書が格納されていることを関係者と寄稿者とのうちの少なくとも一方に示す方法、システム、及び機器
AU2004201344A1 (en) Computer searching with associations
US9430538B2 (en) Providing additional information and data in cooperation with a communication application
US8655876B2 (en) Methods and systems for classifying data based on entities related to the data
US9268841B2 (en) Searching data based on entities related to the data
US20060227943A1 (en) Rule-based instant message retention
JPH11252158A (ja) 電子メール情報管理方法及び装置並びに電子メール情報管理処理プログラムを記録した記録媒体
US8375089B2 (en) Methods and systems for protecting E-mail addresses in publicly available network content
CN115622970A (zh) 电子邮件审计方法、装置、设备及存储介质
US20080059538A1 (en) Method and system for synchronizing offline records

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination