KR101745624B1 - 실시간 스팸 탐색 시스템 - Google Patents

실시간 스팸 탐색 시스템 Download PDF

Info

Publication number
KR101745624B1
KR101745624B1 KR1020117030793A KR20117030793A KR101745624B1 KR 101745624 B1 KR101745624 B1 KR 101745624B1 KR 1020117030793 A KR1020117030793 A KR 1020117030793A KR 20117030793 A KR20117030793 A KR 20117030793A KR 101745624 B1 KR101745624 B1 KR 101745624B1
Authority
KR
South Korea
Prior art keywords
message
email
determining
spam
email message
Prior art date
Application number
KR1020117030793A
Other languages
English (en)
Other versions
KR20120099572A (ko
Inventor
제이슨 디 월터
엘리엇 씨 길룸
크리쉬나 씨 비탈데바라
라이언 찰스 콜빈
메르다드 비드골리
차드 더블유 밀스
조슈아 데이비드 코브
로버트 리 맥캔
더글라스 존 하인스
맬컴 할리스 데이비스
밀렌코 드리닉
Original Assignee
마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 filed Critical 마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Publication of KR20120099572A publication Critical patent/KR20120099572A/ko
Application granted granted Critical
Publication of KR101745624B1 publication Critical patent/KR101745624B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크를 거쳐 이메일 시스템으로 전송된 원치 않는(unsolicited) 이메일을 관리하는 시스템 및 방법을 제공한다. 이메일 메시지는 인바운드(inbound) 메일 전송 에이전트에서 메시지로 수신된다. 이메일 메시지가 원치 않는 의심 메시지인 것으로 의심되는지 여부에 대한 결정이 이루어진다. 메시지의 하나 이상의 특성의 추가적인 정보에 대한 하나 이상의 질의가 개시된다. 전송 서버에 대한 전달 표시를 위해 허용된 메시지를 발행하기 전에 질의에 대한 응답에 기초하여 결정이 이루어진다.

Description

실시간 스팸 탐색 시스템{REAL-TIME SPAM LOOK-UP SYSTEM}
본 발명은 송신 이메일 서버에게 메시지 허용 메시지를 발행하기 전에 실시간 스팸 필터링을 구현하는 기술에 관한 것이다.
원치 않는 벌크 이메일(Unsolicited Bulk Email : UBE)은 광범위한 문제를 일으키고 있다. UBE는 원치 않는 상업용 이메일, 스팸, 피싱(phishing) 이메일 및 다른 원치 않는 벌크 이메일을 포함할 수 있다. UBE의 생성자(스팸 발송자)는 UBE를 전송하기 위해 여러 메일 서버 머신의 처리 능력을 이용한다. 대용량 이메일 서비스 제공자(Email Service Providers : ESP)는 그 메일 전송 하부 구조 및 인바운드 이메일 허용 능력의 온전한 능력으로 UBE를 처리하는 데 있어서 불이익을 받고 있다.
UBE 메시지는 ESP에게 UBE로서 식별되는 여러 특성을 가질 수 있다. ESP는 일반적으로 시스템의 사용자가 수신하는 UBE의 양을 감소하는 다수의 메커니즘을 이용한다. 결과적으로 스팸 발송자는 ESP가 자신들의 메시지를 중지시키려 하는 노력을 회피하는 여러 기술을 이용한다. 스팸 발송자들은 UBE 검출 시스템을 속이기 위하여 지속적으로 라우트(routes), 도메인 네임, 시작 IP 및 메시지 컨텐츠를 변경한다.
본 발명은 송신 이메일 서버에게 메시지 허용 메시지를 발행하기 전에 실시간 스팸 필터링을 구현하는 기술에 관해 개시한다. 의심 메시지를 수신하면 UBE로 의심되는 수신된 이메일의 성분에 대한 하나 이상의 질의가 발행된다. 질의는 메시지를 스팸 또는 원치 않는 벌크 이메일로 식별할 수 있고, 메시지 내에서 쉽게 식별되지 않는 정보를 탐색한다. 질의에 대한 응답이 수신되고, 메일 허용 메시지를 발행할 것인지 여부에 대한 결정을 미리 실행한다. 질의는 메시지가 인바운드 메일 서버에 도달하게 되는 네트워크 하부 구조에 대해 메시지의 성분을 연관시킬 수 있다.
이 요약은 이하의 상세한 설명에서 추가적으로 설명되는 개념의 선택을 단순화된 형태로 도입하고자 제공되었다. 이 요약은 청구 대상의 주요 특징 또는 필수적 특징을 식별하고자 의도한 것이 아니고, 청구 대상의 범주를 결정하는 데 도움을 주고자 사용되도록 의도된 것도 아니다.
본 발명은 대규모 기업형 이메일 시스템이 원치 않는 벌크 이메일(UBE)을 처리하는 능력을 향상하는 기술을 제공한다.
도 1은 기업형 이메일 시스템을 도시하는 블록도.
도 2는 본 발명에 따른 인바운드 메일 서버 및 메시지 정보 서버에서 발생하는 방법을 도시하는 도면.
도 3은 인바운드 이메일 메시지의 특성에 대한 동시 질의를 발행하는 방법을 도시하는 도면.
도 4는 메시지의 다른 특성에 대하여 수신된 질의에 기초하여 메시지가 스팸인지 여부를 결정하는 방법을 도시하는 도면.
도 5는 질의가 UBE 캠페인의 주기 동안에 실행될 수 있는 본 발명의 다른 실시예를 도시하는 도면.
도 6은 본 명세서에 개시된 본 발명을 구현하기에 적합한 처리 시스템을 도시하는 도면.
본 발명은 대규모 기업형 이메일 시스템이 원치 않는 벌크 이메일(unsolicited bulk email : UBE)을 처리하는 능력을 향상하는 기술에 관해 개시한다. 실시간 필터링 엔진은 UBE인 것으로 의심되는 수신된 이메일의 성분에 대한 하나 이상의 질의를 발행한다. 질의는 메시지 내에서 쉽게 식별되지 않고, 메시지를 UBE로서 식별할 수 있는 정보를 탐색한다. 질의에 대한 응답이 수신되고, 그것에 대한 허용을 자동적으로 발행하기 전에 메일 허용 메시지를 발행할 것인지 여부에 대한 결정이 이루어진다.
도 1은 본 발명을 구현하는 데 적합한 시스템에 대한 블록 레벨 도면이다. 시스템(200)은 이메일 서비스 제공자(email service provider : ESP)에 의해 구현될 수 있고, 예를 들면, 하나 이상의 처리 장치를 포함하는 인바운드(inbound) 서버(220)로 구성될 수 있다. 복수의 인바운드 서버(220-220n)는 기업체(200) 내에 제공될 수 있고, 이들 모두는 하나 이상의 처리 장치를 포함할 수 있다.
일실시예에서, 이메일 서버(220)는 독립형 서버이고, 서버에서 이메일 어드레스를 갖는 사용자가 IMAP 또는 POP 등과 같은 임의의 여러 형식을 통해 자신의 메일에 액세스할 수 있게 한다. 다른 실시예에서, 인바운드 서버(200)는 기업체의 사용자를 위한 이메일을 저장하는 임의의 개수의 백-엔드(back-end) 처리 장치에 대해 메시지를 전달하는 복수의 프론트-엔드(front-end) 서버 중 하나이다. 본 명세서에 설명된 기술은 독립형 이메일 서버 및 기업 환경에 적용 가능하다.
인바운드 이메일 서버(220)는 제각기의 MTA(115, 135)를 각각 구비하는 송신 서버(110, 130)로부터 인터넷(50)(또는 다른 적합한 네트워크)을 통해 송신되는 이메일 메시지를 수신한다. 인바운드 MTA(215)는 송신 메일 서버로부터 인터넷(50)을 통해 인바운드 MTA로의 접속을 처리하고, 인바운드 이메일에 대한 허용 및 필터링 작업의 초기 집합을 실행한다. 일반적으로, MTA는 호스트 네트워킹 프로토콜 내에 입수된 접속 요청 시도를 허용 또는 거부할 수 있다.
인바운드 이메일 서버(220)는 해석 에이전트(parsing agent)(225), 스팸 필터(230), 실시간 필터(235) 및 실시간 데이터(245)를 포함할 수 있다. 후술되는 바와 같이, 스팸 필터(230)에 의한 초기 검사는 입수된 메시지에 적용되고, 스팸 점수(spam score)를 각각의 메시지와 연관시킨다. 스팸 컨텐츠 필터(230)는 예를 들면, 메시지가 피싱(phishing) 컨텐츠, 의심 링크 또는 바이러스 첨부물을 포함하는지 여부를 결정하는 방법을 포함하는 임의의 개수의 컨텐츠 필터링 방법을 포함할 수 있다. 이메일이 전송 가능한 것으로 간주되면, 인바운드 이메일 MTA은 해당 메시지를 허용할 것이다.
기업형 데이터베이스는 시스템(200)에 의해 확인되는 모든 소스에 대한 공용 스팸 데이터를 유지한다. 데이터는 개별 서버(220) 내의 실시간 데이터베이스(245)로부터 다른 서버(220n)로의 배포를 위한 기업형 데이터베이스로 배포될 수 있다.
해석 에이전트(parsing agent)(225)는 인터넷 프로토콜(IP) 어드레스, 도메인 네임 및 URL 및 메시지(145)에서 발견되는 다른 정보를 검출 및 추출할 수 있는 특성 추출 성분(110)으로서 기능한다. 실시간 필터(235)는 해석 에이전트에 의해 제공되는 정보를 이용하여 메시지로부터 추출되는 데이터의 성분에 대한 실시간 질의를 실행하고, 메시지의 불명확한 성분이 스팸 또는 악의적 메시지일 가능성을 나타내는지 여부를 결정한다. 실시간 필터(235)는 IP 어드레스에 대한 역 DNS 탐색 등과 같은 임의의 개수의 병렬 및 비동기적 질의 및 메시지의 상태를 확인하기 위해 이하에 설명된 다른 질의를 실행할 수 있는 탐색 성분을 포함한다.
도 1은 또한 네트워크를 통해 메시지(145)의 추상적 시점을 도시한다. 예를 들면, 송신자의 에지(edge) 메시지 서버(110)는 인터넷(50)을 통하여 입력 메일 서버(220)로 메시지(145)를 전송한다. 인터넷(50)은 서로(및 다른 성분)에 대해 접속된 다수의 라우터(143, 147, 149)를 포함한다. 메시지(145)는 송신자의 컴퓨터(110)로부터 라우터(147, 149 등)를 통해서 목적지 컴퓨터(220)에 도달할 때까지 이동한다. 라우터를 통한 정보의 흐름은 이메일 내에 기록되지 않는다. 라우터는 자신을 통과하는 정보를 수정하지 않는다. 이메일은 때때로 하나의 서버로부터 다른 서버로 직접 이동할 수 있다. 메일 서버로부터 메일 서버로 통과할 때, 서버 IP 어드레스를 제공하는 라인이 이메일에 추가되어, 서버 사이의 흐름은 전형적으로 기록된다. 그러나 각각의 메일 서버는 원하는 임의의 방식으로 이 정보를 수정할 수 있다. 그러므로 서버(200)에 대한 최종 메일 서버의 IP 어드레스만이 일반적으로 신뢰될 수 있고, 임의의 이전 서버는 정보를 수정하거나, 스팸 발송자는 메시지를 전송하기 전에 헤더 내에 허위 IP 어드레스를 삽입할 수 있다.
또한 도 1에는 메시지(145) 내에 내장된 URL에 대한 요청에 응답하여 컨텐츠를 제공하도록 응답하는 URL 컨텐츠 서버(120)가 도시되어 있다. 네임 서버(140)는 다른 네임 서비스 요청뿐만 아니라 메시지 내의 URL의 호스트에 대한 질의에 응답한다. 여러 라우터(143, 147, 149)는 네트워크 상의 여러 서버 사이의 통신을 용이하게 하기 위해 사용될 수 있다. 이러한 라우터는 특별한 것이 아니고, 개체 사이의 임의의 주어진 전환은 인터넷(50)을 통해 서로 다른 경로를 취할 수 있다는 것을 이해할 것이다.
전자 메시지는 전형적으로 단순한 메일 전송 프로토콜(simple mail transfer protocol : SMTP) 표준을 이용하여 인터넷(50)을 통해 전송된다. SMTP를 통해 전송되는 전자 메시지는 소스 정보, 수신인 정보 및 데이터 정보를 포함한다. 소스 정보는 전형적으로 소스 IP 어드레스를 포함한다. 소스 IP 어드레스는 전자 메시지가 생성되게 하고, 단일 서버, 서버의 집합 또는 가상 서버를 나타낼 수 있는 고유한 어드레스이다.
IP 어드레스는 메시지 전달 경로(메시지 송신자 및 메시지 수신자 사이의)를 따른 여러 지점에서 메시지 헤더에 추가될 수 있고, 그에 따라 스팸 필터에 의한 메시지의 처리에 영향을 줄 수 있다. 메시지 내에서 검출된 IP 어드레스는 역 DNS 정보 및 라우트 추적을 위해 이용될 수 있다. 최종 IP 어드레스는 위조될 수 없고, 메시지의 적어도 하나의 소스를 제공하고, 예측될 수 있다. 이 때문에, 스팸 발송자는 예를 들면, 바이러스 및 트로이 바이러스(Trojans)를 가지고 송신 머신을 감염시키는 것에 의해서 다른 IP 어드레스를 획득하도록 시도할 수 있다. 이들은 이러한 바이러스 또는 트로이 바이러스를 사용하여 스팸을 전송한다. 그에 따라 메시지의 IP 어드레스는 감염된 머신의 IP 어드레스일 수 있다. 결과적으로 모든 가능한 감염에 관하여 습득하는 것이 어렵고, 이러한 감염의 실시간 기록을 유지하기 어려울 것이다.
도 2는 인바운드 서버(220)의 여러 성분에 의해 실행되는 방법을 도시한다. 단계(330)에서 인바운드 서버에 수신된 각각의 메시지에 있어서, 단계(332)에서 메시지를 해석하여 메시지가 메시지에 대한 실시간 특징 질의를 위해 이용될 UBE인지 여부를 결정하는 데 사용되는 하나 이상의 성분을 추출한다. 이 추출은 예를 들면, 내장형 URL 내에서 루트(root) 및 제 2 레벨 도메인의 결정, IP 어드레스 및 다른 헤더 정보의 추출 및 본 명세서에 설명된 질의를 이용하여 메시지에 관한 추가적인 정보를 결정하는 데 이용될 수 있는 임의의 성분의 추출을 포함할 수 있다.
단계(334)에서 메시지가 사용자에게 전달되지 않아야 하는 UBE로서 의심되는지 여부에 대한 초기 결정이 이루어진다. 이러한 메시지는 컨텐츠 서버(120) 등과 같은 다른 서버에 제공된 컨텐츠에 대해 링크로 연결된 하나 이상의 내장형 URL을 갖는 스팸 또는 피싱 메시지를 포함할 수 있다. 일실시예에서, 스팸 필터 성분(230)에 의해 결정(334)이 이루어진다. 이 초기 결정은 송신자, 송신자의 도메인 및 인증 정보 등과 같이 이메일 메시지 헤더 및 바디(body) 내에 명확히 식별되는 메시지의 성분을 검토하는 것에 의해 이루어질 수 있다. 히스토리컬(historical) 데이터는 이러한 공지된 특징을 스팸 메시지에 대해 부합화하는 데 사용될 수 있다. 공지된 좋은 특징은 마찬가지로 메시지를 정화하는 데 사용될 수 있다. 일실시예에서, 스팸 필터는 실시간 데이터베이스(245) 내에서 정보에 액세스하고, 헤더 또는 바디로부터 정보의 하나 이상의 성분을 탐색하여 해당 메시지가 스팸인지 여부에 대한 빠른 결정이 이루어질 수 있다. 이러한 초기 결정은 공지된 스팸 이메일 어드레스, 도메인, 송신자 분류, 메시지의 스팸 가능성 점수, 인증 기술 또는 다른 빠른 결정 수단을 참조하여 이루어질 수 있다. 메시지의 다른 특징은 메시지가 스팸이 아닐 것임을 나타낼 수 있다. 예를 들어, 메시지 송신자 또는 송신자의 도메인이 공지된 좋은 메시지인 것으로 이전에 특징지어졌다면, 메시지는 의심 받을 가능성이 적다. 또한, 해당 메시지가 스팸인지 또는 스팸이 아닌지 여부를 나타낼 수 있는 임의의 특징이 부족한 메시지는 메시지가 의심된다는 결정을 하게 한다. 예를 들면, 메시지는 이전에 확인되지 않은 도메인으로부터 온 것일 수 있다.
일실시예에서, 스팸 필터(230)는 예를 들면, 좋은 것으로 알려진 것과 나쁜 것으로 알려진 이메일 어드레스의 리스트, 좋은 것으로 알려진 것과 나쁜 것으로 알려진 이메일 도메인의 리스트, 도메인 범위 또는 IP 어드레스 및 해당 메시지가 UBE를 포함하는지 여부를 결정하기 위해서 이메일 메시지의 부분에서 실행될 수 있는 필터링 테스트를 포함하는 인바운드 이메일 서버(200)의 특수하게 프로그래밍된 부분이다.
단계(334)에서 메시지가 스팸인지 확실하지 않다면, 단계(338)에서 해당 메시지가 의심되는지 여부에 대한 결정이 이루어진다. 의심 메시지는 확실히 스팸으로 표시된 임계 점수보다 낮은 스팸 점수가 스팸 필터에 의해 할당되거나, UBE인 것으로 알려진 메시지에 의해 공유되는 다른 특징(내장형 URL 등)을 갖는 것들일 수 있다.
단계(338)에서의 초기 결정이 해당 메시지가 의심된다는 것이라면, 하나 이상의 실시간 질의(340)가 실행된다. 본 발명에 따르면, 질의로부터의 결과는 송신 이메일 서버에 대해 "메시지 허용" 표시를 발행할 것인지 여부를 결정하는 데 사용된다. 일실시예에서, 단계(340)에서 복수의 질의가 병렬 및 비동기적으로 발행된다. 질의 결과는 독립적으로 확정되거나 조합하여 확정되는 것으로 우선 순위화되어, 다른 응답이 메시지의 상태에 대해 확정하기 전에 수신된 하나 이상의 질의에 대해 응답이 수신되게 할 수 있고, 이 시스템은 발행된 모든 질의에 대해 응답하도록 대기할 필요가 없다. 이러한 측면에서, 시스템은 비동기적이다. 시스템은 또한 예를 들면, "메시지 전달 허용" 트랜잭션 메시지를 가지고 메시지 트랜잭션을 완료하기 전에 질의에 대하여 응답함으로써 "실시간"으로 동작한다.
SMTP 프로토콜에서, 샘플 교환은 일반적으로 데이터가 수신된 후에 "250 OK" 또는 "250 메시지 전달 허용" 메시지로 종료된다.
Figure 112011102478750-pct00001
이러한 문맥에서, "실시간"은 반드시 즉각적인 것을 의미하는 것은 아니지만, 질의의 발행 및 질의 응답의 수신 및 "메시지 전달 허용" 명령어를 발행할 것인지 여부에 대한 결정을 포함하는 응답의 분석을 가능하게 하는 소정 경과 시간을 갖고 동작한다는 것을 의미한다. "메시지 전달 허용" 메시지를 단순히 보류하는 것 외에 다른 "실시간" 동작이 메시지에 실행될 수 있다는 것을 이해할 것이다. 예를 들면, 다른 동작은 접속 IP의 차단(접속 해제), 제한값에 기초한 송신자의 속도 제한 또는 송신자와 연관된 여러 하부 구조와 연관된 임계치에 모두 기초한 송신자의 감속을 포함하지만 이것으로 한정되지 않는다. 또 다른 동작은 위의 데이터에 기초하여 그 이메일 메일함(inbox) 내의 수신인에게 상이하게 메시지를 렌더링(rendering)하는 것을 포함할 수 있다. 예를 들어 메시지가 의심되는 피싱 호스트에 링크로 연결된 소정의 URL을 갖는다면, 메일 인터페이스 내의 사용자에게 적색 안전 바가 표시될 수 있다. 역으로 메시지가 공지된 신뢰되는 소스로부터 온 것이라면, 메일 인터페이스 내에 신뢰 표시 메커니즘이 사용될 수 있다.
단계(342)에서, 단계(340)에서 발행된 질의에 대한 응답이 수신될 때, 응답이 메시지에 문제가 있음을 나타내는지 여부에 대한 결정이 이루어진다. 단계(334) 및 단계(338)는 도 4에 세부적으로 도시되어 있다. 메시지가 스팸인 것으로 결정되면, 단계(344)에서 "메일 허용" 메시지가 전송되지 않는다. 메시지가 스팸이 아니라면, 단계(346)에서 메일 허용 메시지가 발행된다. 단계(348)에서, 질의로부터 생성된 데이터는 실시간 데이터베이스로 리턴되어 단계(334) 및 단계(338)에서의 초기 결정 단계에 이용된다.
일실시예에서, 단계(344)에서 실행된 동작은 SMTP 대화에서 "250 메시지 허용" 응답을 제공하지 않는 것을 포함한다. 그러나 다수의 대안이 단계(334)에서 실행될 수 있다. 메일은 SMTP 레벨 500 에러, 메일 허용하지만 정크 폴더(junk folder)로 라우팅하도록 태그가 부착됨, 메시지 허용하고 자동 삭제 및/또는 메시지 허용하고 메일을 상이하게 렌더링함을 발행함으로써 메일을 거부할 수 있다. 단계(344)에서 실행된 동작은 해당 메시지가 UBE라는 확실성에 의존할 수 있고, 확실성이 높으면 즉각적인 거부가 이루어지는 한편, 확실성이 낮으면 허용 및 다른 렌더링이 이루어질 수 있다.
도 3은 도 2에 도시된 단계(340) 및 단계(342)에 관해 나타낸다. 단계(340)에서, 다수의 병렬 질의가 하나의 이메일 메시지에 대해 동시에 발행될 수 있다.
도 3에 도시된 바와 같이, 임의의 개수의 질의(404, 412, 422, 432, 442, 452)가 병렬로 발행될 수 있다. 일례로서, 질의는 컨텐츠 서버에 관한 정보를 제공하는 URL 탐색(404), 송신 도메인 또는 컨텐츠 서버에 대해 정보를 제공하는 후이즈(WhoIs) 질의(412), 송신 도메인 또는 컨텐츠 서버에 대한 역 DNS 질의(422), 송신 도메인 또는 컨텐츠 서버에 대하여 메시지에 의해 획득된 경로에 대한 트레이스라우트(traceroute)(432) 및 스팸 도메인 소스들 사이의 잠재적 관계를 결정하는 네임 서버 질의(442)를 포함한다. "n"개 까지의 병렬 질의가 이루어질 수 있다. 메시지에서 쉽게 식별되지 않는 정보를 표시하고, 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 표시하는 임의의 종류의 질의는 단계(340)에서 실행될 수 있다. 도 3에 도시된 예시는 한정적인 것을 의미하지 않는다.
(단계(404, 412, 422, 432, 442, 452)에서) 질의가 개시되면, 시스템은 각각의 단계(405, 413, 423, 433, 443, 453)에서 각각의 질의의 결과를 대기한다. 모든 질의가 동일 시간 프레임 내의 결과를 검색하지 않을 수 있기 때문에, 각각의 질의에 있어서 단계(406, 414, 424, 434, 444, 454)에서 다른 질의 결과가 수신되었는지 여부에 대한 결정이 이루어진다. 다른 결과가 검색되었다면, 그 결과가 (독립적으로 또는 다른 질의 결과와 조합하여) 각각의 단계(408, 416, 426, 436, 446, 456)에서 해당 메시지가 UBE인지 UBE가 아닌지에 대해 확정되는지 여부에 대한 결정이 이루어진다. 다른 테스트 결과가 수신된 결과로 해당 메시지가 UBE인 것으로 결정되었다면, 단계(344)에서 해당 메시지는 스팸으로서 플래깅(flagged)된다. 그렇지 않다면, 방법은 단계(346)로 진행되고 도 2에 표시된 바와 같이, "메일 전달 허용" 메시지가 제공된다.
이전 결과가 검색되지 않는다면, 각각의 질의의 결과는 단계(410, 418, 428, 438, 448, 458)에서 확정될 수 있다. 이하에 설명되는 바와 같이, 결과가 확정적이지 않다면, 결과 데이터는 메시지 허용 메시지를 발행할 것인지 여부를 결정하기 전에 다른 질의 결과와 조합하여 이용될 수 있다.
각각의 질의는 메시지에 관한 발견 가능한 정보를 리턴하도록 설계된다. 예를 들면, 스팸 발송자는 매우 많은 호스트네임(hostnames)을 저렴하게 생성할 수 있다. 이러한 호스트네임은 여러 속성을 공유할 수 있다. 다수의 메시지를 검사하고 메시지에 관한 데이터를 리턴함으로써, IP 범위, 등록자 네임 또는 어드레스, 또는 공통 네임 서버 등과 같은 성분 내의 패턴이 나타날 수 있다. 이러한 공통성은 새로 수신된 메시지를 UBE로서 식별하는 데 사용된다. 각각의 질의는 메시지 자체에서 표시된 메시지의 성분만을 검사하는 것뿐만 아니라, 메시지의 진정한 특성을 나타내는 성분의 발견 가능한 측면을 더 연구하도록 설계된다. 여러 탐색은 네트워크 하부 구조에 링크로 연결된 메시지 성분에 관한 정보를 발견하는 것에 연관된다.
URL 호스트 탐색 질의(404)는 추가적인 컨텐츠를 지칭하거나, 예를 들면, HTML 코딩된 메시지 내에 포함되고 컨텐츠를 표시하도록 설계된 이메일 메시지의 바디 내에 URL이 제공되는 상황에서 발생할 수 있다. URL 질의(404)는 메시지가 UBE인지 여부를 결정하고, 이 특징을 이용하여 메시지에 대한 질의를 개시하기 위해 URL의 특징을 검사한다. 일실시예에서, URL 특징은 URL이 의심 컨텐츠 서버를 지칭하는지 여부에 대한 실마리를 분석할 수 있다. URL의 부분은 스팸 필터링에서 추출되고 사용될 수 있다. URL 특징에 있어서, 스팸 발송자는 자신들이 제어하는 것뿐만 아니라 다른 사람들에게 속한 좋은 URL을 모두 포함하는 것에 의해 머신 학습 필터를 속이도록 시도할 것이다. 예를 들면, 스팸 발송자는 microsoft.com이 좋은 URL 또는 “안전한” URL로 알려져 있을 수 있기 때문에 microsoft.com을 그 메시지 어딘가에 포함할 수 있다. 이러한 하이잭(hijacking)을 완화하기 위해서, 카운트 기반 및 조합 기반의 URL 특징이 머신 학습 필터에 대한 입력으로서 포함될 수 있다.
URL 호스트 탐색(404)은 URL의 도메인이 UBE 개체에 대하여 공지된 관계를 갖는지 여부를 포함한 URL의 추가적인 특징을 검사한다. URL 호스트 탐색은 후이즈 질의 등과 같은 다른 질의와 조합될 수 있는 결과를 생성하여 추가적인 스팸 특징을 제공할 수 있다.
후이즈 질의는 소유자, 소유자 어드레스 또는 후이즈 질의에 의해 리턴되는 다른 데이터와 관련하여 도메인 사이의 관계를 식별할 수 있는 정보를 리턴할 수 있다. 후이즈 질의는 인터넷 상에서 도메인 네임, IP 어드레스 또는 자율 시스템 번호의 소유자를 리턴할 수 있다. 스팸 발송자가 다수의 도메인 어드레스를 사용한 경우에, 후이즈 질의는 악의적 도메인이 공통 소유자 또는 공통 주소지를 공유한다는 것 및 소유자 또는 어드레스가 향후 악의적 도메인을 식별하는 데 사용될 수 있다는 것을 나타낼 수 있다.
역 DNS 질의(422)는 이메일과 연관된 IP 어드레스를 도메인 네임으로 해석하는 데 이용될 수 있고, 이러한 네임은 역 DNS 질의를 공지된 악의적 도메인 네임에 대해 비교함으로써(또는 다른 질의와 조합하여 사용하여) 도출되어 메시지가 UBE일 가능성이 있는지 여부를 결정한다. 다른 기술은 IP 어드레스에 대하여 역 DNS 탐색을 실행한다. IP 어드레스에서 머신을 제어하는 사람은 해당 IP 어드레스에 대한 역 DNS 어드레스 엔트리를 제어할 수 없을 것임을 주지하라. 예를 들면, 가정용 컴퓨터 사용자는 케이블 모뎀 또는 DSL 라인을 통해 감염된 컴퓨터 송신 스팸을 가질 수 있다. 그의 인터넷 제공자는 케이블/DSL 라인의 IP 어드레스에 대한 역 DNS 어드레스 엔트리를 제어한다. 스팸 발송자는 컴퓨터를 제어하지만, DNS 엔트리를 제어하지는 않는다. DNS 서버를 제어하는 스팸 발송자라고 해도 컴퓨터에 대한 역 DNS 어드레스 엔트리를 제어할 수 없을 것이다. 스팸 발송자가 컴퓨터에 대한 DNS 엔트리를 제어하는 경우에도, 공통 기법은 역 DNS 탐색을 실행한 다음 결과적인 RDNS 엔트리에 대한 DNS 탐색을 실행하고, 2가지의 탐색이 부합되지 않으면, DNS 서버가 오 구성(miss-configured)되거나 손상되었으며, 그것으로부터의 임의의 정보는 무시될 수 있다는 좋은 증거가 된다.
역 DNS 어드레스 엔트리는 정류 엔트리와는 약간 다른 방식으로 구성되고, 때때로 역 DNS 어드레스 엔트리를 제어하기 위해서는 많은 개수의 IP 어드레스를 가져야만 한다. 몇몇 경우에, 역 DNS 어드레스 엔트리는 공백 상태 또는 누락 상태이다. IP 어드레스는 역 DNS 탐색 성분(410)의 방식으로 분석될 수 있다. 이것은 어드레스가 널(NULL)인지 여부 또는 그것이 DSL 등과 같은 다른 스트링을 포함하는지 여부를 단순히 검사하는 것 이상을 포함한다. 오히려, 비-널(non-null) 정보 내의 널 및/또는 네임 리턴은 실시간 데이터베이스에 대한 입력으로서 선택되고 사용될 수 있다.
트레이스라우트 질의(432)는 2개의 IP 어드레스 사이의 적어도 하나의 경로를 도출한다. 임의의 2개의 컴퓨터 사이에서 인터넷을 통한 여러 대안적인 경로가 존재한다고 해도, 트레이스라우트 경로 내에서의 공통 인자는 메시지가 스팸일 수 있는 가능성을 나타낼 수 있다. 트레이스라우트는 송신자가 위치하는 지리학적 위치에 가까워질 수 있다. 트레이스라우트 동작은 정보를 결정하기 위한 트레이스 패킷(trace packets)을 전송할 수 있는 도구를 지칭한다. 특히, 이 도구는 지역 호스트에 대한 UDP 패킷의 라우트를 원격 호스트까지 추적할 수 있다. 트레이스라우트는 또한 그의 목적지 컴퓨터에 도달하기까지 선택된 라우트의 시간 및 위치를 표시할 수 있다. 관련 IP 어드레스가 결정된 후, 트레이스라우트를 실행하여 송신자의 외부 서버에 도달하기 위해 사용된 마지막 1개, 2개 또는 그 이상의 라우터를 결정할 수 있다. 트레이스라우트의 방법으로 획득된 정보는 스팸 필터 등과 같은 필터를 훈련하는데 이용될 수 있다.
스팸 발송자는 많은 개수의 IP 어드레스를 획득함으로써 IP 어드레스를 이용하는 스팸 필터를 속이려고 시도할 수 있다. 그러나 인터넷에 대한 다양한 개수의 접속을 획득하는 것 보다는 다양한 범위의 IP 어드레스를 획득하는 것이 쉽다. "트레이스라우트" 정보는 인터넷에 접속하기 위해 스팸 발송자가 이용하는 경로에 관하여 학습하기 위해 사용될 수 있다. 최종 및 마지막에서 두 번째 홉(hops) 등을 살펴봄으로써, 스팸이 선택한 라우트를 학습할 수 있다. 예를 들면, 많은 스팸이 공통 라우트를 따라서 이동한다는 것을 확인할 수 있다.
라우터는 자신을 통과하는 정보를 수정하지 않는다. 이메일은 때때로 하나의 서버로부터 다른 서버로 직접 이동할 수 있다. 메일 서버로부터 메일 서버로 지나갈 때, 서버 IP 어드레스를 제공하는 라인이 이메일에 추가되므로, 서버들 간의 흐름은 전형적으로 기록된다. 그러나 각각의 메일 서버는 원하는 임의의 방식으로 이 정보를 수정할 수 있다.
다른 탐색으로부터 발췌된 URL, 송신자 도메인 또는 정보에 대한 DNS 탐색(442)이 실행될 수 있다. 스팸 발송자는 다수의 호스트네임에 대하여 단일 DNS 서버만을 가질 수 있다. 결과적으로, DNS 서버의 식별 정보는 스팸 필터에 대한 귀중한 특징일 수 있다. 스팸 발송자는 다수의 DNS 서버를 가질 수 있지만, 이들은 네트워크 상에서 근처에 존재할 수 있다. 따라서 DNS 서버에 대한 경로를 획득하기 위해서 DNS 질의와 조합하여 트레이스라우트를 이용하는 것은 귀중한 정보를 제공할 수 있다. DNS 서버는 특정한 선호되는 종류를 가질 수 있다. DNS 서버에 관한 버전 정보는 귀중한 정보일 것이다.
DNS 서버를 이용하면, 호스트네임은 IP 어드레스로 전환될 수 있다. 스팸 발송자에 의해 생성된 여러 호스트가 동일 서버에 존재한다면, 이들은 동일 IP 어드레스를 가질 것이거나 동일 IP 어드레스를 가질 수 있다. 따라서 IP 어드레스 또는 그 부분은 스팸 필터에 대한 귀중한 특징일 수 있다. IP 어드레스는 인터넷을 통해 통신해야 한다. IP 어드레스에 대한 트레이스라우트를 실행함으로써, 여러 IP 어드레스가 동일한 방식으로 접속되어 있다는 것을 확인할 수 있다. 권위 있는 네임 서버에 대한 질의는 또한 악의적 서버의 유사한 공통성을 나타낼 수 있다.
도 4는 도 3에 도시된 것과 같이 개별 질의가 메시지가 스팸임을 나타내는지 여부를 결정하는 프로세스를 도시한다(단계(410, 418, 428, 438, 448, 458)). 단계(502)에서, 성분 질의로부터의 결과인 질의가 수신된다. 단계(504)에서, 그 결과가 특정 메시지가 UBE인지를 명확히 나타내는지 여부에 대한 초기 결정이 이루어진다. 예를 들어, 트레이스라우트 질의에 의해서 메시지 경로가 공지된 UBE 메시지의 다른 트레이스라우트 질의의 메시지 경로와 정확하게 부합된다고 표시되면, 메시지는 명확하게 UBE로서 표시될 수 있다. 질의 결과가 UBE 메시지를 명확하게 표시하지 않으면, 단계(506)에서 해당 메시지에 대한 잠재적 문제점이 존재한다는 것을 또한 나타낼 수 있다. 예를 들면, 주어진 메시지 경로를 갖는 몇몇 많은 개수의 메시지가 수신되어 메시지가 명확히 스팸임을 정의하기를 원하지만, 동일한 경로에서 더 적은 개수의 메시지를 수신하는 것은 메시지에 관한 의심을 발생시킬 것이고, 단계(506)에서 의심이 존재한다면 단계(508)에서 결합 질의가 선택될 수 있고, 단계(340)로 리턴함으로써 결합 질의가 발행될 수 있다. 다른 대안은 메시지가 완벽한 점수를 가질 수 있게 되기 전에 메시지가 특정 송신자로부터 확인된 적이 없지만 해당 메시지가 첫 번째로 송신자로부터 나왔다는 사실이 다른 인자들보다 우선한다면, 메시지에 가능한 문제점이 있는 것으로 플래깅하는 것이다. 모든 경우에, 단계(510)에서 실시간 정보 데이터베이스가 업데이트된다.
단계(340)에서 어느 질의가 실행될 수 있는지 결정하기 위한 적어도 2가지의 대안이 존재한다. 하나의 대안으로서, 질의는 인바운드 서버(220)의 규모에 기초하여 실행될 수 있다. 상당한 개수의 인바운드 서버가 사용된다면, 한정된 개수의 질의가 인바운드 메시지를 위해 이용될 수 있다. 이러한 환경에서, 시스템은 상당한 양의 메시지를 처리해야만 할 가능성이 있다. 메시지 허용 메시지의 발행에 대한 임의의 상당한 지연은 스팸 발송자가 인바운드 메일 서버에 대한 추가적인 접속을 개방하려 시도하게 할 수 있다. 따라서 특정 시간 주기 동안에 확정적인 응답이 수신되지 않았다면 해당 메시지가 허용되어야만 하는 방식으로 타임아웃(timeouts)이 또한 사용될 수 있다. 다른 실시예에서, 질의 전략은 인바운드 서버에서 확인되는 문제점의 종류에 기초할 수 있다. 특정 UBE 패턴이 다른 것보다도 더 가능성이 높은 것으로 결정되면, 질의는 이러한 문제점이 가장 공통적으로 확인된다는 것에 초점을 맞추도록 설계된 종류의 질의로 한정될 수 있다.
도 5는 단계(340)의 질의는 (메시지에 대한 실시간 질의를 단순히 넘어서는) UBE 캠페인의 주기 동안 또는 UBE 캠페인을 어드레싱하는 시간 주기 동안 실행될 수 있게 함으로써 본 발명의 다른 고유한 측면을 도시한다. 몇몇 경우에, 스팸 발송자는 UBE 메시지의 집합 또는 UBE 캠페인을 배포하는 고유한 시간 주기를 사용할 수 있다. 캠페인은 인바운드 서버에서 수신되는 초기 메시지의 주기보다 더 길게 지속될 수 있다. 단계(512)에서, 캠페인은 인바운드 메시지 서버에서 몇몇 개수의 메시지 또는 몇몇 패턴의 메시지를 수신함으로써 결정된다. 임의의 개수의 방법은 UBE 캠페인이 진행중인 것을 결정하는 데 사용될 수 있다. 추가하여, 캠페인의 종류가 결정될 수 있다. 예를 들면, 스팸 발송자는 소정 시간 주기 동안에만 활성화되는 도메인을 어드레싱하는 내장형 URL을 갖는 일련의 메시지를 전송할 수 있다. 스팸 캠페인이 결정되었다면, 수신된 각각의 메시지에 대하여 실시간으로 질의를 실행하는 것 대신에, 단계(514)에서 시간 주기 동안 하나 이상의 질의가 실행될 수 있다. 예를 들면, 역 DNS 질의는 캠페인이 종료될 때까지 또는 단계(516)에서 문제가 표시될 때까지 URL 내의 도메인에 대하여 실행될 수 있다. URL 또는 도메인은 질의 주기가 종료되는 시간까지 또는 질의가 도메인이 더 이상 활성화되지 않음을 나타낼 때까지 스팸 링크 도메인으로 분류될 수 있다.
도 6을 참조하면, 본 발명을 구현하는 예시적인 시스템은 컴퓨터(660)의 형태를 갖는 범용 컴퓨팅 장치를 포함한다. 컴퓨터(660)의 구성 요소는 처리 장치(620), 시스템 메모리(630) 및 시스템 메모리를 처리 장치(620)로 결합하는 것을 포함하여 여러 시스템 구성 요소를 결합하는 시스템 버스(626)를 포함하지만 이것으로 한정되지 않는다. 시스템 버스(626)는 다양한 버스 아키텍처 중 어느 하나를 이용하는 메모리 버스 또는 메모리 제어기, 주변 버스, 및 지역 버스를 포함하는 몇몇 종류의 버스 구조물 중 어느 하나일 수 있다. 제한 사항이 아닌 예시로서, 이러한 아키텍처는 ISA(Industry Standard Architecture) 버스, MCA(Micro Channel Architecture) 버스, EISA(Enhanced ISA) 버스, VESA(Video Electronics Standards Association) 지역 버스 및 메자닌(Mezzanine) 버스로도 알려진 PCI(Peripheral Component Interconnect) 버스를 포함한다.
컴퓨터(660)는 전형적으로 다양한 컴퓨터 판독 가능 매체를 포함한다. 컴퓨터 판독 가능 매체는 컴퓨터(660)에 의해 액세스될 수 있는 임의의 이용 가능 매체일 수 있고, 휘발성 및 비휘발성 매체, 탈착 가능 및 탈착 불가능 매체를 모두 포함한다. 제한 사항이 아닌 예시로서, 컴퓨터 판독 가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독 가능 명령어, 데이터 구조물, 프로그램 모듈 또는 다른 데이터 등과 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 탈착 가능 및 탈착 불가능 매체를 모두 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, DVD(digital versatile disks) 또는 다른 광학 디스크 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 다른 자기 저장 장치 또는 원하는 정보를 저장하는 데 사용될 수 있고 컴퓨터(660)에 의해 액세스될 수 있는 임의의 다른 매체를 포함하지만 이것으로 한정되지 않는다. 통신 매체는 전형적으로 컴퓨터 판독 가능 명령어, 데이터 구조물, 프로그램 모듈 또는 다른 데이터를 수록하고, 임의의 정보 전달 매체를 포함한다. 제한 사항이 아닌 예시로서, 통신 매체는 유선 네트워크 또는 직접 유선 접속 등과 같은 유선 매체 및 음향, RF, 적외선 및 다른 무선 매체 등과 같은 무선 매체를 포함한다. 상술된 것 중 임의의 결합도 컴퓨터 판독 가능 매체의 범주 내에 포함되어야 한다.
시스템 메모리(630)는 ROM(read only memory)(636) 및 RAM(random access memory)(632) 등과 같은 휘발성 및/또는 비휘발성 메모리의 형태를 갖는 컴퓨터 저장 매체를 포함한다. 시동 중에서와 같이 컴퓨터(660) 내의 성분들 간에 정보 전송을 돕는 기본 루틴을 포함하는 기본 입/출력 시스템(633)(basic input/output system : BIOS)은 전형적으로 ROM(636) 내에 저장된다. RAM(632)은 전형적으로 즉각적으로 액세스 가능 및/또는 처리 장치(620)에 의해 곧바로 작동 가능한 데이터 및/또는 프로그램 모듈을 포함한다. 제한 사항이 아닌 예시로서, 도 6은 운영 시스템(634), 응용 프로그램(635), 다른 프로그램 모듈(636) 및 프로그램 데이터(637)를 도시한다.
컴퓨터(660)는 또한 다른 탈착 가능/탈착 불가능, 휘발성/비휘발성 컴퓨터 저장 매체를 포함할 수 있다. 오로지 예시로서, 도 6은 탈착 불가능, 비휘발성 자기 매체를 판독 또는 기록하는 하드 디스크 드라이브(640), 탈착 가능, 비휘발성 자기 디스크(652)를 판독 또는 기록하는 자기 디스크 드라이브(651) 및 CD ROM 또는 다른 광학 매체 등과 같은 탈착 가능, 비휘발성 광학 디스크(656)를 판독 또는 기록하는 광학 디스크 드라이브(655)를 도시한다. 예시적인 운영 환경에서 사용될 수 있는 다른 탈착 가능/탈착 불가능, 휘발성/비휘발성 컴퓨터 저장 매체는 자기 테이프 카세트, 플래시 메모리 카드, DVD(digital versatile disks), 디지털 비디오 테이프, 고체 상태(solid state) RAM, 고체 상태 ROM 등을 포함하지만 이것으로 한정되지 않는다. 하드 디스크 드라이브(641)는 전형적으로 인터페이스(640) 등과 같은 탈착 불가능 메모리 인터페이스를 통해 시스템 버스(626)에 접속되고, 자기 디스크 드라이브(656) 및 광학 디스크 드라이브(655)는 전형적으로 인터페이스(650) 등과 같은 탈착 가능 메모리 인터페이스에 의해 시스템 버스(626)에 접속된다.
도 6에 도시되고 상술된 드라이브 및 그 연관된 컴퓨터 저장 매체는, 컴퓨터(660)를 위한 컴퓨터 판독 가능 명령어, 데이터 구조물, 프로그램 모듈 및 다른 데이터의 저장을 제공한다. 도 6에서, 예를 들면 하드 디스크 드라이브(641)는 운영 시스템(644), 응용 프로그램(645), 다른 프로그램 모듈(646) 및 프로그램 데이터(647)를 저장하는 것으로 도시되어 있다. 이러한 구성 요소는 운영 시스템(634), 응용 프로그램(635), 다른 프로그램 모듈(636) 및 프로그램 데이터(637)와 동일하거나 상이할 수 있다는 것을 주지하라. 운영 시스템(644), 응용 프로그램(645), 다른 프로그램 모듈(646) 및 프로그램 데이터(647)는, 이들이 최소의 개수로 표시된 다른 복사본임을 나타태기 위해서 여기에서 상이한 개수로 제시되었다. 사용자는 키보드(662) 및 통상적으로 마우스, 트랙볼(trackball) 또는 터치 패드로 지칭되는 포인팅 장치(661) 등과 같은 입력 장치를 통해 컴퓨터(660)에 명령어 및 정보를 입력할 수 있다. 다른 입력 장치(도시하지 않음)는 마이크로폰, 조이스틱, 게임 패드, 위성 접시, 스캐너 등을 포함할 수 있다. 이러한 입력 장치 및 다른 입력 장치는 때때로 시스템 버스에 결합된 사용자 입력 인터페이스(660)를 통해 처리 장치(620)에 접속되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus) 등과 같은 다른 인터페이스 및 버스 구조물에 의해 접속될 수 있다. 모니터(691) 또는 다른 종류의 디스플레이 장치는 또한 비디오 인터페이스(690) 등과 같은 인터페이스를 통해 시스템 버스(626)에 접속된다. 모니터에 추가하여, 컴퓨터는 또한 출력 주변 인터페이스(690)를 통해 접속될 수 있는 스피커(697) 및 프린터(696) 등과 같은 다른 주변 출력 장치를 포함할 수 있다.
컴퓨터(660)는 원격 컴퓨터(680) 등과 같은 하나 이상의 원격 컴퓨터에 대한 로직 접속을 이용하여 네트워킹 환경 내에서 동작할 수 있다. 원격 컴퓨터(680)는 퍼스널 컴퓨터, 서버, 라우터, 네트워크 PC, 피어(peer) 장치 또는 다른 공통 네트워크 노드일 수 있고, 도 6에서는 오로지 메모리 저장 장치(686)만이 도시되어 있으나 전형적으로 컴퓨터(660)와 관련하여 상술된 많은 구성 요소 또는 모든 구성 요소를 포함한다. 도 6에 도시된 로직 접속은 근거리 네트워크(LAN)(676) 및 원거리 네트워크(WAN)(673)를 포함하지만, 다른 네트워크도 포함할 수 있다. 이러한 네트워킹 환경은 사무실, 기업 환경 컴퓨터 네트워크, 인트라넷(intranets) 및 인터넷에서 통상적이다.
LAN 네트워킹 환경 내에서 사용될 때, 컴퓨터(660)는 네트워크 인터페이스 또는 어댑터(670)를 통해 LAN(676)에 접속된다. WAN 네트워킹 환경 내에서 사용될 때, 컴퓨터(660)는 전형적으로 인터넷 등과 같이 WAN(673)을 통해 통신을 형성하는 모뎀(672) 또는 다른 수단을 포함한다. 내부형이거나 외부형일 수 있는 모뎀(672)은 사용자 입력 인터페이스(660), 또는 다른 적절한 메커니즘을 통해 시스템 버스(626)에 접속될 수 있다. 네트워킹 환경에서, 컴퓨터(660)와 관련하여 도시된 프로그램 모듈 또는 그 부분은 원격 메모리 저장 장치 내에 저장될 수 있다. 제한 사항이 아닌 예시로서, 도 6은 원격 응용 프로그램(685)을 메모리 장치(686)에 상주하는 것으로 도시한다. 도시된 네트워크 접속은 예시적인 것이고, 컴퓨터 사이에 통신 링크를 형성하는 다른 수단을 사용할 수 있다는 것을 이해할 것이다.
본 발명은 여러 다른 범용 또는 전용 컴퓨팅 시스템 환경 또는 구성으로 작동 가능하다. 본 발명에서 사용하기에 적합할 공지된 컴퓨팅 시스템, 환경 및/또는 구성의 예시는 퍼스널 컴퓨터, 서버 컴퓨터, 휴대형 또는 랩탑 장치, 멀티프로세서 시스템, 마이크로프로세서 기반 시스템, 셋탑 박스, 프로그래밍 가능 소비 가전, 네트워크 PC, 미니 컴퓨터, 메인프레임 컴퓨터, 상기 시스템 또는 장치 등에서 임의의 것을 포함하는 분산형 컴퓨팅 환경을 포함하지만 이것으로 한정되지 않는다.
본 기술은 프로그램 모듈 등과 같이 컴퓨터에 의해 실행되는 컴퓨터-실행 가능 명령어의 일반적인 문맥에서 설명될 수 있다. 일반적으로, 프로그램 모듈은 특정한 작업을 실행하거나 특정한 추상적 데이터 종류를 구현하는 루틴, 프로그램, 객체, 구성 요소, 데이터 구조물 등을 포함한다. 본 기술은 또한 통신 네트워크를 통해 링크로 연결된 원격 처리 장치에 의해 작업이 실행되는 분산형 컴퓨팅 환경에서 실행될 수 있다. 분산형 컴퓨팅 환경에서, 프로그램 모듈은 메모리 저장 장치를 포함하는 지역 및 원격 컴퓨터 저장 매체 모두에 위치될 수 있다.
본 명세서에서 청구 대상은 구조적 특징 및/또는 방법 동작을 특정하게 지칭하는 언어로 설명되었으나 첨부된 청구항에서 정의된 청구 대상은 반드시 상술된 특정한 특징 또는 동작으로 한정되지 않는다는 것을 이해할 것이다. 오히려, 상술된 특정 구조 및 동작은 청구항을 구현하기 위한 예시적인 형태로서 설명되었다.

Claims (19)

  1. 네트워크를 통해 복수의 인바운드 메일 서버를 포함하는 이메일 시스템으로 전송되는 원치 않는 이메일(unsolicited email)을 관리하는 방법으로서,
    (a) 인바운드 메일 전송 에이전트(inbound mail transfer agent)에서 이메일 메시지를 수신하고, 상기 이메일 메시지의 송신자에게 메시지 허용 메시지(message accepted message)를 발행하기 전에
    상기 네트워크 상의 공개적으로 액세스가능한 호스트에게 상기 이메일 메시지의 복수의 상이한 특징에 대한 추가적인 공개 정보에 대해 복수의 동시 질의를 개시하는 단계 -각각의 질의는 상기 복수의 특징 중 상기 질의에 반응하는 하나 이상의 특징에 대해 이용가능한, 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보에 기초하여 상기 복수의 특징 중 상기 하나 이상의 특징에 대한 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 반환함- 와,
    상기 복수의 질의 각각에 대해 상기 복수의 질의 각각에 대한 응답이 수신되는 때를 판정하고, 다른 동시 질의가 각각의 상기 질의 전에 결과를 반환했는지 여부를 판정하고, 결과를 반환했다면 상기 반환된 결과가 상기 이메일 메시지가 원치 않는 벌크 이메일인지의 여부를 결정하고, 결과를 반환하지 않았다면 상기 복수의 질의 각각으로부터의 결과를 기다림으로써, 상기 복수의 질의에 반응하여 수신된, 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보에 기초하여 상기 이메일 메시지가 원치 않는 벌크 이메일인지 여부를 판정하는 판정 단계와,
    (b) 상기 판정 단계 후에, 상기 이메일 메시지가 원치 않는 벌크 이메일이 아니면, 상기 메시지 허용 메시지를 상기 송신자에게 발행하고, 상기 이메일 메시지가 원치 않는 벌크 이메일이면, 상기 메시지 허용 메시지의 발행을 보류하는 단계
    를 포함하는 원치 않는 이메일 관리 방법.
  2. 제 1 항에 있어서,
    상기 판정 단계는 이전 질의의 응답에 기초하여 상기 이메일 메시지가 의심되는지 여부를 판정하는 단계를 포함하는
    원치 않는 이메일 관리 방법.
  3. 제 1 항에 있어서,
    상기 판정 단계에서 사용하기 위해 각각의 질의에 대한 응답을 저장하는 단계를 더 포함하는
    원치 않는 이메일 관리 방법.
  4. 제 1 항에 있어서,
    상기 판정 단계는 상기 판정 단계를 수행하기 위해 복수의 동시 검색으로부터의 검색 결과를 업데이트하는 단계를 포함하는
    원치 않는 이메일 관리 방법.
  5. 제 1 항에 있어서,
    상기 판정 단계는
    메시지에 대한 정확한 소스 IP를 판정하고, 상기 IP가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    메시지에 대한 상기 소스 IP를 판정하고, 상기 IP가 공지된 스팸 발송자와 연관된 IP의 블록과 연관되는지 여부를 판정하는 단계와,
    상기 소스 IP를 판정하고, 상기 소스 IP와 연관된 도메인의 등록자가 공지된 스팸 발송자와 연관된 IP인지 여부를 판정하는 단계와,
    도메인 네임에 대해 상기 도메인에 대한 권위 있는 네임 서버(authoritative name server : ANS)를 판정하고, 상기 ANS가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    이메일 소스의 공지된 IP 어드레스와 연관된 호스트 네임을 판정하고, 상기 호스트 네임 서버 IP가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    송신 도메인과 연관된 네임 서버를 판정하고, 상기 네임 서버가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계
    중 적어도 하나를 포함하는 원치 않는 이메일 관리 방법.
  6. 제 1 항에 있어서,
    상기 복수의 동시 질의를 개시하는 단계는 상기 이메일 메시지의 복수의 특징에 대한 복수의 질의를 수행하는 단계를 포함하는
    원치 않는 이메일 관리 방법.
  7. 제 1 항에 있어서,
    복수의 질의를 비동기적으로 수행하는 단계를 포함하는
    원치 않는 이메일 관리 방법.
  8. 제 1 항에 있어서,
    상기 복수의 질의 중 하나에 대한 응답을 수신하는 단계와,
    상기 질의 외의 다른 질의에 대한 응답을 수신하기 전에 상기 이메일 메시지가 스팸인지 여부에 대해 상기 응답이 확정적인지 여부를 판정하는 단계
    를 더 포함하는 원치 않는 이메일 관리 방법.
  9. 제 1 항에 있어서,
    SMTP 레벨 500 에러를 발행함으로써 상기 이메일 메시지를 거부하도록 결정하는 단계와,
    상기 이메일 메시지를 허용하고, 상기 이메일 메시지를 정크 폴더(junk folder)로 라우팅하도록 결정하는 단계와,
    상기 이메일 메시지를 허용하고 상기 이메일 메시지를 자동적으로 삭제하도록 결정하는 단계와,
    상기 이메일 메시지를 허용하고 상기 이메일 메시지를 상이하게 렌더링(rendering)하도록 결정하는 단계
    중 하나 이상을 포함하는 원치 않는 이메일 관리 방법.
  10. 네트워크를 통해 수신된 이메일 메시지에 대한 메시지 전달 허용 메시지를 발행할 것인지 여부를 결정하는 방법으로서,
    전달할 이메일 메시지를 수신하는 단계와,
    메시지 전달 허용 메시지를 송신자에게 발행하기 전에,
    상기 이메일 메시지가 스팸 특징을 갖는지 여부를 판정하는 단계와,
    스팸 특징을 갖는 각 메시지에 대해, 상기 특징에 대한 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 결정하기 위해 상기 이메일 메시지의 하나 이상의 상이한 특징에 대한 복수의 병렬 질의를 상기 네트워크 상의 공중 호스트에게 발행하는 발행 단계와, 상기 이메일 메시지가 상기 복수의 병렬 질의 중 적어도 하나에 응답하여 반환된, 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 이용하여 이전에 스팸인 것으로 결정된 메시지와 네트워크 하부 구조 특징을 공유하는지 여부를 판정하는 단계와,
    상기 복수의 병렬 질의 전체보다 적은 부분집합에 대한 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 포함하는 응답을 수신하는 단계와,
    상기 수신된 응답이 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정할 수 있을 정도로 충분한지 여부를 판정하는 단계와,
    상기 응답을 평가하여, 상기 수신된 응답이 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정할 수 있을 정도로 충분하다면, 상기 응답에 기초하여 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정하고 다른 응답은 무시하며, 상기 수신된 응답이 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정할 수 있을 정도로 충분하지 않다면, 하나 이상의 추가 응답을 기다리고 상기 추가 응답에 기초하여 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정함으로써, 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정하는 단계와,
    상기 판정하는 단계에 후속하여, 상기 이메일 메시지가 스팸이 아니면 메시지 전달 허용 메시지를 상기 송신자에게 발행하고, 상기 이메일 메시지가 스팸이면 메시지 전달 허용 메시지를 발행하지 않고 상기 이메일 메시지를 폐기하는 단계
    를 포함하는 방법.
  11. 제 10 항에 있어서,
    각각의 판정 단계에서 사용할 응답 질의를 저장하는 단계를 더 포함하고,
    상기 발행은 이전 질의의 결과에 기초하여 상기 이메일 메시지가 의심되는지 여부를 판정하는 것을 포함하는
    방법.
  12. 제 11 항에 있어서,
    상기 이메일 메시지가 스팸인지 아닌지 여부를 판정하는 단계는 복수의 동시 질의로부터의 업데이트된 검색 결과를 이용하여 상기 판정하는 단계를 수행하는 단계를 포함하는
    방법.
  13. 제 12 항에 있어서,
    상기 이메일 메시지가 스팸 특징을 갖는지 여부를 판정하는 단계는 송신자 분류(sender classification)를 판정하거나, 상기 이메일 메시지가 인증되는지 여부를 판정하거나 또는 스팸 점수 할당에 기초하여 스팸 확률을 판정하는 단계를 포함하는
    방법.
  14. 제 13 항에 있어서,
    상기 이메일 메시지가 스팸인지 아닌지의 여부를 판정하는 단계는
    메시지에 대한 정확한 소스 IP를 판정하고, 상기 IP가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    메시지에 대한 상기 소스 IP를 판정하고, 상기 IP가 공지된 스팸 발송자와 연관된 IP의 블록과 연관되는지 여부를 판정하는 단계와,
    상기 소스 IP를 판정하고, 상기 소스 IP와 연관된 도메인의 등록자가 공지된 스팸 발송자와 연관된 IP인지 여부를 판정하는 단계와,
    도메인 네임에 대해 상기 도메인에 대한 권위 있는 네임 서버(authoritative name server : ANS)를 판정하고, 상기 ANS가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    이메일 소스의 공지된 IP 어드레스와 연관된 호스트 네임을 판정하고, 상기 호스트 네임 서버 IP가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    송신 도메인과 연관된 네임 서버를 판정하고, 상기 네임 서버가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계
    중 적어도 하나를 포함하는 방법.
  15. 제 14 항에 있어서,
    상기 질의를 발행하는 단계는 상기 이메일 메시지의 복수의 특징에 대한 복수의 질의를 수행하는 단계를 포함하는
    방법.
  16. 제 15 항에 있어서,
    상기 복수의 질의를 비동기적으로 수행하는 단계를 포함하는
    방법.
  17. 제 10 항에 있어서,
    상기 복수의 질의 중 하나에 대한 응답을 수신하는 단계와,
    상기 질의 외의 다른 질의에 대한 응답을 수신하기 전에 상기 이메일 메시지가 스팸인지 여부에 대해 상기 응답이 확정적인지 여부를 판정하는 단계
    를 더 포함하는 방법.
  18. 네트워크에 결합되어 상기 네트워크로부터 메시지를 수신하는 처리 장치를 포함하는 메시징 시스템(messaging system)으로서,
    상기 처리 장치는 상기 처리 장치로 하여금 단계들을 실행하게 하는 명령어를 제공하는 코드를 포함하고,
    상기 단계들은
    상기 메시징 시스템에 대한 접속을 관리하는 메시지 전송 에이전트를 제공하는 단계와,
    메일 성분 추출 모듈을 포함하는 인바운드 이메일 해석 에이전트(inbound email parsing agent)를 제공하는 단계와,
    의심 이메일 결정 모듈을 제공하는 단계
    를 포함하고,
    상기 의심 이메일 결정 모듈은
    이메일 메시지를 수신하는 단계와,
    메시지 허용 메시지를 이메일 메시지의 송신자에게 발행하기 전에,
    상기 이메일 메시지가 스팸 특징을 갖는지 여부를 판정하는 단계와,
    스팸 특징을 갖는 각각의 이메일 메시지에 대해, 상기 각각의 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 갖는 공중 호스트에게 상기 각각의 이메일 메시지에 대한 복수의 병렬 질의를 발행하는 단계 -각각의 질의는 상기 각각의 이메일 메시지의 상이한 특징과 관련하여 상기 각각의 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 구하여 각각의 질의된 특징과 관련하여 상기 각각의 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 결정함 - 와,
    상기 복수의 질의 중 하나 이상의 질의에 대한 응답을 수신하는 단계 -상기 응답은 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보를 포함함- 와,
    상기 하나 이상의 질의에 대한 응답으로 수신된, 상기 이메일 메시지가 수신되게 하는 네트워크의 하부 구조에 관련된 정보로부터 상기 이메일 메시지가 스팸 메시지에 의해 공유된 네트워크의 하부 구조에 관련된 정보에 기초하여 스팸인지 아닌지 이전에 결정된 메시지와 특징을 공유하는지 여부를 판정하는 단계와,
    상기 수신된 응답이 상기 이메일 메시지가 스팸인지 또는 스팸이 아닌지를 판정하기에 충분한지 여부를 판정하고, 상기 수신된 응답이 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정할 수 있을 정도로 충분하다면, 상기 응답에 기초하여 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정하고 다른 응답은 무시하며, 상기 수신된 응답이 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정할 수 있을 정도로 충분하지 않다면, 하나 이상의 추가 응답을 기다리고 상기 추가 응답에 기초하여 상기 이메일 메시지가 스팸인지 아닌지 여부를 판정하는 단계와,
    상기 이메일 메시지가 스팸인지 또는 스팸이 아닌지를 판정하는 단계에 후속하여, 상기 이메일 메시지가 스팸이 아니면 메시지 전달 허용 메시지를 상기 송신자에게 발행하고, 상기 이메일 메시지가 스팸이면 메시지 전달 허용 메시지를 상기 송신자에게 발행하지 않고 상기 이메일 메시지를 폐기하는 단계
    를 수행하는 코드를 포함하는
    메시징 시스템.
  19. 제 18 항에 있어서,
    복수의 질의를 발행하는 상기 코드는 단계들 중 적어도 하나에 대한 질의를 발행하는 것을 포함하고,
    상기 단계들은
    메시지에 대한 정확한 소스 IP를 판정하고, 상기 IP가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    메시지에 대한 상기 소스 IP를 판정하고, 상기 IP가 공지된 스팸 발송자와 연관된 IP의 블록과 연관되는지 여부를 판정하는 단계와,
    상기 소스 IP를 판정하고, 상기 소스 IP와 연관된 도메인의 등록자가 공지된 스팸 발송자와 연관된 IP인지 여부를 판정하는 단계와,
    도메인 네임에 대해 상기 도메인에 대한 권위 있는 네임 서버(ANS)를 판정하고, 상기 ANS가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    이메일 소스의 공지된 IP 어드레스와 연관된 호스트 네임을 판정하고, 상기 호스트 네임 서버 IP가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계와,
    송신 도메인과 연관된 네임 서버를 판정하고, 상기 네임 서버가 공지된 스팸 발송자와 연관되는지 여부를 판정하는 단계
    를 포함하는 메시징 시스템.
KR1020117030793A 2009-06-26 2010-06-18 실시간 스팸 탐색 시스템 KR101745624B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/493,046 2009-06-26
US12/493,046 US8959157B2 (en) 2009-06-26 2009-06-26 Real-time spam look-up system
PCT/US2010/039190 WO2010151493A2 (en) 2009-06-26 2010-06-18 Real-time spam look-up system

Publications (2)

Publication Number Publication Date
KR20120099572A KR20120099572A (ko) 2012-09-11
KR101745624B1 true KR101745624B1 (ko) 2017-06-09

Family

ID=43381919

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117030793A KR101745624B1 (ko) 2009-06-26 2010-06-18 실시간 스팸 탐색 시스템

Country Status (12)

Country Link
US (1) US8959157B2 (ko)
EP (1) EP2446411B1 (ko)
JP (1) JP2012531666A (ko)
KR (1) KR101745624B1 (ko)
CN (1) CN102804213B (ko)
AR (1) AR077019A1 (ko)
AU (1) AU2010263086B2 (ko)
BR (1) BRPI1015421A2 (ko)
CA (1) CA2761970A1 (ko)
RU (1) RU2011152895A (ko)
TW (1) TW201101769A (ko)
WO (1) WO2010151493A2 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7991910B2 (en) 2008-11-17 2011-08-02 Amazon Technologies, Inc. Updating routing information based on client location
US8028090B2 (en) 2008-11-17 2011-09-27 Amazon Technologies, Inc. Request routing utilizing client location information
US7970820B1 (en) 2008-03-31 2011-06-28 Amazon Technologies, Inc. Locality based content distribution
US7962597B2 (en) 2008-03-31 2011-06-14 Amazon Technologies, Inc. Request routing based on class
US8606996B2 (en) 2008-03-31 2013-12-10 Amazon Technologies, Inc. Cache optimization
US9495338B1 (en) 2010-01-28 2016-11-15 Amazon Technologies, Inc. Content distribution network
WO2011143542A1 (en) 2010-05-13 2011-11-17 Ramakant Pandrangi Systems and methods for identifying malicious domains using internet-wide dns lookup patterns
US10958501B1 (en) 2010-09-28 2021-03-23 Amazon Technologies, Inc. Request routing information based on client IP groupings
US9003035B1 (en) 2010-09-28 2015-04-07 Amazon Technologies, Inc. Point of presence management in request routing
US9712484B1 (en) 2010-09-28 2017-07-18 Amazon Technologies, Inc. Managing request routing information utilizing client identifiers
US8452874B2 (en) * 2010-11-22 2013-05-28 Amazon Technologies, Inc. Request routing processing
SE1051394A1 (sv) * 2010-12-30 2011-10-13 Axiomatics Ab A system and method for evaluating a reverse query
US9646164B2 (en) 2010-12-30 2017-05-09 Aziomatics Ab System and method for evaluating a reverse query
US10467042B1 (en) 2011-04-27 2019-11-05 Amazon Technologies, Inc. Optimized deployment based upon customer locality
US8966576B2 (en) 2012-02-27 2015-02-24 Axiomatics Ab Provisioning access control using SDDL on the basis of a XACML policy
US9154551B1 (en) 2012-06-11 2015-10-06 Amazon Technologies, Inc. Processing DNS queries to identify pre-processing information
US10164989B2 (en) * 2013-03-15 2018-12-25 Nominum, Inc. Distinguishing human-driven DNS queries from machine-to-machine DNS queries
US9634970B2 (en) * 2013-04-30 2017-04-25 Cloudmark, Inc. Apparatus and method for augmenting a message to facilitate spam identification
US10097448B1 (en) 2014-12-18 2018-10-09 Amazon Technologies, Inc. Routing mode and point-of-presence selection service
US10193838B2 (en) * 2015-03-06 2019-01-29 Microsoft Technology Licensing, Llc Conditional instant delivery of email messages
US10225326B1 (en) 2015-03-23 2019-03-05 Amazon Technologies, Inc. Point of presence based data uploading
US9832141B1 (en) 2015-05-13 2017-11-28 Amazon Technologies, Inc. Routing based request correlation
US10243957B1 (en) 2015-08-27 2019-03-26 Amazon Technologies, Inc. Preventing leakage of cookie data
US10135860B2 (en) * 2015-08-31 2018-11-20 International Business Machines Corporation Security aware email server
US10270878B1 (en) 2015-11-10 2019-04-23 Amazon Technologies, Inc. Routing for origin-facing points of presence
US9954877B2 (en) 2015-12-21 2018-04-24 Ebay Inc. Automatic detection of hidden link mismatches with spoofed metadata
US10075551B1 (en) 2016-06-06 2018-09-11 Amazon Technologies, Inc. Request management for hierarchical cache
US10110694B1 (en) 2016-06-29 2018-10-23 Amazon Technologies, Inc. Adaptive transfer rate for retrieving content from a server
US10505961B2 (en) 2016-10-05 2019-12-10 Amazon Technologies, Inc. Digitally signed network address
US10831549B1 (en) 2016-12-27 2020-11-10 Amazon Technologies, Inc. Multi-region request-driven code execution system
CN108259415B (zh) * 2016-12-28 2022-08-26 北京奇虎科技有限公司 一种邮件检测的方法及装置
US11075987B1 (en) 2017-06-12 2021-07-27 Amazon Technologies, Inc. Load estimating content delivery network
US10742593B1 (en) 2017-09-25 2020-08-11 Amazon Technologies, Inc. Hybrid content request routing system
US10812495B2 (en) * 2017-10-06 2020-10-20 Uvic Industry Partnerships Inc. Secure personalized trust-based messages classification system and method
US10686807B2 (en) 2018-06-12 2020-06-16 International Business Machines Corporation Intrusion detection system
US10862852B1 (en) 2018-11-16 2020-12-08 Amazon Technologies, Inc. Resolution of domain name requests in heterogeneous network environments
US11025747B1 (en) 2018-12-12 2021-06-01 Amazon Technologies, Inc. Content request pattern-based routing system
US11379577B2 (en) 2019-09-26 2022-07-05 Microsoft Technology Licensing, Llc Uniform resource locator security analysis using malice patterns
US11509667B2 (en) 2019-10-19 2022-11-22 Microsoft Technology Licensing, Llc Predictive internet resource reputation assessment
US11431751B2 (en) 2020-03-31 2022-08-30 Microsoft Technology Licensing, Llc Live forensic browsing of URLs
US11916858B1 (en) * 2022-09-30 2024-02-27 Sophos Limited Method and system for outbound spam mitigation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070208868A1 (en) 2006-03-03 2007-09-06 Kidd John T Electronic Communication Relationship Management System And Methods For Using The Same

Family Cites Families (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050081059A1 (en) * 1997-07-24 2005-04-14 Bandini Jean-Christophe Denis Method and system for e-mail filtering
US6522875B1 (en) * 1998-11-17 2003-02-18 Eric Morgan Dowling Geographical web browser, methods, apparatus and systems
US6654787B1 (en) * 1998-12-31 2003-11-25 Brightmail, Incorporated Method and apparatus for filtering e-mail
US7249175B1 (en) * 1999-11-23 2007-07-24 Escom Corporation Method and system for blocking e-mail having a nonexistent sender address
US6321267B1 (en) * 1999-11-23 2001-11-20 Escom Corporation Method and apparatus for filtering junk email
AUPQ449399A0 (en) 1999-12-07 2000-01-06 Automatic Pty Ltd Internet redirection methods
US7707252B1 (en) * 2000-05-12 2010-04-27 Harris Technology, Llc Automatic mail rejection feature
GB2366706B (en) * 2000-08-31 2004-11-03 Content Technologies Ltd Monitoring electronic mail messages digests
US20020032727A1 (en) 2000-09-08 2002-03-14 International Business Machines Corporation System and method for enhancing load controlling in a clustered Web site
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US6993574B2 (en) * 2001-06-19 2006-01-31 Zoetics, Inc. Web-based communications addressing system and method
US20030105712A1 (en) * 2001-11-30 2003-06-05 Gerhard Bodensohn Messaging system and method
CA2476349C (en) * 2002-02-19 2010-09-28 Scott Michael Petry E-mail management services
US7096498B2 (en) 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
AU2003231210A1 (en) * 2002-05-02 2003-11-17 Tekelec Filtering and application triggering platform
US20030225850A1 (en) 2002-05-28 2003-12-04 Teague Alan H. Message processing based on address patterns
US7516182B2 (en) * 2002-06-18 2009-04-07 Aol Llc Practical techniques for reducing unsolicited electronic messages by identifying sender's addresses
US7293065B2 (en) * 2002-11-20 2007-11-06 Return Path Method of electronic message delivery with penalties for unsolicited messages
US7206814B2 (en) 2003-10-09 2007-04-17 Propel Software Corporation Method and system for categorizing and processing e-mails
JP3663199B2 (ja) * 2003-05-16 2005-06-22 三洋電機株式会社 迷惑メール自動判定機能を有する通信装置
US7272853B2 (en) * 2003-06-04 2007-09-18 Microsoft Corporation Origination/destination features and lists for spam prevention
US20050076110A1 (en) * 2003-07-11 2005-04-07 Boban Mathew Generic inbox system and method
US7200637B2 (en) * 2003-07-16 2007-04-03 Thomas John Klos System for processing electronic mail messages with specially encoded addresses
US7610341B2 (en) * 2003-10-14 2009-10-27 At&T Intellectual Property I, L.P. Filtered email differentiation
US7715059B2 (en) * 2003-10-22 2010-05-11 International Business Machines Corporation Facsimile system, method and program product with junk fax disposal
US7636716B1 (en) * 2003-12-03 2009-12-22 Trend Micro Incorporated Method and architecture for blocking email spams
JP2005208780A (ja) * 2004-01-21 2005-08-04 Nec Corp メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法
US20050204159A1 (en) * 2004-03-09 2005-09-15 International Business Machines Corporation System, method and computer program to block spam
US7783706B1 (en) * 2004-04-21 2010-08-24 Aristotle.Net, Inc. Filtering and managing electronic mail
US7647321B2 (en) 2004-04-26 2010-01-12 Google Inc. System and method for filtering electronic messages using business heuristics
US20060218111A1 (en) * 2004-05-13 2006-09-28 Cohen Hunter C Filtered search results
CA2508304A1 (en) 2004-05-25 2005-11-25 Northseas Advanced Messaging Technology Inc. Method of and system for management of electronic mail
US7849142B2 (en) 2004-05-29 2010-12-07 Ironport Systems, Inc. Managing connections, messages, and directory harvest attacks at a server
US7870200B2 (en) * 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7748038B2 (en) * 2004-06-16 2010-06-29 Ironport Systems, Inc. Method and apparatus for managing computer virus outbreaks
US7664819B2 (en) 2004-06-29 2010-02-16 Microsoft Corporation Incremental anti-spam lookup and update service
GB2418330B (en) * 2004-09-17 2006-11-08 Jeroen Oostendorp Platform for intelligent Email distribution
CN1780266A (zh) * 2004-11-26 2006-05-31 郑志文 解析邮件行为控制电子邮件的方法
US20060123083A1 (en) * 2004-12-03 2006-06-08 Xerox Corporation Adaptive spam message detector
US7532890B2 (en) * 2005-04-01 2009-05-12 Rockliffe Systems Content-based notification and user-transparent pull operation for simulated push transmission of wireless email
US20070041372A1 (en) * 2005-08-12 2007-02-22 Rao Anup V Method and system for deterring SPam over Internet Protocol telephony and SPam Instant Messaging
US7475118B2 (en) * 2006-02-03 2009-01-06 International Business Machines Corporation Method for recognizing spam email
TW200732935A (en) * 2006-02-24 2007-09-01 Acer Inc Information acquiring method and hand mobile communication apparatus and computer readable medium using the same
US7630727B2 (en) * 2006-06-29 2009-12-08 Alcatel-Lucent Usa Inc. MAP message processing for SMS spam filtering
US7707222B2 (en) * 2006-07-06 2010-04-27 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for providing access to information systems via e-mail
WO2008053426A1 (en) * 2006-10-31 2008-05-08 International Business Machines Corporation Identifying unwanted (spam) sms messages
US7904958B2 (en) * 2007-02-27 2011-03-08 Symantec Corporation Spam honeypot domain identification
WO2009003059A1 (en) * 2007-06-25 2008-12-31 Google Inc. Zero-hour quarantine of suspect electronic messages
US7937468B2 (en) * 2007-07-06 2011-05-03 Yahoo! Inc. Detecting spam messages using rapid sender reputation feedback analysis
US8103727B2 (en) * 2007-08-30 2012-01-24 Fortinet, Inc. Use of global intelligence to make local information classification decisions
US7769815B2 (en) * 2008-06-04 2010-08-03 Yahoo! Inc. System and method for determining that an email message is spam based on a comparison with other potential spam messages
US20090307320A1 (en) * 2008-06-10 2009-12-10 Tal Golan Electronic mail processing unit including silverlist filtering
US8554847B2 (en) * 2008-07-15 2013-10-08 Yahoo! Inc. Anti-spam profile clustering based on user behavior

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070208868A1 (en) 2006-03-03 2007-09-06 Kidd John T Electronic Communication Relationship Management System And Methods For Using The Same

Also Published As

Publication number Publication date
AR077019A1 (es) 2011-07-27
JP2012531666A (ja) 2012-12-10
CN102804213B (zh) 2016-05-25
BRPI1015421A2 (pt) 2016-04-19
EP2446411B1 (en) 2019-05-29
RU2011152895A (ru) 2013-06-27
WO2010151493A2 (en) 2010-12-29
EP2446411A4 (en) 2017-04-26
AU2010263086B2 (en) 2014-06-05
CA2761970A1 (en) 2010-12-29
WO2010151493A3 (en) 2011-03-03
EP2446411A2 (en) 2012-05-02
CN102804213A (zh) 2012-11-28
TW201101769A (en) 2011-01-01
KR20120099572A (ko) 2012-09-11
US8959157B2 (en) 2015-02-17
AU2010263086A1 (en) 2011-12-01
US20100332601A1 (en) 2010-12-30

Similar Documents

Publication Publication Date Title
KR101745624B1 (ko) 실시간 스팸 탐색 시스템
CA2606998C (en) Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US8001598B1 (en) Use of geo-location data for spam detection
US7835294B2 (en) Message filtering method
US7571319B2 (en) Validating inbound messages
US7950047B2 (en) Reporting on spoofed e-mail
US20090164598A1 (en) Program Product and System for Performing Multiple Hierarchical Tests to Verify Identity of Sender of an E-Mail Message and Assigning the Highest Confidence Value
US20060168017A1 (en) Dynamic spam trap accounts
CN101471897A (zh) 对电子通讯中可能的错误拼写地址的启发性检测方法
US20080177843A1 (en) Inferring email action based on user input
US8291024B1 (en) Statistical spamming behavior analysis on mail clusters
JP2004362559A (ja) スパム防止のための送信元および宛先の特徴およびリスト
US20100174788A1 (en) Honoring user preferences in email systems
CN110166480B (zh) 一种数据包的分析方法及装置
AU2009299539B2 (en) Electronic communication control
US20060075099A1 (en) Automatic elimination of viruses and spam
Zhang et al. A behavior-based detection approach to mass-mailing host
Choi Transactional behaviour based spam detection

Legal Events

Date Code Title Description
AMND Amendment
N231 Notification of change of applicant
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant