JP6266487B2 - メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム - Google Patents
メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP6266487B2 JP6266487B2 JP2014202028A JP2014202028A JP6266487B2 JP 6266487 B2 JP6266487 B2 JP 6266487B2 JP 2014202028 A JP2014202028 A JP 2014202028A JP 2014202028 A JP2014202028 A JP 2014202028A JP 6266487 B2 JP6266487 B2 JP 6266487B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- mail information
- address
- list creation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラムに関する。
従来、インターネット(Internet)を介してやり取りされる電子メール(以下、単にメールと称する)の送信者を偽称して送信される迷惑メールを判別する技術として、SPF(Sender Policy Framework)方式が知られている(例えば、非特許文献1参照)。SPF方式では、受信メールのメール送信元ドメインのDNS(Domain Name System)サーバに予め登録された送信者認証情報(SPFレコード)に基づいて、当該受信メールの送信者認証を行う。具体的には、受信メールのメール送信元ドメインのDNSサーバに登録されている送信者認証情報に、当該受信メールが有する送信者情報が含まれている場合には当該受信メールの送信者認証が成功であると判定し、当該受信メールが有する送信者情報が含まれていない場合には当該受信メールの送信者認証が失敗であると判定する。
"Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail"、[online]、[平成26年9月9日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc4408.txt>
上述した従来のSPF方式では、迷惑メール送信者が送信者ドメインを既存の正規なドメインに偽装して迷惑メールを送信することは防止できる。しかし、迷惑メール送信者が、独自のドメインを自ら取得し、該取得した独自のドメインの送信者認証情報に自身のメール送信サーバのアドレス等を登録して迷惑メールを送信した場合には、従来のSPF方式では、送信者認証が成功するため、そのような迷惑メールを検知できない。これに対処するために、本発明者は、特許文献1において、受信メールのメール送信元ドメインのDNSサーバに登録されている送信者認証情報の包括的な特徴を利用して当該受信メールの送信者認証を行う従来技術(ここでは、迷惑メール判別方式Aと称する)を提案した。具体的には、該包括的な特徴に基づいて、受信メールの迷惑メール判別に使用されるホワイトリストやブラックリストを作成している。
しかしながら、その迷惑メール判別方式Aでは、DNSサーバに登録されている送信者認証情報の包括的な特徴が変わることでホワイトリストやブラックリストが更新されるが、これが弱点となり得る。例えば、実際のメール送信に使用される送信者情報(例えば、メール送信端末のIP(Internet Protocol)アドレス)とは無関係な送信者認証情報が、DNSサーバに既に登録されている送信者認証情報に追加されたとする。すると、該DNSサーバに登録されている送信者認証情報の包括的な特徴が変わるが、この特徴の変化に基づいてホワイトリストやブラックリストが変更されると、変更後のホワイトリストやブラックリストには、実際のメール送信に使用される送信者情報とは無関係な送信者認証情報の特徴が反映される。これにより、該変更後のホワイトリストやブラックリストが有効に作用しなくなる可能性がある。
そこで、本発明者は、さらに、特願2014−154189において、既知迷惑メールに関する異なる二つのメール送信元ドメインの各DNSサーバに登録されている送信者認証情報の間で、それぞれの送信者認証情報を構成する送信者認証情報要素のうち、共通の送信者認証情報要素の組合せからブラックリストを作成するリスト作成方法を提案した。また、本発明者は、さらに、特願2014−160756において、メール送信元ドメインのDNSサーバに登録されている送信者認証情報を構成する送信者認証情報要素の中で、実際の送信者IPアドレスを包含する送信者認証情報要素からブラックリストを作成し、新たなメールを受信した際には、その受信メールのメール送信元ドメインのDNSサーバに登録されている送信者認証情報内にブラックリストに記載される送信者認証情報要素があるか否かを検証することにより、迷惑メールを判定するメール判定方法を提案した。
本発明は、このような事情を考慮してなされたものであり、迷惑メールの判定に利用されるブラックリスト又はホワイトリスト等のメール判定リストの作成における負担の軽減に寄与できるメール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出部と、前記メール情報抽出部により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出部と、を備えるメール情報抽出装置である。
(2)本発明の一態様は、上記(1)のメール情報抽出装置において、前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、メール情報抽出装置である。
(3)本発明の一態様は、上記(1)のメール情報抽出装置において、前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、メール情報抽出装置である。
(2)本発明の一態様は、上記(1)のメール情報抽出装置において、前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、メール情報抽出装置である。
(3)本発明の一態様は、上記(1)のメール情報抽出装置において、前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、メール情報抽出装置である。
(4)本発明の一態様は、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出部と、前記メール情報抽出部により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出部と、前記特定情報抽出部により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(5)本発明の一態様は、上記(4)のメール判定リスト作成装置において、前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、メール判定リスト作成装置である。
(6)本発明の一態様は、上記(4)のメール判定リスト作成装置において、前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、メール判定リスト作成装置である。
(7)本発明の一態様は、上記(4)から(6)のいずれかのメール判定リスト作成装置において、前記リスト作成部は、前記特定情報抽出部により抽出された前記第1のメール情報のリストを作成するメール判定リスト作成装置である。
(8)本発明の一態様は、上記(5)のメール判定リスト作成装置において、前記メール情報抽出部により抽出されたメール情報である各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、前記特定情報抽出部により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出するメールアドレスドメイン抽出部と、前記メールアドレスドメイン抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(9)本発明の一態様は、上記(6)のメール判定リスト作成装置において、前記特定情報抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(5)本発明の一態様は、上記(4)のメール判定リスト作成装置において、前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、メール判定リスト作成装置である。
(6)本発明の一態様は、上記(4)のメール判定リスト作成装置において、前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、メール判定リスト作成装置である。
(7)本発明の一態様は、上記(4)から(6)のいずれかのメール判定リスト作成装置において、前記リスト作成部は、前記特定情報抽出部により抽出された前記第1のメール情報のリストを作成するメール判定リスト作成装置である。
(8)本発明の一態様は、上記(5)のメール判定リスト作成装置において、前記メール情報抽出部により抽出されたメール情報である各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、前記特定情報抽出部により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出するメールアドレスドメイン抽出部と、前記メールアドレスドメイン抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(9)本発明の一態様は、上記(6)のメール判定リスト作成装置において、前記特定情報抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、を備えるメール判定リスト作成装置である。
(10)本発明の一態様は、メール情報抽出装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、前記メール情報抽出装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、を含むメール情報抽出方法である。
(11)本発明の一態様は、メール判定リスト作成装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、前記メール判定リスト作成装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、前記メール判定リスト作成装置が、前記特定情報抽出ステップにより抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成ステップと、を含むメール判定リスト作成方法である。
(11)本発明の一態様は、メール判定リスト作成装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、前記メール判定リスト作成装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、前記メール判定リスト作成装置が、前記特定情報抽出ステップにより抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成ステップと、を含むメール判定リスト作成方法である。
(12)本発明の一態様は、コンピュータに、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、を実現させるためのコンピュータプログラムである。
(13)本発明の一態様は、コンピュータに、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、前記特定情報抽出機能により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成機能と、を実現させるためのコンピュータプログラムである。
(13)本発明の一態様は、コンピュータに、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、前記特定情報抽出機能により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成機能と、を実現させるためのコンピュータプログラムである。
本発明によれば、迷惑メールの判定に利用されるブラックリスト又はホワイトリスト等のメール判定リストの作成における負担の軽減に寄与できるという効果が得られる。
以下、図面を参照し、本発明の実施形態について説明する。
図1は、本発明の一実施形態に係るメール判定リスト作成装置1の構成を示すブロック図である。図1において、メール判定リスト作成装置1は、メール送信元情報抽出部10とメールアドレスドメイン抽出部21とSPFレコード取得部22とリスト作成部23とを備える。メール送信元情報抽出部10は、メール情報抽出部11と送信元IPアドレス抽出部12とを備える。
図1は、本発明の一実施形態に係るメール判定リスト作成装置1の構成を示すブロック図である。図1において、メール判定リスト作成装置1は、メール送信元情報抽出部10とメールアドレスドメイン抽出部21とSPFレコード取得部22とリスト作成部23とを備える。メール送信元情報抽出部10は、メール情報抽出部11と送信元IPアドレス抽出部12とを備える。
メール判定リスト作成装置1には、メールデータが入力される。メールデータは、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有する。メールデータの一例として、過去にやり取りされたメール自身を集めたデータ(メール集合データ)が挙げられる。又は、メールデータの他の例として、受信メールサーバで作成された受信メールのログ(メールログ)が挙げられる。メールデータに含まれるヘッダ情報は、迷惑メールであるか否かが分からないメールのヘッダ情報であってよい。したがって、一般に取得可能なメール集合データ又はメールログをそのまま、メール判定リスト作成装置1への入力データに利用することができる。つまり、メール判定リスト作成装置1への入力データを準備するために、一般に取得可能なメール集合データ又はメールログから、既知の迷惑メールの情報のみを抽出する必要がない。
メール情報抽出部11は、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出する。送信元IPアドレス抽出部12は、メール情報抽出部11により抽出されたメール情報である各メールのメール送信元ホスト名およびメール送信元IPアドレスから、同じメール送信元IPアドレスに対して複数のメール送信元ホスト名が組み合わされているメール送信元IPアドレスを抽出する。送信元IPアドレス抽出部12は特定情報抽出部である。メール送信元IPアドレスは、偽装が比較的困難な第1のメール情報である。メール送信元ホスト名は、偽装が比較的簡単な第2のメール情報である。
メールアドレスドメイン抽出部21は、メール情報抽出部11により抽出されたメール情報である各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出する。SPFレコード取得部22は、メールアドレスドメイン抽出部21により抽出されたメールアドレスドメインのDNSサーバに登録されるSPFレコード(送信者認証情報)を取得する。
リスト作成部23は、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレスに基づいたメール判定リストを作成する。メール判定リスト作成装置1は、リスト作成部23により作成されたメール判定リストを出力する。メール判定リストとして、例えば、迷惑メールを判定するブラックリスト、非迷惑メールを判定するホワイトリストなどが挙げられる。
図2は、本実施形態に係るメール判定リスト作成方法のフローチャートである。以下、図2を参照して、図1に示すメール判定リスト作成装置1の動作を説明する。
(ステップS1)メールデータがメール判定リスト作成装置1に入力される。
(ステップS2)メール情報抽出部11は、メールデータに含まれる各メールのヘッダ情報から、メール送信元ホスト名とメール送信元IPアドレスと送信元メールアドレスとを抽出する。メール送信元ホスト名およびメール送信元IPアドレスは、Receivedヘッダに含まれている。以下に、Receivedヘッダの例を示す。
Received: from xxx.example.com (yyy.example.com [X.X.X.X]) by exampleXXX.com (Postfix) with・・・(以下省略)
このReceivedヘッダにおいて、「xxx.example.com」はメール送信元サーバが名乗るホスト名(メール送信元ホスト名)であるheloホスト名である。また、「X.X.X.X」はメール送信元サーバのIPアドレス(メール送信元IPアドレス)である。また、「yyy.example.com」はメール送信元IPアドレスの逆引きホスト名である。
送信元メールアドレスは、Fromヘッダ、Return-Pathヘッダ、またはRecent-Fromヘッダに含まれている。以下に、Return-Pathヘッダの例を示す。
Return-path: <test@example.co.jp>
このReturn-Pathヘッダにおいて、「test@example.co.jp」が送信元メールアドレスである。
上述したステップS2によって、メールデータから、メール毎に、メール送信元ホスト名とメール送信元IPアドレスと送信元メールアドレスが抽出される。
Received: from xxx.example.com (yyy.example.com [X.X.X.X]) by exampleXXX.com (Postfix) with・・・(以下省略)
このReceivedヘッダにおいて、「xxx.example.com」はメール送信元サーバが名乗るホスト名(メール送信元ホスト名)であるheloホスト名である。また、「X.X.X.X」はメール送信元サーバのIPアドレス(メール送信元IPアドレス)である。また、「yyy.example.com」はメール送信元IPアドレスの逆引きホスト名である。
送信元メールアドレスは、Fromヘッダ、Return-Pathヘッダ、またはRecent-Fromヘッダに含まれている。以下に、Return-Pathヘッダの例を示す。
Return-path: <test@example.co.jp>
このReturn-Pathヘッダにおいて、「test@example.co.jp」が送信元メールアドレスである。
上述したステップS2によって、メールデータから、メール毎に、メール送信元ホスト名とメール送信元IPアドレスと送信元メールアドレスが抽出される。
(ステップS3)送信元IPアドレス抽出部12は、メール情報抽出部11により抽出された各メールのメール送信元ホスト名およびメール送信元IPアドレスから、所定のメール送信元IPアドレス抽出条件に合うメール送信元IPアドレスを抽出する。該メール送信元IPアドレス抽出条件は、迷惑メールのメール送信元IPアドレスを抽出するための条件として予め設定される。
ここで、本実施形態に係るメール送信元IPアドレス抽出条件を説明する。一般的に、迷惑メール送信者は、メール送信元サーバに対して任意に設定できるheloホスト名を頻繁に変更するという特徴がある。メール送信元サーバのheloホスト名が頻繁に変更されると、メール送信元IPアドレスが同一であっても、heloホスト名が異なる事象が散見される。そこで、本実施形態では、メール送信元IPアドレス抽出条件として、同じメール送信元IPアドレスに対してN個の異なるheloホスト名(メール送信元ホスト名)が組み合わされている該メール送信元IPアドレスを抽出すること、とする。但し、heloホスト名としてFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)である場合には、少なくともドメイン名が異なることを、heloホスト名が異なることの条件とする。FQDNは、ホスト名とドメイン名から構成される。
例えば、heloホスト名としてFQDNである例1として、
(事象A)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「a.example.com」
(事象B)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「b.example.com」
とする。この例1において、事象Aのheloホスト名(FQDN)はホスト名「a」とドメイン名「example.com」から構成されており、事象Bのheloホスト名(FQDN)はホスト名「b」とドメイン名「example.com」から構成されている。この場合、事象A,Bの各heloホスト名において、ホスト名は異なっているが、ドメイン名は両方とも「example.com」で同一である。このため、この例1では、事象A,Bにおいてheloホスト名が異なるとはしない。よって、該例1では、事象A,Bにおいて、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名とはなっていない。
(事象A)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「a.example.com」
(事象B)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「b.example.com」
とする。この例1において、事象Aのheloホスト名(FQDN)はホスト名「a」とドメイン名「example.com」から構成されており、事象Bのheloホスト名(FQDN)はホスト名「b」とドメイン名「example.com」から構成されている。この場合、事象A,Bの各heloホスト名において、ホスト名は異なっているが、ドメイン名は両方とも「example.com」で同一である。このため、この例1では、事象A,Bにおいてheloホスト名が異なるとはしない。よって、該例1では、事象A,Bにおいて、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名とはなっていない。
他方、heloホスト名としてFQDNである例2として、
(事象C)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「a.example.com」
(事象D)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「b.example.co.jp」
とする。この例2において、事象Cのheloホスト名(FQDN)はホスト名「a」とドメイン名「example.com」から構成されており、事象Dのheloホスト名(FQDN)はホスト名「b」とドメイン名「example.co.jp」から構成されている。この場合、事象C,Dの各heloホスト名において、ドメイン名が異なっている。このため、この例2では、事象C,Dにおいてheloホスト名が異なる。よって、該例2では、事象C,Dにおいて、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名となっている。なお、例2では、事象C,Dの各heloホスト名において、ホスト名も異なっているが、仮に同一ホスト名であっても、ドメイン名が異なっているので、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名となっている。
(事象C)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「a.example.com」
(事象D)メール送信元IPアドレス:「X.X.X.X」、heloホスト名:「b.example.co.jp」
とする。この例2において、事象Cのheloホスト名(FQDN)はホスト名「a」とドメイン名「example.com」から構成されており、事象Dのheloホスト名(FQDN)はホスト名「b」とドメイン名「example.co.jp」から構成されている。この場合、事象C,Dの各heloホスト名において、ドメイン名が異なっている。このため、この例2では、事象C,Dにおいてheloホスト名が異なる。よって、該例2では、事象C,Dにおいて、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名となっている。なお、例2では、事象C,Dの各heloホスト名において、ホスト名も異なっているが、仮に同一ホスト名であっても、ドメイン名が異なっているので、同じメール送信元IPアドレス「X.X.X.X」に対して、異なるheloホスト名となっている。
また、本実施形態に係るメール送信元IPアドレス抽出条件において、Nの値は、2以上の値に任意に設定可能とする。なお、Nの値が大きい方が、False positive(偽陽性)は減るが、逆にFalse negative(偽陰性)は増える。一方、Nの値が小さい方が、False positiveは大きくなるが、False Negativeは少なくなる。したがって、これらの特性に基づいて、Nの値を決定することが好ましい。
上述したステップS3によって、メール送信元IPアドレス抽出条件に合うメール送信元IPアドレスが抽出される。
(ステップS4)メールアドレスドメイン抽出部21は、メール情報抽出部11により抽出された各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出する。メールアドレスは、ローカル部と、ドメイン部(メールアドレスドメイン)とから構成される。
上述したステップS4によって、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレス毎に、メールアドレスドメインが抽出される。
上述したステップS4によって、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレス毎に、メールアドレスドメインが抽出される。
(ステップS5)SPFレコード取得部22は、メールアドレスドメイン抽出部21により抽出されたメールアドレスドメインのDNSサーバに登録されるSPFレコードを取得する。このSPFレコード取得方法として、例えば、SPFレコード取得部22が通信により該当するDNSサーバからSPFレコードを受信することが挙げられる。又は、SPFレコード取得方法の他の例として、SPFレコード取得部22が、取得対象のSPFレコードが格納される記憶装置又は記録媒体から、SPFレコードを読み出すことが挙げられる。
(ステップS6)リスト作成部23は、SPFレコード取得部22により取得されたSPFレコードを使用して、メール判定リストを作成する。メール判定リストの例として、迷惑メールを判定するブラックリストと、非迷惑メールを判定するホワイトリストとが挙げられる。このメール判定リスト作成方法については後述する。
上述した実施形態によれば、一般に取得可能なメール集合データ又はメールログをそのまま使用して、迷惑メールの特徴を有するメール送信元IPアドレスを抽出できる。本実施形態では、迷惑メールの特徴を有するメール送信元IPアドレスとして、同じメール送信元IPアドレスに対して複数の異なるheloホスト名(メール送信元ホスト名)が組み合わされているメール送信元IPアドレスを抽出する。該抽出されたメール送信元IPアドレスは、メール判定リストの作成に利用可能である。これにより、既知の迷惑メールのメール送信元IPアドレスが分からなくても、メール判定リストの作成が可能となるので、メール判定リストの作成のために既知の迷惑メールのメール送信元IPアドレスを収集する負担が軽減される効果が得られる。
また、上述したステップS3で抽出されたメール送信元IPアドレスをリスト化してブラックリストにすることも可能である。リスト作成部23は、送信元IPアドレス抽出部12により抽出されたメール送信元IPアドレスのリストを作成する。この作成されたリストは、迷惑メールを判定するブラックリストとして利用できる。これにより、SPFレコードを使用しなくても、ブラックリストを作成できる。このブラックリストによれば、SPFレコードを取得できない場合であっても、迷惑メール判別を行うことができる。
次に、本実施形態に係るメール判定リスト作成方法について例を挙げて説明する。
<メール判定リスト作成方法の例1>
図3は、本実施形態に係るメール判定リスト作成方法の例1の手順を示すフローチャートである。以下、図3を参照して、図2のステップS6に係るメール判定リスト作成方法の例1を説明する。
図3は、本実施形態に係るメール判定リスト作成方法の例1の手順を示すフローチャートである。以下、図3を参照して、図2のステップS6に係るメール判定リスト作成方法の例1を説明する。
(ステップS101)リスト作成部23は、SPFレコード取得部22により取得されたSPFレコードを入力する。
図4は、SPFレコード取得部22により取得されたSPFレコードの例を示す図表である。SPFレコード取得部22により取得された各SPFレコードは、該当するメールアドレスドメインに関連付けられる。図4の例では、メールアドレスドメインとして、「example.com」、「example.com2」及び「example.com3」の3個のメールアドレスドメインがある。また、メールアドレスドメイン「example.com」のSPFレコードの要素(送信者認証情報要素)として「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」、「ip4:d.d.d.d/18」及び「a:example.com4」の5個の要素がある。また、メールアドレスドメイン「example.com2」のSPFレコードの要素として「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の2個の要素がある。また、メールアドレスドメイン「example.com3」のSPFレコードの要素として「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」、「ip4:d.d.d.d/18」及び「a:example.com5」の5個の要素がある。以下、図4の例を用いて具体的に説明する。
(ステップS102)リスト作成部23は、図4のSPFレコードに基づいてルール候補を作成する。このルール候補作成方法を具体的に説明する。まず、リスト作成部23は、異なる二つのメールアドレスドメインについてのSPFレコードの間で、それぞれのSPFレコードの要素のうち共通の要素を抽出する。そして、リスト作成部23は、抽出された共通の要素の組合せ毎に、ルール候補番号を付与する。
これにより、図4の例において、メールアドレスドメイン「example.com」のSPFレコードとメールアドレスドメイン「example.com2」のSPFレコードの間では、共通の要素として「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」が抽出される。そして、この共通の要素の組合せ「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」には、ルール候補番号「1」が付与されたとする。また、メールアドレスドメイン「example.com」のSPFレコードとメールアドレスドメイン「example.com3」のSPFレコードの間では、共通の要素として「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」が抽出される。そして、この共通の要素の組合せ「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」には、ルール候補番号「2」が付与されたとする。また、メールアドレスドメイン「example.com2」のSPFレコードとメールアドレスドメイン「example.com3」のSPFレコードの間では、共通の要素として「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」が抽出される。そして、この共通の要素の組合せ「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」には、ルール候補番号「3」が付与されたとする。なお、説明の便宜上、ルール候補番号「X」の共通の要素の組合せのことを、第Xルール候補と称する。
なお、異なる二つのメールアドレスドメインについてのSPFレコードの間で抽出する共通の要素として、SPFレコード内の最上位階層の共通の要素だけに限定してもよい。図5,図6は、あるメールアドレスドメインのSPFレコードの例1,例2を示す図である。図5に示されるメールアドレスドメインのSPFレコードの例1では、要素「ip4:A.A.A.0/24」が実際のメール送信に使用されるメール送信端末のIPアドレス(メール送信元IPアドレス)とは無関係なSPFレコード(ダミー)として登録されている。図6に示されるメールアドレスドメインのSPFレコードの例2では、要素「ip4:B.B.B.0/24」が実際のメール送信に使用されるメール送信端末のIPアドレスとは無関係なSPFレコード(ダミー)として登録されている。
これら図5,図6のメールアドレスドメインのSPFレコードの例1,例2の間で抽出する共通の要素として、SPFレコード全体から共通の要素を抽出してもよく、又は、SPFレコード内の最上位階層の共通の要素だけに限定して抽出してもよい。SPFレコード内の最上位階層の要素として、図5のメールアドレスドメインのSPFレコードの例1では「ip4:A.A.A.0/24」と「include:yyy.yyy」と「include:zzz.zzz」の3個があり、図6のメールアドレスドメインのSPFレコードの例2では「ip4:B.B.B.0/24」と「include:yyy.yyy」と「include:zzz.zzz」の3個がある。そして、その図5,図6のメールアドレスドメインのSPFレコードの例1,例2の間におけるSPFレコード内の最上位階層の共通の要素としては、「include:yyy.yyy」と「include:zzz.zzz」の2個がある。このSPFレコード内の最上位階層の共通の要素「include:yyy.yyy」と「include:zzz.zzz」の組合せだけを、図5,図6のメールアドレスドメインのSPFレコードの例1,例2についてのルール候補としてもよい。これは、SPFレコード内の最上位階層にはダミーを登録しやすいという理由から、効果的である。
次いで、リスト作成部23は、抽出されたルール候補の中に、要素が全て同じであるルール候補が複数ある場合には、そのうちのいずれか一つだけを残し、他は削除する。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」と第3ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」とは要素が全て同じであるので、そのうちのいずれか一つだけを残し、他は削除する。ここでは、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」を残し、第3ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」を削除する。
上述したルール候補作成方法により、ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」と第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の2個のルール候補が作成されている。ここで、リスト作成部23は、さらにルール候補を限定してもよい。以下に、そのルール候補限定方法の例を説明する。
[ルール候補限定方法の例1]
リスト作成部23は、所定の個数(m個とする)以上の要素を有するルール候補だけを残し、それ以外のルール候補を削除する。これは、ルールに含まれる要素の数が少ないと、非迷惑メールを迷惑メールであると誤判定してしまうことを誘発する可能性があることによる。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の要素数は2であり、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の要素数は4である。したがって、例えば、mが2であるとすると、第1ルール候補及び第2ルール候補の両方ともに、ルール候補として残る。mの値は、予め、経験値等によって設定しておく。例えば、mの値(つまり、ルールに含まれる要素の数)を変えながら該ルールを用いた迷惑メール判別を試験し、この試験結果から妥当なmの値を決めることが挙げられる。
リスト作成部23は、所定の個数(m個とする)以上の要素を有するルール候補だけを残し、それ以外のルール候補を削除する。これは、ルールに含まれる要素の数が少ないと、非迷惑メールを迷惑メールであると誤判定してしまうことを誘発する可能性があることによる。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の要素数は2であり、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の要素数は4である。したがって、例えば、mが2であるとすると、第1ルール候補及び第2ルール候補の両方ともに、ルール候補として残る。mの値は、予め、経験値等によって設定しておく。例えば、mの値(つまり、ルールに含まれる要素の数)を変えながら該ルールを用いた迷惑メール判別を試験し、この試験結果から妥当なmの値を決めることが挙げられる。
[ルール候補限定方法の例2]
リスト作成部23は、ルール候補それぞれについて、各メールアドレスドメインのSPFレコードに出現するかを調べる。そして、リスト作成部23は、その調査の結果である出現回数が所定の回数(n回)以上であるルール候補だけを残し、それ以外のルール候補を削除する。これは、より多くのメールアドレスドメインに該当するルールを抽出することによって、ルールの効率向上を図ることができることによる。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の出現回数はメールアドレスドメイン「example.com」、「example.com2」及び「example.com3」の3回であり、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の出現回数はメールアドレスドメイン「example.com」及び「example.com3」の2回である。したがって、例えば、nが2であるとすると、第1ルール候補及び第2ルール候補の両方ともに、ルール候補として残る。nの値は、予め、経験値等によって設定しておく。例えば、nの値(つまり、ルールの出現回数)を変えながら該ルールを用いた迷惑メール判別を試験し、この試験結果から妥当なnの値を決めることが挙げられる。
リスト作成部23は、ルール候補それぞれについて、各メールアドレスドメインのSPFレコードに出現するかを調べる。そして、リスト作成部23は、その調査の結果である出現回数が所定の回数(n回)以上であるルール候補だけを残し、それ以外のルール候補を削除する。これは、より多くのメールアドレスドメインに該当するルールを抽出することによって、ルールの効率向上を図ることができることによる。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の出現回数はメールアドレスドメイン「example.com」、「example.com2」及び「example.com3」の3回であり、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」の出現回数はメールアドレスドメイン「example.com」及び「example.com3」の2回である。したがって、例えば、nが2であるとすると、第1ルール候補及び第2ルール候補の両方ともに、ルール候補として残る。nの値は、予め、経験値等によって設定しておく。例えば、nの値(つまり、ルールの出現回数)を変えながら該ルールを用いた迷惑メール判別を試験し、この試験結果から妥当なnの値を決めることが挙げられる。
なお、上述したルール候補限定方法の例2において、リスト作成部23は、メールアドレスドメイン毎に、メールの受信数についての情報を使用してルール候補の出現の重み付けを行い、上述の出現回数を算出してもよい。例えば、各メールアドレスドメインのSPFレコードにルール候補が出現したときの出現カウント値に対する重み係数を、各メールアドレスドメインについてのメールの受信数に応じて、該受信数が多いほどに該重み係数が大きくなるように決定する。そして、その重み係数で重み付けした出現カウント値を使用して、各ルール候補の出現回数を算出する。例えば、メールアドレスドメイン「example.com」、「example.com2」、「example.com3」についての各メールの受信数に応じて、「example.com」の重み係数が1、「example.com2」の重み係数が2、「example.com3」の重み係数が3と決定したとする。これにより、あるルール候補が、「example.com」のSPFレコードに出現した場合には出現回数を1回増やし、「example.com2」のSPFレコードに出現した場合には出現回数を2回増やし、「example.com3」のSPFレコードに出現した場合には出現回数を3回増やす。この重み付けによって、迷惑メールが頻出するメールアドレスドメインを検知しやすくする効果が得られる。
[ルール候補限定方法の例3]
リスト作成部23は、異なるルール候補の間で該ルール候補に含まれる要素を比較し、他のルール候補を包含するルール候補を削除する。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の全ての要素が、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」に含まれている。したがって、第2ルール候補は第1ルール候補を包含するので、該第2ルール候補を削除する。
リスト作成部23は、異なるルール候補の間で該ルール候補に含まれる要素を比較し、他のルール候補を包含するルール候補を削除する。ここでの例では、第1ルール候補「ip4:b.b.b.b/22」及び「ip4:c.c.c.c/19」の全ての要素が、第2ルール候補「ip4:a.a.a.a/22」、「ip4:b.b.b.b/22」、「ip4:c.c.c.c/19」及び「ip4:d.d.d.d/18」に含まれている。したがって、第2ルール候補は第1ルール候補を包含するので、該第2ルール候補を削除する。
以上がルール候補限定方法の例の説明である。なお、上述したルール候補限定方法の例1,2,3は、それぞれ単独で使用してもよく、又は、いずれか複数もしくは全部を組み合わせて使用してもよい。
(ステップS103)リスト作成部23は、作成したルール候補をルールとして記載したメール判定リストを作成する。
(ステップS104)リスト作成部23は、作成したメール判定リストを出力する。この出力されたメール判定リストは、SPF方式を使用した受信メールの迷惑メール判別を行うメール判定装置などで使用される。ここでは、メール判定リストは、迷惑メールと思しきメールのメールアドレスドメインのSPFレコードのみから作成されていることから、迷惑メールを判定するブラックリストとして利用することができる。
上述したメール判定リスト作成方法の例1によれば、迷惑メールと思しき各メールのメールアドレスドメインのSPFレコードの間で共通の要素からルールを作成する。これにより、該ルールのリストが受信メールの迷惑メール判別で使用されることによって、該迷惑メール判別に対して、迷惑メールと思しき各メールのメールアドレスドメインの共通的な要素を反映させることができるので、迷惑メール判別精度を向上させることに寄与できる。
なお、上述したメール判定リスト作成方法の例1を、非迷惑メールと思しきメールのメールアドレスドメインのみを対象にして同様に適用してもよい。これによって作成されたルールのメール判定リストは、非迷惑メールを判定するホワイトリストとして利用することができる。非迷惑メールと思しきメールのメールアドレスドメインとしては、上述の図2のステップS2で抽出された各メールの「メール送信元IPアドレスと送信元メールアドレス」において、図2のステップS3で抽出されたメール送信元IPアドレス以外の他のメール送信元IPアドレスと組になっている送信元メールアドレスから抽出されたメールアドレスドメインが利用可能である。
<メール判定リスト作成方法の例2>
図7は、本実施形態に係るメール判定リスト作成方法の例2の手順を示すフローチャートである。図8は、SPFレコード取得部22により取得されたSPFレコード100の例を示す図である。図9は、本実施形態に係るメール判定リスト作成方法の例2を説明するための図である。以下、図7、図8、図9を参照して、図2のステップS6に係るメール判定リスト作成方法の例2を説明する。
図7は、本実施形態に係るメール判定リスト作成方法の例2の手順を示すフローチャートである。図8は、SPFレコード取得部22により取得されたSPFレコード100の例を示す図である。図9は、本実施形態に係るメール判定リスト作成方法の例2を説明するための図である。以下、図7、図8、図9を参照して、図2のステップS6に係るメール判定リスト作成方法の例2を説明する。
図8には、SPFレコード取得部22が取得したSPFレコード100が示されている。SPFレコード100は、メールアドレスドメイン「example.com」のDNSサーバに登録されたSPFレコードである。SPFレコード100は、メールアドレスドメイン「example.com」のSPFレコードを構成する送信者認証情報要素として、ホスト名「spf.example.com」、ホスト名「spf.dummy.com」、IPアドレス情報「ip4:10.1.1.0/24」、IPアドレス情報「ip4:10.1.2.0/24」、IPアドレス情報「ip4:10.1.3.0/24」及びIPアドレス情報「ip4:1.2.3.0/24」を有する。IPアドレス情報「ip4:10.1.1.0/24」、「ip4:10.1.2.0/24」、「ip4:10.1.3.0/24」及び「ip4:1.2.3.0/24」は、メールアドレスドメイン「example.com」に属するメール送信端末のIPアドレス(メール送信元IPアドレス)が取り得る範囲を示す。なお、「ip4」はIPv4を指す。
送信者認証情報要素「spf.example.com」には、送信者認証情報要素「ip4:1.2.3.0/24」及び「ip4:10.1.3.0/24」が関連付けられている。送信者認証情報要素「spf.dummy.com」には、送信者認証情報要素「ip4:10.1.2.0/24」が関連付けられている。メールアドレスドメイン「example.com」のDNSサーバは、通信ネットワークを介して、SPFレコード100を公開する。
図9に示されるメール200は、メール判定リスト作成装置1に入力されたメールデータに含まれるメールの一例である。メール200は、送信者情報として、メールアドレスドメイン「example.com」とIPv4のメール送信元IPアドレス「1.2.3.4」を有する。図9において、「ip4:1.2.3.0/24」は、メール200のメール送信元IPアドレス「1.2.3.4」についての送信者認証関連要素である。送信者認証関連要素は、メール送信元IPアドレスを包含する送信者認証情報要素である。「ip4:10.1.3.0/24」は、メール200のメール送信元IPアドレス「1.2.3.4」についての準送信者認証関連要素である。準送信者認証関連要素は、送信者認証関連要素と共通の関連付けホスト名(図9の例では「spf.example.com」)を持つIPプレフィクスの送信者認証情報要素である。「ip4:10.1.2.0/24」及び「ip4:10.1.1.0/24」は、メール200のメール送信元IPアドレス「1.2.3.4」についての非送信者認証関連要素である。非送信者認証関連要素は、送信者認証関連要素以外であり且つ準送信者認証関連要素以外であるIPプレフィクスの送信者認証情報要素である。
以下、図7を参照し、図8および図9の例を用いて具体的にメール判定リスト作成方法の例2を説明する。以下の説明において、送信者認証情報要素組とは、送信者認証関連要素に関連する準送信者認証関連要素のことと、送信者認証関連要素に関連する非送信者認証関連要素のことと、送信者認証関連要素と準送信者認証関連要素の組合せのことと、送信者認証関連要素と準送信者認証関連要素と非送信者認証関連要素の組合せのことと、を指す。
(ステップS510)メール判定リスト作成装置1には、メール200に対するSPF方式を使用した送信者認証の結果が入力される。リスト作成部23は、該入力された送信者認証の結果から、メール200に対するSPF方式を使用した送信者認証が成功したかを確認する。該確認の結果、成功した場合にはステップS520へ進み、失敗した場合には図7の処理を終了する。
(ステップS520)メール判定リスト作成装置1には、メール200に対するメール判別の判定結果が入力される。このメール判別方法としては、メール本文の内容に基づいて迷惑メールを判別する方法、届いたメールを全て迷惑メールと見做すことができるおとりのメールアドレスに届いたことをもって迷惑メールと判定する方法、などが挙げられる。リスト作成部23は、該入力されたメール判別の判定結果を確認する。該確認の結果が、非迷惑メールである場合にはステップS530へ進み、迷惑メールである場合にはステップS560へ進む。
(ステップS530)リスト作成部23は、SPFレコード100の送信者認証関連要素と送信者認証情報要素組とを、ホワイトリストへ追加する。この追加方法として、例えば、迷惑メール判別において見逃しの低減と誤検知の低減のどちらを重視するかの運用方針に基づいて、ホワイトリストへの追加方法を決めることが挙げられる。例えば、見逃しの低減を重視する場合には、SPFレコード100の送信者認証関連要素と送信者認証情報要素組との全てをホワイトリストへ追加することが挙げられる。一方、誤検知の低減を重視する場合には、SPFレコード100の送信者認証関連要素だけをホワイトリストへ追加することが挙げられる。
(ステップS540)リスト作成部23は、ブラックリストを参照し、SPFレコード100の送信者認証関連要素がブラックリストに登録されているか、また、SPFレコード100の送信者認証情報要素組がブラックリスト172に登録されているか、を判断する。この判断の結果、ブラックリストに登録されている送信者認証関連要素又は送信者認証情報要素組がある場合にはステップS550へ進み、ブラックリストに登録されている送信者認証関連要素も送信者認証情報要素組もない場合には図7の処理を終了する。
(ステップS550)リスト作成部23は、ブラックリストから、SPFレコード100の送信者認証関連要素および送信者認証情報要素組を削除する。この後、図7の処理を終了する。
(ステップS560)リスト作成部23は、ホワイトリストを参照し、SPFレコード100の送信者認証関連要素がホワイトリストに登録されているか、また、SPFレコード100の送信者認証情報要素組がホワイトリストに登録されているか、を判断する。この判断の結果、送信者認証関連要素および送信者認証情報要素組の全てがホワイトリストに登録されている場合には図7の処理を終了する。一方、送信者認証関連要素または送信者認証情報要素組の少なくともいずれか一つがホワイトリストに登録されていない場合にはステップS570へ進む。
(ステップS570)リスト作成部23は、SPFレコード100の送信者認証関連要素であってホワイトリストに登録されていないものの全てと、SPFレコード100の送信者認証情報要素組であってホワイトリストに登録されていないものの全てとを、ブラックリストへ追加する。この後、図7の処理を終了する。なお、ここで、送信者認証関連要素と準送信者認証関連要素と非送信者認証関連要素の組合せについては、ブラックリストへ追加しないようにしてもよい。
上述したメール判定リスト作成方法の例2によれば、迷惑メールと思しき各メールのメールアドレスドメインのSPFレコードの送信者認証関連要素と該送信者認証関連要素に関連する送信者認証情報要素組のみから、ホワイトリストおよびブラックリストを作成する。ここで、メール送信端末のIPアドレス(つまり、メール送信元IPアドレス)はインターネット接続業者(Internet Services Provider:ISP)などから正規に割り当てられる。このため、SPFレコードを構成する送信者認証情報要素のうち、メール送信元IPアドレスを示す送信者認証情報要素である送信者認証関連要素については、DNSサーバに対して自由に変更することができない。したがって、DNSサーバのSPFレコードにおいて送信者認証関連要素は信頼できる情報であるので、メール判定リスト作成方法の例2により作成されたホワイトリストおよびブラックリストは、信頼性が高いと言える。
また、上述したように、送信者認証関連要素については、DNSサーバに対して自由に変更することができないので、DNSサーバの送信者認証情報を変更することによって、メール判定リスト作成方法の例2により作成されたホワイトリストおよびブラックリストの無効化を図ることは難しい。したがって、例えば迷惑メール送信者がDNSサーバの自由に変更可能な送信者認証情報を変更しても、該ホワイトリストおよびブラックリストは無効化されないので、迷惑メール送信者による迷惑メール検知の妨害を防ぐ効果が得られる。
以上が本実施形態に係るメール判定リスト作成方法の例の説明である。
[他の実施形態]
次に、本発明に係る他の実施形態を説明する。図10は、本発明の他の実施形態に係るメール判定リスト作成装置1の構成を示すブロック図である。この図10において図1の各部に対応する部分には同一の符号を付している。図10に示されるメール判定リスト作成装置1において、メール送信元情報抽出部10は、図1の送信元IPアドレス抽出部12の代わりにメールアドレスドメイン抽出部31を備える。図10に示されるメール判定リスト作成装置1は、図1のメールアドレスドメイン抽出部21を有さない。
次に、本発明に係る他の実施形態を説明する。図10は、本発明の他の実施形態に係るメール判定リスト作成装置1の構成を示すブロック図である。この図10において図1の各部に対応する部分には同一の符号を付している。図10に示されるメール判定リスト作成装置1において、メール送信元情報抽出部10は、図1の送信元IPアドレス抽出部12の代わりにメールアドレスドメイン抽出部31を備える。図10に示されるメール判定リスト作成装置1は、図1のメールアドレスドメイン抽出部21を有さない。
図10において、メール情報抽出部11は、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出する。メールアドレスドメイン抽出部31は、メール情報抽出部11により抽出されたメール情報である各メールのメールアドレスドメインおよびMessage-ID(メッセージ識別子)のホスト名部分から、同じメールアドレスドメインに対して複数の「Message-IDのホスト名部分(Message-IDホスト名部分)」が組み合わされているメールアドレスドメインを抽出する。メールアドレスドメイン抽出部31は特定情報抽出部である。メールアドレスドメインは、偽装が比較的困難な第1のメール情報である。Message-IDホスト名部分は、偽装が比較的簡単な第2のメール情報である。
SPFレコード取得部22は、メールアドレスドメイン抽出部31により抽出されたメールアドレスドメインのDNSサーバに登録されるSPFレコード(送信者認証情報)を取得する。リスト作成部23は、メールアドレスドメイン抽出部31により抽出されたメールアドレスドメインに基づいたメール判定リストを作成する。メール判定リスト作成装置1は、リスト作成部23により作成されたメール判定リストを出力する。メール判定リストとして、例えば、迷惑メールを判定するブラックリスト、非迷惑メールを判定するホワイトリストなどが挙げられる。
図11は、本発明の他の実施形態に係るメール判定リスト作成方法のフローチャートである。この図11において図2の各ステップに対応する部分には同一の符号を付している。以下、図11を参照して、図10に示すメール判定リスト作成装置1の動作を説明する。
(ステップS1)メールデータがメール判定リスト作成装置1に入力される。
(ステップS2)メール情報抽出部11は、メールデータに含まれる各メールのヘッダ情報から、メールアドレスドメインおよびMessage-IDを抽出する。
(ステップS11)メールアドレスドメイン抽出部31は、メール情報抽出部11により抽出された各メールのメールアドレスドメインおよびMessage-IDから、所定のメールアドレスドメイン抽出条件に合うメールアドレスドメインを抽出する。該メールアドレスドメイン抽出条件は、迷惑メールのメールアドレスドメインを抽出するための条件として予め設定される。
Message-IDは、一般に、「“ランダム文字列”+“@”+“ホスト名部分”」という構成である。その“ホスト名部分”は、通常、サーバが任意に設定可能である。例えば、メールアドレスドメインが「example.com2」である場合に、あるメールのMessage-IDが「201409250001@ADKRIJRL」であり、別のメールのMessage-IDが「201409250001@KGKRAKFPORF」である事象が起こり得る。この場合、同じメールアドレスドメイン「example.com2」に対して、「ADKRIJRL」と「KGKRAKFPORF」との複数のMessage-IDホスト名部分が組み合わされている。本発明者は、そのように、同じメールアドレスドメインに対して複数のMessage-IDホスト名部分が組み合わされている該メールアドレスドメインが迷惑メールのメールアドレスドメインとして抽出できることを発見した。このことから、本実施形態では、メールアドレスドメイン抽出条件は、同じメールアドレスドメインに対してN個の異なるMessage-IDホスト名部分が組み合わされている該メールアドレスドメインを抽出すること、とする。
また、本実施形態に係るメールアドレスドメイン抽出条件において、Nの値は、2以上の値に任意に設定可能とする。なお、Nの値が大きい方が、False positive(偽陽性)は減るが、逆にFalse negative(偽陰性)は増える。一方、Nの値が小さい方が、False positiveは大きくなるが、False Negativeは少なくなる。したがって、これらの特性に基づいて、Nの値を決定することが好ましい。
上述したステップS11によって、メールアドレスドメイン抽出条件に合うメールアドレスドメインが抽出される。
(ステップS5)SPFレコード取得部22は、メールアドレスドメイン抽出部31により抽出されたメールアドレスドメインのDNSサーバに登録されるSPFレコードを取得する。このSPFレコード取得方法として、例えば、SPFレコード取得部22が通信により該当するDNSサーバからSPFレコードを受信することが挙げられる。又は、SPFレコード取得方法の他の例として、SPFレコード取得部22が、取得対象のSPFレコードが格納される記憶装置又は記録媒体から、SPFレコードを読み出すことが挙げられる。
(ステップS6)リスト作成部23は、SPFレコード取得部22により取得されたSPFレコードを使用して、メール判定リストを作成する。メール判定リストの例として、迷惑メールを判定するブラックリストと、非迷惑メールを判定するホワイトリストとが挙げられる。このメール判定リスト作成方法として前述のメール判定リスト作成方法の例を利用できる。
本実施形態によれば、一般に取得可能なメール集合データ又はメールログをそのまま使用して、迷惑メールのメールアドレスドメインを抽出できる。該抽出されたメールアドレスドメインは、メール判定リストの作成に利用可能である。これにより、既知の迷惑メールのメールアドレスドメインが分からなくても、メール判定リストの作成が可能となるので、メール判定リストの作成のために既知の迷惑メールのメールアドレスドメインを収集する負担が軽減される効果が得られる。
また、上述したステップS11で抽出されたメールアドレスドメインをリスト化してブラックリストにすることも可能である。リスト作成部23は、メールアドレスドメイン抽出部31により抽出されたメールアドレスドメインのリストを作成する。この作成されたリストは、迷惑メールを判定するブラックリストとして利用できる。これにより、SPFレコードを使用しなくても、ブラックリストを作成できる。このブラックリストによれば、SPFレコードを取得できない場合であっても、迷惑メール判別を行うことができる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
なお、メールデータに含まれるヘッダ情報の量が多いほど、送信元IPアドレス抽出部12による送信元IPアドレスの抽出精度やメールアドレスドメイン抽出部31によるメールアドレスドメインの抽出精度が上がる半面、その処理量が増大する。このことを考慮してメールデータに含まれるヘッダ情報の量を調節することが好ましい。
また、メール送信元情報抽出部10を、メール判定リスト作成装置1とは別個のメール情報抽出装置として構成してもよい。
また、上述したメール判定リスト作成装置1の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…メール判定リスト作成装置、10…メール送信元情報抽出部、11…メール情報抽出部、12…送信元IPアドレス抽出部(特定情報抽出部)、21…メールアドレスドメイン抽出部、22…SPFレコード取得部、23…リスト作成部、31…メールアドレスドメイン抽出部(特定情報抽出部)
Claims (13)
- 過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出部と、
前記メール情報抽出部により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出部と、
を備えるメール情報抽出装置。 - 前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、
請求項1に記載のメール情報抽出装置。 - 前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、
請求項1に記載のメール情報抽出装置。 - 過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出部と、
前記メール情報抽出部により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出部と、
前記特定情報抽出部により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成部と、
を備えるメール判定リスト作成装置。 - 前記第1のメール情報はメール送信元IPアドレスであり、前記第2のメール情報はメール送信元ホスト名である、
請求項4に記載のメール判定リスト作成装置。 - 前記第1のメール情報はメールアドレスドメインであり、前記第2のメール情報はメッセージ識別子のホスト名部分である、
請求項4に記載のメール判定リスト作成装置。 - 前記リスト作成部は、前記特定情報抽出部により抽出された前記第1のメール情報のリストを作成する請求項4から6のいずれか1項に記載のメール判定リスト作成装置。
- 前記メール情報抽出部により抽出されたメール情報である各メールのメール送信元IPアドレスおよび送信元メールアドレスにおいて、前記特定情報抽出部により抽出されたメール送信元IPアドレスと組になっている送信元メールアドレスから、メールアドレスドメインを抽出するメールアドレスドメイン抽出部と、
前記メールアドレスドメイン抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、
前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、
を備える請求項5に記載のメール判定リスト作成装置。 - 前記特定情報抽出部により抽出されたメールアドレスドメインのDNS(Domain Name System)サーバに登録されるSPF(Sender Policy Framework)レコードを取得するSPFレコード取得部と、
前記SPFレコード取得部により取得されたSPFレコードを使用して、メール判定リストを作成するリスト作成部と、
を備える請求項6に記載のメール判定リスト作成装置。 - メール情報抽出装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、
前記メール情報抽出装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、
を含むメール情報抽出方法。 - メール判定リスト作成装置が、過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出ステップと、
前記メール判定リスト作成装置が、前記メール情報抽出ステップにより抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出ステップと、
前記メール判定リスト作成装置が、前記特定情報抽出ステップにより抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成ステップと、
を含むメール判定リスト作成方法。 - コンピュータに、
過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、
前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、
を実現させるためのコンピュータプログラム。 - コンピュータに、
過去にやり取りされた複数のメールについての各メールのヘッダ情報を有するメールデータから、所定のメール情報を抽出するメール情報抽出機能と、
前記メール情報抽出機能により抽出された各メールのメール情報であって、偽装が比較的困難な第1のメール情報と、偽装が比較的簡単な第2のメール情報とから、同じ前記第1のメール情報に対して複数の異なる前記第2のメール情報が組み合わされている前記第1のメール情報を抽出する特定情報抽出機能と、
前記特定情報抽出機能により抽出された前記第1のメール情報に基づいたメール判定リストを作成するリスト作成機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014202028A JP6266487B2 (ja) | 2014-09-30 | 2014-09-30 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014202028A JP6266487B2 (ja) | 2014-09-30 | 2014-09-30 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016071728A JP2016071728A (ja) | 2016-05-09 |
| JP6266487B2 true JP6266487B2 (ja) | 2018-01-24 |
Family
ID=55864742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014202028A Active JP6266487B2 (ja) | 2014-09-30 | 2014-09-30 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6266487B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6669954B2 (ja) * | 2018-08-14 | 2020-03-18 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| JP7453886B2 (ja) | 2020-09-15 | 2024-03-21 | Kddi株式会社 | 検知装置、検知方法及び検知プログラム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7219131B2 (en) * | 2003-01-16 | 2007-05-15 | Ironport Systems, Inc. | Electronic message delivery using an alternate source approach |
| JP5366504B2 (ja) * | 2008-11-05 | 2013-12-11 | Kddi株式会社 | メール受信サーバ、スパムメールの受信拒否方法およびプログラム |
| JP5366204B2 (ja) * | 2009-07-17 | 2013-12-11 | 国立大学法人 和歌山大学 | メールフィルタリングシステム、そのコンピュータプログラム、情報生成方法 |
| JP2011034417A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 迷惑メール判定装置及び迷惑メール判定方法及び迷惑メール判定プログラム |
| JP6053421B2 (ja) * | 2012-09-21 | 2016-12-27 | Kddi株式会社 | スパムメール検知装置、方法及びプログラム |
| JP6039378B2 (ja) * | 2012-11-20 | 2016-12-07 | エヌ・ティ・ティ・ソフトウェア株式会社 | 不正メール判定装置、不正メール判定方法、及びプログラム |
-
2014
- 2014-09-30 JP JP2014202028A patent/JP6266487B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016071728A (ja) | 2016-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9635042B2 (en) | Risk ranking referential links in electronic messages | |
| JP4672285B2 (ja) | スパム防止のための送信元および宛先の特徴およびリスト | |
| US7962558B2 (en) | Program product and system for performing multiple hierarchical tests to verify identity of sender of an e-mail message and assigning the highest confidence value | |
| JP5311544B2 (ja) | メッセージの予測フィルターを生成する方法及び装置 | |
| US8204948B2 (en) | Querying a database and receiving replies in IPv6 format by utilizing well known port 53 | |
| US7516184B2 (en) | Method and system for a method for evaluating a message based in part on a registrar reputation | |
| US20060004896A1 (en) | Managing unwanted/unsolicited e-mail protection using sender identity | |
| US20060168017A1 (en) | Dynamic spam trap accounts | |
| JP2008547067A (ja) | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 | |
| US8312119B2 (en) | IP block activity feedback system | |
| Liu et al. | Who's got your mail? characterizing mail service provider usage | |
| JP6266487B2 (ja) | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム | |
| JP5668034B2 (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
| JP2008250597A (ja) | コンピュータシステム | |
| JP6262093B2 (ja) | リスト作成装置、リスト作成方法及びコンピュータプログラム | |
| JP5846590B2 (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
| JP6329458B2 (ja) | メール判定装置、メール判定方法及びコンピュータプログラム | |
| JP5843653B2 (ja) | 詐称メール処理装置、詐称メール処理方法、及びプログラム | |
| JP2022048599A (ja) | 検知装置、検知方法及び検知プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171212 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6266487 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |