JP2018151739A - メール配送装置およびWebプロキシサーバ - Google Patents
メール配送装置およびWebプロキシサーバ Download PDFInfo
- Publication number
- JP2018151739A JP2018151739A JP2017045986A JP2017045986A JP2018151739A JP 2018151739 A JP2018151739 A JP 2018151739A JP 2017045986 A JP2017045986 A JP 2017045986A JP 2017045986 A JP2017045986 A JP 2017045986A JP 2018151739 A JP2018151739 A JP 2018151739A
- Authority
- JP
- Japan
- Prior art keywords
- threat
- url
- processing unit
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】組織内の利用者が多くなると、不正又は脅威メールによる悪影響を防止するために、専用のアプリケーションを利用者毎に導入すること、或いは、Webプロキシサーバによってアクセス制限することは費用、手間がかかる。【解決手段】受信したメールのプロトコル情報を参照して、当該メールのコマンド情報を検査処理することによって、当該メールの脅威の有無を検査処理する検査処理部を備えたメール配送サーバが得られる。【選択図】図1
Description
本発明はメール配送装置及びWebプロキシサーバに関する。
一般に、メール中に悪意のあるサイトへのURL(Uniform Resource Locator)を含めるような攻撃手法は存在している。具体的に説明すると、所謂標的型攻撃と呼ばれる手法を使った脅威が広く存在しており、利用者宛てに有害なURL等を含むメールを送付し、利用者の不注意等でこれらにアクセスすることで侵入を試みるといった攻撃手法が問題とされている。
この場合、アクセス先が有害かどうかを一利用者が判断するのは難しいため、利用者毎に専用のアプリケーションを導入する方法、或いは、Webプロキシサーバを導入する方法による対策が提案されている。
前者の方法では、実際に悪意のあるサイトから受信したデータやプログラムに脅威が存在しないかどうかを専用のアプリケーションを使って、判定・予防している。
一方、後者の方法では、Webプロキシサーバの運用者が個別にアクセス先を制限するように設定を変更するか、或いは、外部のアクセス制限リストを参照することによって、有害メールに対する応答を制限している。
しかしながら、専用のアプリケーションを導入する方法は、導入・運用のための費用・手間が大きい。このことは、組織の規模が大きくなればなるほど、導入に費用が掛かることを意味している。また、適切に検出パターンや検出用エンジンの更新を行うといった運用を徹底する必要があり、一部の利用者において更新ができていないために攻撃を成功させてしまうという問題もあった。
他方、組織内から外部のWebサイトに対するアクセスの際、Webプロキシサーバを使用する方法は、運用者による制限あるいは外部のアクセス制限リストの更新までの時間差が存在するという問題があり、これらの費用、手間、時間差を低減させることが課題であった。
また、特許文献1は、メールを受信した利用者が悪意のあるサイトへアクセスするのを防止する方法を記載している。具体的には、この方法は、受信したメール中のURLを抽出し、予め定められたURL判定条件を用いて当該URLが悪意のあるサイトであるか否かを判定するメールサーバを使用している。当該メールサーバにおけるURL判定条件として、全て1バイト文字で表現されていること、及び全て大文字若しくは小文字で表現されていることが挙げられている。上記2種類の判定条件を満足しない受信メールは誘導URLの可能性ありと判定している。
更に、特許文献1では、誘導URLに関するデータは誘導URLデータベースに登録しておき、Webサーバへのアクセス要求があった場合、プロキシサーバによって誘導URLデータベースを検索し、誘導URLが存在した場合、利用者に誘導URLのドメイン名、IP(Internet Protocol)アドレス等を送信している。したがって、特許文献1では、受信メールの妥当性の判断は利用者に任せている。
特許文献2は、電子メール本文中及び添付ファイル中のURLを抽出しておき、抽出されたすべての当該URLへのアクセスにおいて都度セキュアプロキシサーバを利用して安全性を確認するシステムを開示している。
本発明の課題は、各利用者に専用のアプリケーションを導入する必要がないメール配送装置(サーバ)を提供することである。
本発明の他の課題は、メールの脅威をURLの抽出以外の手法により検出するメール配送サーバ、当該メール配送サーバを含む通信システムを提供することである。
本発明の別の課題は、設定操作の実施やアクセス制限リストの更新を待つことなく効果的に脅威を防ぐことができるWebプロキシサーバを提供することである。
本発明は、脅威を含む可能性のあるURLを含むメール自身を、メール配送装置で検査し、当該検査結果に基づいてURLを抽出し、当該メール配送装置をWebプロキシサーバと連動させることによって、脅威メールによる影響を軽減する。
具体的に説明すると、本発明の一態様によれば、メールを受信して処理するメール受信処理装置と、メールを検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部で受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出するメール配送サーバが得られる。
本発明の別の態様によれば、前記メール検査処理部における検査の結果、前記メールの脅威が検出され、且つ、前記メール中にURLが含まれている場合、前記URLを抽出するメール抽出部を更に備えているメール配送サーバが得られる。前記プロトコル情報はSMTP(Simple Mail Transfer Protocol)プロトコルコマンド情報である。また、前記SMTPプロトコル情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいる。
本発明の更に別の態様によれば、上記したメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URLを参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されている通信システムが得られる。
本発明の別の態様によれば、メールを受信して処理するステップと、メールを検査処理するステップを備え、前記メール検査処理ステップは前記受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出すると共に、前記メールの脅威が検出されると、前記メールのURLを抽出することを特徴とするメール配送方法が得られる。
本発明は、メール配送の過程で行う、SPAM,成りすまし,ウィルス入りなどの不正なメールの検出結果に基づき、そのメール中のURLを抽出して、Webプロキシサーバからアクセス制御対象として参照させる。これによって、組織内から外部へのWebブラウザ等のアクセスを効率的かつ効果的に抑制することで標的型攻撃等の脅威へ対策を実現できる。
また、本発明は、不正メールを一括して管理できるため、組織の規模が大きくなればなる程、即ち、利用者の数が多くなればなる程、経済性において有利である。
図1を参照して、本発明に係るメール配送装置(サーバ)を含む通信システムの概略構成を説明する。図示された通信システムは、会社、自治体等の組織内に設けられた組織内ネットワーク11と、組織外に設けられた組織外ネットワーク、例えば、インターネット12を含んでいる。
・組織内ネットワーク11:
組織内ネットワーク11は組織内の各サーバ間の通信に利用される。ここでは、組織内ネットワーク11から組織外ネットワーク12には特定のサーバや要求元からのみアクセスできるように制御されるものとする。
組織内ネットワーク11は組織内の各サーバ間の通信に利用される。ここでは、組織内ネットワーク11から組織外ネットワーク12には特定のサーバや要求元からのみアクセスできるように制御されるものとする。
・組織外ネットワーク12:
ここでは、組織外ネットワーク12が所謂インターネットの場合について説明するが、本発明は必ずしもインターネットに限定されない。
ここでは、組織外ネットワーク12が所謂インターネットの場合について説明するが、本発明は必ずしもインターネットに限定されない。
図示された組織内ネットワーク11には、本発明に係るメール配送サーバ(装置)111及びWebプロキシサーバ112の他に、メール格納サーバ113、及びメール表示装置114が接続されている。また、メール配送装置(サーバ)111及びWebプロキシサーバ112はデータベースの一部を構成する脅威一覧URL一覧115に結合されている。脅威一覧URL移置115の動作については後述する。
図2を参照すると、図1に示された通信システムのうち、メール配送サーバ111及びWebプロキシサーバ112の構成がより具体的に示されている。メール配送サーバ111は、組織外ネットワーク12から届いたメールを、組織内ネットワーク11経由で受け取る機能と、受け取ったメールの内容の走査とその結果に応じて、メール格納サーバ113に配送する機能、及び、脅威URL一覧115を更新する機能を有している。
メール配送サーバ111の内部は機能的に及び論理的に以下の処理部部分に分けることができるが、機械的に分割されている必要はない。
図示されたメール配送サーバ111はメール受信処理部21、メール検査処理部22、メールURL抽出部23、脅威URL更新処理部24、及びメール格納処理部25を含んでいる。図2において、メール受信処理部21は組織内ネットワーク11及びメール検査処理部22に接続され、また、メール検査処理部22はメールURL抽出部23及びメール格納処理部25に結合されている。更に、メールURL抽出部23は脅威URL更新処理部24に接続されると共に、脅威URL更新処理部24は脅威URL一覧115に結合されている。メール格納処理部25は組織内ネットワーク11を介してメール格納サーバ113に結合されている。
ここで、メール配送サーバ111を構成する各部の機能をより具体的に説明する。
・メール受信処理部21:
メール受信処理部21は、所謂SMTPプロトコル経由でメールを受け取る機能を提供する。受け取ったメールとその時の使ったSMTPプロトコルのコマンド情報(MAIL FROMコマンドやRCPT TOコマンドの内容)は一時的にメール配送サーバ111内に保持され以降の処理で参照される。以下では、プロトコルに関連するコマンド情報を含む情報をプロトコル情報と呼ぶ。
メール受信処理部21は、所謂SMTPプロトコル経由でメールを受け取る機能を提供する。受け取ったメールとその時の使ったSMTPプロトコルのコマンド情報(MAIL FROMコマンドやRCPT TOコマンドの内容)は一時的にメール配送サーバ111内に保持され以降の処理で参照される。以下では、プロトコルに関連するコマンド情報を含む情報をプロトコル情報と呼ぶ。
・メール検査処理部22:
メール検査処理部22はメール受信処理部21で受け取ったメールの内容やSMTPプロトコルのコマンド情報を基にメールが脅威を含むものかどうかを判断する処理部分である。
メール検査処理部22はメール受信処理部21で受け取ったメールの内容やSMTPプロトコルのコマンド情報を基にメールが脅威を含むものかどうかを判断する処理部分である。
例えば、メール検査処理部22はメールの発信者を詐称する成りすましメールかどうかの判断や、メールの内容がSPAMやウィルスを含むものかどうかを判断する。当該メール検査処理部22はメール受信処理部21で受け取ったメールの内容やSMTPプロトコルのコマンド情報を基にメールが脅威を含むものかどうかを判断するコンピュータプログラムによって構成されている。
・メールURL抽出部23:
メールURL抽出部23は、メールの内容を走査し、文中やメールデータ内に含まれるURLを列挙する機能を有する。メールの内容はRFC822等の規約で定められた書式に従っており、メールURL抽出部23は、この書式の解析を行ったうえで、URLの書式を定めたRFC3986等の仕様に基づいた文字列を見つけることで実現する。
メールURL抽出部23は、メールの内容を走査し、文中やメールデータ内に含まれるURLを列挙する機能を有する。メールの内容はRFC822等の規約で定められた書式に従っており、メールURL抽出部23は、この書式の解析を行ったうえで、URLの書式を定めたRFC3986等の仕様に基づいた文字列を見つけることで実現する。
・脅威URL更新処理部24:
脅威URL更新処理部24はメールURL抽出部23における処理で得られたURLを脅威URL一覧115に反映する処理を行う。
脅威URL更新処理部24はメールURL抽出部23における処理で得られたURLを脅威URL一覧115に反映する処理を行う。
・メール格納処理部25:
メール格納処理部25は組織内部宛てのメールを実際に格納するメール格納サーバ113に渡す機能を持つ。
メール格納処理部25は組織内部宛てのメールを実際に格納するメール格納サーバ113に渡す機能を持つ。
次に、メール格納サーバ113、Webプロキシサーバ112、及びメール表示装置114の機能を具体的に説明する。
・メール格納サーバ113:
メール配送サーバ111を経由したメールを所定の利用者毎に格納する機能を持つ。また、メール表示装置114からの要求に応じて格納されているメールの内容や一覧を応答する機能をもつ。
メール配送サーバ111を経由したメールを所定の利用者毎に格納する機能を持つ。また、メール表示装置114からの要求に応じて格納されているメールの内容や一覧を応答する機能をもつ。
・Webプロキシサーバ112:
Webプロキシサーバ112はリクエスト発行部26、リクエスト解析部27、及びリクエスト受信部28を含み、リクエスト受信部28はメール表示装置114に結合されており、且つ、Webプロキシサーバ12内のリクエスト解析部27に結合されている。更に、リクエスト解析部27はリクエスト発行部26に結合され、且つ、脅威URL一覧115にも結合されている。
Webプロキシサーバ112はリクエスト発行部26、リクエスト解析部27、及びリクエスト受信部28を含み、リクエスト受信部28はメール表示装置114に結合されており、且つ、Webプロキシサーバ12内のリクエスト解析部27に結合されている。更に、リクエスト解析部27はリクエスト発行部26に結合され、且つ、脅威URL一覧115にも結合されている。
Webプロキシサーバ112は、組織内ネットワーク11に存在するメール表示装置114やWebブラウザからアクセスされ、要求されたURLの情報を組織外ネットワーク12から取得して、要求元に応答する機能を持つ。Webプロキシサーバ112の内部では以下の処理部分に分かれている。
・リクエスト受信部28:
メール表示装置6やWebブラウザからの要求(所謂、HTTP(Hyper Text Transfer Protocol)やHTTPS(Hyper Text Transfer Protocol Secure)等のプロトコルに沿ったリクエスト)を受け取って、移行の処理に必要なデータを渡す機能を持つ。
メール表示装置6やWebブラウザからの要求(所謂、HTTP(Hyper Text Transfer Protocol)やHTTPS(Hyper Text Transfer Protocol Secure)等のプロトコルに沿ったリクエスト)を受け取って、移行の処理に必要なデータを渡す機能を持つ。
・リクエスト解析部27:
リクエスト解析部27はリクエスト受信部28から要求されたURL文字列を取得し、それが脅威URL一覧115に含まれるかどうかを判断する機能をもつ。脅威URL一覧115に含まれていた場合、リクエスト受信部28から受け取った要求元にエラー応答を返信し、脅威URL一覧115に含まれていない場合、リクエスト発行部26の処理部分で必要なデータを渡す。
リクエスト解析部27はリクエスト受信部28から要求されたURL文字列を取得し、それが脅威URL一覧115に含まれるかどうかを判断する機能をもつ。脅威URL一覧115に含まれていた場合、リクエスト受信部28から受け取った要求元にエラー応答を返信し、脅威URL一覧115に含まれていない場合、リクエスト発行部26の処理部分で必要なデータを渡す。
・リクエスト発行部26:
リクエスト発行部26はリクエスト解析部27から受け取った要求先URLに対して組織内ネットワーク11、インターネット12経由で実際に取得し、同じく受け取った要求元にその内容を応答する機能を持つ。
リクエスト発行部26はリクエスト解析部27から受け取った要求先URLに対して組織内ネットワーク11、インターネット12経由で実際に取得し、同じく受け取った要求元にその内容を応答する機能を持つ。
また、図2に示されたメール表示装置114及び脅威URL一覧115の機能は以下の通りである。
・メール表示装置114:
メール表示装置114はメール格納サーバ113からの情報を取得して、その内容を表示する機能を持つ。また、表示したメールに対する操作者の操作に応じてWebプロキシサーバ112に要求を発行しその内容を表示したり、Webブラウザを起動して同様にWebプロキシサーバ112に要求を発行させる機能を持つ。
メール表示装置114はメール格納サーバ113からの情報を取得して、その内容を表示する機能を持つ。また、表示したメールに対する操作者の操作に応じてWebプロキシサーバ112に要求を発行しその内容を表示したり、Webブラウザを起動して同様にWebプロキシサーバ112に要求を発行させる機能を持つ。
・脅威URL一覧115:
脅威URL一覧115はアクセスすることで攻撃を受けたりする可能性があるURLの一覧情報を格納したデータベース上のテーブルであり、ブラックリストと呼ばれることもある。
脅威URL一覧115はアクセスすることで攻撃を受けたりする可能性があるURLの一覧情報を格納したデータベース上のテーブルであり、ブラックリストと呼ばれることもある。
この実施形態における脅威URL一覧115は、メールURL抽出部23によって生成・更新され、リクエスト解析部27によってその内容が参照される。脅威URL一覧115における実際の格納方式は任意の方式でよく、素朴なテキストファイル方式でも、RDBMS(Relational Data Base Management System)などのデータベースサーバによる方式であっても構わない。
図3および図4を参照して、図1及び2に示された通信システムの動作を説明する。ここでは、組織外ネットワーク12から組織内ネットワーク11内の利用者宛てのメールを受信した場合における動作が説明される。
組織外ネットワーク12から、SPAMメール等、脅威を含むメールを受信した場合、まず、メール配送サーバ111にメールが送付される。このとき、メール配送サーバ111のメール受信処理部21がメール配送サーバ111内部にメールデータを一時的に蓄える(図3、ステップS31)。その後、メール検査処理部22でメールの内容を走査し、このメールにおける脅威検出動作が行われる。(図3、ステップS32)。
脅威検出動作の結果、メールに脅威が存在しないことが判定されると(図3、ステップS33)、当該メールはメール格納処理部24に格納される。
一方、ステップS33において、脅威を含むメールであるとメール検査処理部22で判定された場合、メール配送サーバ111は図3のステップS35の処理を開始する。図3のステップS35の処理は、この実施形態ではメールURL抽出部23によって実行される。
ステップS35の処理では、メール配送サーバ111内に蓄えられているメール内容がRFC822やRFC3986等で定められた書式に従って解析されURLにあたる文字列が抽出される。
抽出された脅威URLは、脅威URL一覧115を管理しているファイルあるいはデータベースに追記される(図3、ステップS36)。このとき、図5のような一覧が追記される。その後、当該メールはメール格納サーバ113に送付される(図3、ステップS34)。
図4は、受信したメール中を参照あるいはメール中のURLで示される情報を参照した場合におけるメール表示装置114(メーラあるいはWebブラウザ)及びWebプロキシサーバ112の動作を示している。ここで、ステップS41、S42、S47は各利用者の使うメーラあるいはWebブラウザでの動作であり、ステップS43〜S46は組織内に設置しているWebプロキシサーバ112の動作である。
前述した図3で説明した動作の結果、メール格納サーバ113に受信したメールが存在し、脅威URL一覧115に図5のような内容が含まれているものとする。この時、利用者がメール表示装置114を使って当該メールを参照し、その内容に含まれるURLをクリックすることで不正なURL(http://bad.url1.example.com)にアクセスして外部情報取得を行ったものとする(図4、ステップS42)。
利用者が外部情報取得動作を行うと、メール表示装置114はWebプロキシサーバ112に対して取得要求を出力する。当該取得要求を受けたWebプロキシサーバ112はリクエスト受信部28の処理部分で要求されたURL情報を抽出し、抽出されたURL情報をリクエスト解析部27に送付する。リクエスト解析部27は脅威URL一覧115の一覧に該当するものがあるかどうか確認する(図4、ステップS43)。
リクエスト解析部27における解析の結果、登録済みの脅威であると判断された場合(図3、ステップS44)、外部情報取得要求に対する応答として、リクエスト解析部27は取得エラーを示す応答を行う(図4、ステップS46)。
その結果、メール表示装置114では、外部情報の表示が行われず、参照できなかった旨を示す結果が表示され(図4、ステップS47)、実際に攻撃を受けることなく処理が完了する。
他方、ステップS44において、リクエスト解析部27で脅威URL一覧115に登録されていない場合、外部情報を取得・応答して(図4、ステップS45)、メール表示装置114に外部情報を表示させる。
上記実施の形態による第一の効果は、メール配送サーバ111におけるメールの脅威検出の結果に基づいたURL抽出により、実際にURLへアクセスすることなく脅威を検出できる。このため、メール表示装置114を使う利用者が攻撃を受ける可能性を下げることができる。
また、第二の効果は、Webプロキシサーバ112の管理者や外部のアクセス制限リストの更新を待つことなく脅威に対するアクセスを予防できるようになる点である。即ち、図3に示すように、受信したメールに脅威が存在すると判断されると(ステップS33)、判断された時点で脅威URL一覧115に当該メールのURLが格納されることになる(図3、ステップS36)。したがって、図4のメール表示装置114で外部情報取得の際(図4、ステップS42)、当該メールのURLは脅威URL一覧115に格納されている。したがって、当該脅威が存在するメールはステップS46において、登録されたURLにより、外部情報の取得エラー応答がされることになる。
次に、図6は、本発明に係る他の実施形態の通信システムである。図6に係る通信システムは図2に示された通信システムに以下の処理部および一覧を追加した構成である。具体的に説明すると、図6に示された通信システムのメール配送サーバ111は、図2に示された脅威URL更新処理部24の代わりに、URL一覧結合・更新部61を備えている点で、図2に示されたメール配送サーバ111と異なっている。また、当該URL一覧結合・更新部61は脅威URL一覧115だけでなく、データベースの一部を構成する手動で管理される脅威URL一覧62にも結合されている。以下、追加された構成について説明する。
・URL一覧結合・更新部61:
URL一覧結合・更新部61は手動で管理される脅威URL一覧62で管理されているURL一覧と、メールURL抽出部23で得られたURL一覧を結合する処理を行い、結合されたURL一覧を生成し、新たに脅威URL一覧115に格納する。
URL一覧結合・更新部61は手動で管理される脅威URL一覧62で管理されているURL一覧と、メールURL抽出部23で得られたURL一覧を結合する処理を行い、結合されたURL一覧を生成し、新たに脅威URL一覧115に格納する。
・手動で管理される脅威URL一覧62:
手動で管理される脅威URL一覧62はURL一覧結合・更新部61で生成された脅威一覧のURLを格納し、リクエスト解析部27で参照される。手動で管理される脅威URL一覧62は脅威としてみなされているURLに加えて、何らかの理由で脅威は存在しないとするURL、所謂ホワイトリストにあたる情報の両方を保持している。
手動で管理される脅威URL一覧62はURL一覧結合・更新部61で生成された脅威一覧のURLを格納し、リクエスト解析部27で参照される。手動で管理される脅威URL一覧62は脅威としてみなされているURLに加えて、何らかの理由で脅威は存在しないとするURL、所謂ホワイトリストにあたる情報の両方を保持している。
次に、図7を参照して、図6に示された通信システムの動作が説明される。
図3のステップS36(脅威URLの追加)にあたる部分の動作が図7のステップS36’(脅威URLの結合)の処理に変更されている点が異なっている。
図7のステップS36’(脅威URLの結合)では、図6の手動で管理される脅威URL一覧62に記載されている一覧に加えて、図7のステップS5(脅威URLの抽出)で抽出されたURL)を含めるようにする。この時、図6に示された(手動で管理される脅威URL一覧62には脅威が存在しないとするURLでありながら、図7のステップS5(脅威URLの抽出)で同じURLが検出された場合、当該URLは脅威であるとみなして、一覧が再構成される。
先の実施形態で得られる効果に加えて、図7に示された実施形態では、運用者が別途まとめたブラックリストおよびホワイトリスト一覧との併用による効果的なアクセス防止を実現できる。
上記の実施の形態の一部又は全部は、以下の付記のようにも記載され得るが以下には限られない。
[付記1]
メールを受信して処理するメール受信処理装置と、メールを検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部で受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出することを特徴とするメール配送サーバ。
メールを受信して処理するメール受信処理装置と、メールを検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部で受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出することを特徴とするメール配送サーバ。
[付記2]
前記メール検査処理部における検査の結果、前記メールの脅威が検出され、且つ、前記メール中にURLが含まれている場合、前記URLを抽出するメール抽出部を更に備えていることを特徴とする付記1記載のメール配送サーバ。
前記メール検査処理部における検査の結果、前記メールの脅威が検出され、且つ、前記メール中にURLが含まれている場合、前記URLを抽出するメール抽出部を更に備えていることを特徴とする付記1記載のメール配送サーバ。
[付記3]
前記プロトコル情報はSMTPプロトコルコマンド情報であることを特徴とする付記1又は2記載のメール配送サーバ。
前記プロトコル情報はSMTPプロトコルコマンド情報であることを特徴とする付記1又は2記載のメール配送サーバ。
[付記4]
前記SMTPプロトコルコマンド情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいることを特徴とする付記3に記載のメール配送サーバ。
前記SMTPプロトコルコマンド情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいることを特徴とする付記3に記載のメール配送サーバ。
[付記5]
付記2〜4の何れか一項に記載のメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URLを参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されていることを特徴とする通信システム。
付記2〜4の何れか一項に記載のメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URLを参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されていることを特徴とする通信システム。
[付記6]
前記組織内ネットワークは組織外ネットワークに接続されていることを特徴とする付記5記載の通信システム。
前記組織内ネットワークは組織外ネットワークに接続されていることを特徴とする付記5記載の通信システム。
[付記7]
前記メール中に含まれる脅威URLがアクセスされると、前記Webプロキシサーバは前記脅威URL一覧にアクセスして、当該脅威URLであることを検出して、取得エラーであることを表示するメール表示装置を有することを特徴とする付記5又は6記載の通信システム。
前記メール中に含まれる脅威URLがアクセスされると、前記Webプロキシサーバは前記脅威URL一覧にアクセスして、当該脅威URLであることを検出して、取得エラーであることを表示するメール表示装置を有することを特徴とする付記5又は6記載の通信システム。
[付記8]
前記メール表示装置には、前記脅威URLに対する外部取得情報が表示されないことを特徴とする付記7記載の通信システム。
前記メール表示装置には、前記脅威URLに対する外部取得情報が表示されないことを特徴とする付記7記載の通信システム。
[付記9]
前記脅威URL一覧と共に、手動で管理される脅威URL一覧を備えていることを特徴とする付記5〜8のいずれか一項に記載の通信システム。
前記脅威URL一覧と共に、手動で管理される脅威URL一覧を備えていることを特徴とする付記5〜8のいずれか一項に記載の通信システム。
[付記10]
メール配送サーバで実行されるメール配送方法であって、前記メール配送サーバはメールを受信して処理するステップと、メールを検査処理するステップを備え、前記メール検査処理ステップは前記受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出すると共に、前記メールの脅威が検出されると、前記メールのURLを抽出することを特徴とするメール配送方法。
メール配送サーバで実行されるメール配送方法であって、前記メール配送サーバはメールを受信して処理するステップと、メールを検査処理するステップを備え、前記メール検査処理ステップは前記受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出すると共に、前記メールの脅威が検出されると、前記メールのURLを抽出することを特徴とするメール配送方法。
[付記11]
前記メール検査処理ステップ検査の結果、前記メールの脅威が検出され、且つ、前記メール中にURLが含まれている場合、前記URLを抽出することを特徴とする付記10記載のメール配送方法。
前記メール検査処理ステップ検査の結果、前記メールの脅威が検出され、且つ、前記メール中にURLが含まれている場合、前記URLを抽出することを特徴とする付記10記載のメール配送方法。
[付記12]
前記プロトコル情報はSMTPプロトコルコマンド情報であり、前記SMTPプロトコル情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいることを特徴とする付記11に記載のメール配送方法。
前記プロトコル情報はSMTPプロトコルコマンド情報であり、前記SMTPプロトコル情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいることを特徴とする付記11に記載のメール配送方法。
[付記13]
メールを受信して処理するメール受信処理装置と、メールを検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部で受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出するメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URLを参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されていることを特徴とする通信システム。
メールを受信して処理するメール受信処理装置と、メールを検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部で受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出するメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URLを参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されていることを特徴とする通信システム。
[付記14]
コンピュータに、メールを受信して処理し、処理されたメールのURLを抽出する前に、前記メールのプロトコル情報を検査して、当該メールの脅威の有無を検出する処理を実行させるコンピュータプログラム。
コンピュータに、メールを受信して処理し、処理されたメールのURLを抽出する前に、前記メールのプロトコル情報を検査して、当該メールの脅威の有無を検出する処理を実行させるコンピュータプログラム。
本発明は、大規模な組織における、より安全なメール配送および参照装置の実現に適用できる。また、所謂電子メール以外のコミュニケーション装置(メッセージングサービス)に対しても、メッセージあるいはメッセージの発信元等から脅威を含むかどうか判断できる場合に、同様の効果を得る装置として適用できる。
11 組織内ネットワーク
12 組織外ネットワーク
111 ネール配送サーバ
112 Webプロキシサーバ
113 メール格納サーバ
114 メール表示装置
21 メール受信処理部
22 メール検査処理部
23 メールURL抽出部
24 脅威URL更新処理部
25 メール格納処理部
26 リクエスト発行部
27 リクエスト解析部
28 リクエスト受信部
61 URL一覧結合・更新部
62 手動で管理される脅威URL一覧
12 組織外ネットワーク
111 ネール配送サーバ
112 Webプロキシサーバ
113 メール格納サーバ
114 メール表示装置
21 メール受信処理部
22 メール検査処理部
23 メールURL抽出部
24 脅威URL更新処理部
25 メール格納処理部
26 リクエスト発行部
27 リクエスト解析部
28 リクエスト受信部
61 URL一覧結合・更新部
62 手動で管理される脅威URL一覧
具体的に説明すると、本発明の一態様によれば、メールを受信し、当該メールの内容と前記メールのコマンド情報を保持するメール受信処理装部と、前記メールの内容及び前記メールのコマンド情報を検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部により保持された前記メールの内容及び前記メールのコマンド情報を検査して、当該メールの脅威の有無を検出するメール配送サーバが得られる。
本発明の別の態様によれば、前記メール検査処理部における検査の結果、前記メールの脅威が検出され、且つ、前記メールの内容中にURLが含まれている場合、前記URLを抽出するメール抽出部を更に備えているメール配送サーバが得られる。前記コマンド情報はSMTP(Simple Mail Transfer Protocol)プロトコルコマンド情報である。また、前記SMTPプロトコルコマンド情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいる。
本発明の更に別の態様によれば、上記したメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URL一覧を参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されている通信システムが得られる。
本発明の別の態様によれば、メールを受信し、当該メールの内容と前記メールのコマンド情報を保持する処理を行う受信処理ステップと、前記メールの内容及び前記メールのコマンド情報を検査処理するメール検査処理ステップを備え、前記メール検査処理ステップは前記受信処理ステップにおいて保持された前記メールのコマンド情報を検査して、当該メールの脅威の有無を検出すると共に、前記メールの脅威が検出されると、前記メールの内容中のURLを抽出することを特徴とするメール配送方法が得られる。
Claims (10)
- メールを受信して処理するメール受信処理装置と、メールを検査処理するメール検査処理部とを備え、前記メール検査処理部は前記メール受信処理部で受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出することを特徴とするメール配送サーバ。
- 前記メール検査処理部における検査の結果、前記メールの脅威が検出され、且つ、前記メール中にURLが含まれている場合、前記URLを抽出するメール抽出部を更に備えていることを特徴とする請求項1記載のメール配送サーバ。
- 前記プロトコル情報はSMTPプロトコルコマンド情報であり、前記SMTPプロトコル情報はMAIL FROMコマンド及びRCPT TOコマンドを含んでいることを特徴とする特徴とする請求項1又は2記載のメール配送サーバ。
- 請求項2又は3に記載のメール配送サーバと、前記メールの脅威が検出され、且つ、当該メールに前記URLが含まれている場合、前記メールに含まれる前記URLを格納する脅威URL一覧と、前記脅威URLを参照するWebプロキシサーバを含み、前記メール配送サーバ及び前記Webプロキシサーバは組織内ネットワークに接続されていることを特徴とする通信システム。
- 前記組織内ネットワークは組織外ネットワークに接続されていることを特徴とする請求項4記載の通信システム。
- 前記メール中に含まれる脅威URLがアクセスされると、前記Webプロキシサーバは前記脅威URL一覧にアクセスして、当該脅威URLであることを検出して、取得エラーであることを表示するメール表示装置を有することを特徴とする請求項4又は5記載の通信システム。
- 前記メール表示装置には、前記脅威URLに対する外部取得情報が表示されないことを特徴とする請求項6記載の通信システム。
- 前記脅威URL一覧と共に、手動で管理される脅威URL一覧を備えていることを特徴とする請求項4〜7のいずれか一項に記載の通信システム。
- メール配送サーバで実行されるメール配送方法であって、前記メール配送サーバはメールを受信して処理するステップと、メールを検査処理するステップを備え、前記メール検査処理ステップは前記受信処理されたメールのプロトコル情報を検査して、当該メールの脅威の有無を検出すると共に、前記メールの脅威が検出されると、前記メールのURLを抽出することを特徴とするメール配送方法。
- コンピュータに、メールを受信して処理し、処理されたメールのURLを抽出する前に、前記メールのプロトコル情報を検査して、当該メールの脅威の有無を検出する処理を実行させるコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017045986A JP6418422B2 (ja) | 2017-03-10 | 2017-03-10 | メール配送装置およびWebプロキシサーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017045986A JP6418422B2 (ja) | 2017-03-10 | 2017-03-10 | メール配送装置およびWebプロキシサーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018151739A true JP2018151739A (ja) | 2018-09-27 |
| JP6418422B2 JP6418422B2 (ja) | 2018-11-07 |
Family
ID=63681688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017045986A Active JP6418422B2 (ja) | 2017-03-10 | 2017-03-10 | メール配送装置およびWebプロキシサーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6418422B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448723A (zh) * | 2022-03-16 | 2022-05-06 | 成都思鸿维科技有限责任公司 | 网络访问方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006065655A (ja) * | 2004-08-27 | 2006-03-09 | Digital Trust:Kk | スパムメール判定システムおよびその方法 |
| JP2011034417A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 迷惑メール判定装置及び迷惑メール判定方法及び迷惑メール判定プログラム |
| US20110258272A1 (en) * | 2008-07-03 | 2011-10-20 | Barracuda Networks Inc. | Facilitating transmission of an email of a well behaved sender by extracting email parameters and querying a database |
| JP2016139935A (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP2016148967A (ja) * | 2015-02-12 | 2016-08-18 | 富士通株式会社 | 情報処理装置、情報処理方法及びプログラム |
-
2017
- 2017-03-10 JP JP2017045986A patent/JP6418422B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006065655A (ja) * | 2004-08-27 | 2006-03-09 | Digital Trust:Kk | スパムメール判定システムおよびその方法 |
| US20110258272A1 (en) * | 2008-07-03 | 2011-10-20 | Barracuda Networks Inc. | Facilitating transmission of an email of a well behaved sender by extracting email parameters and querying a database |
| JP2011034417A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 迷惑メール判定装置及び迷惑メール判定方法及び迷惑メール判定プログラム |
| JP2016139935A (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP2016148967A (ja) * | 2015-02-12 | 2016-08-18 | 富士通株式会社 | 情報処理装置、情報処理方法及びプログラム |
Non-Patent Citations (1)
| Title |
|---|
| 広瀬 雄二: "ネットワークトラブル119番", UNIX USER 第13巻 第11号, vol. 第13巻, JPN6018019466, 1 November 2004 (2004-11-01), JP, pages 44 - 55, ISSN: 0003805099 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448723A (zh) * | 2022-03-16 | 2022-05-06 | 成都思鸿维科技有限责任公司 | 网络访问方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6418422B2 (ja) | 2018-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11019094B2 (en) | Methods and systems for malicious message detection and processing | |
| US10243991B2 (en) | Methods and systems for generating dashboards for displaying threat insight information | |
| US7668921B2 (en) | Method and system for phishing detection | |
| KR102130122B1 (ko) | 온라인 사기를 검출하기 위한 시스템 및 방법 | |
| EP2859495B1 (en) | Malicious message detection and processing | |
| US20130263263A1 (en) | Web element spoofing prevention system and method | |
| US20060168066A1 (en) | Email anti-phishing inspector | |
| US8141150B1 (en) | Method and apparatus for automatic identification of phishing sites from low-level network traffic | |
| US20120227110A1 (en) | Network browser system, method, and computer program product for scanning data for unwanted content and associated unwanted sites | |
| JP4781922B2 (ja) | リンク情報検証方法、システム、装置、およびプログラム | |
| US20210006592A1 (en) | Phishing Detection based on Interaction with End User | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| JP6418422B2 (ja) | メール配送装置およびWebプロキシサーバ | |
| JP2007156690A (ja) | フィッシング詐欺対策方法、端末、サーバ及びプログラム | |
| US11582250B2 (en) | Scanning of content in weblink | |
| JP6721874B2 (ja) | 通信システム、通信方法及びプログラム | |
| CN113965349B (zh) | 具有安全检测功能的网络安全防护系统及方法 | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| JP2020162158A (ja) | 通信システム、通信方法及びプログラム | |
| JP6418423B2 (ja) | 通信システム、通信方法及びプログラム | |
| JP2009110423A (ja) | 情報処理装置、プログラム及び、アドレス流出Webサイト識別方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180726 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180912 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180925 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6418422 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |