TWI544764B - 垃圾郵件判定方法及其郵件伺服器 - Google Patents
垃圾郵件判定方法及其郵件伺服器 Download PDFInfo
- Publication number
- TWI544764B TWI544764B TW103139766A TW103139766A TWI544764B TW I544764 B TWI544764 B TW I544764B TW 103139766 A TW103139766 A TW 103139766A TW 103139766 A TW103139766 A TW 103139766A TW I544764 B TWI544764 B TW I544764B
- Authority
- TW
- Taiwan
- Prior art keywords
- domain
- server
- internet protocol
- servers
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Description
本發明是有關於一種郵件判定方法及其伺服器,且特別是有關於一種垃圾郵件判定方法及其郵件伺服器。
請參照圖1,圖1是習知的郵件轉送示意圖。如圖1所示,一封郵件從使用者110送出時,會經由郵件使用者代理伺服器112(Mail User Agent,MUA)送到郵件傳輸代理伺服器114(Mail Transfer Agent,MTA)。MTA 114會依照郵件地址把郵件送給收件者的MTA 116(MTA 114及116之間可能存在其他用於轉送郵件的MTA),最後再轉送給收件者120的MUA 118。
習知判別垃圾郵件的方式主要分為兩種:(1)基於網域名稱系统(Domain Name System,DNS)的驗證方法(2)基於郵件傳送路徑判別垃圾郵件。
在第一種方式中,當接收端MTA(例如是MTA 116)收到郵件時,可透過DNS解析與DNS反解析查詢寄件者的網際網路協定(Internet protocol,IP)位址或網域名稱。若查詢結果與此
郵件的Helo域(helo domain)不符,則認定該封郵件為垃圾郵件。
DNS能夠做網域名稱與IP位址之間的轉換,而DNS解析即是查詢IP位址以得到此IP位址在註冊時相對應的網域名稱。DNS反解析則是查詢網域名稱以得到此網域名稱在註冊時相對應的IP位址,而Helo域則是MTA宣稱的主機(hostname)名稱。
另一方面,第二種方式的原理在於透過郵件標頭(Header)中,接收欄位(Received field)的路徑訊息,再分析MTA的歷史行為。請參照圖2,圖2為習知的郵件標頭示意圖。在圖2虛線所框住的接收線程210(received line)的多個接收欄位中,越下方的接收欄位越接近寄件者,而越上方則是越接近收件者。
針對標註過的郵件集合,可分為垃圾郵件與合法郵件。接著,可取得接收欄位中所有MTA對應的IP位址,並統計這些IP位址在垃圾郵件及合法郵件中的出現頻率,進而評分MTA的信譽度(credibility)。之後,假設收到的郵件來自信譽度較高的MTA,則標註此郵件為合法郵件,否則標註此郵件為垃圾郵件。
然而,在第一種方式中,DNS會將某些宣稱網域名稱的設定有誤的MTA誤判為垃圾郵件伺服器。另外,在第二種方式中,需要用到歷史評價(例如,信譽度)來決定郵件是否為垃圾郵件。
實際上,許多MTA所宣稱的網域名稱與其IP位址所註冊的網域之間可能會因設定人員的操作疏失而出現誤差,因而可能導致郵件被誤判為垃圾郵件。
有鑑於此,本發明提供一種垃圾郵件過濾方法及其郵件伺服器,其增加了郵件分析的可靠度。並且,本發明的方法及郵件伺服器可針對郵件路徑連續性的分析做判斷,因而可在不需要用到歷史評價的情況下提升垃圾郵件判斷的精準度。
本發明提供一種垃圾郵件判定方法,適於郵件伺服器。所述方法包括:當接收到郵件時,擷取郵件的郵件標頭;從郵件標頭中的接收線程中取得多個參考伺服器,其中所述多個參考伺服器個別為郵件傳輸代理伺服器,且所述多個參考伺服器依據順序傳送郵件;取得所述多個參考伺服器個別的郵件轉送主機的多個郵件轉送資訊以及郵件接收主機的多個郵件接收資訊;比較所述多個參考伺服器中的第i個參考伺服器的所述多個郵件轉送資訊以及第(i-1)個參考伺服器的所述多個郵件接收資訊,其中i為正整數;以及當所述第i個參考伺服器的所述多個郵件轉送資訊完全不匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊時,判定郵件為垃圾郵件。
在本發明之一實施例中,所述多個參考伺服器為轉送郵件的所有伺服器。
在本發明之一實施例中,從郵件標頭中的接收線程中取得多個參考伺服器的步驟包括:分析郵件標頭以找出轉送郵件的所有伺服器;判斷接收線程中是否存在子集合,其中子集合包括
所述多個伺服器中屬於同一個網域的多個特定伺服器;以及當接收線程中存在子集合時,以所述多個特定伺服器的其中之一作為代表所述多個特定伺服器的參考伺服器。
在本發明之一實施例中,比較所述多個參考伺服器中的所述第i個參考伺服器的所述多個郵件轉送資訊以及所述第(i-1)個參考伺服器的所述多個郵件接收資訊的步驟包括:判斷所述第i個參考伺服器的所述多個郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一。
在本發明之一實施例中,所述第i個參考伺服器的所述多個郵件轉送資訊包括所述第i個參考伺服器的郵件轉送主機的第一Helo域、第一網際網路協定位址以及第一網際網路協定域。所述第(i-1)個參考伺服器的所述多個郵件接收資訊包括所述第(i-1)個參考伺服器的郵件接收主機的第二Helo域、第二網際網路協定位址以及第二網際網路協定域。
在本發明之一實施例中,判斷所述第i個參考伺服器的所述多個郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一的步驟包括:反解析第一Helo域及第一網際網路協定域以取得多個第一位址;反解析第二Helo域以及第二網際網路協定域以取得多個第二位址;以及判斷所述多個第一位址以及第一網際網路協定位址的其中之一是否匹配於所述多個第二位址以及第二網際網路協定位址的其中之一。
在本發明之一實施例中,判斷所述多個第一位址以及第一網際網路協定位址的其中之一是否匹配於所述多個第二位址以及第二網際網路協定位址的其中之一的步驟包括:個別從第一網際網路協定位址以及所述多個第一位址中擷取出多個第一部分位址;個別從第二網際網路協定位址以及所述多個第二位址中擷取出多個第二部分位址;以及判斷所述多個第一部分位址的其中之一是否匹配於所述多個第二部分位址的其中之一。
在本發明之一實施例中,判斷所述第i個參考伺服器的所述多個郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一的步驟包括:解析第一網際網路協定位址以取得第一域名;解析第二網際網路協定位址以取得第二域名;以及判斷第一域名、第一Helo域及第一網際網路協定域的其中之一是否匹配於第二域名、第二Helo域及第二網際網路協定域的其中之一。
在本發明之一實施例中,判斷第一域名、第一Helo域及第一網際網路協定域的其中之一是否匹配於第二域名、第二Helo域及第二網際網路協定域的其中之一的步驟包括個別從第一Helo域、第一域名以及第一網際網路協定域中擷取出多個第一基域名;個別從第二Helo域、第二域名以及第二網際網路協定域中擷取出多個第二基域名;以及判斷所述多個第一基域名的其中之一是否匹配於所述多個第二基域名的其中之一。
在本發明之一實施例中,當所述第i個參考伺服器的所述
多個郵件轉送資訊的其中之一匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一時,定義所述第i個參考伺服器與所述第(i-1)個參考伺服器之間具有連續性;當所述多個參考伺服器中連續的任意兩個參考伺服器皆具有連續性時,判定郵件為正常郵件。
本發明提供一種郵件伺服器,包括儲存單元以及處理單元。儲存單元儲存多個模組。處理單元耦接儲存單元,存取並執行所述多個模組。所述多個模組包括擷取模組、第一取得模組、第二取得模組、比較模組以及判定模組。當接收到郵件時,擷取模組擷取郵件的郵件標頭。第一取得模組從郵件標頭中的接收線程中取得多個參考伺服器。所述多個參考伺服器個別為郵件傳輸代理伺服器,且所述多個參考伺服器依據順序傳送郵件。第二取得模組取得所述多個參考伺服器個別的郵件轉送主機的多個郵件轉送資訊以及郵件接收主機的多個郵件接收資訊。比較模組比較所述多個參考伺服器中的第i個參考伺服器的所述多個郵件轉送資訊以及第(i-1)個參考伺服器的所述多個郵件接收資訊,其中i為正整數。當所述第i個參考伺服器的所述多個郵件轉送資訊完全不匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊時,判定模組判定郵件為垃圾郵件。
在本發明之一實施例中,所述多個參考伺服器為轉送郵件的所有伺服器。
在本發明之一實施例中,第一取得模組經配置以:分析
郵件標頭以找出轉送郵件的所有伺服器;判斷接收線程中是否存在子集合,其中子集合包括所述多個伺服器中屬於同一個網域的多個特定伺服器;以及當接收線程中存在子集合時,以所述多個特定伺服器的其中之一作為代表所述多個特定伺服器的參考伺服器。
在本發明之一實施例中,比較模組經配置以:判斷所述第i個參考伺服器的所述多個郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一。
在本發明之一實施例中,所述第i個參考伺服器的所述多個郵件轉送資訊包括所述第i個參考伺服器的郵件轉送主機的第一Helo域、第一網際網路協定位址以及第一網際網路協定域。所述第(i-1)個參考伺服器的所述多個郵件接收資訊包括所述第(i-1)個參考伺服器的郵件接收主機的第二Helo域、第二網際網路協定位址以及第二網際網路協定域。
在本發明之一實施例中,比較模組經配置以:反解析第一Helo域及第一網際網路協定域以取得多個第一位址;反解析第二Helo域以及第二網際網路協定域以取得多個第二位址;以及判斷所述多個第一位址以及第一網際網路協定位址的其中之一是否匹配於所述多個第二位址以及第二網際網路協定位址的其中之一。
在本發明之一實施例中,比較模組經配置以:個別從第
一網際網路協定位址以及所述多個第一位址中擷取出多個第一部分位址;個別從第二網際網路協定位址以及所述多個第二位址中擷取出多個第二部分位址;以及判斷所述多個第一部分位址的其中之一是否匹配於所述多個第二部分位址的其中之一。
在本發明之一實施例中,比較模組經配置以:解析第一網際網路協定位址以取得第一域名;解析第二網際網路協定位址以取得第二域名;以及判斷第一域名、第一Helo域及第一網際網路協定域的其中之一是否匹配於第二域名、第二Helo域及第二網際網路協定域的其中之一。
在本發明之一實施例中,比較模組經配置以:個別從第一Helo域、第一域名以及第一網際網路協定域中擷取出多個第一基域名;個別從第二Helo域、第二域名以及第二網際網路協定域中擷取出多個第二基域名;以及判斷所述多個第一基域名的其中之一是否匹配於所述多個第二基域名的其中之一。
在本發明之一實施例中,當所述第i個參考伺服器的所述多個郵件轉送資訊的其中之一匹配於所述第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一時,判定模組經配置以定義所述第i個參考伺服器與所述第(i-1)個參考伺服器之間具有連續性,並且,當所述多個參考伺服器中連續的任意兩個參考伺服器皆具有連續性時,判定模組經配置以判定郵件為正常郵件。
基於上述,本發明實施例提出的方法以及郵件伺服器可基於各個參考伺服器之間的連續性來判定郵件是否為垃圾郵件。
當任意兩個連續的參考伺服器之間不存在連續性時,即判定此郵件為垃圾郵件。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
110‧‧‧使用者
112、118‧‧‧MUA
114、116‧‧‧MTA
120‧‧‧收件者
210、500‧‧‧接收線程
300‧‧‧郵件伺服器
310‧‧‧儲存單元
310_1‧‧‧擷取模組
310_2‧‧‧第一取得模組
310_3‧‧‧第二取得模組
310_4‧‧‧比較模組
310_5‧‧‧判定模組
320‧‧‧處理單元
510~540‧‧‧子集合
m0~m8‧‧‧伺服器
m0’~m3’‧‧‧參考伺服器
S410~S450‧‧‧步驟
圖1是習知的郵件轉送示意圖。
圖2為習知的郵件標頭示意圖。
圖3是依據本發明之一實施例繪示的郵件伺服器功能方塊圖。
圖4是依據本發明之一實施例繪示的垃圾郵件判定方法流程圖。
圖5是依據本發明之一實施例繪示的接收線程示意圖。
圖3是依據本發明之一實施例繪示的郵件伺服器功能方塊圖。在本實施例中,郵件伺服器300例如是MUA或是其他可用於處理電子郵件的伺服器,其包括儲存單元310以及處理單元320。儲存單元310例如是記憶體、硬碟或是其他任何可用於儲存資料的元件,而可用以記錄多個程式碼或模組。
處理單元320耦接儲存單元310。處理單元320例如是一
般用途處理器、特殊用途處理器、傳統的處理器、數位訊號處理器、多個微處理器(microprocessor)、一個或多個結合數位訊號處理器核心的微處理器、控制器、微控制器、特殊應用集成電路(Application Specific Integrated Circuit,ASIC)、場可程式閘陣列電路(Field Programmable Gate Array,FPGA)、任何其他種類的積體電路、狀態機、基於進階精簡指令集機器(Advanced RISC Machine,ARM)的處理器以及類似品。
在本實施例中,處理單元320可存取儲存單元310所儲存的擷取模組310_1、第一取得模組310_2、第二取得模組310_3、比較模組310_4以及判定模組310_5以執行本發明提出的垃圾郵件判定方法。
圖4是依據本發明之一實施例繪示的垃圾郵件判定方法流程圖。本實施例提出的方法可由圖3的郵件伺服器300執行,以下即搭配圖3的各個元件來說明本方法的詳細步驟。
在步驟S410中,當接收到郵件時,擷取模組310_1可擷取郵件的郵件標頭(例如是圖2所示的郵件標頭)。接著,在步驟S420中,第一取得模組310_2可從郵件標頭中的接收線程中取得多個參考伺服器。所述多個參考伺服器個別可以是MTA,且依據一順序傳送所述郵件。在一實施例中,所述多個參考伺服器例如是轉送此郵件的所有伺服器。以圖1為例,所述多個參考伺服器例如是MTA 114及116,其依序地將來自使用者110的郵件傳送至收件者120,但本發明的可實施方式不限於此。
在步驟S430中,第二取得模組310_3可取得所述多個參考伺服器個別的郵件轉送主機的多個郵件轉送資訊以及郵件接收主機的多個郵件接收資訊。具體而言,第二取得模組310_3可從各個參考伺服器對應的接收欄位來取得步驟S430中的各種資訊。
針對第i個參考伺服器而言,其對應的郵件轉送主機即為第(i-1)個參考伺服器,亦即將郵件轉送給第i個參考伺服器的伺服器),而此郵件轉送主機的郵件轉送資訊例如包括其Helo域、IP位址以及IP域(IP domain)。在本實施例中,假設所述多個參考伺服器的數量為N,則i為介於1與N之間的任意正整數。
另一方面,對應於第i個參考伺服器的郵件接收主機即為第(i+1)個參考伺服器,亦即接收第i個參考伺服器所轉發郵件的伺服器,而此郵件接收主機的郵件轉送資訊例如包括其Helo域、IP位址以及IP域。
在第二取得模組310_3對每個參考伺服器皆取得對應的郵件轉送資訊以及郵件接收資訊之後,在步驟S440中,比較模組310_4可比較所述多個參考伺服器中的第i個參考伺服器的所述多個郵件轉送資訊以及第(i-1)個參考伺服器的所述多個郵件接收資訊。
在步驟S450中,當第i個參考伺服器的所述多個郵件轉送資訊完全不匹配於第(i-1)個參考伺服器的所述多個郵件接收資訊時,判定模組310_5可判定郵件為垃圾郵件。
具體而言,當第i個參考伺服器的所述多個郵件轉送資訊
完全不匹配於第(i-1)個參考伺服器的所述多個郵件接收資訊時,即代表第i個參考伺服器與第(i-1)個參考伺服器之間不具有連續性,也就是第i個參考伺服器的接收來源與第(i-1)個參考伺服器的轉發目的地出現不一致的情形。在此情況下,判定模組310_5才會判定郵件為垃圾郵件。
從另一觀點而言,除非第i個參考伺服器及/或第(i-1)個參考伺服器的設定人員在設定上述資訊時出現過多的誤植或是其他的失誤情形,否則第i個參考伺服器的所述多個郵件轉送資訊與第(i-1)個參考伺服器的所述多個郵件接收資訊出現完全不一致情形的機率相當低。亦即,在實施本發明的方法後,即便設定人員在設定時出現誤植的情形,只要此情形不會導致第i個參考伺服器的所述多個郵件轉送資訊與第(i-1)個參考伺服器的所述多個郵件接收資訊之間完全不一致的情形,所述郵件仍不會被輕易地判定為垃圾郵件。如此一來,郵件被誤判為垃圾郵件的機率即可大幅地降低。
在其他實施例中,當第i個參考伺服器的所述多個郵件轉送資訊的其中之一匹配於第(i-1)個參考伺服器的所述多個郵件接收資訊的其中之一時,判定模組310_5可定義第i個參考伺服器與第(i-1)個參考伺服器之間具有連續性,也就是第i個參考伺服器的接收來源與第(i-1)個參考伺服器的轉發目的地之間具有一致性。並且,當所述多個參考伺服器中連續的任意兩個參考伺服器皆具有連續性時,判定模組310_5可判定郵件為正常郵件。
也就是說,透過合理地放寬參考伺服器之間連續性判斷標準的方式,本發明的方法可讓郵件不會輕易地因人為疏失而導致被誤判為垃圾郵件,進而提升了郵件分析的可靠度。並且,本發明的方法可在不需要用到參考伺服器歷史評價的情況下提升垃圾郵件判斷的精準度。
在其他實施例中,步驟S440可採用多種可能的實施方式來實現,以下將分別進行說明。為了便於說明,以下將第i個參考伺服器的各個郵件轉送資訊表徵為「f i =(heloDomain i f ,ip i f ,ipDomain i f )」的形式,其中heloDomain i f 、ip i f 及ipDomain i f 分別為第i個參考伺服器的郵件轉送主機的Helo域、IP位址以及IP域。並且,以下將第(i-1)個參考伺服器的多個郵件接收資訊「b i-1=(heloDomain i-1 b ,ip i-1 b ,ipDomain i-1 b )」的形式,其中heloDomain i-1 b 、ip i-1 b 及ipDomain i-1 b 分別為第(i-1)個參考伺服器的郵件接收主機的Helo域、IP位址以及IP域。
具體而言,比較模組310_4可判斷第i個參考伺服器的多個郵件轉送資訊的其中之一是否匹配於第(i-1)個參考伺服器的多個郵件接收資訊的其中之一。
在一第一實施例中,為了便於將f i 及b i-1中的各個資訊進行比較,比較模組310_4可先透過例如DNS反解析的方式來將各個域轉換為對應的IP位置。具體而言,比較模組310_4可反解析heloDomain i f 及ipDomain i f 以取得多個第一位址。接著,比較模組310_4可反解析heloDomain i-1 b 及ipDomain i-1 b 以取得多個第二位址。
之後,比較模組310_4可判斷所述多個第一位址以及ip i f 的其中之一是否匹配於所述多個第二位址以及ip i-1 b 的其中之一。若是,比較模組310_4即可判斷第i個參考伺服器與第(i-1)個參考伺服器之間具有連續性。
此外,在一第二實施例中,可將第一實施例的判斷方式進一步改進以降低判斷時所需的運算量。舉例而言,比較模組310_4可個別從ip i f 以及所述多個第一位址中擷取出多個第一部分位址。所述多個第一部分位址例如是ip i f 以及所述多個第一位址中前面16個位元的部分位址,但本發明的可實施方式不限於此。舉例而言,假設ip i f 為「140.121.196.101」,則其對應的第一部分位址可以是「140.121」,亦即ip i f 的前面16個位元。同理,比較模組310_4亦可個別從ip i-1 b 以及所述多個第二位址中擷取出多個第二部分位址。接著,比較模組310_4可判斷所述多個第一部分位址的其中之一是否匹配於所述多個第二部分位址的其中之一。若是,比較模組310_4即可判斷第i個參考伺服器與第(i-1)個參考伺服器之間具有連續性。
在一第三實施例中,為了便於將f i 及b i-1中的各個資訊進行比較,比較模組310_4可先透過例如DNS解析的方式來將各個IP位址轉換為對應的域(與第一實施例的方式相反)。具體而言,比較模組310_4可解析ip i f 以取得第一域名,以及解析ip i-1 b 以取得第二域名。之後,比較模組310_4可判斷第一域名、heloDomain i f 及ipDomain i f 的其中之一是否匹配於第二域名、heloDomain i-1 b 及ipDomain i-1 b
的其中之一。若是,比較模組310_4即可判斷第i個參考伺服器與第(i-1)個參考伺服器之間具有連續性。
此外,在一第四實施例中,可將第三實施例的判斷方式進一步改進以降低判斷時所需的運算量。舉例而言,比較模組310_4可個別從第一域名、heloDomain i f 及ipDomain i f 中擷取出多個第一基域名(base domain)。假設第一域名為「mx.google.com」,則其對應的第一基域名可以是「google.com」,但本發明的可實施方式不限於此。同理,比較模組310_4亦可個別從第二域名、heloDomain i-1 b 及ipDomain i-1 b 中擷取出多個第二基域名。接著,比較模組310_4可判斷所述多個第一基域名的其中之一是否匹配於所述多個第二基域名的其中之一。若是,比較模組310_4即可判斷第i個參考伺服器與第(i-1)個參考伺服器之間具有連續性。
在其他實施例中,當所述多個參考伺服器中出現屬於同一個網域的連續多個特定伺服器(即,同一個網域中的內部節點)時,由於這些特定伺服器之間必然具有連續性,因此本發明可透過以下方式適當地排除這些特定伺服器中的一部分以減少運算量。
具體而言,第一取得模組310_2可分析郵件的郵件標頭以找出轉送此郵件的所有伺服器。接著,第一取得模組310_2可判斷接收線程中是否存在子集合。所述子集合包括伺服器中屬於同一個網域的多個特定伺服器。當接收線程中存在子集合時,第一取得模組310_2可採用所述多個特定伺服器的其中之一作為代
表所述多個特定伺服器的參考伺服器。
請參照圖5,圖5是依據本發明之一實施例繪示的接收線程示意圖。在本實施例中,接收線程500包括伺服器m0~m8,其為用於傳送郵件的所有伺服器。在接收線程500中,假設伺服器m0~m2皆屬於第一網域,伺服器m3~m4皆屬於第二網域,伺服器m5~m6皆屬於第三網域,而伺服器m7~m8皆屬於第四網域。換言之,伺服器m0~m2可組成子集合510;伺服器m3~m4可組成子集合520;伺服器m5~m6可組成子集合530;伺服器m7~m8可組成子集合540。
接著,由於第一取得模組310_2判斷接收線程500中存在子集合510~540,因此,對於子集合510~540而言,第一取得模組310_2可採用各個子集合所包括的伺服器之一作為代表子集合中各個伺服器的參考伺服器m0’~m3’。
在以參考伺服器m0’~m3’代表伺服器m0~m8之後,由於用來判定郵件是否為垃圾郵件的資訊量已大幅地下降,因而能夠有效地提升本發明所提出方法的效率。
綜上所述,本發明實施例提出的方法以及郵件伺服器可基於各個參考伺服器之間的連續性來判定郵件是否為垃圾郵件。當任意兩個連續的參考伺服器之間不存在連續性時,即判定此郵件為垃圾郵件。另一方面,當各個參考伺服器之間全部都存在連續性時,即判定此郵件為正常郵件。
並且,透過合理地放寬參考伺服器之間連續性判斷標準
的方式,本發明的方法可讓郵件不會輕易地因人為疏失而導致被誤判為垃圾郵件,進而提升了郵件分析的可靠度。並且,本發明的方法可在不需要用到參考伺服器歷史評價的情況下提升垃圾郵件判斷的精準度。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
S410~S450‧‧‧步驟
Claims (20)
- 一種垃圾郵件判定方法,適於一郵件伺服器,包括:當接收到一郵件時,擷取該郵件的一郵件標頭;從該郵件標頭中的一接收線程中取得多個參考伺服器,其中該些參考伺服器個別為一郵件傳輸代理伺服器,且該些參考伺服器依據一順序傳送該郵件;取得該些參考伺服器個別的一郵件轉送主機的多個郵件轉送資訊以及一郵件接收主機的多個郵件接收資訊;比較該些參考伺服器中的第i個參考伺服器的該些郵件轉送資訊以及第(i-1)個參考伺服器的該些郵件接收資訊,其中i為正整數;以及當所述第i個參考伺服器的該些郵件轉送資訊完全不匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊時,判定該郵件為一垃圾郵件。
- 如申請專利範圍第1項所述的方法,其中該些參考伺服器為轉送該郵件的所有伺服器。
- 如申請專利範圍第1項所述的方法,其中從該郵件標頭中的接收線程中取得多個參考伺服器的步驟包括:分析該郵件標頭以找出轉送該郵件的所有伺服器;判斷該接收線程中是否存在一子集合,其中該子集合包括該些伺服器中屬於同一個網域的多個特定伺服器;以及當該接收線程中存在該子集合時,以該些特定伺服器的其中 之一作為代表該些特定伺服器的參考伺服器。
- 如申請專利範圍第1項所述的方法,其中比較該些參考伺服器中的所述第i個參考伺服器的該些郵件轉送資訊以及所述第(i-1)個參考伺服器的該些郵件接收資訊的步驟包括:判斷所述第i個參考伺服器的該些郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊的其中之一。
- 如申請專利範圍第4項所述的方法,其中,所述第i個參考伺服器的該些郵件轉送資訊包括所述第i個參考伺服器的該郵件轉送主機的一第一Helo域、一第一網際網路協定位址以及一第一網際網路協定域;所述第(i-1)個參考伺服器的該些郵件接收資訊包括所述第(i-1)個參考伺服器的該郵件接收主機的一第二Helo域、一第二網際網路協定位址以及一第二網際網路協定域。
- 如申請專利範圍第5項所述的方法,其中判斷所述第i個參考伺服器的該些郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊的其中之一的步驟包括:反解析該第一Helo域及該第一網際網路協定域以取得多個第一位址;反解析該第二Helo域以及該第二網際網路協定域以取得多個第二位址;以及判斷該些第一位址以及該第一網際網路協定位址的其中之一 是否匹配於該些第二位址以及該第二網際網路協定位址的其中之一。
- 如申請專利範圍第6項所述的方法,其中判斷該些第一位址以及該第一網際網路協定位址的其中之一是否匹配於該些第二位址以及該第二網際網路協定位址的其中之一的步驟包括:個別從該第一網際網路協定位址以及該些第一位址中擷取出多個第一部分位址;個別從該第二網際網路協定位址以及該些第二位址中擷取出多個第二部分位址;以及判斷該些第一部分位址的其中之一是否匹配於該些第二部分位址的其中之一。
- 如申請專利範圍第5項所述的方法,其中判斷所述第i個參考伺服器的該些郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊的其中之一的步驟包括:解析該第一網際網路協定位址以取得一第一域名;解析該第二網際網路協定位址以取得一第二域名;以及判斷該第一域名、該第一Helo域及該第一網際網路協定域的其中之一是否匹配於該第二域名、該第二Helo域及該第二網際網路協定域的其中之一。
- 如申請專利範圍第8項所述的方法,其中判斷該第一域名、該第一Helo域及該第一網際網路協定域的其中之一是否匹配於該第二域名、該第二Helo域及該第二網際網路協定域的其中之 一的步驟包括:個別從該第一Helo域、該第一域名以及該第一網際網路協定域中擷取出多個第一基域名;個別從該第二Helo域、該第二域名以及該第二網際網路協定域中擷取出多個第二基域名;以及判斷該些第一基域名的其中之一是否匹配於該些第二基域名的其中之一。
- 如申請專利範圍第4項所述的方法,其中當所述第i個參考伺服器的該些郵件轉送資訊的其中之一匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊的其中之一時,定義所述第i個參考伺服器與所述第(i-1)個參考伺服器之間具有一連續性;當該些參考伺服器中連續的任意兩個參考伺服器皆具有該連續性時,判定該郵件為一正常郵件。
- 一種郵件伺服器,包括:一儲存單元,儲存多個模組;以及一處理單元,耦接該儲存單元,存取並執行該些模組,該些模組包括:一擷取模組,當接收到一郵件時,擷取該郵件的一郵件標頭;一第一取得模組,從該郵件標頭中的一接收線程中取得多個參考伺服器,其中該些參考伺服器個別為一郵件傳輸代理伺服器,且該些參考伺服器依據一順序傳送該郵件;一第二取得模組,取得該些參考伺服器個別的一郵件轉送主 機的多個郵件轉送資訊以及一郵件接收主機的多個郵件接收資訊;一比較模組,比較該些參考伺服器中的第i個參考伺服器的該些郵件轉送資訊以及第(i-1)個參考伺服器的該些郵件接收資訊,其中i為正整數;以及一判定模組,當所述第i個參考伺服器的該些郵件轉送資訊完全不匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊時,判定該郵件為一垃圾郵件。
- 如申請專利範圍第11項所述的郵件伺服器,其中該些參考伺服器為轉送該郵件的所有伺服器。
- 如申請專利範圍第11項所述的郵件伺服器,其中該第一取得模組經配置以:分析該郵件標頭以找出轉送該郵件的所有伺服器;判斷該接收線程中是否存在一子集合,其中該子集合包括該些伺服器中屬於同一個網域的多個特定伺服器;以及當該接收線程中存在該子集合時,以該些特定伺服器的其中之一作為代表該些特定伺服器的參考伺服器。
- 如申請專利範圍第11項所述的郵件伺服器,其中該比較模組經配置以:判斷所述第i個參考伺服器的該些郵件轉送資訊的其中之一是否匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊的其中之一。
- 如申請專利範圍第14項所述的郵件伺服器,其中,所述第i個參考伺服器的該些郵件轉送資訊包括所述第i個參考伺服器的該郵件轉送主機的一第一Helo域、一第一網際網路協定位址以及一第一網際網路協定域;所述第(i-1)個參考伺服器的該些郵件接收資訊包括所述第(i-1)個參考伺服器的該郵件接收主機的一第二Helo域、一第二網際網路協定位址以及一第二網際網路協定域。
- 如申請專利範圍第15項所述的郵件伺服器,其中該比較模組經配置以:反解析該第一Helo域及該第一網際網路協定域以取得多個第一位址;反解析該第二Helo域以及該第二網際網路協定域以取得多個第二位址;以及判斷該些第一位址以及該第一網際網路協定位址的其中之一是否匹配於該些第二位址以及該第二網際網路協定位址的其中之一。
- 如申請專利範圍第16項所述的郵件伺服器,其中該比較模組經配置以:個別從該第一網際網路協定位址以及該些第一位址中擷取出多個第一部分位址;個別從該第二網際網路協定位址以及該些第二位址中擷取出多個第二部分位址;以及 判斷該些第一部分位址的其中之一是否匹配於該些第二部分位址的其中之一。
- 如申請專利範圍第15項所述的郵件伺服器,其中該比較模組經配置以:解析該第一網際網路協定位址以取得一第一域名;解析該第二網際網路協定位址以取得一第二域名;以及判斷該第一域名、該第一Helo域及該第一網際網路協定域的其中之一是否匹配於該第二域名、該第二Helo域及該第二網際網路協定域的其中之一。
- 如申請專利範圍第18項所述的郵件伺服器,其中該比較模組經配置以:個別從該第一Helo域、該第一域名以及該第一網際網路協定域中擷取出多個第一基域名;個別從該第二Helo域、該第二域名以及該第二網際網路協定域中擷取出多個第二基域名;以及判斷該些第一基域名的其中之一是否匹配於該些第二基域名的其中之一。
- 如申請專利範圍第14項所述的郵件伺服器,其中當所述第i個參考伺服器的該些郵件轉送資訊的其中之一匹配於所述第(i-1)個參考伺服器的該些郵件接收資訊的其中之一時,該判定模組經配置以定義所述第i個參考伺服器與所述第(i-1)個參考伺服器之間具有一連續性,並且,當該些參考伺服器中連續的任 意兩個參考伺服器皆具有該連續性時,該判定模組經配置以判定該郵件為一正常郵件。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW103139766A TWI544764B (zh) | 2014-11-17 | 2014-11-17 | 垃圾郵件判定方法及其郵件伺服器 |
| CN201410738216.8A CN105721276B (zh) | 2014-11-17 | 2014-12-05 | 垃圾邮件判定方法及其邮件服务器 |
| US14/663,458 US9680780B2 (en) | 2014-11-17 | 2015-03-20 | Method for identifying spam mail and mail server using the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW103139766A TWI544764B (zh) | 2014-11-17 | 2014-11-17 | 垃圾郵件判定方法及其郵件伺服器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201620272A TW201620272A (zh) | 2016-06-01 |
| TWI544764B true TWI544764B (zh) | 2016-08-01 |
Family
ID=55962743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103139766A TWI544764B (zh) | 2014-11-17 | 2014-11-17 | 垃圾郵件判定方法及其郵件伺服器 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9680780B2 (zh) |
| CN (1) | CN105721276B (zh) |
| TW (1) | TWI544764B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453436B (zh) * | 2016-12-21 | 2019-05-31 | 北京奇虎科技有限公司 | 一种网络安全的检测方法和装置 |
| CN113315741B (zh) * | 2020-02-27 | 2022-11-22 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7096498B2 (en) * | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| US7490128B1 (en) | 2002-09-09 | 2009-02-10 | Engate Technology Corporation | Unsolicited message rejecting communications processor |
| US7272853B2 (en) | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
| US8533270B2 (en) * | 2003-06-23 | 2013-09-10 | Microsoft Corporation | Advanced spam detection techniques |
| US20050289239A1 (en) * | 2004-03-16 | 2005-12-29 | Prakash Vipul V | Method and an apparatus to classify electronic communication |
| US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
| CN101188580B (zh) * | 2007-12-05 | 2010-12-15 | 中国联合网络通信集团有限公司 | 一种实时垃圾电子邮件过滤方法及系统 |
| CN103516596A (zh) * | 2013-10-24 | 2014-01-15 | 深圳先进技术研究院 | 电子邮件处理方法和系统 |
-
2014
- 2014-11-17 TW TW103139766A patent/TWI544764B/zh active
- 2014-12-05 CN CN201410738216.8A patent/CN105721276B/zh active Active
-
2015
- 2015-03-20 US US14/663,458 patent/US9680780B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN105721276A (zh) | 2016-06-29 |
| US20160142353A1 (en) | 2016-05-19 |
| CN105721276B (zh) | 2018-12-25 |
| TW201620272A (zh) | 2016-06-01 |
| US9680780B2 (en) | 2017-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2010263086B2 (en) | Real-time spam look-up system | |
| US7475118B2 (en) | Method for recognizing spam email | |
| US11539726B2 (en) | System and method for generating heuristic rules for identifying spam emails based on fields in headers of emails | |
| RU2014124009A (ru) | Метод и система потоковой передачи данных для обработки сетевых метаданных | |
| US20060036693A1 (en) | Spam filtering with probabilistic secure hashes | |
| US11425105B2 (en) | Method and system for processing data packages | |
| BRPI0401849B1 (pt) | sistema e método que facilita a extração de dados em conexão com processamento de spam | |
| Musashi et al. | Detection of Kaminsky DNS cache poisoning attack | |
| Leiba et al. | SMTP Path Analysis. | |
| JP2016167799A (ja) | ネットワークモニタリング方法及び装置、並びにパケットフィルタリング方法及び装置 | |
| TWI544764B (zh) | 垃圾郵件判定方法及其郵件伺服器 | |
| US20150026274A1 (en) | Method and apparatus for routing a message | |
| CN116527389A (zh) | 端口扫描检测 | |
| TW201123782A (en) | Computer-readable storage medium and computer-implemented method | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| Takeda et al. | Dns any request cannon activity in dns query packet traffic | |
| CN105743861B (zh) | 一种发送报文的方法、装置及设备 | |
| EP3716540B1 (en) | System and method for generating heuristic rules for identifying spam emails | |
| CN113315741B (zh) | 检测方法及检测设备、存储介质 | |
| GB2581189A (en) | Method and system for processing data packages | |
| CN109495372B (zh) | 垃圾邮件的识别方法和装置 | |
| CN101026619A (zh) | 电子邮件异常特征处理系统和方法 | |
| Gardner | An Exploration of the Identifying Characteristics of Spam Campaign Address Lists | |
| MUSASHI et al. | Detection of Open Resolver Activity in DNS Query Traffic from Campus Network System |