DE10021686A1 - Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk - Google Patents

Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk

Info

Publication number
DE10021686A1
DE10021686A1 DE10021686A DE10021686A DE10021686A1 DE 10021686 A1 DE10021686 A1 DE 10021686A1 DE 10021686 A DE10021686 A DE 10021686A DE 10021686 A DE10021686 A DE 10021686A DE 10021686 A1 DE10021686 A1 DE 10021686A1
Authority
DE
Germany
Prior art keywords
mail
mails
electronic
emails
incoming
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10021686A
Other languages
English (en)
Inventor
Hans-Joachim Platte
Wolfgang Fleischer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Thomson Brandt GmbH
Original Assignee
Deutsche Thomson Brandt GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Thomson Brandt GmbH filed Critical Deutsche Thomson Brandt GmbH
Priority to DE10021686A priority Critical patent/DE10021686A1/de
Priority to PCT/EP2001/004747 priority patent/WO2001086895A1/en
Priority to US10/275,528 priority patent/US20030154255A1/en
Priority to DE60123774T priority patent/DE60123774T2/de
Priority to AU2001252276A priority patent/AU2001252276A1/en
Priority to EP01925574A priority patent/EP1279262B1/de
Publication of DE10021686A1 publication Critical patent/DE10021686A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk. DOLLAR A In einem Mailserver mit einer Vielzahl angeschlossener Mailteilnehmer-Computer ist ein Verfahren installiert, mit dem an die Teilnehmer nacheinander eingehende oder von den Teilnehmern nacheinander ausgehende Mails auf bestimmte Gemeinsamkeiten geprüft werden und in Abhängigkeit von festgestellten Gemeinsamkeiten entweder die Mails bestimmungsgemäß automatisch weitergeleitet oder bis zum Eintreten eines anderen Kriteriums zurückgehalten werden.

Description

Die Erfindung betrifft ein Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail- Netzwerk.
Stand der Technik
In der heutigen Zeit elektronischer Mails und weltweiter Vernetzung von Computern bilden viele Formen von sogenannten Computerviren eine große Gefahr für Firmen, die ihre in Netzwerken verbundenen Computer auch mit der elektronischen Außenwelt verbunden betreiben. An den Verbindungsstellen zur elektronischen Außenwelt, wie zum Beispiel dem Internet, werden spezielle Computer als sogenannten Firewalls betrieben, die u. a. versuchen, mit elektronischen Viren behaftete Mails von außen herauszufiltern bevor diese die firmeneigenen Computer erreichen können. Die Erkennung eines Virus erfolgt durch spezielle Software, die jeweils vom Hersteller auf dem Stand der neuesten Viren-Pattern gehalten werden muß.
Zwischen Auftreten eines neuen Virus und der Erzeugung und Verbreitung eines neuen Viren-Patterns vergeht jedoch eine gewisse Zeit, in der der Virus erhebliche Schäden anrichten kann. Die Methode des Viren-Erkennens im Firewall-Computer ist somit grundsätzlich anfällig. Denn zur Herstellung eines Viren-Patterns muß zunächst ein Virus bekannt werden, was üblicherweise schon mit einem Schadensfall verbunden ist. Wird ein Virus vom Urheber geschickt und breit gleichzeitig in Firmennetzwerke eingeschleust, so wird die Schadensbegrenzung ein Wettlauf mit der Zeit zwischen der Virenausbreitung und dem Erstellen und Installieren von Erkennungsprogrammen. Durch besondere Strukturen kann der Virus innerhalb von wenigen Stunden, die die Erstellung eines Erkennungsmusters benötigt, erhebliche Schäden anrichten, indem er die befallenen Computer zum Beispiel zur schneeballartigen Aussendung von Kopien seiner selbst an alle in diesem Computer gespeicherten Mail-Adressen veranlaßt.
Erfindung
Ziel dieser Erfindung ist die Begrenzung bzw. Unterbrechung der schneeballartigen Weiterverteilungskette des Virus.
Die Erfindung wird durch die im Anspruch 1 angegebenen Merkmale gelöst.
Vorteilhafte Weiterbildungen sind in den Unteransprüchen wiedergegeben.
Erfindungsgemäß wird in einem Mailserver mit einer Vielzahl angeschlossener Mailteilnehmer-Computer ein Verfahren installiert, mit dem an die Teilnehmer nacheinander eingehende oder von den Teilnehmern nacheinander ausgehende Mails auf bestimmte Gemeinsamkeiten geprüft werden und in Abhängigkeit von festgestellten Gemeinsamkeiten entweder die Mails bestimmungsgemäß automatisch weitergeleitet oder bis zum Eintreten eines anderen Kriteriums zurückgehalten werden.
Als Kriterium der festgestellten Gemeinsamkeit kann das Auftreten der selben Betreffzeile in einer Mehrzahl von Mails sein, das Auftreten des selben Inhaltstextes, eines gleichen Attachments und/oder die selbe oder zeitnahe Absende- oder Empfangszeit gewählt werden.
In dem Fall, dass eine elektronische Mail aufgrund einer oder mehrerer dieser Kriterien automatisch zurückgehalten wird, kann eine Mail-Rückfrage durch den Mailserver dem absendenden Mailteilnehmer zugeleitet werden, ob dieser alle mit erheblichen Gemeinsamkeiten versehene Mails wirklich verschicken will und dieser absendende Mailteilnehmer darauf mit einer expliziten Bestätigung antwortet.
Als eine "explizite Bestätigung" des absendenden Mailteilnehmers kann vorzugsweise die Eingabe einer Kennung oder eines Passwortes dienen.
Alternativ oder als ein weiteres "anderes Kriterium" kann eine Mail-Rückfrage bei dem Administrator des betreffenden Netzwerkes sein, ob dieser alle mit erheblichen Gemeinsamkeiten versehenen Mails wirklich verschickt sehen will und dieser Administrator darauf mit einer expliziten Bestätigung antwortet.
Vorzugsweise können solche gekennzeichneten elektronischen Mails auch nach Ablauf einer verzögernden Zeit weitergeleitet werden. Die Zeitverzögerung sollte dann vorteilhaft so groß sein, daß auf eine Virenwarnung von außerhalb reagiert werden kann oder in einen vorgegebenen Zeitrahmen fallen, zum Beispiel in die normale Arbeitszeit des Administrators.

Claims (8)

1. Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk mit einem Mailserver und einer daran angeschlossenen Vielzahl von Mailteilnehmer-Computern durch an die Teilnehmer nacheinander eingehende oder von den Teilnehmern nacheinander ausgehende Mails, dadurch gekennzeichnet, dass die an die Teilnehmer nacheinander eingehenden oder von den Teilnehmern nacheinander ausgehenden Mails auf bestimmte Gemeinsamkeiten geprüft werden und in Abhängigkeit von festgestellten Gemeinsamkeiten entweder die elektronischen Mails bestimmungsgemäß automatisch weitergeleitet werden oder bis zum Eintreten eines anderen Kriteriums zurückgehalten werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass als Kriterium der festgestellten Gemeinsamkeit das Auftreten der selben Betreff-Zeile in einer Mehrzahl von Mails, das Auftreten des selben Inhaltstextes, eines gleichen Attachments und/oder die selbe oder zeitnahe Absende- oder Empfangszeit verwendet wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in dem Fall, dass eine elektronische Mail aufgrund einer oder mehrerer dieser Kriterien automatisch zurückgehalten wird, eine Mail- Rückfrage durch den Mailserver dem absendenden Mailteilnehmer zugeleitet wird.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass diese mit erheblichen Gemeinsamkeiten versehenen Mails durch den Mailserver verschickt werden, wenn der absendende Mailteilnehmer die Mail-Rückfrage durch den Mailserver mit einer expliziten Bestätigung bestätigt.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass als eine "explizite Bestätigung" des absendenden Mailteilnehmers vorzugsweise die Eingabe einer Kennung oder eines Passwortes dient.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass als ein weiteres anderes Kriterium eine Mail-Rückfrage bei dem Administrator des betreffenden Netzwerkes durchgeführt wird, ob dieser alle mit erheblichen Gemeinsamkeiten versehenen Mails wirklich verschickt sehen will und dieser Administrator darauf mit einer expliziten Bestätigung antwortet.
7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass solche gekennzeichneten elektronischen Mails nach Ablauf einer verzögernden Zeit weitergeleitet werden.
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Zeitverzögerung in einen vorgegebenen Zeitrahmen fällt, vorzugsweise in die normale Arbeitszeit des Administrators.
DE10021686A 2000-05-05 2000-05-05 Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk Withdrawn DE10021686A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE10021686A DE10021686A1 (de) 2000-05-05 2000-05-05 Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk
PCT/EP2001/004747 WO2001086895A1 (en) 2000-05-05 2001-04-27 Method for reducing the spread of computer viruses in an electronic mail network
US10/275,528 US20030154255A1 (en) 2000-05-05 2001-04-27 Method for reducing the spread of computer viruses in an electronic mail network
DE60123774T DE60123774T2 (de) 2000-05-05 2001-04-27 Verfahren zur reduktion der verbreitung von computerviren in einem elektronischen mail-netzwerk
AU2001252276A AU2001252276A1 (en) 2000-05-05 2001-04-27 Method for reducing the spread of computer viruses in an electronic mail network
EP01925574A EP1279262B1 (de) 2000-05-05 2001-04-27 Verfahren zur reduktion der verbreitung von computerviren in einem e-mail-netzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10021686A DE10021686A1 (de) 2000-05-05 2000-05-05 Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk

Publications (1)

Publication Number Publication Date
DE10021686A1 true DE10021686A1 (de) 2001-11-08

Family

ID=7640741

Family Applications (2)

Application Number Title Priority Date Filing Date
DE10021686A Withdrawn DE10021686A1 (de) 2000-05-05 2000-05-05 Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk
DE60123774T Expired - Lifetime DE60123774T2 (de) 2000-05-05 2001-04-27 Verfahren zur reduktion der verbreitung von computerviren in einem elektronischen mail-netzwerk

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE60123774T Expired - Lifetime DE60123774T2 (de) 2000-05-05 2001-04-27 Verfahren zur reduktion der verbreitung von computerviren in einem elektronischen mail-netzwerk

Country Status (4)

Country Link
EP (1) EP1279262B1 (de)
AU (1) AU2001252276A1 (de)
DE (2) DE10021686A1 (de)
WO (1) WO2001086895A1 (de)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1385303A2 (de) * 2002-07-22 2004-01-28 Symantec Corporation Verfahren und Vorrichtung zur Verhinderung der Ausbreitung von böswilligen Programmkode
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
WO2006105301A3 (en) * 2005-03-25 2007-05-10 Qualcomm Inc Apparatus and methods for managing content exchange on a wireless device
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
US8763076B1 (en) 2006-06-30 2014-06-24 Symantec Corporation Endpoint management using trust rating data

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2394382A (en) 2002-10-19 2004-04-21 Hewlett Packard Co Monitoring the propagation of viruses through an Information Technology network
GB2401280B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
GB2391419A (en) 2002-06-07 2004-02-04 Hewlett Packard Co Restricting the propagation of a virus within a network
GB2401281B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US7796515B2 (en) 2003-04-29 2010-09-14 Hewlett-Packard Development Company, L.P. Propagation of viruses through an information technology network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5675711A (en) * 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US6052709A (en) * 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US6161130A (en) * 1998-06-23 2000-12-12 Microsoft Corporation Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5675711A (en) * 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
EP1385303A3 (de) * 2002-07-22 2005-11-09 Symantec Corporation Verfahren und Vorrichtung zur Verhinderung der Ausbreitung von böswilligen Programmkode
EP1385303A2 (de) * 2002-07-22 2004-01-28 Symantec Corporation Verfahren und Vorrichtung zur Verhinderung der Ausbreitung von böswilligen Programmkode
US7380277B2 (en) 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
EP1965329A3 (de) * 2005-03-25 2008-10-22 Qualcomm Incorporated Vorrichtung und Verfahren zur Verwaltung des Inhaltsaustauschs auf einem drahtlosen Gerät
WO2006105301A3 (en) * 2005-03-25 2007-05-10 Qualcomm Inc Apparatus and methods for managing content exchange on a wireless device
US9288078B2 (en) 2005-03-25 2016-03-15 Qualcomm Incorporated Apparatus and methods for managing content exchange on a wireless device
US8763076B1 (en) 2006-06-30 2014-06-24 Symantec Corporation Endpoint management using trust rating data

Also Published As

Publication number Publication date
EP1279262B1 (de) 2006-10-11
DE60123774T2 (de) 2007-03-29
WO2001086895A1 (en) 2001-11-15
DE60123774D1 (de) 2006-11-23
EP1279262A1 (de) 2003-01-29
AU2001252276A1 (en) 2001-11-20

Similar Documents

Publication Publication Date Title
DE10021686A1 (de) Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk
DE60128227T2 (de) Verfahren und system zur e-mailverarbeitung
DE60220004T2 (de) System und Verfahren zur Verhinderung unverlangter elektronischer Post
US20180027086A1 (en) Methods, Systems, and Products for Spam Messages
DE602005005312T2 (de) Verfahren und System zur Verwaltung elektronischer Nachrichten
US9152949B2 (en) Methods and apparatus for identifying spam email
DE202016009028U1 (de) Regelbasierte Netzwerkbedrohungsdetektion
US20060168041A1 (en) Using IP address and domain for email spam filtering
DE10330282A1 (de) Vorrichtung und Verfahren zum benutzerseitigen Bearbeiten von elektronischen Nachrichten mit Datei-Anlagen
CN101340387A (zh) 控制转发数据报文的方法和装置
WO2005096572A1 (de) Verfahren zur überwachung der übertragung von elektronischen nachrichten
EP1246100A2 (de) Verfahren, Vorrichtung und E-Mailserver zum Erkennen einer unerwünschten E-Mail
DE10243243B4 (de) Verfahren zur empfängerseitigen automatischen Behandlung von unerwünschter elektronischer Post in Kommunikationsnetzen
DE102006012439A1 (de) Verfahren und Vorrichtungen zur Vermeidung einer fehlerhaften Klassifizierung von erwünschten Nachrichten als Spam over Internet Telephony-Nachrichten, abgekürzt SPIT-Nachrichten, in einem Kommunikationsnetzwerk
DE112006001552T5 (de) Verfahren und Server zur Authentifizierung der Absender von E-Mails und Mitteilung von Austauschinformationen
WO2007036400A1 (de) Verfahren und vorrichtungen zur vermeidung des empfangs unerwünschter nachrichten in einem ip-kommunikationsnetzwerk
EP1915845A1 (de) Verfahren und anordnung zur automatischen aktualisierung einer weissen liste
US20030048298A1 (en) E-mail distribution with versatile address removal
CN106936691A (zh) 一种控制客户端邮件操作权限的系统及其方法
DE102006012658A1 (de) Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk
US20030154255A1 (en) Method for reducing the spread of computer viruses in an electronic mail network
EP1796028A2 (de) Verfahren zum Verbindungsaufbau in Kommunikationsnetzen
EP2198580B1 (de) Verfahren und anordnung zum bereitstellen von voip-kommunikation
Schryen Effectiveness of Anti-Spam Approaches
DE102005004652A1 (de) Antispambox-System

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8120 Willingness to grant licences paragraph 23
8139 Disposal/non-payment of the annual fee