JP6266487B2 - メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム - Google Patents
メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP6266487B2 JP6266487B2 JP2014202028A JP2014202028A JP6266487B2 JP 6266487 B2 JP6266487 B2 JP 6266487B2 JP 2014202028 A JP2014202028 A JP 2014202028A JP 2014202028 A JP2014202028 A JP 2014202028A JP 6266487 B2 JP6266487 B2 JP 6266487B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- mail information
- address
- list creation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
(2)本発明の一態様は、上記(1)のメール情報抽出装置において、前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、メール情報抽出装置である。
(3)本発明の一態様は、上記(1)のメール情報抽出装置において、前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、メール情報抽出装置である。
(5)本発明の一態様は、上記(4)のメール判定リスト作成装置において、前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、メール判定リスト作成装置である。
(6)本発明の一態様は、上記(4)のメール判定リスト作成装置において、前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、メール判定リスト作成装置である。
(7)本発明の一態様は、上記(4)から(6)のいずれかのメール判定リスト作成装置において、前記リスト作成部は、前記特定情報抽出部により抽出された前記第1のメール情報のリストを作成するメール判定リスト作成装置である。
(8)本発明の一態様は、上記(5)のメール判定リスト作成装置において、前記メール情報抽出部により抽出されたメール情報である各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、前記特定情報抽出部により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出するメールアドレスドメイン抽出部と、前記メールアドレスドメイン抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(9)本発明の一態様は、上記(6)のメール判定リスト作成装置において、前記特定情報抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(11)本発明の一態様は、メール判定リスト作成装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、前記メール判定リスト作成装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、前記メール判定リスト作成装置が、前記特定情報抽出ステップにより抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成ステップと、を含むメール判定リスト作成方法である。
(13)本発明の一態様は、コンピュータに、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、前記特定情報抽出機能により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成機能と、を実現させるためのコンピュータプログラムである。
図1は、本発明の一実施形態に係るメール判定リスト作成装置1の構成を示すブロック図である。図1において、メール判定リスト作成装置1は、メール送信元情報抽出部10とメールアドレスドメイン抽出部21とSPFレコード取得部22とリスト作成部23とを備える。メール送信元情報抽出部10は、メール情報抽出部11と送信元IPアドレス抽出部12とを備える。
Received: from xxx.example.com (yyy.example.com [X.X.X.X]) by exampleXXX.com (Postfix) with・・・(以下省略)
このReceivedヘッダにおいて、「xxx.example.com」はメール送信元サーバが名乗るホスト名(メール送信元ホスト名)であるheloホスト名である。また、「X.X.X.X」はメール送信元サーバのIPアドレス(メール送信元IPアドレス)である。また、「yyy.example.com」はメール送信元IPアドレスの逆引きホスト名である。
送信元メールアドレスは、Fromヘッダ、Return-Pathヘッダ、またはRecent-Fromヘッダに含まれている。以下に、Return-Pathヘッダの例を示す。
Return-path: <test@example.co.jp>
このReturn-Pathヘッダにおいて、「test@example.co.jp」が送信元メールアドレスである。
上述したステップS2によって、メールデータから、メール毎に、メール送信元ホスト名とメール送信元IPアドレスと送信元メールアドレスが抽出される。
(事象A)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「a.example.com」
(事象B)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「b.example.com」
とする。この例1において、事象Aのheloホスト名(FQDN)はホスト名「a」とドメイン名「example.com」から構成されており、事象Bのheloホスト名(FQDN)はホスト名「b」とドメイン名「example.com」から構成されている。この場合、事象A,Bの各heloホスト名において、ホスト名は異なっているが、ドメイン名は両方とも「example.com」で同一である。このため、この例1では、事象A,Bにおいてheloホスト名が異なるとはしない。よって、該例1では、事象A,Bにおいて、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名とはなっていない。
(事象C)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「a.example.com」
(事象D)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「b.example.co.jp」
とする。この例2において、事象Cのheloホスト名(FQDN)はホスト名「a」とドメイン名「example.com」から構成されており、事象Dのheloホスト名(FQDN)はホスト名「b」とドメイン名「example.co.jp」から構成されている。この場合、事象C,Dの各heloホスト名において、ドメイン名が異なっている。このため、この例2では、事象C,Dにおいてheloホスト名が異なる。よって、該例2では、事象C,Dにおいて、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名となっている。なお、例2では、事象C,Dの各heloホスト名において、ホスト名も異なっているが、仮に同一ホスト名であっても、ドメイン名が異なっているので、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名となっている。
上述したステップS4によって、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレス毎に、メールアドレスドメインが抽出される。
図3は、本実施形態に係るメール判定リスト作成方法の例1の手順を示すフローチャートである。以下、図3を参照して、図2のステップS6に係るメール判定リスト作成方法の例1を説明する。
リスト作成部23は、所定の個数(m個とする)以上の要素を有するルール候補だけを残し、それ以外のルール候補を削除する。これは、ルールに含まれる要素の数が少ないと、非迷惑メールを迷惑メールであると誤判定してしまうことを誘発する可能性があることによる。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の要素数は2であり、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の要素数は4である。したがって、例えば、mが2であるとすると、第1ルール候補及び第2ルール候補の両方ともに、ルール候補として残る。mの値は、予め、経験値等によって設定しておく。例えば、mの値(つまり、ルールに含まれる要素の数)を変えながら該ルールを用いた迷惑メール判別を試験し、この試験結果から妥当なmの値を決めることが挙げられる。
リスト作成部23は、ルール候補それぞれについて、各メールアドレスドメインのSPFレコードに出現するかを調べる。そして、リスト作成部23は、その調査の結果である出現回数が所定の回数(n回)以上であるルール候補だけを残し、それ以外のルール候補を削除する。これは、より多くのメールアドレスドメインに該当するルールを抽出することによって、ルールの効率向上を図ることができることによる。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の出現回数はメールアドレスドメイン「example.com」、「example.com2」及び「example.com3」の3回であり、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の出現回数はメールアドレスドメイン「example.com」及び「example.com3」の2回である。したがって、例えば、nが2であるとすると、第1ルール候補及び第2ルール候補の両方ともに、ルール候補として残る。nの値は、予め、経験値等によって設定しておく。例えば、nの値(つまり、ルールの出現回数)を変えながら該ルールを用いた迷惑メール判別を試験し、この試験結果から妥当なnの値を決めることが挙げられる。
リスト作成部23は、異なるルール候補の間で該ルール候補に含まれる要素を比較し、他のルール候補を包含するルール候補を削除する。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の全ての要素が、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」に含まれている。したがって、第2ルール候補は第1ルール候補を包含するので、該第2ルール候補を削除する。
図7は、本実施形態に係るメール判定リスト作成方法の例2の手順を示すフローチャートである。図8は、SPFレコード取得部22により取得されたSPFレコード100の例を示す図である。図9は、本実施形態に係るメール判定リスト作成方法の例2を説明するための図である。以下、図7、図8、図9を参照して、図2のステップS6に係るメール判定リスト作成方法の例2を説明する。
次に、本発明に係る他の実施形態を説明する。図10は、本発明の他の実施形態に係るメール判定リスト作成装置1の構成を示すブロック図である。この図10において図1の各部に対応する部分には同一の符号を付している。図10に示されるメール判定リスト作成装置1において、メール送信元情報抽出部10は、図1の送信元IPアドレス抽出部12の代わりにメールアドレスドメイン抽出部31を備える。図10に示されるメール判定リスト作成装置1は、図1のメールアドレスドメイン抽出部21を有さない。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (13)
- 過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出部と、
前記メール情報抽出部により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出部と、
を備えるメール情報抽出装置。 - 前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、
請求項1に記載のメール情報抽出装置。 - 前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、
請求項1に記載のメール情報抽出装置。 - 過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出部と、
前記メール情報抽出部により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出部と、
前記特定情報抽出部により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成部と、
を備えるメール判定リスト作成装置。 - 前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、
請求項4に記載のメール判定リスト作成装置。 - 前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、
請求項4に記載のメール判定リスト作成装置。 - 前記リスト作成部は、前記特定情報抽出部により抽出された前記第1のメール情報のリストを作成する請求項4から6のいずれか1項に記載のメール判定リスト作成装置。
- 前記メール情報抽出部により抽出されたメール情報である各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、前記特定情報抽出部により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出するメールアドレスドメイン抽出部と、
前記メールアドレスドメイン抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、
前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、
を備える請求項5に記載のメール判定リスト作成装置。 - 前記特定情報抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、
前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、
を備える請求項6に記載のメール判定リスト作成装置。 - メール情報抽出装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、
前記メール情報抽出装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、
を含むメール情報抽出方法。 - メール判定リスト作成装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、
前記メール判定リスト作成装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、
前記メール判定リスト作成装置が、前記特定情報抽出ステップにより抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成ステップと、
を含むメール判定リスト作成方法。 - コンピュータに、
過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、
前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、
を実現させるためのコンピュータプログラム。 - コンピュータに、
過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、
前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、
前記特定情報抽出機能により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014202028A JP6266487B2 (ja) | 2014-09-30 | 2014-09-30 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014202028A JP6266487B2 (ja) | 2014-09-30 | 2014-09-30 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016071728A JP2016071728A (ja) | 2016-05-09 |
JP6266487B2 true JP6266487B2 (ja) | 2018-01-24 |
Family
ID=55864742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014202028A Active JP6266487B2 (ja) | 2014-09-30 | 2014-09-30 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6266487B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6669954B2 (ja) * | 2018-08-14 | 2020-03-18 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
JP7453886B2 (ja) | 2020-09-15 | 2024-03-21 | Kddi株式会社 | 検知装置、検知方法及び検知プログラム |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7219131B2 (en) * | 2003-01-16 | 2007-05-15 | Ironport Systems, Inc. | Electronic message delivery using an alternate source approach |
JP5366504B2 (ja) * | 2008-11-05 | 2013-12-11 | Kddi株式会社 | メール受信サーバ、スパムメールの受信拒否方法およびプログラム |
JP5366204B2 (ja) * | 2009-07-17 | 2013-12-11 | 国立大学法人 和歌山大学 | メールフィルタリングシステム、そのコンピュータプログラム、情報生成方法 |
JP2011034417A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 迷惑メール判定装置及び迷惑メール判定方法及び迷惑メール判定プログラム |
JP6053421B2 (ja) * | 2012-09-21 | 2016-12-27 | Kddi株式会社 | スパムメール検知装置、方法及びプログラム |
JP6039378B2 (ja) * | 2012-11-20 | 2016-12-07 | エヌ・ティ・ティ・ソフトウェア株式会社 | 不正メール判定装置、不正メール判定方法、及びプログラム |
-
2014
- 2014-09-30 JP JP2014202028A patent/JP6266487B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016071728A (ja) | 2016-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9635042B2 (en) | Risk ranking referential links in electronic messages | |
JP4672285B2 (ja) | スパム防止のための送信元および宛先の特徴およびリスト | |
US7962558B2 (en) | Program product and system for performing multiple hierarchical tests to verify identity of sender of an e-mail message and assigning the highest confidence value | |
JP5311544B2 (ja) | メッセージの予測フィルターを生成する方法及び装置 | |
US8204948B2 (en) | Querying a database and receiving replies in IPv6 format by utilizing well known port 53 | |
US7516184B2 (en) | Method and system for a method for evaluating a message based in part on a registrar reputation | |
US20060004896A1 (en) | Managing unwanted/unsolicited e-mail protection using sender identity | |
US20060168017A1 (en) | Dynamic spam trap accounts | |
JP2008547067A (ja) | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 | |
US8312119B2 (en) | IP block activity feedback system | |
Liu et al. | Who's got your mail? characterizing mail service provider usage | |
JP6266487B2 (ja) | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム | |
JP5668034B2 (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
JP2008250597A (ja) | コンピュータシステム | |
JP6262093B2 (ja) | リスト作成装置、リスト作成方法及びコンピュータプログラム | |
JP5846590B2 (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
JP6329458B2 (ja) | メール判定装置、メール判定方法及びコンピュータプログラム | |
JP5843653B2 (ja) | 詐称メール処理装置、詐称メール処理方法、及びプログラム | |
JP2022048599A (ja) | 検知装置、検知方法及び検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171212 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6266487 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |