JP6731437B2 - Information processing apparatus, information processing method, program, and recording medium - Google Patents

Information processing apparatus, information processing method, program, and recording medium Download PDF

Info

Publication number
JP6731437B2
JP6731437B2 JP2018052008A JP2018052008A JP6731437B2 JP 6731437 B2 JP6731437 B2 JP 6731437B2 JP 2018052008 A JP2018052008 A JP 2018052008A JP 2018052008 A JP2018052008 A JP 2018052008A JP 6731437 B2 JP6731437 B2 JP 6731437B2
Authority
JP
Japan
Prior art keywords
terminal
authentication
address
information processing
fqdn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018052008A
Other languages
Japanese (ja)
Other versions
JP2019165352A (en
Inventor
登志夫 道具
登志夫 道具
松本 卓也
卓也 松本
光成 佐藤
光成 佐藤
好宏 杉野
好宏 杉野
猪俣 清人
清人 猪俣
Original Assignee
デジタルア−ツ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジタルア−ツ株式会社 filed Critical デジタルア−ツ株式会社
Priority to JP2018052008A priority Critical patent/JP6731437B2/en
Publication of JP2019165352A publication Critical patent/JP2019165352A/en
Application granted granted Critical
Publication of JP6731437B2 publication Critical patent/JP6731437B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、圧縮されたファイルを処理する情報処理装置、情報処理方法、プログラム及び記録媒体に関する。 The present invention relates to an information processing device, an information processing method, a program, and a recording medium that process a compressed file.

従来から受信する電子メールによってウィルスに感染するリスクがあることから、このような電子メールに対してフィルタリングを行うことが提案されている。例えば、特許文献1では、いわゆる「なりすまし」の電子メールに対して対処することが開示されており、ユーザ宛の電子メールを記憶し、ユーザ宛の電子メールがなりすましメールであるか否かを判定するWebメールサーバを利用することが開示されている。このような「なりすまし」メールに対応するための技術としては、SPF(Sender Policy Framework)認証も知られている。 Since there is a risk of being infected with a virus by an electronic mail that has been conventionally received, it has been proposed to filter such an electronic mail. For example, Patent Document 1 discloses coping with a so-called “spoofing” email, storing an email addressed to a user, and determining whether the email addressed to the user is a spoofed email. It is disclosed to use a Web mail server that operates. SPF (Sender Policy Framework) authentication is also known as a technique for dealing with such "spoofing" mail.

特開2012−78922号公報JP, 2012-78922, A

本発明は、SPF認証とは異なる態様により、送信元のなりすまし等の電子メールの送信元が適切かどうかを判断できる情報処理装置、プログラム、記録媒体及び情報処理方法を提供する。 The present invention provides an information processing apparatus, a program, a recording medium, and an information processing method capable of determining whether or not the sender of an electronic mail such as spoofing the sender is appropriate, in a mode different from the SPF authentication.

本発明による情報処理装置は、
社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定する特定部と、
前記第二端末情報を用いて認証を行う認証部と、
を備えてもよい。 The information processing apparatus according to the present invention is
By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. A specific part to specify,
An authentication unit that performs authentication using the second terminal information,
May be provided.

本発明による情報処理装置において、
前記特定部は、前記第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定してもよい。 In the information processing device according to the present invention,
The specifying unit may specify the FQDN and the IP address in the Received header included in the second terminal information.

本発明による情報処理装置において、
前記認証部は、前記FQDNの完全一致又は部分一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行ってもよい。 In the information processing device according to the present invention,
The authentication unit may make an inquiry using the IP address to an external terminal identified by using the exact match or the partial match of the FQDN.

本発明による情報処理装置において、
前記認証部は、前記FQDNの部分一致を用いる場合には、サブドメインを削って後方一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行ってもよい。 In the information processing device according to the present invention,
When the partial matching of the FQDN is used, the authenticating unit may delete the subdomain and make an inquiry using the IP address to the external terminal specified by using the backward matching.

本発明による情報処理装置において、
前記特定部は、前記第二端末情報に含まれるIPアドレス及びエンベロープFromにおけるドメインを特定してもよい。 In the information processing device according to the present invention,
The specifying unit may specify the IP address included in the second terminal information and the domain in the envelope From.

本発明による情報処理装置において、
前記認証部は、前記エンベロープFromにおけるドメインの完全一致又は部分一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行ってもよい。 In the information processing device according to the present invention,
The authentication unit may make an inquiry using the IP address to an external terminal identified by using a complete match or a partial match of the domain in the envelope From.

本発明による情報処理装置において、
前記認証部は、前記エンベロープFromにおけるドメインの部分一致を用いる場合には、サブドメインを削って後方一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行ってもよい。 In the information processing device according to the present invention,
When the partial match of the domain in the envelope From is used, the authentication unit may delete the subdomain and make an inquiry using the IP address to the external terminal specified by using the backward match.

本発明による情報処理装置において、
前記特定部は、前記第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定し、
前記認証部は、前記ReceivedヘッダーにおけるFQDNを用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行い、前記ReceivedヘッダーにおけるFQDNを用いて前記IPアドレスによる認証を行えた旨の結果を取得できない場合に、エンベロープFromを用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行ってもよい。 In the information processing device according to the present invention,
The specifying unit specifies the FQDN and the IP address in the Received header included in the second terminal information,
The authentication unit makes an inquiry using the IP address to the external terminal specified by using the FQDN in the Received header, and shows that the authentication by the IP address can be performed by using the FQDN in the Received header. When the IP address cannot be obtained, an inquiry using the IP address may be made to the external terminal specified using the envelope From.

本発明による情報処理装置は、
前記認証部による認証結果を用いて判定を行う判定部をさらに備え、
認証レベルが選択可能となり、
前記判定部は、選択された認証レベルと前記認証結果とに基づいて、判定結果を決定してもよい。 The information processing apparatus according to the present invention is
Further comprising a determination unit that performs determination using the authentication result by the authentication unit,
Authentication level can be selected,
The determination unit may determine the determination result based on the selected authentication level and the authentication result.

本発明による情報処理装置において、
認証レベルが選択可能となり、
少なくとも二つの異なる認証レベルにおいてDNS通信の上限回数が異なってもよい。 In the information processing device according to the present invention,
Authentication level can be selected,
The upper limit number of times of DNS communication may be different in at least two different authentication levels.

本発明による情報処理方法は、
社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定することと、
前記第二端末情報を用いて認証を行うことと、
を備えてもよい。 The information processing method according to the present invention is
By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. To identify,
Performing authentication using the second terminal information,
May be provided.

本発明によるプログラムは、
情報処理装置に情報処理方法を実行させるプログラムであって、
前記情報処理装置は、
社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定することと、
前記第二端末情報を用いて認証を行うことと、
を備えた情報処理方法を実行してもよい。 The program according to the present invention is
A program for causing an information processing device to execute an information processing method,
The information processing device,
By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. To identify,
Performing authentication using the second terminal information,
An information processing method including the above may be executed.

本発明による記録媒体は、
前述したプログラムを記録してもよい。 The recording medium according to the present invention is
You may record the above-mentioned program.

本発明の一態様として、社内扱いとなっていない第二端末であって、第一端末に接続された第二端末に関する第二端末情報を特定し、第二端末情報に基づいて認証を行う態様を採用した場合には、信頼できる第二端末情報を用いて認証することができる。
As an aspect of the present invention, an aspect in which second terminal information regarding a second terminal which is not handled in-house and which is connected to the first terminal is specified and authentication is performed based on the second terminal information When adopting, it is possible to authenticate using the reliable second terminal information.

本発明の実施の形態による情報処理装置における処理の一例を説明するための図。The figure for demonstrating an example of the process in the information processing apparatus by embodiment of this invention. 本発明の実施の形態で用いられうるReceivedヘッダーの記載内容を説明するための図。FIG. 3 is a diagram for explaining the description content of a Received header that can be used in the embodiment of the present invention. 本発明の実施の形態で用いられうる認証結果の一覧を表で示した図。FIG. 4 is a table showing a list of authentication results that can be used in the embodiment of the present invention. 本発明の実施の形態で用いられうる情報処理装置を示したブロック図。FIG. 3 is a block diagram showing an information processing apparatus that can be used in the embodiment of the present invention. 本発明の実施の形態で用いられうる認証結果、判定結果及び優先度の一例を表で示した図。FIG. 4 is a table showing an example of authentication results, determination results, and priorities that can be used in the embodiment of the present invention. DNSレコード、TXTレコード、SPFレコード、Aレコード及びMXレコードの関係を示した図。The figure which showed the relationship of DNS record, TXT record, SPF record, A record, and MX record. 本発明の実施の形態による処理の流れの一例を説明するための図。The figure for demonstrating an example of the flow of the process by embodiment of this invention. 本発明の実施の形態で用いられうる隔離を通知するための画面を示した図。The figure which showed the screen for notifying the isolation|separation which can be used in embodiment of this invention. 本発明の実施の形態で用いられうる認証結果又は判定結果を通知するための画面を示した図。The figure which showed the screen for notifying the authentication result or the determination result which can be used in embodiment of this invention. 本発明の実施の形態による処理方法のフローの一例を示した図。The figure which showed an example of the flow of the processing method by embodiment of this invention. 本発明の実施の形態で用いられうるFQDN又はドメインを用いた処理方法のフローの一例を示した図。The figure which showed an example of the flow of the processing method using FQDN or domain which can be used in embodiment of this invention. 本発明の実施の形態で用いられうるTXTレコード評価を行うためのフローの一例を示した図。The figure showing an example of the flow for performing TXT record evaluation which can be used in an embodiment of the invention. 本発明の実施の形態で用いられうるSPFレコード評価を行うためのフローの一例を示した図。The figure showing an example of the flow for performing SPF record evaluation which can be used in an embodiment of the invention. 本発明の実施の形態で用いられうる機構評価を行うためのフローの一例を示した図。The figure which showed an example of the flow for performing the mechanism evaluation which can be used in embodiment of this invention. 本発明の実施の形態で用いられうる送信元偽装を判定するためのフローの一例を示した図。FIG. 4 is a diagram showing an example of a flow for determining sender disguise that can be used in the embodiment of the present invention.

実施の形態
《構成》
以下、本発明に係る情報処理装置の実施の形態について、図面を参照して説明する。本実施の形態において「又は」は「及び」の意味も含んでいる。つまり、本実施の形態においてA又はBとは、A、B並びにA及びBのいずれかを意味している。 Embodiment << Configuration>>
Embodiments of an information processing apparatus according to the present invention will be described below with reference to the drawings. In the present embodiment, “or” includes the meaning of “and”. That is, in this embodiment, A or B means any of A, B, and A and B.

本実施の形態の情報処理装置は一台の装置から構成されてもよいが、複数の装置から構成されてもよい。情報処理装置が複数の装置から構成される場合には、情報処理装置を構成する装置は異なる部屋又は異なる場所に設置されてもよく、情報処理装置の一部と情報処理装置の残部が遠隔地に配置されてもよい。 The information processing device according to the present embodiment may be configured by one device, but may be configured by a plurality of devices. When the information processing device is composed of a plurality of devices, the devices forming the information processing device may be installed in different rooms or different places, and a part of the information processing device and the rest of the information processing device are located in a remote area. May be located at.

本実施の形態の情報処理装置は、図4に示すように、社内扱いとしている一つ又は複数の第一端末100(図1参照)に関する第一端末情報を記憶する記憶部10と、社内扱いとなっていない第二端末200(図1参照)であって、第一端末100に接続された第二端末200に関する第二端末情報を特定する特定部50と、第二端末情報に基づいて認証を行う認証部20と、を有してもよい。本実施の形態では、一例として、図1に示す第一端末100aが特定部50及び認証部20を有している態様を用いて説明する。但し、このような態様に限られることはなく、第一端末100aが特定部50及び認証部20のいずれかだけを有してもよい。また、第一端末100aが記憶部10を有してもよいが、サーバ等の別の装置が記憶部10を有してもよい。 As shown in FIG. 4, the information processing apparatus according to the present embodiment includes a storage unit 10 that stores first terminal information about one or more first terminals 100 (see FIG. 1) that are treated as in-house, and an in-house treatment. The second terminal 200 (see FIG. 1) that has not become the second terminal 200, and the identification unit 50 that identifies the second terminal information regarding the second terminal 200 connected to the first terminal 100, and the authentication based on the second terminal information. And an authentication unit 20 for performing. In the present embodiment, as an example, a description will be given using a mode in which first terminal 100a shown in FIG. 1 has identifying unit 50 and authentication unit 20. However, the invention is not limited to such an aspect, and the first terminal 100a may have only one of the specifying unit 50 and the authentication unit 20. Further, although the first terminal 100a may have the storage unit 10, another device such as a server may have the storage unit 10.

情報処理装置は、認証部20による認証結果又は後述する判定部30による判定結果に基づいて、受信した電子メールを受信先に配信したり、隔離領域に隔離したり、削除したりする等の各種の処理(アクション)を行う処理部40を有してもよい。なお、隔離領域に電子メールが隔離された場合には、隔離通知が当該電子メールの受信先に配信されてもよい(図7参照)。隔離の通知は管理者に対して行われてもよい。管理者又は受信先への通知には、対象となっている電子メールの件名及び本文に関する情報が含まれてもよい。一例として図8に示されるような内容で通知されてもよい。 The information processing apparatus distributes the received e-mail to the recipient, quarantines it in the quarantine area, deletes the e-mail, and the like based on the authentication result by the authentication unit 20 or the determination result by the determination unit 30 described later. You may have the process part 40 which performs the process (action) of. When an e-mail is quarantined in the quarantine area, a quarantine notification may be delivered to the recipient of the e-mail (see FIG. 7). The quarantine notification may be given to the administrator. The notification to the administrator or the recipient may include information about the subject and body of the targeted email. As an example, the content may be notified as shown in FIG.

認証結果又は判定結果が理由とともに電子メールの受信先に送信されてもよい(図7参照)。認証結果又は判定結果は管理者に送信されてもよい。メール本文、件名等についてはリンク先を選択することで確認できるようになってもよい。一例として図9に示されるような内容で通知されてもよい。 The authentication result or the determination result may be sent to the recipient of the e-mail together with the reason (see FIG. 7). The authentication result or the determination result may be transmitted to the administrator. You may be able to check the email text, subject, etc. by selecting the link destination. As an example, the content may be notified as shown in FIG.

特定部50は、第二端末情報に含まれるReceivedヘッダーにおけるFQDN(Fully Qualified Domain Name)及びグローバルIPアドレス等のIPアドレスを特定してもよい。また、特定部50は、第二端末情報に含まれるグローバルIPアドレス等のIPアドレス及びエンベロープFromにおけるドメインを特定してもよい。また、特定部50は、第二端末情報に含まれるReceivedヘッダーにおけるFQDN、IPアドレス及びエンベロープFromにおけるドメインを特定してもよい。 The identifying unit 50 may identify an IP address such as a FQDN (Fully Qualified Domain Name) and a global IP address in the Received header included in the second terminal information. The identifying unit 50 may also identify an IP address such as a global IP address included in the second terminal information and a domain in the envelope From. The identifying unit 50 may also identify the FQDN in the Received header included in the second terminal information, the IP address, and the domain in the envelope From.

第一端末100は例えばMTA(Mail Transfer Agent)であり、ホスティングサービスメールサーバが含まれてもよい。また、第二端末200は例えばMTAであり、ホスティングサービスメールサーバが含まれてもよい。本実施の形態では、経由してきた各MTAサーバが付与するReceivedヘッダーのうち、一番外側にある社内扱いのMTA(図1に示す態様では、IP:3.4.5.6)に接続してきた、社外の対抗MTA(図1に示す態様では、IP:2.3.4.5)のIPアドレスを取得してもよい。 The first terminal 100 is, for example, an MTA (Mail Transfer Agent), and may include a hosting service mail server. The second terminal 200 is, for example, an MTA, and may include a hosting service mail server. In the present embodiment, among the Received headers given by each MTA server that has passed through, the outside MTA that is connected to the outermost MTA (in the mode shown in FIG. 1, IP:3.4.5.6) treated as a company. The IP address of the counter MTA (IP:2.3.4.5 in the embodiment shown in FIG. 1) may be acquired.

SPF認証に使用するIPアドレスはひとつ前のMTAのIPアドレスしか使用できず、ホスティングサーバー等を経由すると送信元IPアドレスが使用(特定)できない。これに対して、本実施の形態によれば、社内扱いの第一端末100のうち最も社外に近い第一端末100におけるReceivedヘッダーを解析することで、信頼できる接続元のIPアドレス情報、FQDN等を特定し、社外扱いの第二端末200に直接接続されていない離れた第一端末100からでも認証を行うことができる。なお、社内扱いされるMTA等の第一端末100は、管理者等が図4に示す入力部90を介して例えばIPアドレス等を入力することで記憶部10に記憶されてもよい。社内扱いされる第一端末100は、追加、修正、削除等が適宜行われてもよい。また、社内扱いされる第一端末100は自動で識別されて、記憶部10で記憶されてもよい。 Only the IP address of the previous MTA can be used as the IP address used for SPF authentication, and the source IP address cannot be used (specified) via a hosting server or the like. On the other hand, according to the present embodiment, by analyzing the Received header in the first terminal 100 closest to the outside of the first terminals 100 handled in the company, reliable connection source IP address information, FQDN, etc. Can be specified, and authentication can be performed even from a distant first terminal 100 that is not directly connected to the externally treated second terminal 200. The first terminal 100 such as an MTA that is handled in-house may be stored in the storage unit 10 by an administrator or the like inputting an IP address or the like via the input unit 90 shown in FIG. The first terminal 100 that is treated in-house may be appropriately added, modified, deleted, or the like. Further, the first terminal 100 treated as a company may be automatically identified and stored in the storage unit 10.

記憶部10はIPアドレス等を含む第一端末情報(図1参照)をリストとして記憶してもよい。第一端末100がMTAである場合には、リストに掲載されていないMTAのうち、Receivedヘッダーの最上位に書かれたIPアドレスを持つMTAが社外の対抗MTAとして特定されてもよい。なお、第一端末情報には、IPアドレスの他に、ReceivedヘッダーにおけるFQDN、エンベロープFromのドメイン等が含まれてもよい。 The storage unit 10 may store the first terminal information (see FIG. 1) including the IP address and the like as a list. When the first terminal 100 is an MTA, an MTA having the IP address written at the top of the Received header among MTAs not listed in the list may be specified as the external counter MTA. The first terminal information may include the FQDN in the Received header, the domain of the envelope From, and the like, in addition to the IP address.

認証部20は、FQDNの完全一致又は部分一致を用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。外部端末300は例えばDNS(Domain Name System)サーバであってもよい。認証は例えばSPF(Sender Policy Framework)レコードを用いて行われてもよく、この場合には、IPアドレスを用いた問い合わせとは例えばSPFレコードの問い合わせを意味している。 The authentication unit 20 may make an inquiry using the IP address to the external terminal 300 identified by using the exact match or the partial match of the FQDN. The external terminal 300 may be, for example, a DNS (Domain Name System) server. The authentication may be performed using, for example, an SPF (Sender Policy Framework) record, and in this case, the inquiry using the IP address means, for example, an inquiry about the SPF record.

認証部20は、FQDNの部分一致を用いる場合には、サブドメインを削って後方一致を用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。一例としては、まずFQDNの完全一致で外部端末300の特定を試み、FQDNの完全一致で外部端末300を特定できない場合にFQDNの部分一致、例えばサブドメインを削った後方一致で外部端末300を特定してもよい。また、外部端末300が特定されるまで繰り返し、サブドメインを削る処理が行われてもよい。図2に示す態様では、MTAリストを利用して社内扱いとされているMTAを特定し、社外扱いとされているMTAのうち最も社内に近いMTA(以下「社外境界MTA」ともいう。)を特定する。そして、社外境界MTAのhosting.a.comというFQDNを使用してDNS通信を実行する。「hosting.a.com」というFQDNで外部端末300を特定できなかった場合には、「hosting.」を削除して、「a.com」というFQDNを使用して再度DNS通信を行う。サブドメインを削る処理は、有効な登録ドメイン(ccSDLやTDLを除く。図11のS21参照)まで実行してもよい。 When the partial match of FQDN is used, the authentication unit 20 may delete the subdomain and make an inquiry using the IP address to the external terminal 300 specified by using the backward match. As an example, first, the external terminal 300 is tried to be identified by the exact match of the FQDN, and when the external terminal 300 cannot be identified by the exact match of the FQDN, the external terminal 300 is identified by the partial match of the FQDN, for example, the backward match with the subdomain removed. You may. Further, the process of deleting the sub domain may be repeatedly performed until the external terminal 300 is specified. In the mode shown in FIG. 2, an MTA that is treated as an in-house is specified by using the MTA list, and among the MTAs that are treated as outside, the MTA closest to the company (hereinafter, also referred to as “outside boundary MTA”). Identify. Then, the DNS communication is executed using the FQDN of hosting.a.com of the outside boundary MTA. When the external terminal 300 cannot be specified by the FQDN of "hosting.a.com", "hosting." is deleted, and the DNS communication is performed again using the FQDN of "a.com". The process of deleting the sub domain may be executed up to a valid registered domain (except for ccSDL and TDL. See S21 in FIG. 11).

認証部20は、エンベロープFromにおけるドメインの完全一致又は部分一致を用いて特定された外部端末300に対してIPアドレスに関する認証を依頼してもよい。一例としては、まずエンベロープFromにおけるドメインの完全一致で外部端末300の特定を試み、エンベロープFromにおけるドメインで外部端末300を特定できない場合にエンベロープFromにおけるドメインの部分一致、例えばサブドメインを削った後方一致で外部端末300を特定してもよい。また、外部端末300が特定されるまで繰り返し、サブドメインを削る処理が行われてもよい。 The authentication unit 20 may request the external terminal 300 specified by using the complete match or partial match of the domain in the envelope From to perform the authentication regarding the IP address. As an example, first, the external terminal 300 is attempted to be specified by completely matching the domain in the envelope From, and when the external terminal 300 cannot be specified in the domain in the envelope From, partial matching of the domain in the envelope From, for example, backward matching in which the subdomain is deleted is performed. The external terminal 300 may be specified by. Further, the process of deleting the sub domain may be repeatedly performed until the external terminal 300 is specified.

ReceivedヘッダーにおけるFQDNを用いて外部端末300を特定することを優先し、ReceivedヘッダーにおけるFQDNを用いて外部端末300を特定できない場合に、エンベロープFromにおけるドメインを用いて外部端末300を特定するようにしてもよい(図15参照)。但し、このような態様には限られず、エンベロープFromにおけるドメインを用いて外部端末300を特定することを優先し、エンベロープFromにおけるドメインを用いて外部端末300を特定できない場合に、ReceivedヘッダーにおけるFQDNを用いて外部端末300を特定するようにしてもよい。 Priority is given to specifying the external terminal 300 using the FQDN in the Received header, and when the external terminal 300 cannot be specified using the FQDN in the Received header, the external terminal 300 is specified using the domain in the envelope From. (See FIG. 15). However, the present invention is not limited to such an aspect, the priority is given to specifying the external terminal 300 by using the domain in the envelope From, and when the external terminal 300 cannot be specified by using the domain in the envelope From, the FQDN in the Received header is set. The external terminal 300 may be specified by using the external terminal 300.

特定部50が、第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定し、認証部20が、ReceivedヘッダーにおけるFQDNを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。そして、ReceivedヘッダーにおけるFQDNを用いてIPアドレスによる認証を行えた旨の結果を取得できない場合に、エンベロープFromのドメインを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。但し、このような態様には限られず、認証部20が、エンベロープFromのドメインを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い、エンベロープFromのドメインを用いてIPアドレスによる認証を行えた旨の結果を取得できない場合に、ReceivedヘッダーにおけるFQDNを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。また、認証部20は、ReceivedヘッダーにおけるFQDNを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行うとともに、エンベロープFromのドメインを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。 The identifying unit 50 identifies the FQDN and the IP address in the Received header included in the second terminal information, and the authenticating unit 20 makes an inquiry using the IP address to the external terminal 300 identified using the FQDN in the Received header. You may go. Then, when the result indicating that the authentication by the IP address can be performed using the FQDN in the Received header cannot be obtained, the inquiry using the IP address is made to the external terminal 300 specified using the domain of the envelope From. Good. However, the present invention is not limited to such an aspect, and the authentication unit 20 makes an inquiry using the IP address to the external terminal 300 identified using the domain of the envelope From, and uses the domain of the envelope From to perform the inquiry. When it is not possible to obtain the result indicating that the authentication has been performed, the inquiry using the IP address may be made to the external terminal 300 specified by using the FQDN in the Received header. In addition, the authentication unit 20 makes an inquiry using the IP address to the external terminal 300 specified using the FQDN in the Received header, and sends the IP address to the external terminal 300 specified using the domain of the envelope From. You may make an inquiry using the address.

認証レベルは選択可能となってもよい(図3参照)。そして、少なくとも二つの異なる認証レベルにおいてDNS通信の上限回数が異なってもよい。一例としては、図3に示すように、認証レベルが4段階で設定可能となってもよい。第二認証レベル(図3の「標準」)の認証レベルは第一認証レベル(図3の「強」)より低く、第三認証レベル(図3の「中」)の認証レベルは第二認証レベルより低く、第四認証レベル(図3の「弱」)の認証レベルは第三認証レベルより低くてもよい。第二認証レベルでのDNS通信の上限回数は第一認証レベルでのDNS通信の上限回数よりも多くてもよく、一例として、第二認証レベルでのDNS通信の上限回数は20回を超える数値m(「m」は21以上の整数)であり、第一認証レベルでのDNS通信の上限回数は10回である。なお、各認証レベルにおいてDNS通信の上限回数が異なってもよいし、複数の認証レベルのうち少なくとも2つにおいてDNS通信の上限回数が異なってもよい。上限を超えてDNS通信が行われる場合には、permerrorと判定してもよい。 The authentication level may be selectable (see FIG. 3). Then, the upper limit number of times of DNS communication may be different at at least two different authentication levels. As an example, as shown in FIG. 3, the authentication level may be set in four stages. The second authentication level (“standard” in FIG. 3) is lower than the first authentication level (“strong” in FIG. 3), and the third authentication level (“medium” in FIG. 3) is the second authentication level. Below the level, the authentication level of the fourth authentication level (“weak” in FIG. 3) may be below the third authentication level. The maximum number of times of DNS communication at the second authentication level may be greater than the maximum number of times of DNS communication at the first authentication level, and as an example, the maximum number of times of DNS communication at the second authentication level exceeds 20 times. m (“m” is an integer of 21 or more), and the upper limit number of times of DNS communication at the first authentication level is 10. Note that the upper limit number of DNS communications may be different for each authentication level, or the upper limit number of DNS communications may be different for at least two of the plurality of authentication levels. When the DNS communication is performed exceeding the upper limit, it may be determined as a perm error.

なお、SPF認証ではSPFのフレームワークに基づき、定義通りに認証結果を返すことを目的としているが、正確に宣言しているユーザは5割前後と考えられることから、passの認証を取ることができない場合がある。また、SPF認証では、例えば文法間違えをしていると認証はしてくれない。これに対して、本態様によれば、認証レベルを選択することで、適宜なレベルで認証を行うことができる。また、認証レベルを適宜選択することで、RFC7208通りに正確に宣言してなくても、宣言しようとしているIPアドレスを読み取れる限り読み取り、送信元を特定することに注力して、差出人のメールアドレスが他のドメイン名に「なりすまし」ていないか検出することもできる。なお、認証レベルは図4に示す入力部90から入力可能となってよい。 In SPF authentication, the purpose is to return the authentication result as defined based on the SPF framework. However, it is considered that about 50% of users make accurate declarations, so pass authentication is required. Sometimes you can't. Further, in SPF authentication, for example, if a grammatical mistake is made, authentication will not be performed. On the other hand, according to this aspect, by selecting the authentication level, it is possible to perform authentication at an appropriate level. Also, by selecting the authentication level appropriately, even if you have not declared exactly according to RFC7208, you can read the IP address you are trying to declare as much as you can and focus on identifying the sender, and the sender's email address It can also detect if you are "spoofing" into another domain name. The authentication level may be able to be input from the input unit 90 shown in FIG.

図4に示すように、認証部20による認証結果を用いて判定を行う判定部30が設けられてもよい。判定部30は、選択された認証レベルと認証結果とに基づいて、判定結果を決定してもよい。一例としては、判定部30は、認証レベル(図3では4段階の認証レベル)と、「pass」、「fail」、「softfail」、「neutral」、「none」、「permerror」、「temperror」及び「empty」の認証結果とに基づいて、認証に成功したかどうかを判定してもよい。なお、図3では、判定部30において認証に成功したと判定される場合には「〇」として示され、認証に失敗したと判定される場合には「×」として示されている。 As shown in FIG. 4, a determination unit 30 that performs determination using the authentication result by the authentication unit 20 may be provided. The determination unit 30 may determine the determination result based on the selected authentication level and the authentication result. As an example, the determination unit 30 determines the authentication level (the four authentication levels in FIG. 3) and “pass”, “fail”, “softfail”, “neutral”, “none”, “permerror”, “temperror”. Alternatively, it may be determined whether or not the authentication has succeeded, based on the authentication result of “empty”. In FIG. 3, when the determination unit 30 determines that the authentication is successful, it is shown as “◯”, and when it is determined that the authentication has failed, it is shown as “X”.

図3に示す態様では、第一認証レベルでは10回以下のDNS通信において、pass以外は認証NGとして判定部30で判定される。第二認証レベルではm回(「m」は21以上の整数)以下のDNS通信において、pass以外は認証NGとして判定部30で判定される。第三認証レベルではm回以下のDNS通信において、pass、neutral及びnone以外は認証NGとして判定部30で判定される。第四認証レベルではm回以下のDNS通信において、pass、softfail、neutral、none、permerror及びtemperror以外は認証NGとして判定部30で判定される。なお、発明者らが確認したところによると、10回をDNS通信の上限として設定した場合には、passとなるべきケースであっても通信回数がオーバーすることでpermerrorとなってしまう場合が、passとならないケースの50%程を占めることが判明した。他方、m回のDNS通信を行うことで、passとなるべきケースであれば非常に多くのケースでpassとなることが判明した。 In the mode shown in FIG. 3, in the first authentication level, in the DNS communication 10 times or less, except for pass, the determination unit 30 determines as authentication NG. In the second authentication level, in the DNS communication m times (“m” is an integer equal to or greater than 21) or less, the determination unit 30 determines that the authentication is NG except for pass. At the third authentication level, in the DNS communication less than m times, except for pass, neutral, and none, the determination unit 30 determines as the authentication NG. At the fourth authentication level, in the DNS communication less than m times, the determination unit 30 determines as authentication NG except for pass, softfail, neutral, none, permerror and temperror. According to the confirmation by the inventors, when 10 times is set as the upper limit of the DNS communication, a perm error may occur due to an excessive number of times of communication even in the case where the pass should occur. It turned out that it occupies about 50% of cases that do not pass. On the other hand, by performing mth DNS communication, it was found that in many cases, if it should be a pass, it will be a pass.

本実施の形態において、「pass」は認証に成功したことを意味し、「fail」は認証に失敗し、送信元が受信拒否を許容していることを意味し、「softfail」は認証に失敗したが、送信元が受信拒否について宣言しないことを意味し、「neutral」は認証に失敗したが、送信元が受信拒否しないことを意味し、「none」はTXTレコードが存在するがSPFレコードが公開されていないことを意味し、「permerror」はSPFレコード文法ミス等の恒久的なエラーを意味し、「temperror」はSPFレコード問い合わせタイムアウト等の一時的なエラーを意味し、「empty」はTXTレコード自体が存在しないことを意味している。なお、TXTレコード自体が存在しない態様としては、DNSレコード自体が存在しないことも含まれている。 In the present embodiment, "pass" means that the authentication was successful, "fail" means that the authentication failed, and the sender permits the refusal of reception, and "softfail" means that the authentication failed. However, it means that the sender does not declare the refusal of reception, “neutral” means that the authentication has failed, but the sender does not refuse to receive, and “none” means that the TXT record exists but the SPF record does not exist. It means that it is not published, "perm error" means a permanent error such as SPF record syntax error, "temp error" means a temporary error such as SPF record inquiry timeout, and "empty" means TXT. It means that the record itself does not exist. It should be noted that the aspect in which the TXT record itself does not exist includes that the DNS record itself does not exist.

DNSレコード、TXTレコード、SPFレコード、Aレコード、MXレコード等の関係を図6に示す。DNSレコードの中にTXTレコードが含まれ、TXTレコードの中にSPFレコードが含まれるようになっている。RFC7208に基づいたSPF認証における「none」は認証するSPFレコードが公開されていない態様を意味し、「neutral」と同等に扱われているところ、本実施の形態における「none」とは、前述したように、DNSレコードが存在するがSPFレコードが公開されていない場合を意味し、「neutral」とは異なる取り扱いが行われる。また、RFC7208に基づいたSPF認証では「empty」という結果は存在しておらず、DNSレコード自体が存在していない場合には「none」として取り扱われている。 FIG. 6 shows the relationship among the DNS record, TXT record, SPF record, A record, MX record and the like. The DNS record contains a TXT record, and the TXT record contains an SPF record. “None” in SPF authentication based on RFC7208 means that the SPF record to be authenticated is not disclosed, and is treated the same as “neutral”. In this embodiment, “none” is the same as that described above. As described above, it means that the DNS record exists but the SPF record is not disclosed, and the handling different from “neutral” is performed. Further, in the SPF authentication based on RFC7208, the result of "empty" does not exist, and when the DNS record itself does not exist, it is treated as "none".

SPF認証においては、RFC7208にしたがって認証結果をそのまま採用されるところ、本実施の形態では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果、passとなる場合以外では、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果が採用されてもよい。より具体的には、図5に示すように、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でfailの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはfailとして取り扱われてもよい。ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でsoffailの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはsoftfailとして取り扱われてもよい。ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でneutralの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはneutralとして取り扱われてもよい。ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でnoneの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはnoneとして取り扱われてもよい。ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でpermerrorの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはpermerrorとして取り扱われてもよい。ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でtemperrorの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはtemperrorとして取り扱われてもよい。ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果でemptyの場合では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果がpassとならないときにはemptyとして取り扱われてもよい。但し、これに限られることはなく、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果、passとなる場合以外では、エンベロープFromにおけるドメインを用いてIPアドレスを認証した結果が採用されてもよい。 In SPF authentication, the authentication result is adopted as it is according to RFC7208. However, in the present embodiment, FQDN is used in the Received header except when the result of authenticating the IP address using the domain in the envelope From is pass. The authentication result of the existing IP address may be adopted. More specifically, as shown in FIG. 5, in the case where the result of IP address authentication using FQDN in the Received header is fail, if the result of authenticating the IP address using the domain in the envelope From is not pass, fail May be treated as. In the case where the authentication result of the IP address using FQDN in the Received header is soffail, when the result of authenticating the IP address using the domain in the envelope From is not pass, it may be treated as softfail. In the case where the result of IP address authentication using FQDN in the Received header is neutral, when the result of authenticating the IP address using the domain in the envelope From is not pass, it may be treated as neutral. When the authentication result of the IP address using FQDN in the Received header is none, it may be treated as none when the result of authenticating the IP address using the domain in the envelope From is not pass. In the case of a perm error in the authentication result of the IP address using FQDN in the Received header, if the result of authenticating the IP address using the domain in the envelope From is not pass, it may be treated as a perm error. In the case where the IP address authentication result using FQDN in the Received header is temp error, it may be treated as temp error when the result of authenticating the IP address using the domain in the envelope From is not pass. When the IP address authentication result using FQDN in the Received header is empty, it may be treated as empty when the result of authenticating the IP address using the domain in the envelope From is not pass. However, the present invention is not limited to this, and the authentication result of the IP address using the FQDN in the Received header may be the result of authenticating the IP address using the domain in the envelope From, except when the result is pass.

また、認証結果に関する優先度が決められていてもよい。一例としては、図5に示すような優先度が決められていてもよい。この場合には、同じ送信元の同一又は異なるSPFレコード内で異なる判定結果が得られたときに、優先度に従い、数字の低い方の認証結果を判定部30が判定結果として採用してもよい。優先度は入力部90からの入力によって適宜変更されてもよい。 Moreover, the priority regarding the authentication result may be determined. As an example, the priorities as shown in FIG. 5 may be set. In this case, when different determination results are obtained within the same or different SPF records of the same transmission source, the determination unit 30 may employ the authentication result with the lower number as the determination result according to the priority. .. The priority may be appropriately changed by an input from the input unit 90.

また、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果及びエンベロープFromにおけるドメインを用いたIPアドレスの認証結果の両方をキュー等に記録し、記憶部10で記憶してもよい(図10参照)。そして、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果及びエンベロープFromにおけるドメインを用いたIPアドレスの認証結果のいずれか一方においてpassとなった場合に、passとなった方を優先して適用してもよい。両認証結果がpassとなった場合には、いずれを採用してもよい。 Further, both the authentication result of the IP address using the FQDN in the Received header and the authentication result of the IP address using the domain in the envelope From may be recorded in a queue or the like and stored in the storage unit 10 (see FIG. 10). .. Then, if either one of the authentication result of the IP address using FQDN in the Received header and the authentication result of the IP address using the domain in the envelope From becomes pass, the pass pass is given priority. May be. If both authentication results are pass, either one may be adopted.

図10に示す態様では、まず社外境界MTA等の最も社内に近い第二端末200のグローバルIPアドレスを接続元IPアドレスとして取得する(S11参照)。当該第二端末200に関するReceivedヘッダーを検索し(S12参照)、ReceivedヘッダーのFQDNを用いた認証結果を取得する(S13参照)。また、最も社内に近い第二端末200のエンベロープFromを取得し(S14参照)、エンベロープFromのドメインを用いた認証結果を取得する(S15参照)。そして、ReceivedヘッダーのFQDNを用いた認証結果とエンベロープFromのドメインを用いた認証結果の両方をキュー等に記録し、記憶部10で記憶する。そして、ReceivedヘッダーのFQDNを用いた認証結果とエンベロープFromのドメインを用いた認証結果のいずれかにおいてpassとなった場合には、認証を行えたものとして認証部20又は判定部30で判断されてもよい。 In the mode shown in FIG. 10, first, the global IP address of the second terminal 200 closest to the company such as the outside boundary MTA is acquired as the connection source IP address (see S11). The Received header relating to the second terminal 200 is searched (see S12), and the authentication result using the FQDN of the Received header is obtained (see S13). Further, the envelope From of the second terminal 200 closest to the company is acquired (see S14), and the authentication result using the domain of the envelope From is obtained (see S15). Then, both the authentication result using the FQDN of the Received header and the authentication result using the domain of the envelope From are recorded in a queue or the like and stored in the storage unit 10. Then, if the pass is obtained in either the authentication result using the FQDN of the Received header or the authentication result using the domain of the envelope From, the authentication unit 20 or the determination unit 30 determines that the authentication has been performed. Good.

このような態様に限られることはなく、社外境界MTAのIPアドレスを取得し、エンベロープFromにおけるドメインを用いたIPアドレスの認証を行う。その後で、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証を行う。そして、ReceivedヘッダーにおけるFQDNを用いたIPアドレスの認証結果及びエンベロープFromにおけるドメインを用いたIPアドレスの認証結果の両方をキュー等に記録し、記憶部10で記憶されてもよい。このように両方の結果を記憶しておくことで、後々の確認に利用できる。 The present invention is not limited to such an aspect, the IP address of the external boundary MTA is acquired, and the IP address is authenticated using the domain in the envelope From. After that, the IP address is authenticated using the FQDN in the Received header. Then, both the authentication result of the IP address using the FQDN in the Received header and the authentication result of the IP address using the domain in the envelope From may be recorded in a queue or the like and stored in the storage unit 10. By storing both results in this way, they can be used for later confirmation.

RFC7208に基づいたSPF認証では「redirect」では、引数で指定したドメインのSPFレコードの判定結果を最終的な判定結果にしているところ、本実施の形態でも、「redirect」は引数で指定したドメインのSPFレコードの判定結果を最終的な判定結果にしてもよい。但し、本実施の形態では、文法エラー等の「permerror」となるケースは「empty」と扱ってもよい。 In SPF authentication based on RFC7208, in "redirect", the determination result of the SPF record of the domain specified by the argument is the final determination result. Also in this embodiment, "redirect" is the domain of the domain specified by the argument. The determination result of the SPF record may be the final determination result. However, in the present embodiment, a case of "perm error" such as a syntax error may be treated as "empty".

RFC7208に基づいたSPF認証における「exp」では、引数で指定したドメインのTXTレコードを認証失敗時のエラーメッセージとしているところ、「exp」は認証OK/NGに直接関わらないため、本実施の形態では「exp」を無視してもよい。 In the “exp” in SPF authentication based on RFC7208, the TXT record of the domain specified by the argument is used as the error message when the authentication fails, but since “exp” is not directly related to the authentication OK/NG, in the present embodiment You may ignore "exp".

RFC7208に基づいたSPF認証では「all」は文末にのみ指定される機構で、他の機構が非該当判定だった場合に限定子に従った判定結果を該当させるところ、本実施の形態でも、「all」は文末にのみ指定される機構で、他の機構が非該当判定だった場合に限定子に従った判定結果を該当させてもよい。但し、本実施の形態では「+all」と書かれた場合には「permerror」としてもよい。「+all」とは全ての送信元を認証OKするという意味であり、送信元偽装手法として利用される可能性があるためである。 In SPF authentication based on RFC7208, "all" is a mechanism that is specified only at the end of a sentence, and when other mechanisms are not applicable, the determination result according to the qualifier is applied. “All” is a mechanism that is specified only at the end of a sentence, and when other mechanisms are not applicable, the determination result according to the qualifier may be applicable. However, in this embodiment, when "+all" is written, it may be "perm error". “+All” means that all senders can be authenticated, and may be used as a sender disguise method.

RFC7208に基づいたSPF認証における「include」では、指定したドメインの判定結果がpassの場合のみ限定子に従った判定結果を該当させ、pass以外の場合には非該当として扱うところ、本実施の形態における「include」では、指定したドメインの判定結果がpassの場合のみ限定子に従った判定結果を該当させ、pass以外の場合にはfail等の判定結果をそのまま引用してもよい。また、本実施の形態ではinclude先のall機構の評価を行わないようにしてもよい。 In “include” in SPF authentication based on RFC7208, the determination result according to the qualifier is applied only when the determination result of the specified domain is pass, and it is treated as non-applicable when it is other than pass. In "include" in, the determination result according to the qualifier may be applied only when the determination result of the specified domain is pass, and the determination result such as fail may be quoted as it is in cases other than pass. Moreover, in the present embodiment, the evaluation of the all mechanism of the include destination may be omitted.

RFC7208に基づいたSPF認証では文法エラーはpermerrorとされるが、本実施の形態では、文法エラーを無視してもよい。 In SPF authentication based on RFC7208, a syntax error is a perm error, but in the present embodiment, the syntax error may be ignored.

RFC7208に基づいたSPF認証では複数のSPFレコードが存在する(例えばv=spf1で始まる構文が複数ある)場合にはpermerrorとされるが、本実施の形態では、判定結果がpassになるまですべてのSPFレコードを評価し、passにならない場合には、認証部20が、判定結果がpassになるまで全てのSPFレコードを評価してもよい(図12参照)。そして、全てのSPFレコードに関してpassにならない場合に、判定部30が、設定された認証レベルに応じた結果を判定してもよい。 In SPF authentication based on RFC7208, if there are multiple SPF records (for example, there are multiple syntaxes starting with v=spf1), it is set as permerror. However, in the present embodiment, all of the determination results are pass When the SPF records are evaluated and if they do not pass, the authentication unit 20 may evaluate all SPF records until the determination result becomes pass (see FIG. 12). Then, when all SPF records do not pass, the determination unit 30 may determine the result according to the set authentication level.

記憶部10は、信頼できる送信元情報を抽出されたリストをホワイトリストとして記憶してもよい。認証結果がpassとなった送信元情報を信頼できる送信元として扱ってもよい。ホワイトリストに該当するかどうかは、送信元IPアドレスと送信元ドメイン(エンベロープFrom)で特定してもよい。ホワイトリストに登録されている送信元に関しては、処理部40による「隔離」「削除」等のアクションを抑止してもよい。 The storage unit 10 may store, as a white list, a list in which reliable transmission source information is extracted. The source information whose authentication result is pass may be treated as a reliable source. Whether or not it corresponds to the white list may be specified by the source IP address and the source domain (envelope From). For the senders registered in the white list, actions such as “quarantine” and “delete” by the processing unit 40 may be suppressed.

本実施の形態では、前述した情報処理装置に関するあらゆる態様における情報処理方法、当該情報処理装置を生成するためのプログラム、当該プログラムを記録したUSBメモリ、CD、DVD等を含む記録媒体も提供される。 The present embodiment also provides an information processing method in all aspects related to the information processing apparatus described above, a program for generating the information processing apparatus, a recording medium including a USB memory, a CD, a DVD, and the like in which the program is recorded. ..

本実施の形態の情報処理装置は、例えばサーバプログラム等のプログラムをインストールすることで生成される。このプログラムは電子メールで配信されてもよいし、所定のURLにアクセスしたうえでログインすることで入手できてもよいし、記録媒体に記録されてもよい。本実施の形態の情報処理方法は上記プログラムがインストールされた情報処理装置によって実施される。 The information processing device according to the present embodiment is generated by installing a program such as a server program. This program may be delivered by electronic mail, may be obtained by logging in after accessing a predetermined URL, or may be recorded in a recording medium. The information processing method of the present embodiment is implemented by an information processing device in which the above program is installed.

《効果》
次に、上述した構成からなる本実施の形態による効果であって、未だ説明していないものを中心に説明する。なお、「効果」で述べるあらゆる構成は、本実施の形態の構成として利用することができる。 "effect"
Next, the effects of the present embodiment having the above-described configuration, which are not described yet, will be mainly described. Note that any configuration described in “Effect” can be used as the configuration of the present embodiment.

社内扱いとなっていない第二端末200であって、第一端末100に接続された第二端末200に関する第二端末情報を特定し、第二端末情報に基づいて認証を行う態様を採用した場合には(図1参照)、信頼できる第二端末情報を用いて認証することができる。なお、社内扱いとなっているMTA等の第一端末100に対しては認証を行わなくてもよい。 In the case where the second terminal 200 that is not handled in-house is adopted, and the second terminal information regarding the second terminal 200 connected to the first terminal 100 is specified and authentication is performed based on the second terminal information (See FIG. 1), authentication can be performed using the reliable second terminal information. Note that it is not necessary to authenticate the first terminal 100 such as MTA that is treated in-house.

第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定して認証を行う態様を採用した場合には、信頼できるReceivedヘッダーにおける情報を用いて認証を行うことができる。一般的に、Receivedヘッダーは簡単に偽装可能なので、信頼することが難しいとされている。しかしながら、社内扱いされているMTA等の第一端末100が記録したReceivedヘッダーが偽装されることはない。そして、社外境界MTA(図1ではIP:2.3.4.5)等の第二端末200が社内境界MTA(図1ではIP:3.4.5.6)等の第一端末100にTCPコネクション等を行った際に社内境界MTA等の第一端末100が得たFQDN及びIPアドレスは正しく記録されることになる。したがって、この態様を用いた場合には、信頼できるReceivedヘッダーにおける情報を用いて認証を行うことができる。また、SPF認証で用いられているエンベロープFromについては偽装される可能性があるが、本態様のように社内境界MTA(図1ではIP:3.4.5.6)等の第一端末100によって特定される社外境界MTA(図1ではIP:2.3.4.5)等の第二端末200のFQDN及びIPアドレスは偽装されることはないことから、正確な情報に基づいて認証を行うことができる。 When adopting a mode in which the FQDN and IP address in the Received header included in the second terminal information are specified and authentication is performed, the authentication can be performed using the information in the reliable Received header. Generally, the Received header can be easily spoofed, making it difficult to trust. However, the Received header recorded by the first terminal 100 such as an MTA that is handled in-house is not spoofed. When the second terminal 200 such as the outside boundary MTA (IP:2.3.4.5 in FIG. 1) makes a TCP connection or the like to the first terminal 100 such as the inside boundary MTA (IP:3.4.5.6 in FIG. 1). The FQDN and IP address obtained by the first terminal 100 such as the in-house boundary MTA will be correctly recorded. Therefore, when this mode is used, authentication can be performed using the information in the reliable Received header. Further, the envelope From used in the SPF authentication may be disguised, but is specified by the first terminal 100 such as the company boundary MTA (IP:3.4.5.6 in FIG. 1) as in this aspect. Since the FQDN and IP address of the second terminal 200 such as the outside boundary MTA (IP: 2.3.4.5 in FIG. 1) are not forged, it is possible to perform authentication based on accurate information.

認証部20が、FQDNの完全一致を用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い態様を採用した場合には、完全なFQDNを用いてDNSサーバ等の外部端末300を特定することができる。他方、部分一致の特定でも許可する態様を採用した場合には、より高い確率で外部端末300を特定することができる。また、部分一致の特定でも許可する態様を採用し、サブドメインを削って後方一致を用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い態様を採用した場合には、より効率的に部端末を特定することができる。 When the authenticating unit 20 adopts a mode of making an inquiry using the IP address to the external terminal 300 specified by using the exact FQDN matching, the external terminal 300 such as a DNS server using the complete FQDN is adopted. Can be specified. On the other hand, in the case of adopting the mode of permitting the partial match identification, the external terminal 300 can be identified with a higher probability. Further, in the case of adopting the mode of permitting even the partial match specification, and by adopting the mode of making an inquiry using the IP address to the external terminal 300 specified by deleting the subdomain and using the backward match, It is possible to efficiently specify the department terminal.

特定部50が、第二端末情報に含まれるIPアドレス及びエンベロープFromにおけるドメインを特定する態様を採用した場合には、エンベロープFromを用いてDNSサーバ等の外部端末300を特定することができる。なお、このIPアドレスは、社外境界MTA等の第二端末200に関してReceivedヘッダーに基づいて取得されたものを用いてもよい。 When the specifying unit 50 adopts a mode of specifying the IP address included in the second terminal information and the domain in the envelope From, the external terminal 300 such as a DNS server can be specified using the envelope From. It should be noted that this IP address may be the one acquired based on the Received header for the second terminal 200 such as the outside boundary MTA.

認証部20は、エンベロープFromにおけるドメインの完全一致を用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い態様を採用した場合には、完全なドメインを用いてDNSサーバ等の外部端末300を特定することができる。他方、部分一致の特定でも許可する態様を採用した場合には、より高い確率で外部端末300を特定することができる。また、部分一致の特定でも許可する態様を採用し、サブドメインを削って後方一致を用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い態様を採用した場合には、より効率的に部端末を特定することができる。 When the authenticating unit 20 makes an inquiry using the IP address to the external terminal 300 identified by using the exact domain match in the envelope From, and adopts a mode, the authenticating unit 20 uses the complete domain, such as a DNS server. The external terminal 300 can be specified. On the other hand, in the case of adopting the mode of permitting the partial match identification, the external terminal 300 can be identified with a higher probability. Further, in the case of adopting the mode of permitting even the partial match specification, and by adopting the mode of making an inquiry using the IP address to the external terminal 300 specified by deleting the subdomain and using the backward match, It is possible to efficiently specify the department terminal.

特定部50が社外境界MTA等に関する第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定し、認証部20がReceivedヘッダーにおけるFQDNを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い、ReceivedヘッダーにおけるFQDNを用いてIPアドレスによる認証を行えた旨の結果を取得できない場合に、エンベロープFromを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行う態様を採用した場合には(図15参照)、ReceivedヘッダーにおけるFQDNを用いて特定されたDNSサーバ等の外部端末300によって認証を行えた旨(認証OK)の結果を取得できなかったときに、エンベロープFromを用いて特定されたDNSサーバ等の外部端末300に対してIPアドレスを用いた問い合わせを行うこととなる。このような態様では、Receivedヘッダーの情報に基づいて認証OKの結果を取得できなかった場合に、エンベロープFromの情報に基づいて認証OKの結果を取得しに行くことができ、手続きを簡易なものにしつつ、認証を極力取得するようにすることができる。 The identifying unit 50 identifies the FQDN and the IP address in the Received header included in the second terminal information regarding the external boundary MTA, etc., and the authenticating unit 20 assigns the IP address to the external terminal 300 identified using the FQDN in the Received header. When an inquiry using the IP address cannot be obtained using the FQDN in the Received header, the inquiry using the IP address is sent to the external terminal 300 specified using the envelope From. In the case of adopting the mode of performing (see FIG. 15 ), when the result indicating that the external terminal 300 such as the DNS server specified by using the FQDN in the Received header has been authenticated (authentication OK) cannot be obtained. , The external terminal 300 such as a DNS server specified using the envelope From is inquired using the IP address. In such an aspect, when the result of the authentication OK cannot be obtained based on the information of the Received header, it is possible to go to obtain the result of the authentication OK based on the information of the envelope From, which simplifies the procedure. However, it is possible to obtain authentication as much as possible.

なお、このような態様とは異なり、特定部50が社外境界MTA等に関する第二端末情報に含まれるIPアドレス及びエンベロープFromにおけるドメインを特定し、認証部20がエンベロープFromにおけるドメインを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行い、エンベロープFromにおけるドメインを用いてIPアドレスによる認証を行えた旨の結果を取得できない場合に、ReceivedヘッダーにおけるFQDNを用いて特定された外部端末300に対してIPアドレスを用いた問い合わせを行ってもよい。このような態様では、エンベロープFromの情報に基づいて認証OKの結果を取得できなかった場合に、Receivedヘッダーの情報に基づいて認証OKの結果を取得しに行くことができる。このため、この態様でも、手続きを簡易なものにしつつ、認証を極力取得するようにすることができる。但し、エンベロープFromにおけるドメインに関しては社外のMTA等の第二端末200によって偽装される可能性があるのに対して、社内境界MTA等の社内扱いの境界にいる第一端末100が取得するReceivedヘッダーにおけるFQDN及びIPアドレスに関しては偽装の可能性が極めて低いことから、この観点からすると、ReceivedヘッダーにおけるFQDNを優先的に用いる態様の方が有益である。 Note that, unlike this mode, the specifying unit 50 specifies the IP address included in the second terminal information regarding the external boundary MTA and the like and the domain in the envelope From, and the authentication unit 20 is specified using the domain in the envelope From. When an inquiry using the IP address is made to the external terminal 300 and the result indicating that the authentication by the IP address has been performed using the domain in the envelope From cannot be obtained, the external terminal specified using the FQDN in the Received header is identified. You may make an inquiry to the terminal 300 using the IP address. In such an aspect, when the result of the authentication OK cannot be acquired based on the information of the envelope From, the result of the authentication OK can be acquired based on the information of the Received header. Therefore, also in this aspect, it is possible to obtain the authentication as much as possible while simplifying the procedure. However, while the domain in the envelope From may be disguised by the second terminal 200 such as an external MTA, the Received header acquired by the first terminal 100 at the boundary of internal treatment such as the internal boundary MTA. Since the possibility of impersonation with respect to the FQDN and the IP address is extremely low, from this point of view, the mode of preferentially using the FQDN in the Received header is more beneficial.

認証レベルが選択可能となり、少なくとも二つの異なる認証レベルにおいてDNS通信の上限回数が異なる態様を採用した場合には、認証レベルに応じてDNS通信の上限回数を変えることができる。 When the authentication level is selectable and the upper limit number of DNS communication is different in at least two different authentication levels, the upper limit number of DNS communication can be changed according to the authentication level.

認証レベルが選択可能となり、判定部30が選択された認証レベルと認証結果とに基づいて判定結果を決定する態様を採用した場合には、ユーザのニーズに沿った判定結果を出すことができる。 When the authentication level is selectable and the determination unit 30 adopts a mode in which the determination result is determined based on the selected authentication level and the authentication result, the determination result that meets the needs of the user can be obtained.

《方法》
次に、本実施の形態によって採用されうる方法の一例について説明する。なお、「方法」で述べるあらゆる構成は、本実施の形態の構成として利用することができる。 "Method"
Next, an example of a method that can be adopted in this embodiment will be described. Note that any configuration described in “method” can be used as the configuration of this embodiment.

図10におけるFQDN評価又はドメイン評価では、図11に示すような処理が行われてもよい。 In the FQDN evaluation or domain evaluation shown in FIG. 10, processing as shown in FIG. 11 may be performed.

まず、ccSLD/TLD判定を行う(図11のS21参照)。ccSLD/TLD判定では、いわゆる有効なドメインの範囲でTXTレコードの有無を評価するために、評価除外条件を判定するために行われる。通常は、最初のうちはccSLD/TLD判定はNoとなり、ドメインを削除していくことで「あるタイミング」でYesとなる。そして、このようにccSLD/TLD判定がYESとなると、既に得ている評価結果で確定させる。 First, ccSLD/TLD determination is performed (see S21 in FIG. 11). The ccSLD/TLD determination is performed to determine the evaluation exclusion condition in order to evaluate the presence/absence of a TXT record in the so-called valid domain range. Normally, the ccSLD/TLD judgment is No at the beginning, and the deletion of the domain results in Yes at "a certain timing". Then, when the ccSLD/TLD determination is YES in this way, the evaluation result already obtained is confirmed.

ccSLD/TLD判定がNoとなると、次にDNS問い合わせを行い(図11のS22参照)、TXTレコード評価を行う(図11のS30参照)。TXTレコード評価でpassの場合には評価結果を確定する。pass以外の場合には、次の階層を用いて同じ工程を繰り返し行う。ここでいう階層というのは、FQDNの完全一致及び部分一致、エンベロープFromにおけるドメインの完全一致及び部分一致を意味している。FQDN評価では、まずFQDNの完全一致を用いて外部端末300を特定し、FQDNの完全一致で外部端末300を特定できない場合にはFQDNの部分一致で外部端末300を特定する。FQDNの部分一致においては、サブドメインを前方から徐々に削っていき、後方一致によって外部端末300を特定するようにする。ドメイン評価でも同様であり、ドメイン評価では、まずエンベロープFromのドメインの完全一致を用いて外部端末300を特定し、ドメインの完全一致で外部端末300を特定できない場合にはドメインの部分一致で外部端末300を特定する。ドメインの部分一致においては、サブドメインを前方から徐々に削っていき、後方一致によって外部端末300を特定するようにする。 If the ccSLD/TLD determination is No, then a DNS inquiry is made (see S22 in FIG. 11) and TXT record evaluation is made (see S30 in FIG. 11). If the TXT record evaluation is pass, the evaluation result is confirmed. In cases other than pass, the same process is repeated using the next layer. The term "hierarchy" as used herein means perfect matching and partial matching of FQDN and perfect matching and partial matching of domains in the envelope From. In the FQDN evaluation, first, the external terminal 300 is specified by using the exact match of the FQDN, and when the external terminal 300 cannot be specified by the exact match of the FQDN, the external terminal 300 is specified by the partial match of the FQDN. In the partial matching of FQDN, the subdomain is gradually deleted from the front, and the external terminal 300 is specified by the backward matching. The same applies to the domain evaluation. In the domain evaluation, first, the external terminal 300 is specified by using the exact match of the domain of the envelope From, and if the external terminal 300 cannot be specified by the exact match of the domain, the external terminal is obtained by partial match of the domain. Specify 300. In partial domain matching, the subdomain is gradually deleted from the front, and the external terminal 300 is specified by backward matching.

図11のTXTレコード評価においては、図12に示すような処理が行われてもよい。複数のSPFレコード(例えばv=spf1で始まる構文が複数ある)場合には、図12における「SPFレコード数ループ」及び「次の要素へ」の間で繰り返し処理が行われる。 In the TXT record evaluation of FIG. 11, a process as shown in FIG. 12 may be performed. When there are a plurality of SPF records (for example, there are a plurality of syntaxes starting with v=spf1), the iterative process is performed between the "SPF record number loop" and "to the next element" in FIG.

SPFレコードの有無を確認し(図12のS31参照)、SPFレコードが無い場合にはemptyとう評価結果が記憶部10に記憶される。 Whether or not there is an SPF record is confirmed (see S31 in FIG. 12), and if there is no SPF record, the empty evaluation result is stored in the storage unit 10.

SPFレコードが有る場合には、SPFレコードの構文要素を分解し(図12のS32参照)、SPFレコード評価を行う(図12のS40参照)。SPFレコード評価によってpassの結果を得た場合には評価結果を記憶部10に格納する。他方、SPFレコード評価によってpass以外の結果を得た場合には、次のレコード(次のv=spf1で始まる構文)について同じ処理を繰り返し行う。なお、次のレコード(次のv=spf1で始まる構文)が存在しない場合には、TXTレコード評価を終了し、pass以外からなる評価結果を記憶部10に格納する。 If there is an SPF record, the syntax element of the SPF record is decomposed (see S32 in FIG. 12) and the SPF record is evaluated (see S40 in FIG. 12). When the pass result is obtained by the SPF record evaluation, the evaluation result is stored in the storage unit 10. On the other hand, when a result other than pass is obtained by SPF record evaluation, the same process is repeated for the next record (syntax starting with the next v=spf1). If the next record (syntax starting with next v=spf1) does not exist, the TXT record evaluation is terminated and the evaluation result other than pass is stored in the storage unit 10.

図12のSPFレコード評価においては、図13に示すような処理が行われてもよい。 In the SPF record evaluation of FIG. 12, the process as shown in FIG. 13 may be performed.

要素が修飾子であるかを確認する(図13のS43参照)。redirectの場合には、指定されたドメイン先のSPFレコードの評価結果に従うため再帰呼出を行い、図12の「SPFレコードの構文要素分解」に戻る。修飾子がexpの場合には「無視」することから次の要素に対する評価を行う。redirect及びexpで無い場合には、構成評価を行う(図13のS50参照)。構成評価によってpassの結果を得た場合には、SPFレコード評価を終了し、passという評価結果を記憶部10に格納する。pass以外の場合には、次の要素(例えば、同じv=spf1に含まれる次の要素)があるかを判断する(図13のS41参照)。次の要素があれば、前述した処理を繰り返し行う。他方、次の要素が無ければ、include先のallであるかを判断する(図13のS45参照)。include先のallである場合には構成評価を行う(図13のS50参照)。include先のallでなければ既に得られている評価結果を記憶部10に格納する。 It is confirmed whether the element is a qualifier (see S43 in FIG. 13). In the case of redirect, a recursive call is made to comply with the evaluation result of the SPF record of the specified domain destination, and the process returns to "syntax element decomposition of SPF record" in FIG. When the qualifier is exp, it is "ignored" and the next element is evaluated. If it is neither redirect nor exp, the configuration is evaluated (see S50 in FIG. 13). When the pass result is obtained by the configuration evaluation, the SPF record evaluation is ended and the evaluation result of pass is stored in the storage unit 10. In the case of other than pass, it is determined whether or not there is a next element (for example, the next element included in the same v=spf1) (see S41 in FIG. 13). If there is the next element, the above-mentioned processing is repeated. On the other hand, if there is no next element, it is determined whether it is all of the include destination (see S45 of FIG. 13). If it is all of the include destination, the configuration is evaluated (see S50 in FIG. 13). If it is not all of the include destination, the already obtained evaluation result is stored in the storage unit 10.

図13の各構成評価においては、図14に示すような処理が行われてもよい。 In each configuration evaluation of FIG. 13, processing as shown in FIG. 14 may be performed.

まず、限定子処理を行う(図14のS51参照)。次に、機構がincludeであるかを判断する(図14のS52参照)。機構がincludeの場合には、include先ドメインのSPFレコードの評価結果に従うため再帰呼出を行い、図12の「SPFレコードの構文要素分解」に戻る。 First, qualifier processing is performed (see S51 in FIG. 14). Next, it is determined whether the mechanism is include (see S52 in FIG. 14). If the mechanism is include, a recursive call is made to comply with the evaluation result of the SPF record in the include destination domain, and the process returns to "syntax element decomposition of SPF record" in FIG.

機構がincludeでない場合には、機構がallであるかを判断する(図14のS53参照)。機構がallである場合には、include先のallであるかを判断し(図14のS56参照)、include先のallである場合には評価結果を格納する。include先のallで無い場合には、機構が+all又はallであるかを判断し(図14のS57参照)、機構が+all又はallの場合には、評価結果をpermerrorとする(図14のS58参照)。機構が+all及びallではない場合には、評価結果を記憶部10に格納する。機構がinclude及びallで無い場合には、その他機構評価を行い(図14のS54参照)、評価結果を記憶部10に格納する。評価結果がpassの場合には、図13における各機構評価がpassとなり、評価結果が格納される。評価結果がpass以外の場合には、図13における各機構評価がpass以外となり、前述したように、次の要素(例えば、同じv=spf1に含まれる次の要素)に対してSPFレコード評価を行う。なお、機構の評価はSPF認証で用いられているものに準じ、「all」、「include」、「a」、「mx」、「ptr」、「ip4」、「ip6」、「exists」等から構成されてもよい。限定子の評価としてはRFC7208に準じてもよい。 If the mechanism is not include, it is determined whether the mechanism is all (see S53 in FIG. 14). If the mechanism is all, it is determined whether it is the include destination all (see S56 in FIG. 14), and if it is the include destination all, the evaluation result is stored. If it is not the include destination all, it is determined whether the mechanism is +all or all (see S57 in FIG. 14). If the mechanism is +all or all, the evaluation result is set to permerror (FIG. 14). See S58). If the mechanism is not +all or all, the evaluation result is stored in the storage unit 10. If the mechanism is not include or all, other mechanism evaluation is performed (see S54 in FIG. 14) and the evaluation result is stored in the storage unit 10. When the evaluation result is pass, each mechanism evaluation in FIG. 13 becomes pass, and the evaluation result is stored. When the evaluation result is other than pass, each mechanism evaluation in FIG. 13 is other than pass, and as described above, the SPF record evaluation is performed on the next element (for example, the next element included in the same v=spf1). To do. In addition, the evaluation of the mechanism is based on the one used in SPF authentication, from "all", "include", "a", "mx", "ptr", "ip4", "ip6", "exists", etc. It may be configured. The qualifier may be evaluated according to RFC7208.

ReceivedヘッダーにおけるFQDNを用いて外部端末300を特定することを優先し、ReceivedヘッダーにおけるFQDNを用いて外部端末300を特定できない場合に、エンベロープFromにおけるドメインを用いて外部端末300を特定する態様の一例について、図15を用いて説明する。 An example of a mode in which priority is given to specifying the external terminal 300 using the FQDN in the Received header, and when the external terminal 300 cannot be specified using the FQDN in the Received header, the external terminal 300 is specified using the domain in the envelope From This will be described with reference to FIG.

まず、IPアドレスを取得済みかどうか判定部30が判断する(図15のS61参照)。IPアドレスを取得できていない場合には認証できなかった(認証NG)と判定部30が判断する。IPアドレスを取得できている場合には、当該IPアドレスがプライベートIPアドレスかどうかを判定部30が判断する(図15のS62参照)。プライベートIPアドレスの場合には認証できたもの(認証OK)と判定部30が判定する。 First, the determination unit 30 determines whether the IP address has been acquired (see S61 in FIG. 15). If the IP address has not been acquired, the determination unit 30 determines that the authentication could not be performed (authentication NG). If the IP address has been acquired, the determination unit 30 determines whether the IP address is a private IP address (see S62 in FIG. 15). In the case of the private IP address, the determination unit 30 determines that the authentication has been successful (authentication is OK).

IPアドレスがプライベートIPアドレスでない場合には、設定された認証強度(図3参照)に応じてFQDNを用いた判定を行う(図15のS63参照)。認証NGの場合には、エンベロープFromにおけるドメインを用いて、設定された認証強度(図3参照)に応じて判定を行う(図15のS65参照)。エンベロープFromにおけるドメインを用いた認証では、前述したように、社外境界MTA等の第二端末に関するReceivedヘッダーにおけるIPアドレスを用いてもよい。 When the IP address is not the private IP address, the determination using FQDN is performed according to the set authentication strength (see FIG. 3) (see S63 in FIG. 15). In the case of authentication NG, the domain in the envelope From is used to make a determination according to the set authentication strength (see FIG. 3) (see S65 in FIG. 15). In the authentication using the domain in the envelope From, the IP address in the Received header relating to the second terminal such as the outside boundary MTA may be used as described above.

上述した実施の形態の記載及び図面の開示は、特許請求の範囲に記載された発明を説明するための一例に過ぎず、上述した実施の形態の記載又は図面の開示によって特許請求の範囲に記載された発明が限定されることはない。出願当初の特許請求の範囲の記載は本件特許明細書の範囲内で適宜変更することもでき、その範囲を拡張することもできる。 The above description of the embodiments and the disclosure of the drawings are merely examples for explaining the invention described in the claims, and are described in the claims by the description of the above embodiments or the disclosure of the drawings. The claimed invention is not limited. The description of the claims at the beginning of the application can be appropriately modified within the scope of the present patent specification, and the scope can be expanded.

上記各実施の形態の認証部20、判定部30、処理部40、特定部50、記憶部10等を含む各構成要素は、ICチップ、LSI等の集積回路等に形成された論理回路(ハードウェア)や専用回路によって実現してもよいし、CPU、メモリ等を用いてソフトウェアによって実現してもよい。また、各構成要素は、1又は複数の集積回路により実現されてよく、複数の構成要素が1つの集積回路によって実現されてもよい。また、認証部20、判定部30、処理部40、特定部50等を含む構成要素として制御部が観念されてもよい。 Each component including the authentication unit 20, the determination unit 30, the processing unit 40, the specifying unit 50, the storage unit 10 and the like in each of the above-described embodiments is a logic circuit (hardware) formed in an integrated circuit such as an IC chip or an LSI. Hardware) or a dedicated circuit, or software using a CPU, a memory, or the like. Further, each constituent element may be realized by one or a plurality of integrated circuits, and a plurality of constituent elements may be realized by one integrated circuit. Further, the control unit may be considered as a component including the authentication unit 20, the determination unit 30, the processing unit 40, the identification unit 50, and the like.

10 記憶部
20 認証部
30 判定部
40 処理部
50 特定部 10 storage unit 20 authentication unit 30 determination unit 40 processing unit 50 specifying unit

Claims (13)

社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定する特定部と、
前記第二端末のうち最も社内に近い第二端末の前記第二端末情報を用いて問い合わせを行うことで認証を行う認証部と、
を備えることを特徴とする情報処理装置。 By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. A specific part to specify,
An authentication unit that performs authentication by making an inquiry using the second terminal information of the second terminal closest to the company among the second terminals.
An information processing apparatus comprising: 前記特定部は、前記第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定することを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the specifying unit specifies the FQDN and the IP address in the Received header included in the second terminal information. 前記認証部は、前記FQDNの完全一致又は部分一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行うことを特徴とする請求項2に記載の情報処理装置。 The information processing apparatus according to claim 2, wherein the authentication unit makes an inquiry using the IP address to an external terminal identified by using a complete match or a partial match of the FQDN. 社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定する特定部と、
前記第二端末情報を用いて認証を行う認証部と、
を備え、
前記特定部は、前記第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定し、
前記認証部は、前記FQDNの完全一致又は部分一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行い、
前記認証部は、前記FQDNの部分一致を用いる場合には、サブドメインを削って後方一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行うことを特徴とする情報処理装置。 By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. A specific part to specify,
An authentication unit that performs authentication using the second terminal information,
Equipped with
The specifying unit specifies the FQDN and the IP address in the Received header included in the second terminal information,
The authentication unit makes an inquiry using the IP address to an external terminal identified by using an exact match or a partial match of the FQDN,
Wherein the authentication unit, when using partial match of the FQDN to an information processing which is characterized in that the query with the IP address to the external terminal that is identified using the backward match shaved subdomains apparatus. 前記特定部は、前記第二端末情報に含まれるIPアドレス及びエンベロープFromにおけるドメインを特定することを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the specifying unit specifies an IP address included in the second terminal information and a domain in the envelope From. 前記認証部は、前記エンベロープFromにおけるドメインの完全一致又は部分一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行うことを特徴とする請求項5に記載の情報処理装置。 The information processing apparatus according to claim 5, wherein the authentication unit makes an inquiry using the IP address to an external terminal specified by using a complete match or a partial match of domains in the envelope From. .. 社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定する特定部と、
前記第二端末情報を用いて認証を行う認証部と、
を備え、
前記特定部は、前記第二端末情報に含まれるIPアドレス及びエンベロープFromにおけるドメインを特定し、
前記認証部は、前記エンベロープFromにおけるドメインの完全一致又は部分一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行い、
前記認証部は、前記エンベロープFromにおけるドメインの部分一致を用いる場合には、サブドメインを削って後方一致を用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行うことを特徴とする情報処理装置。 By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. A specific part to specify,
An authentication unit that performs authentication using the second terminal information,
Equipped with
The identifying unit identifies an IP address included in the second terminal information and a domain in the envelope From,
The authentication unit makes an inquiry using the IP address to an external terminal specified by using a complete match or a partial match of the domain in the envelope From,
When the partial matching of the domain in the envelope From is used, the authenticating unit deletes the subdomain and makes an inquiry using the IP address to the external terminal specified by using the backward matching. an information processing apparatus that. 社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定する特定部と、
前記第二端末情報を用いて認証を行う認証部と、
を備え、
前記特定部は、前記第二端末情報に含まれるReceivedヘッダーにおけるFQDN及びIPアドレスを特定し、
前記認証部は、前記ReceivedヘッダーにおけるFQDNを用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行い、前記ReceivedヘッダーにおけるFQDNを用いて前記IPアドレスによる認証を行えた旨の結果を取得できない場合に、エンベロープFromを用いて特定された外部端末に対して前記IPアドレスを用いた問い合わせを行うことを特徴とする情報処理装置。 By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. A specific part to specify,
An authentication unit that performs authentication using the second terminal information,
Equipped with
The specifying unit specifies the FQDN and the IP address in the Received header included in the second terminal information,
The authentication unit makes an inquiry using the IP address to the external terminal specified by using the FQDN in the Received header, and shows that the authentication using the IP address can be performed by using the FQDN in the Received header. if you can not obtain a information processing apparatus characterized by making an inquiry using the IP address to the external terminal that is identified using the envelope the From. 前記認証部による認証結果を用いて判定を行う判定部をさらに備え、
認証レベルが選択可能となり、
前記判定部は、選択された認証レベルと前記認証結果とに基づいて、判定結果を決定することを特徴とする請求項1乃至8のいずれか1項に記載の情報処理装置。 Further comprising a determination unit that performs determination using the authentication result by the authentication unit,
Authentication level can be selected,
The information processing apparatus according to claim 1, wherein the determination unit determines a determination result based on the selected authentication level and the authentication result. 認証レベルが選択可能となり、
少なくとも二つの異なる認証レベルにおいてDNS通信の上限回数が異なることを特徴とする請求項9に記載の情報処理装置。 Authentication level can be selected,
The information processing apparatus according to claim 9, wherein the upper limit number of times of DNS communication is different in at least two different authentication levels. 社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定することと、
前記第二端末のうち最も社内に近い第二端末の前記第二端末情報を用いて問い合わせを行うことで認証を行うことと、
を備えることを特徴とする情報処理方法。 By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. To identify,
Authenticating by inquiring using the second terminal information of the second terminal closest to the company among the second terminals,
An information processing method comprising: 情報処理装置に情報処理方法を実行させるプログラムであって、
前記情報処理装置は、
社内扱いとしている一つ又は複数の第一端末に関する第一端末情報を用いて、社内扱いとなっていない第二端末であって前記第一端末に接続された第二端末に関する第二端末情報を特定することと、
前記第二端末のうち最も社内に近い第二端末の前記第二端末情報を用いて問い合わせを行うことで認証を行うことと、
を備えた情報処理方法を実行することを特徴とするプログラム。 A program for causing an information processing device to execute an information processing method,
The information processing device,
By using the first terminal information regarding the one or more first terminals that are treated as in-house, the second terminal information regarding the second terminal that is not treated in-house and that is connected to the first terminal is provided. To identify,
Authenticating by inquiring using the second terminal information of the second terminal closest to the company among the second terminals,
A program for executing an information processing method comprising: 請求項12に記載のプログラムを記録した記録媒体。

A recording medium recording the program according to claim 12.

JP2018052008A 2018-03-20 2018-03-20 Information processing apparatus, information processing method, program, and recording medium Active JP6731437B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018052008A JP6731437B2 (en) 2018-03-20 2018-03-20 Information processing apparatus, information processing method, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018052008A JP6731437B2 (en) 2018-03-20 2018-03-20 Information processing apparatus, information processing method, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2019165352A JP2019165352A (en) 2019-09-26
JP6731437B2 true JP6731437B2 (en) 2020-07-29

Family

ID=68066343

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018052008A Active JP6731437B2 (en) 2018-03-20 2018-03-20 Information processing apparatus, information processing method, program, and recording medium

Country Status (1)

Country Link
JP (1) JP6731437B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7453886B2 (en) * 2020-09-15 2024-03-21 Kddi株式会社 Detection device, detection method and detection program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4109411B2 (en) * 2000-06-30 2008-07-02 富士通株式会社 E-mail authentication system and mail server
JP5980072B2 (en) * 2012-09-24 2016-08-31 三菱スペース・ソフトウエア株式会社 Misrepresentation email detection device, cyber attack detection system, computer program, and misrepresentation email detection method
JP2015011561A (en) * 2013-06-28 2015-01-19 キヤノンマーケティングジャパン株式会社 Mail system, information processor, information processing method and program
MA41502A (en) * 2015-02-14 2017-12-19 Valimail Inc CENTRALIZED VALIDATION OF EMAIL SENDERS BY TARGETING EHLO NAMES AND IP ADDRESSES
JP2017117081A (en) * 2015-12-22 2017-06-29 株式会社日立システムズ GIS information collection system and method

Also Published As

Publication number Publication date
JP2019165352A (en) 2019-09-26

Similar Documents

Publication Publication Date Title
JP4814878B2 (en) System and method for controlling access to an electronic message recipient
US10326777B2 (en) Integrated data traffic monitoring system
KR101745624B1 (en) Real-time spam look-up system
US8194564B2 (en) Message filtering method
US7809796B1 (en) Method of controlling access to network resources using information in electronic mail messages
JP4065422B2 (en) Apparatus and method for processing electronic mail
US10419378B2 (en) Net-based email filtering
US6574658B1 (en) System and method for secure classification of electronic mail
TWI436631B (en) Method and apparatus for detecting port scans with fake source address
US10178060B2 (en) Mitigating email SPAM attacks
JP2011050065A (en) System and method for controlling access to electronic message recipient
KR20060074861A (en) Secure safe sender list
JP2012511842A (en) Electronic messaging integration engine
JP2009515426A (en) High reliability communication network
KR101238527B1 (en) Reducing unwanted and unsolicited electronic messages
JP6731437B2 (en) Information processing apparatus, information processing method, program, and recording medium
CN109561172B (en) DNS transparent proxy method, device, equipment and storage medium
EP4040754A1 (en) Electronic messaging security and authentication
US20160337394A1 (en) Newborn domain screening of electronic mail messages
TWI677834B (en) Method for warning an unfamiliar email
CN116723020A (en) Network service simulation method and device, electronic equipment and storage medium
JPWO2005101770A1 (en) Spam mail processing apparatus and method
JP2005210455A (en) Electronic mail relaying device
US20170063784A1 (en) Information management apparatus, communication management system, information communication apparatus, information management method, and storing medium storing information management program
CN116015949A (en) Processing method and device of collapse host, electronic equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200609

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200706

R150 Certificate of patent or registration of utility model

Ref document number: 6731437

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250