JP2012531666A - リアルタイム・スパム調査システム - Google Patents
リアルタイム・スパム調査システム Download PDFInfo
- Publication number
- JP2012531666A JP2012531666A JP2012517611A JP2012517611A JP2012531666A JP 2012531666 A JP2012531666 A JP 2012531666A JP 2012517611 A JP2012517611 A JP 2012517611A JP 2012517611 A JP2012517611 A JP 2012517611A JP 2012531666 A JP2012531666 A JP 2012531666A
- Authority
- JP
- Japan
- Prior art keywords
- message
- spam
- determining
- source
- determining whether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000012546 transfer Methods 0.000 claims abstract description 3
- 238000012545 processing Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims 2
- 230000000704 physical effect Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 10
- 238000001914 filtration Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000005055 memory storage Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ネットワークを介して電子メール・サーバーに送られる不所望の電子メールを管理するシステムおよび方法。インバウンド・メール伝達エージェントにおいて電子メール・メッセージを受信する。この電子メール・メッセージが不所望被疑メッセージである疑いがあるか否か判定を行う。このメッセージの1つ以上の特性について追加情報を求める1つ以上の問合を開始する。発送元サーバーに配信メッセージ受入指示を発する前に、これらの問合に対する回答に基づいて、判定を行う。
【選択図】図2
【選択図】図2
Description
[0001] 不所望の大量の電子メール(UBE:Unsolicited Bulk Email)は、広範囲にわたる問題である。UBEは、不所望の商用電子メール、スパム、フィッシング電子メール、およびその他の不所望電子メールを含むことができる。UBEの発信元(スパマー)は、UBEを送るために、数多くの電子メール・サーバーの処理パワーを利用する。大規模な電子メール・サービス・プロバイダー(ESP)は、UBEを処理するときに、彼らのメーリング・インフラストラクチャおよびインバウンド電子メール受入容量の真の大きさ(sheer magnitude)だけ不利になる。
[0002] UBEは、これらをESPへのUBEとして識別する複数の特性を有する可能性がある。
一般に、ESPは、システムのユーザーが受信するUBEの量を低減させる複数のメカニズムを使う。その結果、スパマーは、ESPが彼らのメッセージを停止する努力を無にするために種々の技法を使う。スパマーは、絶えず、ルート、ドメイン名、発信元IP、およびメッセージの内容を変化させて、UBE検出システムを騙そうとする。
[0003] 発送元の電子メール・サーバーにメッセージ受入メッセージを発する前に、リアルタイムのスパム・フィルターリングを実施する技術について説明する。疑わしいメッセージを受信したときに、UBEである疑いのある受信メールの構成要素に対して、1つ以上の問合を発する。これらの問合は、そのメッセージをスパムまたは不所望大量電子メールであると特定することができるがそのメッセージにおいて容易には明らかにはならない情報を探す。問合に対する応答が受信され、メール受入メッセージを発する前に、このメッセージを発すべきか否か判定を行う。問合は、メッセージの構成要素を、そのメッセージがインバウンド・メール・サーバーに到達したときに通ったネットワーク・インフラストラクチャに関係付けることができる。
[0004] この摘要は、詳細な説明において以下で更に説明する概念から選択したものを、簡略化した形態で紹介するために設けられている。この摘要は、特許請求する主題の主要な特徴や必須の特徴を特定することを意図するのではなく、特許請求する主題の範囲を判定するときに補助として使われることを意図するのでもない。
[0011] 大規模企業電子メール・システムの不所望の大量電子メール(UBE)を処理する能力を改良する技術について記載する。リアルタイム・フィルターリング・エンジンは、UBEである疑いがある受信電子メールの構成要素について1つ以上の問合を発する。これらの問合は、メッセージをUBEであると特定することができる情報であるが、メッセージにおいて容易に明らかにならない情報を探す。これらの問合に対する応答が受信され、メール受入メッセージを自動的に発する前に、このようなメールを発すべきか否か判定を行う。
[0012] 図1は、本技術を実現するのに適したシステムのブロック・レベルの図である。システム200は、電子メール・サービス・プロバイダー(ESP)によって実現することができ、例えば、1つ以上の処理デバイスを含むインバウンド・サーバー220で構成することができる。複数のインバウンド・サーバー220〜220nを1つの企業200に設けることができ、これらの全ては1つ以上の処理デバイスを含む。
[0013] 一実施形態では、電子メール・サーバー220は、スタンド・アロン・サーバーであり、このサーバーにおいて電子メール・アドレスを有するユーザーが、IMAPまたはPOPのような任意の数のフォーマットによって、彼らのメールにアクセスすることを可能にする。代替実施形態では、インバウンド・サーバー200は、メッセージを任意の数のバックエンド処理デバイスに受け渡す複数のフロント・エンド・サーバーのうちの1つである。バックエンド処理デバイスは、企業のユーザーのために電子メールを格納する。本明細書において論じられる技術は、スタンドアロン電子メール・サーバーおよび企業環境に適用することができる。
[0014] インバウンド電子メール・サーバー220は、発送元サーバー660、130からインターネット50を介して送信された電子メール・メッセージを受信する。各発送元サーバーは、それぞれのMTA115、135を有する。インバウンドMTA215は、インターネット50を介してインバウンドMTAに結合する発送元メール・サーバーからの接続を処理し、インバウンド電子メールに対して最初の1組の受入およびフィルターリング・タスクを実行する。一般に、MTAは、ホスト・ネットワーキング・プロトコルにおいて着信接続要求試行を受け入れるかまたは拒否することができる。
[0015] インバウンド電子メール・サーバー220は、解析エージェント225、スパム・フィルター230、リアルタイム・フィルター235、およびリアルタイム・データー245を含むことができる。以下で説明するように、スパム・フィルター230による初期チェックは、着信メッセージに適用され、スパム・スコアを各メッセージと関連付ける。スパム・コンテンツ・フィルター230は、例えば、メッセージがフィッシング・コンテンツ、疑わしいリンク、またはウィルスが潜む添付ファイルを含むか否か判定する方法を含む、複数のコンテンツ・フィルターリング方法のうち任意のものを含むことができる。電子メールが配信可能であると見なされた場合、インバウンド電子メールMTAはそのメッセージを受け入れる。
[0016] 企業データーベースは、システム200によって見られる全てのソースについての大域的スパム・データーを維持する個々のサーバー220におけるリアルタイム・データーベース245から、他のサーバー220nへの配信のために、データーを企業データーベースに配信することができる。
[0017] 解析エージェント225は、フィーチャ抽出コンポーネント660として動作する。フィーチャ抽出コンポーネント660は、インターネット・プロトコル(IP)アドレス、ドメイン名、およびURL、ならびにメッセージ145において見いだされる他の情報を検出し抽出することができる。リアルタイム・フィルター235は、解析エージェントによって提供される情報を使って、メッセージから抽出されたデーターのエレメントに対してリアルタイム・問合を実行し、メッセージの非自明エレメントがスパムまたは不正なメッセージの可能性を示すか否か判定する。リアルタイム・フィルター235は、調査コンポーネント(lookup component)を含む。この調査コンポーネントは、IPアドレスに対する逆DNS調査や、メッセージのステータスを確認するための、以下で概略を説明する他の問合というような、任意の数の並列および非同期問合を実行することができる。
[0018] また、図1は、ネットワークを通したメッセージ145の抽象図も示す。例えば、発送者のエッジ・メッセージ・サーバー660は、メッセージ145を着信メール・サーバー220にインターネット50を介して送る。インターネット50は、互いに(そして他のコンポーネントに)接続されている複数のルーター143、147、149を含む。メッセージ145は、発送元のコンピューター660から、ルーター147、149等を介して、宛先コンピューター220に到達するまで移動する。ルーターを介した情報の流れは、電子メールには記録されない。ルーターは、これらを通過する情報を変更しない。電子メールは、1つのサーバーから他のサーバーに直接移動することができる場合もある。メール・サーバーからメール・サーバーに移るとき、サーバーIPアドレスを与えるラインを電子メールに追加することができるので、サーバー間のフローは記録されるのが通例である。しかしながら、各メール・サーバーは、任意の望ましい方法でこの情報を変更することができる。したがって、一般には、サーバー200への最後のメール・サーバーのIPアドレスしか信頼することができない。それよりも前のサーバーはいずれも情報を変更したかもしれず、またはスパマーが、メッセージを送る前に、偽りのIPアドレスをヘッダーに挿入したかもしれない。
[0019] また、図1には、URLコンテンツ・サーバー120も示されている。URLコンテンツ・サーバー120は、メッセージ145に埋め込まれているURLの要求に応答して、コンテンツを供給するように応答する。ネーム・サーバー140は、メッセージにおけるURLのホストに対する問合、および他のネーム・サービス要求に応答する。種々のルーター143、147、および149は、ネットワーク上における種々のサーバー間の通信を容易に行うために使うことができる。尚、これらのルーターは一意でないこと、そしてエンティティ間における所与の転流はいずれもインターネット50を介して異なる経路を取ることができることは認められてしかるべきである。
[0020] 電子メッセージは、通例、シンプル・メール・トランスファー・プロトコル(SMTP)規格を使って、インターネット50を介して送られる。SMTPによって送られる電子メッセージは、ソース情報、受け取り先情報、およびデーター情報を含む。ソース情報は、通例、ソースIPアドレスを含む。ソースIPアドレスは、電子メッセージが発信された元の一意のアドレスであり、1つのサーバー、サーバーのグループ、または仮想サーバーを表すことができる。
[0021] IPアドレスは、メッセージ配信通路(メッセージ発送元とメッセージ受け取り先との間)に沿った種々の時点においてメッセージ・ヘッダに追加することができ、したがって、スパム・フィルターによるメッセージの処置に影響を及ぼす可能性がある。メッセージの中で検出されたIPアドレスは、逆DNS情報に使うことができ、そしてルート追跡に使うことができる。最後のIPアドレスは、捏造することができず、少なくとも1つのメッセージ・ソースを与え、予測に使うことができる。このため、スパマーは、例えば、ウィルスやトロイの木馬を発送元マシンに感染させることによって、他のIPアドレスを入手しようとする虞れがある。次いで、スパマーはこれらのウィルスまたはトロイの木馬を使ってスパムを送る。このように、メッセージのIPアドレスが、感染されたマシンのIPアドレスである可能性がある。その結果、全ての可能な感染について学習することや、このような感染のリアルタイムの記録を維持することが困難である場合もある。
[0022] 図2は、インバウンド・サーバー220の種々のコンポーネントによって実行される方法を示す。330においてインバウンド・サーバーにおいて受信されたメッセージ毎に、メッセージが332において解析され、このメッセージがUBEであるか否か判定するために使われる1つ以上の構成要素を抽出する。これらの構成要素は、メッセージに対するリアルタイム特性問合に使われる。この抽出は、例えば、埋め込まれたURLにおけるルートおよび第2レベル・ドメインを判定し、IPアドレスおよび他のヘッダー情報を抽出し、本明細書において記載するような問合を使ってメッセージに関する追加情報を判定するために使うことができる任意の構成要素を抽出することを含むことができる。
[0023] 334において、メッセージがUBEである疑いがあるか否かについて初期判定を行う。UBEであれば、ユーザーに配信してはならない。このようなメッセージは、スパムまたはフィッシング・メッセージを含む可能性があり、コンテンツ・サーバー120のような他のサーバーにおいて供給されるコンテンツにリンクする1つ以上の埋め込みURLを有する。一実施形態では、判定334は、スパム・フィルター・コンポーネント230によって行われる。この初期判定は、発送元、発送元のドメイン、および認証情報というような、電子メール・メッセージ・ヘッダーおよび本体において容易に分かるメッセージの構成要素を調べることによって行うことができる。このような既知の特性をスパム・メッセージと照合するために、履歴データーを使ってもよい。正しいことがわかっている特性は、メッセージを明瞭にするために同様に使うことができる。一態様では、スパム・フィルターは、リアルタイム・データーベース245における情報にアクセスし、ヘッダーまたは本体からの情報の1つ以上の構成要素を調査して、メッセージがスパムか否か素早い判定を行うことができる。このような初期判定は、分かっているスパム電子メール・アドレス、ドメイン、発送元分類、メッセージのスパム確率スコア、認証技術、または他の迅速判定手段によって行うことができる。メッセージの他の特性が、メッセージはスパムである可能性は低いことを示す場合もある。例えば、メッセージ発送元または発送元のドメインが、正しいことが分かっているメッセージとして以前に特徴付けられていた場合、メッセージが疑わしい可能性は低くなる。更にまた、メッセージがSPAMかSPAMでないかを示す任意のフィーチャが、そのメッセージに欠けていると、そのメッセージは疑わしいという判定になる可能性がある。例えば、メッセージがこれまでに見たことがないドメインからのものである場合もある。
[0024] 一実施形態では、スパム・フィルター230は、インバウンド電子メール・サーバー200の特別にプログラミングされた部分であり、例えば、正しいことが分かっている電子メール・アドレスおよび不正であることが分かっている電子メール・アドレスのリスト、正しいことが分かっている電子メール・ドメインおよび不正であることが分かっている電子メール・ドメインのリスト、ドメイン範囲またはIPアドレス、ならびにフィルターリング・テストを含む。フィルターリング・テストは、メッセージがUBEを含むか否か判定するために、電子メール・メッセージの一部に対して実行することができる。
[0025] 334において、メッセージが明らかにスパムではない場合、338において、そのメッセージが疑わしいか否か判定を行う。疑わしいメッセージとは、スパム・フィルターによって指定されたスパム・スコアが、明らかにスパムを示すしきい値スコアよりも低いもの、またはUBEであることが分かっているメッセージが共有する他の特性(例えば、埋め込みURL)を有するものとすることができる。
[0026] 338における初期判定で、メッセージが疑わしい場合、1つ以上のリアルタイム問合340を実行する。本技術によれば、問合から得られる結果は、「メッセージ受入」指示を発送元電子メール・サーバーに発するか否か判定するために使われる。一実施形態では、340において複数の問合が並列にそして非同期に発される。問合の結果は、単独で決定的であるまたは組み合わせで決定的であるというように優先順位を付けて、他の応答よりも前に受けた1つ以上の問合に対して受信された応答が、メッセージのステータスを決定することができるようにすることができる。この態様では、システムは非同期である。本システムは、更に、例えば、「配信のためのメッセージ受入」トランザクション・メッセージによってメッセージ・トランザクションを完了する前に、問合に対する回答を受けることによって、「リアルタイム」で動作する。
[0027] SMTPプロトコルでは、サンプル交換は、一般に、「250OK」または「配信のための250メッセージ受入」メッセージで終了する。
[0028] このコンテキストでは、「リアルタイム」は必ずしも瞬時的を意味しなくてもよく、「配信のためのメッセージ受入」コマンドを発するか否かの判定を含む、問合を発することおよび問合応答を受信すること、ならびに応答の分析を考慮した時間 (some of time)の経過を伴って動作する。尚、単に「配信のためのメッセージ受入」メッセージを制止する以外に、他の「リアルタイム」動作もメッセージに対して行われてもよいことは認められよう。例えば、他の動作には、限定ではく、IP接続を阻止する(接続を落とす)、制限に基づいて発送元のレートを制限する、発送元の速度を低下させることを含むことができ、これらは全て、発送元と関連した種々のインフラストラクチャと関連したしきい値に基づく。更に他の動作には、データーに基づいて、彼らの電子メール・インボックスにおいて受け取り先に対してメッセージを異なる表現で示すことを含むことができる。例えば、メッセージが、疑わしいフィッシング・ホストにリンクされているある種のURLを有する場合、メール・インターフェースにおいてユーザーに赤い安全バーを表示することができる。逆に、メッセージが、信頼できることがわかっているソースからである場合、メール・インターフェースにおいて信頼表示メカニズムを使うことができる。
[0029] 342において、340において発された問合に対する応答を受信すると、この応答が、メッセージに伴う問題を示すか否か判定を行う。ステップ334および336は、図4に更に詳細に示されている。メッセージがスパムであると判定された場合、344において「メール受入」メッセージを送らない。メッセージがスパムではない場合、346においてメール受入メッセージを発する。348において、334および338における初期判定ステップにおいて使うために、問合から得られたデーターをリアルタイム・データーベースに戻す。
[0030] 一実施形態では、344において行われる動作は、SMTP会話(conversation)において「250メッセージ受入」応答を供給しないことを含む。しかしながら、334において、複数の代替案を実施することができる。SMTPレベル500エラーを発することによって、メールを拒否することができ、メールを受け入れるが、ジャンク・フォルダに導くためのタグを付けることができ、メッセージを受け入れて自動的に削除することができ、および/またはメッセージを受け入れてメールの表示を変えることができる。344において行われる動作は、メッセージがUBEであることの信頼度に依存することができる。信頼度が高ければ、即座に拒否することができ、信頼度が低ければ、受け入れて代わりの表示をすることができる。
[0031] 図3は、図2におけるステップ340および352を詳細に示す。ステップ340において、1つの電子メール・メッセージに対して複数の並列問合を同時に発することができる。
[0032] 図3に示すように、任意の数の問合404、412、422、432、442、452を並列に発することができる。一例では、これらの問合は、コンテンツ・サーバーについての情報を提供するURL調査404、発送元ドメインまたはコンテンツ・サーバーについての情報を提供するWhoIs問合412、発送元ドメインまたはコンテンツ・サーバーについての逆DNS問合422、発送元ドメインまたはコンテンツ・サーバーへのメッセージが辿る経路に関するトレースルート432、およびスパム・ドメイン・ソース間における潜在的な関係を判定するネーム・サーバー問合442を含む。「n」個までの並列問合を作成することができる。メッセージにおいて容易に分からない情報を暴露する任意のタイプの問合や、メッセージが受信されたときに通ったネットワークのインフラストラクチャに関する情報を暴露する任意のタイプの問合を、240において実行することができる。図3に示す例は、網羅的であることを意味するのではない。
[0033] 一旦問合が開始されると(404、412、422、432、442、452において)、システムは、405、413、423、433、443、453のそれぞれにおいて各問合の結果を待つ。全ての問合が同じ時間フレームにおいて結果を引き出すとは限らないので、問合毎に、406、414、424、434、444、454において他の問合結果が受け取られたか否か判定を行う。他の結果が引き出された場合、その結果(1つでまたは他の問合結果との組み合わせで)が、メッセージがUBEであるかまたはUBEではないか判定できるか否か判定を行う。受け取られた他のテスト結果の結果、メッセージがUBEであると判定された場合、344において、このメッセージにスパムであるというフラグを立てる。そうでない場合、本方法はステップ346に進み、図2に示したように、「配信のためにメール受入」メッセージを供給する。
[0034] 以前の結果が引き出されない場合、410、418、428、438、448、458において各問合の結果が決定的であればよい。以下で説明するように、結果が決定的でない場合、メッセージ受入メッセージを発するか否か決定する前に、この結果データーを他の問合結果と組み合わせて使うことができる。
[0035] 問合の各々は、メッセージについて発見可能な情報を戻すように設計されている。例えば、スパマーは非常に多くのホスト名(hostname)を安易に作成することがある。これらのホスト名は多くの属性を共有する可能性がある。複数のメッセージ、およびメッセージについて返されるデーターを調べることによって、IP範囲、登録者名またはアドレス、あるいは共通ネーム・サーバーのような構成要素において、パターンが現れることがある。これらの共通性を使って、新たに受信したメッセージをUBEであると識別する。各問合は、メッセージ自体と共に提示されるメッセージの一構成要素だけを調べるのではなく、メッセージの真の性質を暴露する構成要素の発見可能な側面を深く探求するように設計されている。サーチの多くは、ネットワーク・インフラストラクチャにリンクされているメッセージ構成要素についての情報を発見することに結び付けられている。
[0036] URLホスト調査問合404は、URLが電子メール・メッセージの本体において与えられており、そのURLが追加のコンテンツを指し示すか、または例えば、HTMLコード化メッセージにおけるコンテンツを表示するように埋め込まれ設計されているという状況において、実行することができる。URL問合404は、URLの特性を調べて、メッセージがUBEか否か判定し、その特性を使ってメッセージについての問合を開始する。一実施形態では、URLが疑わしいコンテンツ・サーバーを指し示すか否かについての糸口を求めて、URLフィーチャを分析する。URLの一部を抽出して、スパム・フィルターリングにおいて使うことができる。URLフィーチャに対して、スパマーは他の人々に属する正しいURLと、彼らが制御するURLとの双方を含ませることによって、マシン学習フィルター(machine learning filter)を騙そうとする。例えば、スパマーは、そのメッセージのどこかにmicrosoft.comを含ませることもある。何故なら、これは正しいURLまたは「安全な」URLとして知られていると考えられるからである。この乗っ取りを軽減するために、カウント・ベースおよび組み合わせベースのURLフィーチャを、マシン学習フィルターへの入力として含ませることができる。
[0037] URLホスト調査404は、URLのドメインがUBEエンティティに対して既知の関係を有するか否かを含む、URLの追加の特性を調べる。URLホスト調査は、追加のスパム特性を与えるために、WhoIs問合のような、他の問合と組み合わせることができる結果を生成することができる。
[0038] WhoIs問合は、所有者、所有者のアドレス、またはWhoIs問合によって戻される他のデーターに関するドメイン間の関係を識別することができる情報を戻すことができる。WhoIs問合は、ドメイン名の所有者、IPアドレス、またはインターネット上の自律システム番号を戻すことができる。スパマーが複数のドメイン・アドレスを使っていたという状況では、WhoIs問合は、邪悪なドメインが共通の所有者または共通の開始アドレスを共有することを暴露することができ、この所有者またはアドレスを使って、今後の邪悪なドメインを識別することができる。
[0039] 逆DNS問合422は、ドメイン名への電子メールと関連したIPアドレスを解決するために使うことができ、これらの名称は、メッセージがUBEでありそうか否か判定するために、邪悪であることが分かっているドメイン名と比較される(または他の問合と共に使われる)逆DNS問合から得られる。他の技法は、逆−DNS調査をIPアドレスにおいて実行することである。尚、IPアドレスにおけるマシンを制御する人は、そのIPアドレスに対する逆DNSアドレス・エントリー(entry)を制御することはできないことを注記しておく。例えば、自宅のコンピューター・ユーザーが、感染されたコンピューターを有しており、ケーブル・モデムまたはDSLラインを介してスパムを送っていることもある。ケーブル/DSLラインのIPアドレスに対する逆DNSアドレス・エントリーを制御するのは、彼のインターネット・プロバイダーである。スパマーは、コンピューターを制御するが、DNSエントリーは制御しない。DNSサーバーを制御するスパマーであっても、コンピューターに対する逆DNSアドレス・エントリーを制御することはできない。スパマーがコンピューターに対するDNSエントリーを制御する場合であっても、逆DNS調査を実行し、次いで得られたRDNSエントリーに対してDNS調査を実行するというのが一般的な技法である。これら2回の調査が一致しない場合、DNSサーバーが誤って構成されているかまたは障害を発生していることの確かな証拠となり、そこからのあらゆる情報を無視することができる。
[0040] 逆DNSアドレス・エントリーは、通常のエントリーとは多少異なる方法で構成されており、多くの場合、逆DNSアドレス・エントリーを制御するために、複数のIPアドレスを有さなければならない。場合によっては、逆DNSアドレス・エントリーが空白のままになっていたり、欠落していることもある。IPアドレスは、逆DNS調査コンポーネント410によって分析することができる。これには、アドレスがNULLか否か、またはDSLのような他のストリングを含むか否か単にチェックする以上のことを伴う。むしろ、ヌルおよび/またはヌルでない情報における名称の戻りを取り込み、リアルタイム・データーベースへの入力として使うことができる。
[0041] トレースルート問合432は、2つのIPアドレス間に少なくとも1本のパスを求める。任意の2つのコンピューター間には、インターネットを介して多くの代替パスがあり得るが、トレースルート・パスにおける共通の要因が、メッセージがスパムである可能性を暴露することができる。トレースルートは、発送元が位置する地理的位置を狭めていくことができる。トレースルート動作とは、情報を判定するために追跡パケットを送ることができるツールを指す。特に、このツールは、ローカル・ホストのUDPパケットのリモート・ホストまでのルートを追跡することができる。また、トレースルートは、その宛先コンピューターに到達するまでに通ったルートの時刻および位置を表示することもできる。関連するIPアドレスを判定した後、トレースルートを実行し、発送元の外部サーバーに到達するまでに使われた最後の1つ、2つ、またはそれ以上のルーターを判定することができる。トレースルートによって得られた情報は、スパム・フィルターのようなフィルターを訓練するために使うことができる。
[0042] スパマーは、複数のIPアドレスを取得することによって、IPアドレスを使うスパム・フィルターを騙そうとする場合もある。しかしながら、インターネットへの多数(diverse number)の接続を取得するよりも、多様な範囲のIPアドレスを取得する方が容易である。「トレースルート」情報は、スパマーがインターネットに接続するために使うパスについて学習するために使うことができる。最後および最後から2番目のホップ等を見ることによって、スパムが通っているルートを学習することができる。例えば、多くのスパムが共通のルートを辿ることを発見することができる。
[0043] ルーターは、これらを通過する情報を変更しない。電子メールは、1つのサーバーから他のサーバーに直接移動することもあり得る。メール・サーバーからメール・サーバーに受け渡すとき、サーバーIPアドレスを与えるラインが電子メールに追加されるので、サーバー間の流れは記録されるのが通例である。しかしながら、各メール・サーバーは、この情報を任意の所望の方法で変更することができる。
[0044] URLに、他のサーチから集められた発送元ドメインまたは情報に対して、DNS調査442を実行することができる。スパマーは、複数のホスト名に対して1つのみのDNSサーバーを有することもある。その結果、DNSサーバーの識別がスパム・フィルターにとって貴重なフィーチャとなる場合がある。スパマーが複数のDNSサーバーを有することもあるが、これらはネットワーク上で近隣に存在すると考えられる。したがって、DNS問合と組み合わせてトレースルートを使って、DNSサーバーまでのパスを得ると、貴重な情報を提供することができる。DNSサーバーは、特定の好ましいタイプのものであればよい。DNSサーバーについてのバージョン情報は、貴重な情報となることもある。
[0045] DNSサーバーを使うと、ホスト名をIPアドレスに変換することができる。スパマーによって作成された種々のホストが同じサーバーに存在する場合、これらは同じIPアドレスを有するはずである、または有する可能性がある。したがって、IPアドレスまたはその一部は、スパム・フィルターにとって貴重な情報となる場合がある。IPアドレスには、インターネットを介して連絡しなければならない。IPアドレスに対してトレースルートを実行することによって、複数のIPアドレスが同様に接続されていることを発見することができる。また、信頼できるネーム・サーバーについての問合が、邪悪なサーバーに伴う同様の共通性を暴露することもできる。
[0046] 図4は、図3において、メッセージがスパムを示すか否かを、個々の問合が判定する(ステップ410、418、428、438、448、458)プロセスを示す。ステップ502において、構成要素問合からの問合結果を受け取る。504において、この結果が明らかに特定のメッセージがUBEであることを示すか否かについて、初期判定を行う。例えば、トレースルート問合が、あるメッセージ・パスが既知のUBEメッセージの他のトレースルート問合のそれと性格に一致することを暴露した場合、このメッセージには、確定的にUBEであるという印を付けることができる。問合の結果が、UBEメッセージを明確に示さない場合、506において、このメッセージに伴う潜在的な問題が存在することをなおも示すことができる。例えば、メッセージが明らかにスパムであると定めるためには、ある大多数のメッセージが、所与のメッセージ・パスから受信されることを要件とする場合に、同じ経路によって、それよりも少数のメッセージを受信したときでも、そのメッセージについて疑いが生ずる可能性があり、506において疑いがあった場合、508において組み合わせ問合を選択し、ステップ340に戻ることによって発することができる。他の代替案をあげるとすれば、メッセージが完全なスコアを得ることができる前にはそのメッセージが特定の発送元から決して見られなかった場合、このメッセージには問題の可能性があるフラグを立てるが、このメッセージが初回発送元(first time sender)からであるという事実があれば、他の要因を無効にすることができる。全ての場合において、リアルタイム情報データーベースを510において更新する。
[0047] ステップ340においてどの問合を実行すればよいか決定するための代替案が、少なくとも2つ存在する。1つの代替案では、インバウンド・サーバー220の規模に基づいて、問合を実行することができる。相当多数のインバウンド・サーバーが使われている場合、インバウンド・メッセージには、限定された数の問合を使うとよい。このような環境では、システムが大量のメッセージを処理しなければならない可能性がある。メッセージ受入メッセージを発することに多大な遅延があると、スパマーがインバウンド・メール・サーバーに追加の接続を開こうとさせてしまう可能性がある。したがって、特定の時間期間以内に決定的な応答が受信されない場合、メッセージを受け入れなければならないように、タイムアウトを更に使うとよい。他の実施形態では、インバウンド・サーバーにおいて見られる問題のタイプに基づいて、問合戦略を立てることができる。特定のUBEパターンが他よりも可能性が高いと判定された場合、最も共通して見られる問題に的を絞るように設計されたタイプの問合に、問合を制限するとよい。
[0048] 図5は、UBEキャンペーンの間(単なるメッセージのリアルタイム問合を超える)またはUBEキャンペーンにアドレスする時間期間、ステップ340の問合を実行することができる、本技術の別の独特な態様を示す。場合によっては、スパマーは1群のUBEメッセージまたはUBEキャンペーンを配信するときに独特の時間期間を使う場合もある。このキャンペーンは、インバウンド・サーバーにおいて受信される初期メッセージの期間よりも長く続く可能性がある。ステップ512において、インバウンド・メッセージ・サーバーにおいてある数またはパターンのメッセージを受信したことにより、キャンペーンを判定する。UBEキャンペーンが進行中であると判定するためには、任意の数の方法を使うことができる。加えて、キャンペーンのタイプも判定することができる。例えば、スパマーは、ある時間期間だけアクティブとなるドメインをアドレスするURLが埋め込まれた一連のメッセージを送るかもしれない。一旦スパム・キャンペーンが判定されたなら、受信したメッセージ毎にリアルタイムで問合を実行する代わりに、514において、1つ以上の問合をある時間期間実行することができる。例えば、キャンペーンが終了するまで、または516において問題が示される限り、逆DNS問合をURLにおけるドメインに対して実行することができる。URLまたはドメインは、問合期間のような時間が終了するまで、またはそのドメインがもはやアクティブでないことを問合が示すまで、スパムにリンクされたドメインとして分類することができる。
[0049] 図6を参照すると、本技術を実現するシステム例は、コンピューター660の形態とした汎用計算機を含む。コンピューター660のコンポーネントは、限定ではなく、処理ユニット620、システム・メモリー630、およびシステム・バス626を含むことができる。システム・バス626は、システム・メモリーを含む種々のシステム・コンポーネントを処理ユニット620に結合する。システム・バス626は、メモリー・バスまたはメモリー・コントローラー、周辺バス、および種々のバス・アーキテクチャのうち任意のものを使うローカル・バスを含む、様々なタイプのバス構造のうち任意のものとすることができる。一例として、そして限定ではなく、このようなアーキテクチャは、業界標準アーキテクチャ(ISA)バス、マイクロ・チャネル・アーキテクチャ(MCA)バス、拡張ISA(EISA)バス、ビデオ・エレクトロニクス標準連盟(VESA)ローカル・バス、および メザニン・バス(Mezzanine bus)としても知られている周辺素子相互接続(PCI)バスを含む。
[0050] コンピューター660は、通例、種々のコンピューター読み取り可能媒体を含む。コンピューター読み取り可能媒体は、コンピューター660によってアクセス可能な任意の入手可能な媒体とすることができ、揮発性および不揮発性、リムーバブルおよび非リムーバブル双方の媒体を含む。一例として、そして限定ではなく、コンピューター読み取り可能媒体は、コンピューター記憶媒体および通信媒体を含むことができる。コンピューター記憶媒体は、コンピューター読み取り可能命令、データー構造、プログラム・モジュール、またはその他のデーターというような情報の格納のために、任意の方法または技術で実現される、揮発性および不揮発性の双方、リムーバブル媒体および非リムーバブル媒体を含む。コンピューター記憶媒体は、限定ではなく、RAM、ROM、EEPROM、フラッシュ・メモリーまたはその他のメモリー技術、CD−ROM、ディジタル・バーサタイル・ディスク(DVD)またはその他の光ディスク・ストレージ、磁気カセット、磁気テープ、磁気ディスク・ストレージまたはその他の磁気記憶デバイス、あるいは所望の情報を格納するために使うことができしかもコンピューター660がアクセス可能なその他のあらゆる媒体を含む。通信媒体は、通例、コンピューター読み取り可能命令、データー構造、プログラム・モジュール、またはその他のデーターを、搬送波またはその他の移送機構のような変調データー信号において具体化し、任意の情報配信媒体を含む。一例として、そして限定ではなく、通信媒体は、有線ネットワークまたは直接有線接続というような有線媒体、ならびに音響、RF、赤外線、およびその他のワイヤレス媒体というようなワイヤレス媒体を含む。前述のうち任意のものの組み合わせも、コンピューター読み取り可能媒体の範囲に含まれてしかるべきである。
[0051] システム・メモリー630は、リード・オンリ・メモリー(ROM)636およびランダム・アクセス・メモリー(RAM)632のような揮発性および/または不揮発性メモリーの形態としたコンピューター記憶媒体を含む。基本入出力システム633(BIOS)は、起動中のように、コンピューター660内のエレメント間における情報転送を補助する基本的なルーチンを含み、通例ROM636内に格納されている。RAM632は、通例、処理ユニット620が直ちにアクセス可能であるデーターおよび/またはプログラム・モジュール、あるいは現在処理ユニット620によって処理されているデーターおよび/またはプログラム・モジュールを収容する。一例として、そして限定ではなく、図6は、オペレーティング・システム634、アプリケーション・プログラム635、その他のプログラム・モジュール636、およびプログラム・データー637を示す。
[0052] また、コンピューター660は、その他のリムーバブル/非リムーバブル揮発性/不揮発性コンピューター記憶媒体も含むことができる。一例として示すに過ぎないが、図6は、非リムーバブル不揮発性磁気媒体からの読み取りおよびこれへの書き込みを行なうハード・ディスク・ドライブ640、リムーバブル不揮発性磁気ディスク652からの読み取りおよびこれへの書き込みを行なう磁気ディスク・ドライブ656、ならびにCD ROMまたはその他の光媒体のようなリムーバブル不揮発性光ディスク656からの読み取りおよびこれへの書き込みを行なう光ディスク・ドライブ655を示す。動作環境例において使用可能なその他のリムーバブル/非リムーバブル、揮発性/不揮発性コンピューター記憶媒体には、限定ではないが、磁気テープ・カセット、フラッシュ・メモリー・カード、ディジタル・バーサタイル・ディスク、ディジタル・ビデオ・テープ、ソリッド・ステートRAM、ソリッド・ステートROM等が含まれる。ハード・ディスク・ドライブ646は、通例、インターフェース640のような非リムーバブル・メモリー・インターフェースを介してシステム・バス626に接続され、磁気ディスク・ドライブ656および光ディスク・ドライブ655は、通例、インターフェース650のようなリムーバブル・メモリー・インターフェースによって、システム・バス626に接続する。
[0053] 先に論じ図6に示すドライブおよびそれらと関連したコンピューター記憶媒体は、コンピューター読み取り可能命令、データー構造、プログラム・モジュール、およびその他のデーターをコンピューター660のために格納する。図6では、例えば、ハード・ディスク・ドライブ641は、オペレーティング・システム644、アプリケーション・プログラム645、その他のプログラム・モジュール646、およびプログラム・データー647を格納するように示されている。尚、これらのコンポーネントは、オペレーティング・システム634、アプリケーション・プログラム635、その他のプログラム・モジュール636、およびプログラム・データー637と同じでも異なっていても可能であることを注記しておく。オペレーティング・システム644、アプリケーション・プログラム645、その他のプログラム・モジュール646、およびプログラム・データー647は、ここで、少なくともこれらが異なるコピーであることを示すために、異なる番号が与えられている。ユーザーは、キーボード662のような入力デバイス、および一般にマウス、トラックボールまたはタッチ・パッドと呼ばれているポインティング・デバイス661によって、コマンドおよび情報をコンピューター660に入力することができる。他の入力デバイス(図示せず)には、マイクロフォン、ジョイスティック、ゲーム・パッド、衛星ディッシュ、スキャナー等を含むことができる。これらおよびその他の入力デバイスは、多くの場合、ユーザー入力インターフェース660を介して、処理ユニット620に接続されている。ユーザー入力インターフェース660は、システム・バスに結合されているが、パラレル・ポート、ゲーム・ポート、またはユニバーサル・シリアル・バス(USB)のようなその他のインターフェースおよびバス構造によって接続することも可能である。モニター691またはその他の形式のディスプレイ・デバイスも、ビデオ・インターフェース690のようなインターフェースを介して、システム・バス626に接続されている。モニターに加えて、コンピューターは、スピーカー697およびプリンター696のような、その他の周辺出力装置も含むことができ、これらは出力周辺インターフェース690を介して接続することができる。
[0054] コンピューター660は、リモート・コンピューター680のような1つ以上のリモート・コンピューターへの論理接続を使って、ネットワーク環境において動作することも可能である。リモート・コンピューター680は、パーソナル・コンピューター、サーバー、ルーター、ネットワークPC、ピア・デバイス、またはその他の共通ネットワーク・ノードとすることができ、通例、コンピューター660に関して先に説明したエレメントの多くまたは全てを含むが、図6にはメモリー記憶装置686のみが示されている。図6に示す論理接続は、ローカル・エリア・ネットワーク(LAN)676およびワイド・エリア・ネットワーク(WAN)673を含むが、他のネットワークも含むことができる。このようなネットワーク環境は、事務所、企業規模のコンピューター・ネットワーク、イントラネットおよびインターネットにおいては、一般的である。
[0055] LANネットワーク環境で使う場合、コンピューター660は、ネットワーク・インターフェースまたはアダプター670を介してLAN676に接続される。WANネットワーク環境で使う場合、コンピューター660は、通例、モデム672、またはインターネットのようなWAN673を介して通信を行うその他の手段を含む。モデム672は、内蔵でも外付けでもよく、ユーザー入力インターフェース660またはその他のしかるべきメカニズムを介してシステム・バス626に接続することができる。ネットワーク接続環境では、コンピューター660に関して図示したプログラム・モジュール、またはその一部は、離れたメモリー記憶装置に格納することもできる。一例として、そして限定ではなく、図6は、リモート・アプリケーション・プログラム682がメモリー・デバイス686上に存在するものとして示している。尚、図示のネットワーク接続は一例であり、コンピューター間で通信リンクを作る他の手段も使用可能であることは認められよう。
[0056] 本技術は、複数の他の汎用または特殊目的計算システム環境または構成も使うことができる。使うのに適していると考えられる周知の計算システム、環境、および/または構成の例には、限定ではなく、パーソナル・コンピューター、サーバー・コンピューター、ハンドヘルドまたはラップトップ・デバイス、マルチプロセッサー・システム、マイクロプロセッサー・ベース・システム、セット・トップ・ボックス、プログラマブル消費者電子機器、ネットワークPC、ミニコンピューター、メインフレーム・コンピューター、前述のシステムまたはデバイスの内任意のものを含む分散型計算環境等が含まれる。
[0057] 本技術について、コンピューターによって実行される、プログラム・モジュールのような、コンピューター実行可能命令という一般的なコンテキストで説明することができる。一般に、プログラム・モジュールは、ルーチン、プログラム、オブジェクト、コンポーネント、データー構造等を含み、特定のタスクを実行するか、または特定の抽象的データー・タイプを実現する。また、本技術は、分散型計算環境も使うことができ、この場合、通信ネットワークまたはその他のデーター送信媒体を介してリンクされている、離れた処理デバイスによってタスクが実行される。分散型計算環境では、プログラム・モジュールまたはその他のデーターを、メモリー記憶デバイスを含むローカルおよびリモート双方のコンピューター・ストレージに配置することができる。
[0058] 以上、構造的特徴および/または方法論的動作に特定的な文言で、主題について説明したが、添付した特許請求の範囲において定められている主題は、必ずしも、記載した具体的な特徴や動作には限定されるのではない。むしろ、これらの具体的な特徴や動作は、特許請求する主題を実現する形態例として開示しただけである。
Claims (15)
- 電子メール・システムに送られる不所望の電子メールを管理する方法であって、前記システムが複数のインバウンド・メール・サーバーを含み、前記方法が、
(a)インバウンド・メール伝達エージェントにおいて電子メール・メッセージを受信するステップ(330)と、
(b)前記電子メール・メッセージが不所望の被疑メッセージであることが疑われるか否か判定を行うステップ(338)と、
(c)前記メッセージの1つ以上の特性についての追加情報を求める問合を開始するステップ(340)であって、前記問合が、前記ネットワークに基づく前記特性についての情報を返す、ステップと、
(d)前記物理的特性に関するサーチの少なくとも1つに対する応答を受信するステップと、
(e)前記少なくとも1つのサーチの結果に基づいて、前記メッセージが不所望の大量の電子メールであるか否か判定を行うステップ(342)と、
(f)前記判定するステップに基づいて、前記メッセージに対して処置を講ずるステップ(344、346)と、
を含む、方法。 - 請求項1記載の方法において、前記ステップ(b)が、以前の問合の結果に基づいて、前記メッセージが疑わしいか否か判定を行うステップを含む、方法。
- 請求項1記載の方法において、該方法が、更に、前記ステップ(b)において使うために各問合の結果を格納するステップ(348)を含む、方法。
- 請求項1記載の方法において、前記方法ステップ(e)が、前記判定するステップを実行するために、複数の同時サーチからの更新サーチ結果を使うステップを含む、方法。
- 請求項1記載の方法において、前記ステップ(b)が、
メッセージに対する真のソースIPを判定し、このIPが既知のスパム発送元と関連しているか否か判定を行うステップ(404)と、
メッセージに対するソースIPを判定し、このIPが、既知のスパム発送元と関連したIPのブロックと関連しているか否か判定を行うステップ(404、422、432)と、
前記ソースIPを判定し、このソースIPと関連したドメインの登録者が、既知のスパム発送元と関連しているIPであるか否か判定を行うステップ(412)と、
ドメイン名に対して、前記ドメインの信頼できるネーム・サーバー(ANS)を判定し、ANSが既知のスパマーと関連しているか否か判定を行うステップ(442)と、
発送元と関連したMXレコードを判定し、前記MXレコードにおけるドメインまたはIPアドレスが、既知のスパム発送元と関連しているか否か判定を行うステップと、
電子メール・ソースの既知のIPアドレスと関連したホスト名を判定し、前記ホスト・ネーム・サーバーIPが既知のスパム発送元と関連しているか否か判定を行うステップ(422)と、
発送元ドメインと関連したネーム・サーバーを判定し、前記ネーム・サーバーが既知のスパム発送元と関連しているか否か判定を行うステップ(442)と、
の内少なくとも1つを含む、方法。 - 請求項1記載の方法において、前記開始するステップが、前記メッセージの複数の特性に対して複数の問合(404、412、422、432、442、452)を実行するステップを含む、方法。
- 請求項1記載の方法において、該方法が、前記複数の問合を非同期に実行するステップを含む、方法。
- 請求項1記載の方法であって、更に、前記複数の問合のうち1つに対する回答(410、418、428、438、448、458)を受信し、前記問合の他のものに対する回答を受信する前に、前記回答が、前記メッセージがスパムであるか否かについて決定的であるか否か判定するステップを含む、方法。
- 請求項1記載の方法において、前記ステップ(f)が、
前記メッセージを拒否し、配信メッセージに対する受入メッセージを発しないことを決定するステップ(344)と、
SMTPレベル500エラーを発することにより、前記メッセージを拒否することを決定するステップ(344)と、
前記メッセージを受け入れることを決定し、このメッセージをジャンク・フォルダに導くステップ(346)と、
前記メッセージを受入ることを決定し、自動的に前記メッセージを削除するステップと、
前記メッセージを受け入れることを決定し、前記メッセージに異なる表示を行うステップと、
のうち1つ以上を含む、方法。 - ネットワークを介して受信する電子メール・メッセージに対して、配信メール受入メッセージを発するか否か決定する方法であって、
前記電子メール・メッセージがスパム特性を有するか否か判定するステップ(338)と、
前記メッセージが、以前にスパムであると判定されたメッセージと、ネットワーク・インフラストラクチャ特性を共有するか否か判定を行うために、前記メッセージの1つ以上の構成要素に対して複数の問合を発するステップ(340、404、412、422、432、442、452)と、
前記複数の問合のうち1つ以上に対する回答を受信するステップ(405、413、423、433、443、453)と、
前記メッセージがスパムか否か判定を行うのに前記受信した回答が十分であるか否か判定を行うステップ(406、414、424、434、444、454)と、
前記メッセージがスパムか否か判定を行うのに前記受信した回答が十分である場合、前記回答に基づいて、前記メッセージがスパムであるか否か判定を行い、十分でない場合、1つ以上の追加の回答を待つステップ(410、418、428、438、448、458)と、
前記メッセージがスパムであるか否か判定を行うのに十分な1つ以上の回答に基づいて、配信メッセージ受入メッセージを発する(346)または制止する(344)ステップと、
を含む、方法。 - 請求項10記載の方法において、該方法が、更に、各判定するステップにおいて使うために、問合に対する回答を格納するステップ(348)を含み、発するステップが、以前の問合の結果に基づいて、前記メッセージが疑わしいか否か判定を行うステップを含む、方法。
- 請求項11記載の方法において、発するまたは制止するステップが、前記判定するステップを実行するために複数の同時問合からの更新サーチ結果を使うステップを含む、方法。
- 処理デバイスを含むメッセージング・システムであって、
該メッセージング・システムへの接続を管理するメッセージ伝達エージェント(215)を提供するステップと、
メール構成要素抽出モジュールを含むインバウンド電子メール解析エージェント(225)を提供するステップと、
被疑電子メール判定モジュール(235)を提供するステップと、
を実行するために、前記処理デバイスに命令を与えるコードを含み、
前記被疑電子メール判定モジュールが、
電子メール・メッセージがスパム特性を有するか否か判定を行うステップ(334、338)と、
前記メッセージが、以前にスパムであると判定されたメッセージと特性を共有するか否か、前記メッセージによって共有されるネットワーク・インフラストラクチャ特性に基づいて判定するために、前記メッセージの1つ以上の構成要素に対して複数の問合(340)を発するステップと、
前記複数の問合のうち1つ以上に対する回答を受信するステップと、
前記メッセージがスパムであるかまたはスパムでないか判定を行うのに十分な1つ以上の回答に基づいて、配信メッセージ受入メッセージを発するまたは制止するステップ(346、344)と、
を実行するコードを含む、メッセージング・システム。 - 請求項13記載のシステムにおいて、前記被疑電子メール判定モジュールが、更に、
前記メッセージがスパムであるか否か判定するのに前記受信した回答が十分か否か判定するステップと、
前記メッセージがスパムであるか否か判定するのに前記受信した回答が十分である場合、前記回答に基づいて、前記メッセージがスパムであるか否か判定を行い、十分でない場合、1つ以上の追加の回答を待つステップと、
を実行するコードを含む、システム。 - 請求項13記載のシステムにおいて、複数の問合を発する前記コードが、
メッセージに対する真のソースIP、およびこのIPが既知のスパム発送元と関連しているか否か判定を行うこと(404)、
メッセージに対する前記ソースIP、およびこのIPが、既知のスパム発送元と関連したIPのブロックと関連しているか否か判定を行うこと(404、422、432)、
前記ソースIP、およびこのソースIPと関連したドメインの登録者が、既知のスパム発送元と関連しているIPであるか否か判定を行うこと(412)、
ドメイン名に対して、前記ドメインの信頼できるネーム・サーバー(ANS)を判定し、ANSが既知のスパマーと関連しているか否か判定を行うこと(442)、
発送元と関連したMXレコードを判定し、前記MXレコードにおけるドメインまたはIPアドレスが、既知のスパム発送元と関連しているか否か判定を行うこと、
電子メール・ソースの既知のIPアドレスと関連したホスト名を判定し、前記ホスト・ネーム・サーバーIPが既知のスパム発送元と関連しているか否か判定を行うこと(422)、および
発送元ドメインと関連したネーム・サーバーを判定し、前記ネーム・サーバーが既知のスパム発送元と関連しているか否か判定を行うこと(442)、
のうち少なくとも1つを行うための問合を発することを含む、システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/493,046 | 2009-06-26 | ||
| US12/493,046 US8959157B2 (en) | 2009-06-26 | 2009-06-26 | Real-time spam look-up system |
| PCT/US2010/039190 WO2010151493A2 (en) | 2009-06-26 | 2010-06-18 | Real-time spam look-up system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012531666A true JP2012531666A (ja) | 2012-12-10 |
Family
ID=43381919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012517611A Withdrawn JP2012531666A (ja) | 2009-06-26 | 2010-06-18 | リアルタイム・スパム調査システム |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8959157B2 (ja) |
| EP (1) | EP2446411B1 (ja) |
| JP (1) | JP2012531666A (ja) |
| KR (1) | KR101745624B1 (ja) |
| CN (1) | CN102804213B (ja) |
| AR (1) | AR077019A1 (ja) |
| AU (1) | AU2010263086B2 (ja) |
| BR (1) | BRPI1015421A2 (ja) |
| CA (1) | CA2761970A1 (ja) |
| RU (1) | RU2011152895A (ja) |
| TW (1) | TW201101769A (ja) |
| WO (1) | WO2010151493A2 (ja) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
| US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
| US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
| US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
| US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
| WO2011143542A1 (en) | 2010-05-13 | 2011-11-17 | Ramakant Pandrangi | Systems and methods for identifying malicious domains using internet-wide dns lookup patterns |
| US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
| US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
| US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US8452874B2 (en) * | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
| SE1051394A1 (sv) | 2010-12-30 | 2011-10-13 | Axiomatics Ab | A system and method for evaluating a reverse query |
| US9646164B2 (en) | 2010-12-30 | 2017-05-09 | Aziomatics Ab | System and method for evaluating a reverse query |
| US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
| US8966576B2 (en) | 2012-02-27 | 2015-02-24 | Axiomatics Ab | Provisioning access control using SDDL on the basis of a XACML policy |
| US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
| US10164989B2 (en) * | 2013-03-15 | 2018-12-25 | Nominum, Inc. | Distinguishing human-driven DNS queries from machine-to-machine DNS queries |
| US9634970B2 (en) | 2013-04-30 | 2017-04-25 | Cloudmark, Inc. | Apparatus and method for augmenting a message to facilitate spam identification |
| US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10447631B2 (en) * | 2015-03-06 | 2019-10-15 | Microsoft Technology Licensing, Llc | Enhanced acknowledgment for messages |
| US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
| US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
| US10243957B1 (en) | 2015-08-27 | 2019-03-26 | Amazon Technologies, Inc. | Preventing leakage of cookie data |
| US10135860B2 (en) * | 2015-08-31 | 2018-11-20 | International Business Machines Corporation | Security aware email server |
| US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
| US9954877B2 (en) * | 2015-12-21 | 2018-04-24 | Ebay Inc. | Automatic detection of hidden link mismatches with spoofed metadata |
| US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
| US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
| US10505961B2 (en) | 2016-10-05 | 2019-12-10 | Amazon Technologies, Inc. | Digitally signed network address |
| US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
| CN108259415B (zh) * | 2016-12-28 | 2022-08-26 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
| US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
| US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
| US10812495B2 (en) * | 2017-10-06 | 2020-10-20 | Uvic Industry Partnerships Inc. | Secure personalized trust-based messages classification system and method |
| US10686807B2 (en) | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
| US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
| US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
| US11379577B2 (en) | 2019-09-26 | 2022-07-05 | Microsoft Technology Licensing, Llc | Uniform resource locator security analysis using malice patterns |
| US11509667B2 (en) | 2019-10-19 | 2022-11-22 | Microsoft Technology Licensing, Llc | Predictive internet resource reputation assessment |
| US11431751B2 (en) | 2020-03-31 | 2022-08-30 | Microsoft Technology Licensing, Llc | Live forensic browsing of URLs |
| US11916858B1 (en) * | 2022-09-30 | 2024-02-27 | Sophos Limited | Method and system for outbound spam mitigation |
Family Cites Families (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050081059A1 (en) * | 1997-07-24 | 2005-04-14 | Bandini Jean-Christophe Denis | Method and system for e-mail filtering |
| US6522875B1 (en) * | 1998-11-17 | 2003-02-18 | Eric Morgan Dowling | Geographical web browser, methods, apparatus and systems |
| US6654787B1 (en) * | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
| US7249175B1 (en) * | 1999-11-23 | 2007-07-24 | Escom Corporation | Method and system for blocking e-mail having a nonexistent sender address |
| US6321267B1 (en) * | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
| AUPQ449399A0 (en) * | 1999-12-07 | 2000-01-06 | Automatic Pty Ltd | Internet redirection methods |
| US7707252B1 (en) * | 2000-05-12 | 2010-04-27 | Harris Technology, Llc | Automatic mail rejection feature |
| GB2366706B (en) * | 2000-08-31 | 2004-11-03 | Content Technologies Ltd | Monitoring electronic mail messages digests |
| US20020032727A1 (en) * | 2000-09-08 | 2002-03-14 | International Business Machines Corporation | System and method for enhancing load controlling in a clustered Web site |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US6993574B2 (en) * | 2001-06-19 | 2006-01-31 | Zoetics, Inc. | Web-based communications addressing system and method |
| US20030105712A1 (en) * | 2001-11-30 | 2003-06-05 | Gerhard Bodensohn | Messaging system and method |
| EP1476819B1 (en) * | 2002-02-19 | 2009-04-01 | Postini, Inc. | E-mail management services |
| US20030172291A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
| US7853784B2 (en) * | 2002-05-02 | 2010-12-14 | Tekelec | Filtering and application triggering platform |
| JP2005528052A (ja) * | 2002-05-28 | 2005-09-15 | ティーギュ,アラン,エイチ. | アドレスパターンと自動管理に基づいたメッセージ処理、及びコンタクトエイリアスの制御 |
| US7516182B2 (en) * | 2002-06-18 | 2009-04-07 | Aol Llc | Practical techniques for reducing unsolicited electronic messages by identifying sender's addresses |
| US7293065B2 (en) * | 2002-11-20 | 2007-11-06 | Return Path | Method of electronic message delivery with penalties for unsolicited messages |
| US7206814B2 (en) * | 2003-10-09 | 2007-04-17 | Propel Software Corporation | Method and system for categorizing and processing e-mails |
| JP3663199B2 (ja) * | 2003-05-16 | 2005-06-22 | 三洋電機株式会社 | 迷惑メール自動判定機能を有する通信装置 |
| US7272853B2 (en) * | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
| US20050076110A1 (en) * | 2003-07-11 | 2005-04-07 | Boban Mathew | Generic inbox system and method |
| US7200637B2 (en) * | 2003-07-16 | 2007-04-03 | Thomas John Klos | System for processing electronic mail messages with specially encoded addresses |
| US7610341B2 (en) * | 2003-10-14 | 2009-10-27 | At&T Intellectual Property I, L.P. | Filtered email differentiation |
| US7715059B2 (en) * | 2003-10-22 | 2010-05-11 | International Business Machines Corporation | Facsimile system, method and program product with junk fax disposal |
| US7636716B1 (en) * | 2003-12-03 | 2009-12-22 | Trend Micro Incorporated | Method and architecture for blocking email spams |
| JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
| US20050204159A1 (en) * | 2004-03-09 | 2005-09-15 | International Business Machines Corporation | System, method and computer program to block spam |
| US7783706B1 (en) * | 2004-04-21 | 2010-08-24 | Aristotle.Net, Inc. | Filtering and managing electronic mail |
| US7647321B2 (en) * | 2004-04-26 | 2010-01-12 | Google Inc. | System and method for filtering electronic messages using business heuristics |
| US20060218111A1 (en) * | 2004-05-13 | 2006-09-28 | Cohen Hunter C | Filtered search results |
| CA2508304A1 (en) * | 2004-05-25 | 2005-11-25 | Northseas Advanced Messaging Technology Inc. | Method of and system for management of electronic mail |
| US7870200B2 (en) * | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
| US7849142B2 (en) * | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
| US7748038B2 (en) * | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
| US7664819B2 (en) * | 2004-06-29 | 2010-02-16 | Microsoft Corporation | Incremental anti-spam lookup and update service |
| GB2418330B (en) * | 2004-09-17 | 2006-11-08 | Jeroen Oostendorp | Platform for intelligent Email distribution |
| CN1780266A (zh) * | 2004-11-26 | 2006-05-31 | 郑志文 | 解析邮件行为控制电子邮件的方法 |
| US20060123083A1 (en) * | 2004-12-03 | 2006-06-08 | Xerox Corporation | Adaptive spam message detector |
| US7532890B2 (en) * | 2005-04-01 | 2009-05-12 | Rockliffe Systems | Content-based notification and user-transparent pull operation for simulated push transmission of wireless email |
| US20070041372A1 (en) * | 2005-08-12 | 2007-02-22 | Rao Anup V | Method and system for deterring SPam over Internet Protocol telephony and SPam Instant Messaging |
| US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
| TW200732935A (en) * | 2006-02-24 | 2007-09-01 | Acer Inc | Information acquiring method and hand mobile communication apparatus and computer readable medium using the same |
| EP1999617A2 (en) * | 2006-03-03 | 2008-12-10 | Big Online Ideas LLC | Electronic communication relationship management system and methods for using same |
| US7630727B2 (en) * | 2006-06-29 | 2009-12-08 | Alcatel-Lucent Usa Inc. | MAP message processing for SMS spam filtering |
| US7707222B2 (en) * | 2006-07-06 | 2010-04-27 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for providing access to information systems via e-mail |
| WO2008053426A1 (en) * | 2006-10-31 | 2008-05-08 | International Business Machines Corporation | Identifying unwanted (spam) sms messages |
| US7904958B2 (en) * | 2007-02-27 | 2011-03-08 | Symantec Corporation | Spam honeypot domain identification |
| US20090064329A1 (en) * | 2007-06-25 | 2009-03-05 | Google Inc. | Zero-hour quarantine of suspect electronic messages |
| US7937468B2 (en) * | 2007-07-06 | 2011-05-03 | Yahoo! Inc. | Detecting spam messages using rapid sender reputation feedback analysis |
| US8103727B2 (en) * | 2007-08-30 | 2012-01-24 | Fortinet, Inc. | Use of global intelligence to make local information classification decisions |
| US7769815B2 (en) * | 2008-06-04 | 2010-08-03 | Yahoo! Inc. | System and method for determining that an email message is spam based on a comparison with other potential spam messages |
| US20090307320A1 (en) * | 2008-06-10 | 2009-12-10 | Tal Golan | Electronic mail processing unit including silverlist filtering |
| US8554847B2 (en) * | 2008-07-15 | 2013-10-08 | Yahoo! Inc. | Anti-spam profile clustering based on user behavior |
-
2009
- 2009-06-26 US US12/493,046 patent/US8959157B2/en active Active
-
2010
- 2010-05-25 TW TW099116703A patent/TW201101769A/zh unknown
- 2010-06-08 AR ARP100102009A patent/AR077019A1/es unknown
- 2010-06-18 CN CN201080028270.3A patent/CN102804213B/zh active Active
- 2010-06-18 KR KR1020117030793A patent/KR101745624B1/ko active IP Right Grant
- 2010-06-18 JP JP2012517611A patent/JP2012531666A/ja not_active Withdrawn
- 2010-06-18 WO PCT/US2010/039190 patent/WO2010151493A2/en active Application Filing
- 2010-06-18 EP EP10792546.3A patent/EP2446411B1/en active Active
- 2010-06-18 BR BRPI1015421A patent/BRPI1015421A2/pt not_active Application Discontinuation
- 2010-06-18 AU AU2010263086A patent/AU2010263086B2/en not_active Ceased
- 2010-06-18 CA CA2761970A patent/CA2761970A1/en not_active Abandoned
- 2010-06-18 RU RU2011152895/08A patent/RU2011152895A/ru not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| RU2011152895A (ru) | 2013-06-27 |
| CN102804213A (zh) | 2012-11-28 |
| CA2761970A1 (en) | 2010-12-29 |
| EP2446411A4 (en) | 2017-04-26 |
| TW201101769A (en) | 2011-01-01 |
| AR077019A1 (es) | 2011-07-27 |
| BRPI1015421A2 (pt) | 2016-04-19 |
| EP2446411A2 (en) | 2012-05-02 |
| US8959157B2 (en) | 2015-02-17 |
| KR20120099572A (ko) | 2012-09-11 |
| WO2010151493A2 (en) | 2010-12-29 |
| US20100332601A1 (en) | 2010-12-30 |
| EP2446411B1 (en) | 2019-05-29 |
| AU2010263086B2 (en) | 2014-06-05 |
| CN102804213B (zh) | 2016-05-25 |
| WO2010151493A3 (en) | 2011-03-03 |
| KR101745624B1 (ko) | 2017-06-09 |
| AU2010263086A1 (en) | 2011-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8959157B2 (en) | Real-time spam look-up system | |
| US7962558B2 (en) | Program product and system for performing multiple hierarchical tests to verify identity of sender of an e-mail message and assigning the highest confidence value | |
| US8001598B1 (en) | Use of geo-location data for spam detection | |
| US9501746B2 (en) | Systems and methods for electronic message analysis | |
| EP1877904B1 (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
| US8195753B2 (en) | Honoring user preferences in email systems | |
| US20060004896A1 (en) | Managing unwanted/unsolicited e-mail protection using sender identity | |
| US20060168017A1 (en) | Dynamic spam trap accounts | |
| US20060206938A1 (en) | E-mail management services | |
| US20080133672A1 (en) | Email safety determination | |
| US20080177843A1 (en) | Inferring email action based on user input | |
| US20060265459A1 (en) | Systems and methods for managing the transmission of synchronous electronic messages | |
| US20110252043A1 (en) | Electronic communication control | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| Zhang et al. | A behavior-based detection approach to mass-mailing host | |
| US20220182347A1 (en) | Methods for managing spam communication and devices thereof | |
| JP4403108B2 (ja) | メールサーバ、メール配信制御方法、メール配信制御プログラム | |
| Choi | Transactional behaviour based spam detection | |
| Engelberth et al. | Mail-shake |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20130903 |