TW201101769A - Real-time spam look-up system - Google Patents
Real-time spam look-up system Download PDFInfo
- Publication number
- TW201101769A TW201101769A TW099116703A TW99116703A TW201101769A TW 201101769 A TW201101769 A TW 201101769A TW 099116703 A TW099116703 A TW 099116703A TW 99116703 A TW99116703 A TW 99116703A TW 201101769 A TW201101769 A TW 201101769A
- Authority
- TW
- Taiwan
- Prior art keywords
- message
- spam
- determining
- domain
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000012546 transfer Methods 0.000 claims abstract description 5
- 238000012545 processing Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 12
- 230000000977 initiatory effect Effects 0.000 claims 1
- 101150055528 SPAM1 gene Proteins 0.000 description 46
- 238000005516 engineering process Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000012012 milestone trend analyses Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 4
- 230000005055 memory storage Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000282421 Canidae Species 0.000 description 1
- 241000238366 Cephalopoda Species 0.000 description 1
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 241000543375 Sideroxylon Species 0.000 description 1
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 1
- 206010042635 Suspiciousness Diseases 0.000 description 1
- 238000003556 assay Methods 0.000 description 1
- 210000000941 bile Anatomy 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 235000013305 food Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 210000002784 stomach Anatomy 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000007501 viral attachment Effects 0.000 description 1
- 238000004804 winding Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
201101769 六、發明說明: f發明所屬之技術領域】 查系統 本發明是關於即時垃圾郵件檢 f先前技術】 口未經請求之大量電子郵件(_,咖) 〇二-遍的問題。未經請求之大量電子郵件可包括未 求之商業電子郵件、垃棋翻# q 、 圾郵件、網路釣魚電子郵件和其他未 β求之大1電子郵件^未經請求之大量電子郵件的起始者 (垃圾郵件發送者)利用多個郵件伺服器機器的的處理能力 發送未經請求之大量電子郵件^規模電子郵件服務供應商
Service pr〇vlders,Esp )以其發送郵件基礎架構的規 模和入站電子郵件接受能力來處理未經請求之大量電子郵 件方面是居於弱勢的。 〇 冑一些可識別未經請求之大量電子郵件訊息與電子郵件 服務供應商的特徵。電子郵件服務供應商通常使用一些機制 來減J系統的使用者所接收之未經請求之大量電子郵件的 篁因此’垃圾郵件發送者使用多種技術來迴避電子郵件 服務供應商為了阻止他們的訊息所作的努力。垃圾郵件發送 者不斷改變路線、網域名稱、來源IP位址、和訊息内容,以 編過未經請求之大量電子郵件的偵測系統。 【發明内容】 3 201101769 拖述在發出一訊息接受訊息至一發送電子郵件伺服器之 前實施即時垃圾郵件過渡的技術。在收到可疑訊息時,對所 收到之疑為未經請求之大量電子郵件的電子郵件的組件進 仃-或多個查詢。該查詢垃圾郵件或未經請求之大量電子郵 件且於訊息中非顯而易見的資訊。接收查詢的回應並決定是 否發出郵件接受訊息。查詢可使訊息的組件關聯於網路基礎 架構,而訊息經由網路基礎架構已到達入站郵件伺服器。 Ο 本「發明内容」係提供以簡化的形式來介紹將於以下「實 施方式」中進一步描述的一些概念。本「發明内容」並非欲 以識別申請專利標的之重要特徵或必要特徵,本「發明内容」 亦非欲以限制申請專利標的之範圍。 」 【實施方式】 描述了用於提高大型企業電子郵件系統處理麵的能 〇力的技術。即時過遽引擎發出一或多個對所收到疑為麵的 電子郵件之㈣的查詢。這些查詢尋找可_該訊息為於訊 息中非顯而易見之UBE的資訊。接收查詢的回應並決定在自 動發出接受之前是否發出郵件接受訊息。圖i是適合執 技術之系統方塊圖。系統200可由電子郵件服務供應商(膽) 實施並可包括例如入站飼服器220,其包括一或更多的處理 裝置。多個入站飼服器220_220n可於企業内部提供,所 有前述入站伺服器都可包括一或更多的處理裝置。 在一實施例’電子郵件伺服器220是獨立的词服器並允 201101769 許擁有伺服器上電子郵件地址的使用者透過任何諸如imap 或pop的形式來存取他們的郵件。在另-實施例,入站飼服 器200疋夕個刖端伺服器之一者,其傳遞訊息到任何數量之 儲存企業使用者的t子郵件的後端處理裝置。這裡討論的技 術適用於獨立的電子郵件伺服器和企業環境。 入站電子郵件伺服器220從有各自的MTA 115、135的 發送伺服器110、130接收透過網際網路5〇 (或其他合適的 〇網路)傳②之電子郵件訊息。人站MTA215處理來自發送郵 件伺服器(其係透過網際網路5〇耦合至入站mta)的連接, 並對入站電子郵件執行初步的接受及過爐絲。在—般情況 下,ΜΤΑ可在主機網路協定中接受或拒絕入站連接請求嘗 試。 入站電子郵件伺服器22〇可包括剖析代理者、垃圾 郵件過滤器230、即時過滤器235和即時資料245。如下所 述,垃圾郵件過遽器230執行的初步檢查是實施於入站訊息 〇並將垃圾郵件評分與每一訊息相Μ。垃圾郵件内容過遽器 230可包括任何内容過濾、方法,包括例如決定訊息是否包含 釣魚内容、可疑鏈、结、或病毒附件的方法。如果電子郵件視 為可傳送,入站電子郵件]ViTA將接受該訊息。 企業資料庫維持系統200可見之所有來源的全域垃圾郵 件資料。資料可自個別飼服器22〇中的即時資料庫W分散 至企業資料庫以用於分散至其他伺服器22〇n。 刻析代理者225作為特徵擷取組件n〇,其可债測並擷 取網際網路協定(IP)位址、網域名稱、狐、和其他在訊 5 201101769 息⑷中發現的資訊。即時過濾器235使用剖析代理者所提 供的資訊對擷取自訊息之資料的元素執行即時查詢以決定 訊息之非顯而易見元素是否表示垃圾郵件或邪惡訊息的可 能性。即時過濾器235包括查找組件,其可執行任意數量的 並行和非同步查詢’例如對IP位址進行反轉網域名稱服務 (reverse DNS)查找的和以下描述的其他查詢,以確定訊息 的狀態。 ~ 〇 圖1亦繪示經由網路之訊息145的抽象示意圖。例如, 發送者的邊緣資訊伺服器110透過網際網路50發送郵件145 到入站郵件伺服器22(^網際網路5〇包括數個彼此連接(及 與其他組件連接)的路由器143、147、149。訊息145透過 路由器147、149等等從發送者的電腦11〇傳送出來,直到他 們到達目的地電腦220。通過路由器的資訊流動並未記錄在 電子郵件中。路由器不修改通過它們的資訊。電子郵件有時 可直接從一伺服器傳送到另一伺服器。當從郵件伺服器傳送 〇到另一郵件伺服器時,伺服器的IP位址可能會加到電子郵 件,所以伺服器之間的資訊流動通常是有記錄的。但是,每 個郵件伺服器可以任何所欲方式修改此資訊。因此,只有到 伺服器200前的最後一個郵件伺服器的IP位址可以信任,任 何之前的伺服器可能已經修改了資訊’或垃圾郵件發送者可 能已在發送訊息之前將錯誤的IP位址輸入到標題。 圖1中亦繪示URL内容伺服器120,其回應於對嵌入在 訊息145中之URL的請求而提供内容。名稱伺服器14〇回應 對訊息145中之URL的主機的查詢以及其他名稱服務請求。 6 201101769 各種路由器143、147和149可用來促進網路上各種伺服器 之間的通訊。應明白,這些路由器不是獨特的,任何實體之 間的通訊可採取不同的路徑經過網際網路5 〇。 電子訊息通常使用簡單郵件傳輸協定(SMTp )標準透過 網際網路50來發送。-種以SMTp發送之電子訊息包括來源 資訊、收件人資訊和資料資訊。來源資通常包括來源ιρ位 址。來源IP位址是電子訊息源起之獨特位址,並可代表單一 ◎飼服器、伺服器群組或虛擬伺服器。 IP位址可在訊息傳遞途徑(在訊息寄件者與訊息收件者 之間)的不同點加到訊息標題,因此可影響垃圾郵件過濾器 對訊心的處理方式。在訊息中读測到的Ip位址可以用於反轉 網域名稱服務資訊和路徑追縱。最後一们p位址不能被偽 ^因此提供該訊息的至少一個來源及可預測。正因為如 此’垃圾郵件發送者可能會例如以病毒和木馬程式感染發送 機=之方式來嘗試獲得其他的IP位址。然後,他們利用這些 病毒或木馬程式發送垃圾郵件。因此,訊息的位址可能是 被感染機器的lP位址。因此’要了解所有可能的感染和維持 即時的感染記錄可能很難。 圖2繪示入站伺服器22〇的各組件所執行的方法。在步 驟330 ’ S於在入站飼服器處收到之每一訊息在步驟咖 :析該訊摘取一或多個組件,其係用於決定該訊息是否 〜用於對該訊息進行即時特徵查詢的未經請求之大量電子 —該擷取可包括例如決定在一個嵌入式中的根和第 -層級網域、擷取Ip位址和其他標題資訊、及擷取可使用此 7 201101769 處所述之查6旬來決定該訊息之附加資訊的任何組件。 在步驟334,初步決定該訊息是否疑是不應傳送給使用 者的未經凊求之大量電子郵件。這種訊息可包含垃圾郵件或 網路釣魚訊息,其具有-或多個巍入的狐鏈結到另-個飼 服器(如内容飼服器120)上提供的内容。在一實施例,該 決定334是由垃圾郵件過濾組件23〇來完成。該初步決定可 藉檢查電子郵件訊息標題及内容中顯而易見的訊息組件(例 〇如發送者、發送者的網域、及驗證資訊)來完成。歷史資料 可以用來將這種已知特徵與垃圾郵件吻合。已知的優良特徵 可類似用來清除訊息在—態樣中,垃圾郵件過濾器可存取 即時資料庫245中的資訊並可自標題或内容查找一或多個資 訊的組件’以對該訊息是否為垃圾郵件作出迅速的決定。這 種最初的決定可藉參照已知垃圾郵件的電子郵件地址、網 域、發送者分類、該訊息的垃圾郵件可能性評分、驗證技術、 或其他快速測定方法。該訊息的其他特徵可表示該訊息不太 。:能是垃圾郵件。例如’如果郵件發送者或發送者的網域先 前已定為已知優良訊息,該訊息即較不太可能被懷疑。進一 步來說,缺少指示該訊息是否為垃圾郵件的任何特徵可使該 訊息被決定為可疑。例如,該訊息可能來自先前未見過的網 域。 在一實施例,垃圾郵件過滤器230是入站郵件伺服器2〇〇 的特別程式化部分,其包括例如已知優良和已知惡意電子郵 件地址的列表、已知優良和已知惡意電子郵件網域的列表、 網域範圍或IP位址、和過濾測試,其可執行於電子郵件訊息 201101769 的一部分以決定該訊息是否包含未經請求之大量電子郵件 如果在步驟334該訊息並非明確為垃圾郵件,則在步驟 338作出該訊息是否可疑的決 , 心 J紋讯息可為垃圾郵件過 滤輯指定之垃圾郵件評分低於—間值的訊息該閾值清楚 表明其為垃圾郵件或其具有已知為未經請求之大量電子郵 件所共享之其他特徵(如嵌入URL)。 如果在步驟338的初步決定是該訊息是可㈣,則執行 〇-或更多的即時查詢。根據本技術,查詢之結果用於決定是 否發出「訊息接受」的指示至寄件之電子郵件伺服器。在— κ施例,多個查詢同步和非同步於步驟34〇發出。查詢結果 可決定優先序為單獨決定或合併,這樣在其他答覆之前收到 的一或多個查詢的答覆可決定訊息的狀態,系統不必等待所 有查詢的答覆。在此態樣中,該系統是非同步的。該系統還 可「即時」操作,其係藉例如以收到「接受訊息傳送」( message accepted for delivery )之處理訊息完成訊息處理之前接收到 〇查t句的回覆p 在SMTP協定中’一範例交流在收到資料後一般以r 250 0K」或「250 Message accepted for delivery」訊息結束: Connected to mail.example.com (1.2.3.4). 220 mail.example.com ESMTP Ready ... HELO mail.somewhere.com 250 a.mail.somewhere.com Hello 4.3.1.1.somewhere.com [4.3.2.1], MAIL FROM:<mike@somewhere.com> 201101769 250 2.1.0 <mike@somewhere.com>... Sender ok RCPT TO:<someone@example.com>
250 2.1.5 <someone@example.com>... Recipient ok DATA 354 Enter mail, end with on a line by itself Hello there! OK, bye! o
250 2Message accepted for delivery QUIT 在此情境中’「即時」不一定意味著立刻,而是可有一 些時間過去’以允許查詢的發出、查詢回應的接收和回應的 分析,包括決定是否發出「接受訊息傳送」指令。應明白, 除了僅保留「接受訊息傳送」訊息之外,可對訊息採取其他 二即時」動作。例如’其他的行動可包括但不僅限於阻檔 u連線IP (澌開連線)、根據限制 ^ ^ 件者進行速率限制、或 根據與寄件者的各種基礎架 率。推一關的閾值來減慢寄件者速 進一步的動作可包括根據此處的資粗/w 1 收件£中㈣貝料收件者電子郵件 牛®中以不同方式呈現訊息給收件者 有鏈結到可嶷釣& 士塊认ττη 例如’如果一訊息 J疑釣魚主機的URL·,則τ > 紅色的安全棚^郵件介面顯示使用者 女全襴。反之,如果該訊息是 則可於郵件介面栋田c紅认s 自已知的可靠來源’ | ί卞;I面使用仏任的顯示機制。 在步驟342,當收到步驟34〇 出該回應是否指示訊息有問題的決定。查詢的回應時,作 。步驟334和330進一 10 201101769 步詳細介紹於圖〇如 344發送「不接受郵的二1為垃圾郵件,則在步雜 」的sfl息。如果却自丁 β 則在步驟346發出郵件 ^ 不疋垃圾郵件, 資料會返回到即時資料/心°在步驟348,查詢所得之 在-實施例I:用於最初決定步驟3…8。 牡賞施例,在步驟344
對話中提供「250接受吨自 .作包括不在SMTP 實施其他替代方案。可發出卿層級在步驟= 〇接受郵件但標記為送到垃圾郵件件 及/或接受郵件但以不同方式呈現郵件 = 作可取決於該訊息是未經請求 ^ 344採取的動 度信心可導致立即的拒絕:而=電子郵件的信心度’高 而較低度仏心可導致接受和不同 万式之呈現。 圖3詳細說明圖2的步驟34〇和342。在步驟揭數 個並行的查詢可於一電子郵件訊息同時發出。 如圖3所示,任何數量的查詢4〇4、412、422、432、442、 ◎ 452可同時發出。在—範例中,查詢包括佩查找⑽以提 供關於内容伺服器的資訊、Wh〇is查詢412以提供發送網域 或内容伺服器的資訊'發送網域或内容伺服器上的反轉網域 名稱服務查詢422、路徑追蹤432以確定訊息至發送網域或 内容伺服盗所採之路徑、以及名稱伺服器查詢442以決定垃 圾郵件網域來源之間的潛在關係。可進行最多「η」並行查 詢。在240可執行任何類型的查詢,其可透露非顯而易見於 訊息中的資訊,且透露與接收訊息之網路的基礎架構有關的 資訊。圖3所示之範例並非旨在詳盡揭示所有態樣。 11 201101769 -旦發起查詢(於 4G4、412、422、432、442 452), 系統分別於 405、413、423、433、 433 443、453等待每個查詢 的結果。因為所有的查詢可能不會在同一時間得到結果,對 於每個查詢,決定另—查詢的結果是否已於4〇6、414、心、 434、444、454收到。如果收到另一個結果分別於楊、 416、426、436、446、456決定該結果(單獨或另一查詢的 結果合併)是否可決定為未經請求之大量電子郵件。如果因 Ο 為另-測試的結果而決定該訊息為未經請求之大量電子郵 件,在344將郵件標記為垃圾郵件。如果不是,此方法續行 至步驟346,且如_ 2所示,提供「接受郵件傳送」的訊息。 如果沒有取得先前的結果,每個查詢的結果可於41〇、 418、428、438、448、458決定。如下所述,如果結果不是 決定性的,在決^是否發出該訊息為接受訊息之前結果資 料可與其他查詢結果結合使用。 每-個詢問是設計以取得與訊息有關的可發現資訊。例 U如’垃圾料發送者可簡單地建立很多主機名稱。這些主機 ㈣可^享許多H藉由檢查—數量的訊息和取得與訊 息有關的資料,可能舍屮银站:‘ m 只rrI出現諸如IP範圍、登錄名稱或地址之 件的开/式或共同的伺服器名稱。這些共同點是用來識別新 收到的訊息為未經請求之大量電子郵件。每個查詢並非僅設 計來檢查與訊息本身—起呈現之訊息的某—組件,而是進一 步冰入可發現之透露訊息的真實性質的組件態樣。許多的搜 尋都連結到與鏈結到網路基礎架構之訊息組件有關的發現 資訊。 12 201101769 URL主機錢查詢购可出現在以下情況,⑽ =郵Γ息的内容中,其指向額外的内容或係嵌人且設 ^顯不例如以HTML編碼之訊息的内容。狐查詢彻檢 :,RL的特徵以決定該訊息是否為未經請求之大量電子郵 析υίΓ用該特徵來起始對訊息的查詢。在—實施例,可分 f 了擷:徵以找出URL是否指向可疑的内容伺服器的線 ^可掏取URL的某些部分並詩垃圾料㈣、。就狐 0特徵而言,垃圾郵件發送者可能試圖藉由包括屬於其他人的 優良URL以及他們所控制的URL來欺編機器學習過遽器。 例如,垃圾郵件發送者可將micr〇s〇ftc〇m &括於訊息的竿 處,因為它可能被視為優良或「安全」的狐。為了減少這 類的劫持,可將計數型和組合型的URL功能包括為輸入而輸 入至機器學習過濾器。 URL主機查找404檢查URL的其他特徵,包括url的 網域疋否與未經請求之大量電子郵件的實體有已知的關 。係。URL主機查找可產生可與其他查詢結合的結果(例如 Whols查詢),以提供額外的垃圾郵件特徵。
Whols查询可依據所有者、所有者地址或Wh〇is查詢所 返回之其他資料的觀點來返回可識別網域之間關係的資 訊。Whols查詢可返回網域名稱的所有者、ιρ位址,或網際 網路上的自動系統號碼。在一個垃圾郵件發送者使用了大量 的網域位址的情況下,Whols查詢可能會發現邪惡的網域有 共同的所有者或共同的街道地址,且所有者或地址可以用來 識別未來的邪惡網域。 13 201101769 反轉網域名稱服務查詢422可用於將與電子郵件相關的 〇> 4立址轉換為網域名稱,或將導自反轉網域名稱服務查詢的 名稱與已知的邪惡網域名稱(或結合其他查詢使用)比對’ 以決定訊息是否可能為未經請求之大量電子郵件。另一種技 術是對IP位址執行反轉網域名稱服務查找。請注意控制ιρ 位址處的機器可能沒有控制該Ip位址於反轉網域名稱服務 的位址項。例如’居家電腦使用者可能會有已經被感染的電 ◎腦透過電纜數據機或DSL線路發送垃圾郵件。該使用者的網 際網路供應商控制電纜/DSL線路之Ip位址的反轉網域名稱 服務的位址項。垃圾郵件發送者控制電腦,但不控級DNs 輸入項。即使是控制DNS伺服器的垃圾郵件發送者也不能控 制電腦的反轉網域名稱服務的位址項。即使在垃圾郵件發送 者控制電腩的反轉網域名稱服務的輸入項的情況下,一種常 用方法是執行反轉網域名稱服務查找,然後對反轉網域名稱 服務之輸入項的結果執行DNS查找;如果兩個查找不匹配, €)則有充分的證據表示DNS伺服器配置錯誤或已經損害,則可 不信任來自其之任何資訊。 反轉網域名稱服務的位址項係以與一般項稍微不同的 方式來配置,通常必須有大量的IP位址以便控制反轉網域名 稱服務的位址項。在某些情況下,反轉網域名稱服務位址項 留白或缺失。IP位址可以反轉網域名稱服務查找組件4丨〇來 進行分析。這不僅僅涉及檢查位址是否為NULL·或者包含諸 如DSL的其他字串。確切地說,NULL及/或返回之非空白資 訊的名稱可作為輸入而輸入到即時資料庫。 201101769 路位追縱查§旬43 2導出至少一兩個ip位址之間的路徑。 雖然任何兩台電腦之間可能有許多通過網際網路的替代路 ‘路k追縦所採之路徑的共同因素可透露訊息為垃圾郵件 的可此性。路徑追蹤可縮小到發送者所處之地理位置。路徑 追蹤行動疋指可發送用於決定資訊之追縱封包的工具。特別 疋,&個工具可以追蹤UDp封包從本地主機到遠端主機的路 ^路控追縱也可以顯示到達目的地電腦所採取之路徑的時 〇間和地點。在決定有關的Ip位址後,可執行路徑追蹤,決定 最後一個、兩個或多個用於到達發送者的外部伺服器的路由 器。由路徑追蹤的方式所獲得的資訊可用於訓練諸如垃圾郵 件過濾器之過濾器。 垃圾郵件發送者可能試圖藉由取得大量的IP位址來欺 騙使用IP位址的垃圾郵件過濾器。但是,取得各種不同範圍 的IP位址比取得連接到網際網路之各種不同IP位址要來得 容易。「路徑追蹤」資訊可用來學習垃圾郵件發送者用來連 t)接到網際網路的路徑。藉由查看最後和倒數第二的中繼段 等,可學習到垃圾郵件所採的路徑。例如,可發現許多垃圾 郵件遵循共同的路徑。 路由器不修改通過它們的資訊。電子郵件有時可以直接 從一伺服器傳到另一伺服器。當從郵件伺服器到另一郵件伺 服器時,伺服器的IP位址會加到電子郵件,因此伺服器之間 的流通通常會有記錄。但是,每個郵件伺服器可以任何所欲 方式修改此資訊。 可執行URL、發送者網域或從其他搜尋所收集之資訊的 15 201101769 DNS查询442。垃圾郵株益^、楚& 郅件發迗者可能只有單一 ONS伺服器用 於夕個主機名稱。因此,DNS飼服器的識別身份對垃圾郵件 過渡器而由可能是重要的特徵。垃圾郵件發送者可能有多個 刪飼服H,但它們可能在網路上彼此鄰近。因此,使用與 NS查》旬、.Ό。的路#追縱以獲取到伺服器的路徑可提 供很有價值的資訊。DNS飼服器可為特定喜好的類型。關於 刪词服器的版本資訊可能是很有價值的資訊。 、 〇 T使用DNS伺服器將主機名稱轉換成Π> 4立址。如果垃 圾郵件發送者建立的各主機常駐在同一伺服器 或可具有相同的π> 4立址。因此,ΙΡ位址或其某些部㈣;; 圾郵件過濾器而言可能是报有價值的特徵。ΠΜ立址必須通過 網際網路來詩。藉由對❹址執行路料蹤,我們可發現 許多Π>位址是以類似的方式連接。對權限名㈣服器的查詢 也可發現邪惡伺服器有類似的共通性。 〇株的圖4繪不圖3中決定單一查詢是否指示-訊息是垃圾郵 〇件的過程(步驟410、418、428、438、448 458)。在步驟 5 0 2 ’接收組件杳詢的杳备 —止 —㈣以結果。在步驟504,初步决定該結 果疋否明確指示m息是未經請求之大量電子郵件。舉 例來說,如果路徑追縱查詢透露了一訊息路徑與另—已知未 經請求,大量電子郵件訊息的路徑追蹤查詢完全吻合,該訊 息可標記為確定的未經請求之大量電子郵件。如果 沒有明確指示未經請求之大量電 ^ 息匕仍可能於步 驟鳩和示該訊息存在有潛在問題。例如,可要求在收到較 大數量之給定訊息路徑的訊息時,將其界定為確定垃圾郵 16 201101769 件c在收到較小數量之相同路徑的訊息時將其界定為可 疑郵件’如果在步驟506存在有可疑性,在步驟508可選擇 ^合查詢並㈣步驟剔發出查詢u方法是如果訊息 ,來自從未見過的特定發送者,則將訊息標記為可能有: 題。該訊息可有完美的評分,但該訊息是來自首次發送者的 事實可能會超越其他因素。在所有情況下,於步驟更新 即時資訊資料庫。 〇 至乂存在兩個替代方案來決定在步驟340可執行哪些查 °句°在—替代方㈣’可根據人站伺服器220的規模來執行 查詢。如果有大量的人站伺㈣正在使料,人站訊息可使 用的查詢數量是有限的。在這樣的環境中,系統可能必須處 大量的訊心。任何訊息接受訊息之發出的重大延遲可導致 垃圾郵件發送者試圖開啟至入站郵件伺服器的其他連線。因 ^可進-㈣用時限’以Μ沒有在特定時間内收到決定 性回應的話,則必須接受該訊息。在另一 U可根據在入站伺服3|所丢?,丨沾„相此 一』取% ⑽15所看到的問題類型。如果決定了特定未 ^青求之大量電子郵件的形式較其他者的可能性為高,可將 查詢限制於設計以聚焦於最常見問題的查詢類型上。 圖5繪示本技術之進一步獨特態樣,步驟340的查詢可 二;Γ之Γ電子郵件活動期間(不僅僅是訊息的即時 =執:’或一段時間執行以處理未經請求之大量電子郵 間些情況下’垃圾郵件發送者可以使用獨特的時 ==請求之大量電子郵件訊息群組或未經請求 電子郵件活動。該活動可持續的期間比在入站饲服器 17 201101769
處所收到的初始訊息的期間長。在步驟512,活動是由在入 站訊息飼服器處收到的某數量或形式的訊息所決^。任何數 量的方法可用來決定未經請求之大量電子郵件活動正在進 行中。此外,可決定活動的類型。例如,垃圾郵件發送者可 發送一系列帶有嵌入URL的訊息,胃URL的網址係僅活動 -段時間的網域。一旦決定了垃圾郵件活動,在步驟514可 執仃I夕個查询一段時間’而不是對每個收到的訊息即時 執行查詢。例如,反轉網域名稱服務查詢可在狐中的網域 執行,直到活動結束或在步驟516指示有問題。url或網址 可歸類為鏈結垃圾郵件的網域,直至查詢㈣結束或查詢指 示該網域已不再活動。 參考圖6,實施本技術的範例系統包括以電腦66〇形式 存在之通用計算裝置。電腦660的組件可包括但不限於處理 單元620、系統記憶體63〇、及系統匯流排,其耦合包括 系統記憶體的各系統組件至處理單元62〇。系統匯流排 〇可為任何類型的匯流排結構,包括記憶體匯流排或記憶體控 制器、周邊匯流排、以及使用任何匯流排架構的本地匯流 排。僅為舉例而非限制,這種架構包括ISA匯流排、McΑ匯 流排、EISA匯流排、VESA本地匯流排、及pci匯流排(亦 稱Mezzanine匯流排)。 電腦660通常包括各種電腦可讀取媒體。電腦可讀取媒 體可以是任何可由電腦660存取的可用媒體,且包括揮發性 和非揮發性媒體、可移除和非可移除媒體。僅為舉例而非限 制,電腦可讀取媒體可包括電腦儲存媒體及通訊媒體。電腦 18 201101769 儲存媒體包括揮發性和非揮發性、可移除和非可移除媒體, 其係以任何方法或技術來實施以用於儲存諸如電腦可讀取 才曰v、貝料結構、程式模組、或其他資料之資訊。電腦可讀 取媒體包括但不限於,RAM、ROM、EpR〇M、eepr〇m、快 閃记憶體或其他記憶儲存技術、CD_R〇M、dvd、或其他光 學儲存、磁卡帶、磁帶、磁碟儲存或其他磁性儲存裝置、或 任何其他可用於儲存所需資訊並可由電腦66〇存取之媒體。 〇通訊媒體實現電腦可讀取指令、資料結構、程式模組或其他 資料並包括任何資訊傳遞媒體。僅為舉例而非限制,通訊媒 體包括諸如有線網路或直接有線連接之有線㈣、和諸如聲 學、射頻、紅外線和其他無線媒體之無線媒體。上述之任何 組合也應包括於電腦可讀取媒體的範圍内。 系統記憶體630包括揮發性及/或非揮發性記憶體形式 的電腦儲存媒體,如唯讀記憶體(R〇M) 636和隨機存取記 憶體(RAM) 632。基本輸入/輸出系統633 (BI〇s)通常儲 〇存在ROM 636中,基本輸入/輸出系统633包含助於電腦66〇 内70件之間的資訊傳輸(例如在啟動時)的基本常式。 632通常包含由處理單元62〇iL即存取的及/或正在操作的資 料及/或程式模組。僅為舉例而非限制,圖6繪示作業系統 634、應用程式635、其他程式模組_、和程式資料π。 電腦660 S可包括其他可移除/非可移除、揮發性/非揮 發性電腦儲存媒體。僅為舉例,如圖6%示讀自或寫入非可 移除、非揮發性磁性媒體的硬碟驅動器64〇,讀自或寫入可 移除、非揮發性磁碟652的磁碟驅動器656,和讀自或寫入 201101769 可移除、非揮發性光碟656 (諸如CD ROM或其他光學媒體) 的光碟驅動器655。其他可用於範例作業環境的可移除/非可 移除、揮發性/非揮發性電腦儲存媒體包括但不限於磁卡帶、 快閃記憶卡、DVD '數位影像磁帶、固態RAM、固態尺⑽ 等等。硬碟驅動器646通常是透過諸如介面64〇之非可移除 圮憶體介面連接到系統匯流排626,磁碟驅動器和光碟 驅動器655通常藉由諸如介面65〇之可移除記憶體介面連接 〇到系統匯流排626。 上面討論且繪示於圖6的驅動器及其相關電腦儲存媒體 提供電腦可讀取指令、資料結構、程式模組和電腦66〇之盆 他資料的儲存。在圖6中,舉例來說,硬碟驅動器641係繪 示為儲存作業系統644、應用程式645、其他程式模組⑷、 和程式資料647。請注意這些組件可與作業系統_、應用 程式635、其他程式模組636、和程式資料637相同或不同。 作業系統044、應用程式645、其他程式模組646、和程式資 U料647有不同的標號以說明它們在最低限度上是不同的。使 用者可透過諸如鍵盤662和指向裝1 661 (通常稱為滑鼠、 軌跡球或觸控板)之輸入裝置將指令和資訊輸入電腦“Ο。 其他輸入裝置(未緣示)可包括麥克風、操縱桿、遊戲板、 衛星天、線、㈣器或類似者。$些和其他輸入裝置通常透過 耦α到系統匯流排之使用者輸入介面66〇來連接到處理單元 620 ’但可以其他介面和匯流排結構來連接,例如平行埠' 遊戲崞或刪。顯州或其他類型的顯示裝置也可透過 諸如影像介面690之介面連接到系統匯流排㈣。除了顯示 20 201101769 器之外,電腦亦可包括諸如揚聲器697和印表機696之其他 周邊輸出裝置’其可透過輸出周邊介面695連接。 電腦660可在網路環境中運作,其使用邏輯連接到一或 多個諸如遠端電腦680之遠端電腦。遠端電腦68〇可以是個 人電腦、伺服器、路由器、網路個人電腦、同級裝置或其他 常見網路節·點’通f包括許多或所有上述相對於電腦的 凡件,雖然只在圖6中繪示一個記憶體儲存裝置686。圖6 〇所不之邏輯連接包括本地區域網路(LAN)⑺和廣域網路 (WAN ) 673,但亦可包括其他網路。這種網路環境中常見 於辦=至企業範圍電腦網路、内部網路和網際網路中。 當電腦660是在區域網路的網路環境中使用時,電腦660 是透過網路介面或適配器670連接到區域網路676。當電腦 660是在廣_路_路環境中使㈣,電腦⑽通常包括 數據機672或其他通訊手段,用於經由諸如網際網路之廣域 網路673建立通訊。數據機(可為内部或外部的)可透 Ο過使用者輸人介面66G或其他適#的機制連接❹統匯流排 626。在-網路環境中,描述為相對於電腦_或其某些部 刀的程式模組可儲存在遠端記憶儲存震置中。僅為舉例而非 限制,圖6繪示遠端靡用典斗,<〇c认 鲕應用程式685為常駐於記憶裝置686。 應了解到’㈣示之網路連接僅是範例,可以使用其他建立 電腦之間通訊連接的手段。 •本技術可與許多其他—般用途或特殊用途的計算系統 環境或配置一起運作。田λ ’、 思運作眾所周知可適於與本技術—起使用的 計算系統、環境、及/或配罟 ;配置的例子包括但不限於個人電腦、 21 201101769 伺服器電腦、手持或膝上裝置、多處理器系統、基於微處理 器的系統、機上盒、可程式消費性電子裝置、網路個人電腦、
小型電腦、大型電腦、包括任何上述系統或裝置的分散式計 算環境。 > D 本技術可於電腦所執行之電腦可執行指令(如程式模 組)的-般情境中描述。-般來說,程式模組包括常式、程 式、物件、組件、資料結構等,其執行特定任務或實現特定 〇的抽象資料類型。本技術也可實行於分散式計算環境中,在 該環境中任毅由透過通訊網路連#的遠端處理裝置來執 行。在分散式計算環境中,程式模組可位於包括記憶儲存裝 置之本地和遠端電腦儲存媒體。 雖然本標的已以特定之結構特徵及/或方法步驟的語言 來描述,應該明白後附申請專利範圍所定義之發明並不局限 於上文所述的特定特徵或步驟。更確切的說,上述之特定特 ❹徵及步驟係揭示作為實施中請專利範圍的範例形式。 【圖式簡單說明】 圖1繪示企業電子郵件系統的方塊圖。 圖2綠不根據本技術之發生於入站郵件飼服器及資 5扎飼服器的方法流程圖。 圖%不發出對入站電子郵件訊息之特徵 方法流程圖。 圖4續示根據所收到之對訊息之其他特徵的查詢來決定 22 201101769 該訊息是否為垃圾郵件的方法流程圖。 圖5繪示本技術之另一實施例。 圖6是適於實施本文描述之技術的處理系統示意圖。 【主要元件符號說明】 50網際網路 636其他程式模組 110來源郵件伺服器 636唯讀記憶體 〇 115 MTA 637程式資料 120 URL内容伺服器 640硬碟驅動器 130來源郵件伺服器 641硬碟驅動器 135 MTA 644作業系統 140名稱伺服器 645應用程式 143路由器 646其他程式模組 145訊息 647程式資料 〇 147路由器 650介面 149路由器 652可移除非揮發性磁碟 200系統 655光碟驅動器 215 MTA 656磁碟驅動器 220-220n入站伺服器 660電腦 225刳析代理者 660電腦 230垃圾郵件過濾器 661指向裝置 235即時過濾器 662鍵盤 23 201101769 240企業資料庫 245即時資料 330-520步驟流程 620處理單元 626系統匯流排 630系統記憶體 632隨機存取記憶體 〇 633基本輸入/輸出系統 634作業系統 635應用程式 670適配器 672數據機 673廣域網路 676區域網路 680遠端電腦 685遠端應用程式 686記憶裝置 690影像介面 691顯示器 696印表機 697揚聲器
24
Claims (1)
- 201101769 七、申請專利範圍: 1. 一種管理經由一網路發送至一電子郵件系統之未經請 求電子郵件的方法,包括以下步驟: 、月 (a) 於一入站郵件轉移代理者處接收一電子郵件訊息; (b) 決定該電子郵件訊息是否疑為—未經請求可疑電 子郵件; ❹ 〇 (c )啟動該訊息的一或多個特徵的額外資訊之—杳峋, 該查詢根據該網路返回該特徵之資訊; (d)接收至少一實體特徵搜尋之一回應; (〇根據該H搜尋的結果’決定該訊息是否為未經 請求之大量電子郵件;及 / (f)根據決定步驟,對該訊息進行行動。 2. 如請求項1之方法’其中該步驟(b)包括以下步驟: 根據一先别查詢之結果,決定該訊息是否可疑。 3. 如請求項1之方法’其中該方法還包括以下步驟:儲存 每一查詢之結果以用於步驟(b)。 4. 如請求項1之方法,其中步驟(e)包括以下步驟:使 用複數個並行搜尋之更新的搜尋結果來執行該決定步驟。 5. 如清求項1之方法,其中步驟(b)包括以下步驟之至 25 201101769 少一者: 決定一訊息之真實來源IP,及該IP是否與已知垃圾郵件 發送者相關; 決定一訊息之來源IP,及該IP是否與已知垃圾郵件發送 者相關之一 IP區塊相關; 決定來源IP,及與該來源IP相關的一網域之一登錄者是 否為與已知垃圾郵件發送者相關之IPs ; ◎ 決定該網域之授權名稱伺服器的網域名稱,及授權名稱 飼服器是否與一已知垃圾郵件發送者相關; 決定與一發送者相關的MX記錄’及該MX記錄中之網 域名稱或IP位址是否與已知垃圾郵件發送者相關; 決定與一電子郵件來源之一已知ιρ位址相關的一主機名 稱,及決定該主機名稱伺服器IPs是否與已知垃圾郵件發送 者相關; ◎:、尺與發送網域相關之一名稱伺服器;及 '疋該名稱伺服器是否與已知垃圾郵件發送者相關。 7.如請求項1 執行該等查詢。 之方法,其中該方法包括以下步驟:非同步 8.如請求 項1之方法 進一步包括以下步驟:接收對該等 26 201101769 查詢之一者的一答覆’及在接收對該等查詢之其他者的答覆 之前’決定該答覆是否可決定該訊息是垃圾郵件。 9.如請求項1之方法,其中步驟(f)包括以下步驟之— 或多者: 決定拒絕該訊息並不發出接受用於傳遞訊息之一訊息; 決定藉由發出SMTP層級500錯誤來拒絕該訊息; ^ 決疋接受s亥机息,並將該訊息路由到一垃圾槽案夾; 決定接受該訊息並自動刪除該訊息;及 決定接受該訊息並以不同方式呈現該訊息。 1〇.種用於決定是否為經由一網路接收之一電子郵件訊 息發出接受用於傳遞訊息之一郵件的方法,包括以下步驟: 決定該電子郵件訊息是否有垃圾郵件的特徵; 發出對該訊息之一或多個組件的複數個查詢以決定該訊 息是否與先前決定為垃圾郵件的訊息共享網路基礎架構特 接收對該等查詢之一或多者的一答覆; 決定收到之答覆是否足以決定該訊息是否為垃圾郵件; :如果收到之答覆足以決定該訊息是否為垃圾郵件,根據 u J覆决疋該讯息是否為垃圾郵件,如果不是則等待—夕 個額外的答覆;及 S夕 根據-或多個答覆是否足以決定該訊息是否為垃 件,發出或保留接受用於傳遞訊息之一訊東。 27 201101769 ιι·如請求項ι〇之方法,其中 以用於每-決定牛驟之步驟:還包括餘存答覆查詢 …果二步::步驟’發出之步驟包括根據-先前查 σ果决夂該訊息是否可疑之步驟。12·如請求項11之方法,其中 下步驟:使用複數個並行搜尋之 定步驟。 該發出或保留之步驟包括以 更新的搜尋結果來執行該決 13.如請求項12之方法,其 件特徵之步驟包括以下步驟: 該訊息是否經驗證、或根據指 圾郵件可能性。 中決定—訊息是否有一垃圾郵 決定一或多個發送者之分類、 定一垃圾郵件評分來決定一垃 14.如請求項13之方法,其中該決定該訊息是否為垃圾郵 件之步驟包括以下步驟之至少一者: 決定一訊息之真實來源IP,及該ΙΡ是否與已知垃圾郵件 發送者相關; 決定一訊息之來源IP,及該IP是否與已知垃圾郵件發送 者相關之一 IP區塊相關; 決定來源IP,及與該來源IP相關的一網域之一登錄者是 否為與已知垃圾郵件發送者相關之IPs ; 決定該網域之授權名稱伺服器的網域名稱,及授權名稱 飼服器是否與一已知垃圾郵件發送者相關; 28 201101769 決疋與~發送者相關的MX記錄,及該MX記錄中之網 域名稱或IP位址是否與已知垃圾郵件發送者相關; 決疋與—電子郵件來源之一已知IP位址相關的一主機名 稱,及決定該主機名稱伺服器IPs是否與已知垃圾郵件發送 者相關; 決定與一發送網域相關之一名稱伺服器;及 決定該名稱伺服器是否與已知垃圾郵件發送者相關。 Ο 如味求項14之方法,其中該啟動之步驟包括以下步 驟:對該訊息的多個特徵執行複數個查詢。 16. 如明求項15之方法,其中該方法包括以下步驟:非同 步執行該等查詢 17. 如請求項10之方法,進一步包括以下步驟:接收對該 〇等查詢之-者的一答t,及在接收對該等查詢之其他者的答 覆之則,決定該答覆是否可決定該訊息是垃圾郵件。 18. -種訊息傳送系統’包括一處理裝置,纟包括代碼, 該代碼提供指令至該處理裝置以實施以下步驟; 提供管理連接之一訊息轉移代理者到該訊息傳送系統; -入站電子郵件剖析代理者’其包括一郵件組件擷取模 組; -可疑電子郵件決定模組,其包括代碼以執行以下步驟: 29 201101769 決定該電子郵件訊息是否有垃圾郵件的特徵; 發對該訊息之—或多個組件的複數個查詢以根據該訊 …、旱之網路基礎架構特徵來決定該訊息是否與先前決定 為垃圾郵件的訊息共享特徵; 、 接從對該等查詢之一或多者的一答覆;及 根據-或多個答覆是否足以決定該訊息是否為垃圾郵 件’發出或保留接受用於傳遞訊息之一訊息。 ❹ 19.如请求項18之系統,其中該可疑電子郵件決定模組進 一步模組包括代碼執行以下步驟: 決定收到之答覆是否足以決定該訊息是否為垃圾郵件; 及 如果收到之答覆足以決定該訊息是否為垃圾郵件,根據 該答覆決定該訊息是否為垃圾郵件,如果不是則等待 個額外的答覆。 — 20.如請求項18之系統,其中發出多個查詢的代碼包括發 出下列之至少一者之一查詢: 決定一訊息之真實來源IP,及該IP是否與已知垃圾郵件 發送者相關; 決疋一訊息之來源IP,及該IP是否與已知垃圾郵件發送 者相關之一 IP區塊相關; 決定來源IP,及與該來源IP相關的—網域之一登錄者是 否為與已知垃圾郵件發送者相關之; 30 201101769 決定該網域之授權名稱伺服器的網域名稱,及授權名稱 伺服器是否與一已知垃圾郵件發送者相關; 決定與一發送者相關的MX記錄,及該MX記錄中之網 域名稱或IP位址是否與已知垃圾郵件發送者相關; 決定與一電子郵件來源之一已知IP位址相關的一主機名 稱,及決定該主機名稱伺服器IPS是否與已知垃圾郵件發送 者相關; 0 決定與一發送網域相關之一名稱伺服器;及 決定該名稱伺服器是否與已知垃圾郵件發送者相關。 〇 31
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/493,046 US8959157B2 (en) | 2009-06-26 | 2009-06-26 | Real-time spam look-up system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201101769A true TW201101769A (en) | 2011-01-01 |
Family
ID=43381919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099116703A TW201101769A (en) | 2009-06-26 | 2010-05-25 | Real-time spam look-up system |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8959157B2 (zh) |
| EP (1) | EP2446411B1 (zh) |
| JP (1) | JP2012531666A (zh) |
| KR (1) | KR101745624B1 (zh) |
| CN (1) | CN102804213B (zh) |
| AR (1) | AR077019A1 (zh) |
| AU (1) | AU2010263086B2 (zh) |
| BR (1) | BRPI1015421A2 (zh) |
| CA (1) | CA2761970A1 (zh) |
| RU (1) | RU2011152895A (zh) |
| TW (1) | TW201101769A (zh) |
| WO (1) | WO2010151493A2 (zh) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
| US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
| US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
| US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
| US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
| WO2011143542A1 (en) | 2010-05-13 | 2011-11-17 | Ramakant Pandrangi | Systems and methods for identifying malicious domains using internet-wide dns lookup patterns |
| US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
| US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
| US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US8452874B2 (en) * | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
| SE1051394A1 (sv) | 2010-12-30 | 2011-10-13 | Axiomatics Ab | A system and method for evaluating a reverse query |
| US9646164B2 (en) | 2010-12-30 | 2017-05-09 | Aziomatics Ab | System and method for evaluating a reverse query |
| US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
| US8966576B2 (en) | 2012-02-27 | 2015-02-24 | Axiomatics Ab | Provisioning access control using SDDL on the basis of a XACML policy |
| US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
| US10164989B2 (en) * | 2013-03-15 | 2018-12-25 | Nominum, Inc. | Distinguishing human-driven DNS queries from machine-to-machine DNS queries |
| US9634970B2 (en) | 2013-04-30 | 2017-04-25 | Cloudmark, Inc. | Apparatus and method for augmenting a message to facilitate spam identification |
| US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10616158B2 (en) | 2015-03-06 | 2020-04-07 | Microsoft Technology Licensing, Llc | Instant delivery of messages |
| US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
| US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
| US10243957B1 (en) | 2015-08-27 | 2019-03-26 | Amazon Technologies, Inc. | Preventing leakage of cookie data |
| US10135860B2 (en) * | 2015-08-31 | 2018-11-20 | International Business Machines Corporation | Security aware email server |
| US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
| US9954877B2 (en) * | 2015-12-21 | 2018-04-24 | Ebay Inc. | Automatic detection of hidden link mismatches with spoofed metadata |
| US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
| US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
| US10505961B2 (en) | 2016-10-05 | 2019-12-10 | Amazon Technologies, Inc. | Digitally signed network address |
| US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
| CN108259415B (zh) * | 2016-12-28 | 2022-08-26 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
| US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
| US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
| US10812495B2 (en) * | 2017-10-06 | 2020-10-20 | Uvic Industry Partnerships Inc. | Secure personalized trust-based messages classification system and method |
| US10686807B2 (en) | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
| US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
| US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
| US11379577B2 (en) | 2019-09-26 | 2022-07-05 | Microsoft Technology Licensing, Llc | Uniform resource locator security analysis using malice patterns |
| US11509667B2 (en) | 2019-10-19 | 2022-11-22 | Microsoft Technology Licensing, Llc | Predictive internet resource reputation assessment |
| US11431751B2 (en) | 2020-03-31 | 2022-08-30 | Microsoft Technology Licensing, Llc | Live forensic browsing of URLs |
| US11916858B1 (en) * | 2022-09-30 | 2024-02-27 | Sophos Limited | Method and system for outbound spam mitigation |
Family Cites Families (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050081059A1 (en) * | 1997-07-24 | 2005-04-14 | Bandini Jean-Christophe Denis | Method and system for e-mail filtering |
| US6522875B1 (en) * | 1998-11-17 | 2003-02-18 | Eric Morgan Dowling | Geographical web browser, methods, apparatus and systems |
| US6654787B1 (en) * | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
| US7249175B1 (en) * | 1999-11-23 | 2007-07-24 | Escom Corporation | Method and system for blocking e-mail having a nonexistent sender address |
| US6321267B1 (en) * | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
| AUPQ449399A0 (en) | 1999-12-07 | 2000-01-06 | Automatic Pty Ltd | Internet redirection methods |
| US7707252B1 (en) * | 2000-05-12 | 2010-04-27 | Harris Technology, Llc | Automatic mail rejection feature |
| GB2366706B (en) * | 2000-08-31 | 2004-11-03 | Content Technologies Ltd | Monitoring electronic mail messages digests |
| US20020032727A1 (en) | 2000-09-08 | 2002-03-14 | International Business Machines Corporation | System and method for enhancing load controlling in a clustered Web site |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US6993574B2 (en) * | 2001-06-19 | 2006-01-31 | Zoetics, Inc. | Web-based communications addressing system and method |
| US20030105712A1 (en) * | 2001-11-30 | 2003-06-05 | Gerhard Bodensohn | Messaging system and method |
| CA2476349C (en) * | 2002-02-19 | 2010-09-28 | Scott Michael Petry | E-mail management services |
| US7096498B2 (en) | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| ATE502467T1 (de) * | 2002-05-02 | 2011-04-15 | Tekelec Us | Filterungs- und anwendungsauslöseplattform |
| US7231428B2 (en) | 2002-05-28 | 2007-06-12 | Teague Alan H | Communication system using alias management rules for automatically changing sender alias in a message based on group that includes recipient address |
| US7516182B2 (en) * | 2002-06-18 | 2009-04-07 | Aol Llc | Practical techniques for reducing unsolicited electronic messages by identifying sender's addresses |
| US7293065B2 (en) * | 2002-11-20 | 2007-11-06 | Return Path | Method of electronic message delivery with penalties for unsolicited messages |
| US7206814B2 (en) * | 2003-10-09 | 2007-04-17 | Propel Software Corporation | Method and system for categorizing and processing e-mails |
| JP3663199B2 (ja) * | 2003-05-16 | 2005-06-22 | 三洋電機株式会社 | 迷惑メール自動判定機能を有する通信装置 |
| US7272853B2 (en) * | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
| US20050055433A1 (en) * | 2003-07-11 | 2005-03-10 | Boban Mathew | System and method for advanced rule creation and management within an integrated virtual workspace |
| US7200637B2 (en) * | 2003-07-16 | 2007-04-03 | Thomas John Klos | System for processing electronic mail messages with specially encoded addresses |
| US7610341B2 (en) * | 2003-10-14 | 2009-10-27 | At&T Intellectual Property I, L.P. | Filtered email differentiation |
| US7715059B2 (en) * | 2003-10-22 | 2010-05-11 | International Business Machines Corporation | Facsimile system, method and program product with junk fax disposal |
| US7636716B1 (en) * | 2003-12-03 | 2009-12-22 | Trend Micro Incorporated | Method and architecture for blocking email spams |
| JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
| US20050204159A1 (en) * | 2004-03-09 | 2005-09-15 | International Business Machines Corporation | System, method and computer program to block spam |
| US7783706B1 (en) * | 2004-04-21 | 2010-08-24 | Aristotle.Net, Inc. | Filtering and managing electronic mail |
| US7647321B2 (en) | 2004-04-26 | 2010-01-12 | Google Inc. | System and method for filtering electronic messages using business heuristics |
| US20060218111A1 (en) * | 2004-05-13 | 2006-09-28 | Cohen Hunter C | Filtered search results |
| CA2508304A1 (en) | 2004-05-25 | 2005-11-25 | Northseas Advanced Messaging Technology Inc. | Method of and system for management of electronic mail |
| US7870200B2 (en) * | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
| US7849142B2 (en) | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
| US7748038B2 (en) * | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
| US7664819B2 (en) | 2004-06-29 | 2010-02-16 | Microsoft Corporation | Incremental anti-spam lookup and update service |
| GB2418330B (en) * | 2004-09-17 | 2006-11-08 | Jeroen Oostendorp | Platform for intelligent Email distribution |
| CN1780266A (zh) * | 2004-11-26 | 2006-05-31 | 郑志文 | 解析邮件行为控制电子邮件的方法 |
| US20060123083A1 (en) * | 2004-12-03 | 2006-06-08 | Xerox Corporation | Adaptive spam message detector |
| US7532890B2 (en) * | 2005-04-01 | 2009-05-12 | Rockliffe Systems | Content-based notification and user-transparent pull operation for simulated push transmission of wireless email |
| US20070041372A1 (en) * | 2005-08-12 | 2007-02-22 | Rao Anup V | Method and system for deterring SPam over Internet Protocol telephony and SPam Instant Messaging |
| US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
| TW200732935A (en) * | 2006-02-24 | 2007-09-01 | Acer Inc | Information acquiring method and hand mobile communication apparatus and computer readable medium using the same |
| US20070208868A1 (en) * | 2006-03-03 | 2007-09-06 | Kidd John T | Electronic Communication Relationship Management System And Methods For Using The Same |
| US7630727B2 (en) * | 2006-06-29 | 2009-12-08 | Alcatel-Lucent Usa Inc. | MAP message processing for SMS spam filtering |
| US7707222B2 (en) * | 2006-07-06 | 2010-04-27 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for providing access to information systems via e-mail |
| WO2008053426A1 (en) * | 2006-10-31 | 2008-05-08 | International Business Machines Corporation | Identifying unwanted (spam) sms messages |
| US7904958B2 (en) | 2007-02-27 | 2011-03-08 | Symantec Corporation | Spam honeypot domain identification |
| US20090064329A1 (en) * | 2007-06-25 | 2009-03-05 | Google Inc. | Zero-hour quarantine of suspect electronic messages |
| US7937468B2 (en) * | 2007-07-06 | 2011-05-03 | Yahoo! Inc. | Detecting spam messages using rapid sender reputation feedback analysis |
| US8103727B2 (en) * | 2007-08-30 | 2012-01-24 | Fortinet, Inc. | Use of global intelligence to make local information classification decisions |
| US7769815B2 (en) * | 2008-06-04 | 2010-08-03 | Yahoo! Inc. | System and method for determining that an email message is spam based on a comparison with other potential spam messages |
| US20090307320A1 (en) * | 2008-06-10 | 2009-12-10 | Tal Golan | Electronic mail processing unit including silverlist filtering |
| US8554847B2 (en) * | 2008-07-15 | 2013-10-08 | Yahoo! Inc. | Anti-spam profile clustering based on user behavior |
-
2009
- 2009-06-26 US US12/493,046 patent/US8959157B2/en active Active
-
2010
- 2010-05-25 TW TW099116703A patent/TW201101769A/zh unknown
- 2010-06-08 AR ARP100102009A patent/AR077019A1/es unknown
- 2010-06-18 RU RU2011152895/08A patent/RU2011152895A/ru not_active Application Discontinuation
- 2010-06-18 BR BRPI1015421A patent/BRPI1015421A2/pt not_active Application Discontinuation
- 2010-06-18 EP EP10792546.3A patent/EP2446411B1/en active Active
- 2010-06-18 CA CA2761970A patent/CA2761970A1/en not_active Abandoned
- 2010-06-18 JP JP2012517611A patent/JP2012531666A/ja not_active Withdrawn
- 2010-06-18 WO PCT/US2010/039190 patent/WO2010151493A2/en active Application Filing
- 2010-06-18 CN CN201080028270.3A patent/CN102804213B/zh active Active
- 2010-06-18 KR KR1020117030793A patent/KR101745624B1/ko active IP Right Grant
- 2010-06-18 AU AU2010263086A patent/AU2010263086B2/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| CA2761970A1 (en) | 2010-12-29 |
| US8959157B2 (en) | 2015-02-17 |
| RU2011152895A (ru) | 2013-06-27 |
| KR101745624B1 (ko) | 2017-06-09 |
| EP2446411A2 (en) | 2012-05-02 |
| EP2446411A4 (en) | 2017-04-26 |
| EP2446411B1 (en) | 2019-05-29 |
| US20100332601A1 (en) | 2010-12-30 |
| AU2010263086A1 (en) | 2011-12-01 |
| BRPI1015421A2 (pt) | 2016-04-19 |
| CN102804213A (zh) | 2012-11-28 |
| AR077019A1 (es) | 2011-07-27 |
| CN102804213B (zh) | 2016-05-25 |
| WO2010151493A2 (en) | 2010-12-29 |
| KR20120099572A (ko) | 2012-09-11 |
| WO2010151493A3 (en) | 2011-03-03 |
| AU2010263086B2 (en) | 2014-06-05 |
| JP2012531666A (ja) | 2012-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201101769A (en) | Real-time spam look-up system | |
| US7962558B2 (en) | Program product and system for performing multiple hierarchical tests to verify identity of sender of an e-mail message and assigning the highest confidence value | |
| US8359649B1 (en) | Use of geo-location data for spam detection | |
| US8549081B2 (en) | Recognizing spam email | |
| US8194564B2 (en) | Message filtering method | |
| US7548544B2 (en) | Method of determining network addresses of senders of electronic mail messages | |
| US20060004896A1 (en) | Managing unwanted/unsolicited e-mail protection using sender identity | |
| US8135780B2 (en) | Email safety determination | |
| US20080177843A1 (en) | Inferring email action based on user input | |
| US20030167311A1 (en) | Method and system for selectively blocking delivery of electronic mail | |
| US8195753B2 (en) | Honoring user preferences in email systems | |
| US20060168017A1 (en) | Dynamic spam trap accounts | |
| US7447744B2 (en) | Challenge response messaging solution | |
| AU2009299539B2 (en) | Electronic communication control | |
| Leiba et al. | SMTP Path Analysis. | |
| US8458264B1 (en) | Email proxy server with first respondent binding | |
| WO2006134226A1 (en) | Method and server for authenticating sender of email and notifying exchange information of email | |
| JP2005210240A (ja) | メールフィルタシステム、メールフィルタ装置及びそれらに用いるメールフィルタ方法並びにそのプログラム |