WO2006030079A1 - Procede de surveillance de flux de messagerie emis et/ou recus par un client d’un fournisseur d’acces internet au sein d’un reseau de telecommunication - Google Patents

Procede de surveillance de flux de messagerie emis et/ou recus par un client d’un fournisseur d’acces internet au sein d’un reseau de telecommunication Download PDF

Info

Publication number
WO2006030079A1
WO2006030079A1 PCT/FR2005/002062 FR2005002062W WO2006030079A1 WO 2006030079 A1 WO2006030079 A1 WO 2006030079A1 FR 2005002062 W FR2005002062 W FR 2005002062W WO 2006030079 A1 WO2006030079 A1 WO 2006030079A1
Authority
WO
WIPO (PCT)
Prior art keywords
client
mail
category
spam
flow
Prior art date
Application number
PCT/FR2005/002062
Other languages
English (en)
Inventor
Quentin Loudier
Bertrand Mathieu
Yvon Gourhant
Original Assignee
France Telecom Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom Sa filed Critical France Telecom Sa
Priority to US11/576,418 priority Critical patent/US20080037728A1/en
Priority to EP05795975A priority patent/EP1794956A1/fr
Publication of WO2006030079A1 publication Critical patent/WO2006030079A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Definitions

  • the present invention relates to a method for monitoring mail flows sent and / or received by a client of an Internet service provider within a telecommunications network.
  • the method of the invention aims in particular to detect viruses and spam contained in such mail flows.
  • a virus is a small computer program that can infect a computer for example by modifying one of its computer programs. Viruses are frequently transmitted via email. Spam is an e-mail sent in a mail flow intentionally or not in large numbers to the attention of recipients who have not solicited. The methods used to transmit spam are becoming more and more advanced. Among these methods, we know those that consist of transmitting via an email a virus or a worm, which once sent to the terminal of the recipient client installs what is called a backdoor.
  • SMTP Simple Mail Transfer Protocol
  • ESMTP Extended Simple Mail Transfer Protocol
  • SMTP Simple Mail Transfer Protocol
  • ESMTP Extended Simple Mail Transfer Protocol
  • a first software solution is installed on mail servers. This software solution is intended to inspect the e-mail after it is sent and before it is received by the recipient.
  • a second software solution installed on the client terminals is provided to inspect the email when it is received by the terminals.
  • these solutions are not totally effective in the distinction of e-mails since they do not make it possible to group the sending or receiving clients of these e-mails together into populations of homogeneous behavior with regard to spam or viruses. .
  • Internet service providers therefore face difficulties in applying consistent and effective treatments to infected e-mails.
  • existing software solutions do not always allow the detection of viruses or spam e-mail reception, for example when the customer's chosen mail provider is independent of the Internet provider chosen by the customer. In fact, when an e-mail is received via the e-mail provider, the e-mail platform of the Internet access provider does not always know about it.
  • the existing software solutions do not allow the detection of viruses or spam e-mail, for example when the customer has his own mail server. Indeed, when an e-mail is transmitted from the customer to a recipient, the e-mail does not systematically go through the Internet service provider, who is therefore not aware.
  • the object of the invention is therefore to propose a method of monitoring a mail flow and detection of viruses and spam that do not have the disadvantages of the aforementioned solutions and attempting to overcome the drawbacks inherent to the messaging protocols used. .
  • the present invention relates to a method of monitoring mail flow sent by a client of an Internet service provider to a recipient mail server and / or received by said client from his mail server within a telecommunication network.
  • the method consists in inspecting said mail flows in real time between said client and the sending recipient mail server and between the client and its receiving mail server.
  • the method comprises: a step of determining the category to which said customer belongs;
  • an interrogation step intended to determine, using the indices highlighted during the analysis step, whether the analyzed packet contains at least one virus or belongs to a spam-type mail flow;
  • the method comprises a step of identifying the client.
  • the interrogation steps are followed by a step of modifying the client profile.
  • the method comprises a step of comparing the profile with a predetermined threshold provided to allow a category change of the client when the profile of said client exceeds this predetermined threshold and vice versa.
  • the method comprises a step of making data available to said Internet access provider after performing the steps of analysis, processing and modification of the profile.
  • the method comprises a step of notifying said Internet access provider after each detection of viruses and / or spam.
  • the method consists in transmitting said mail flow even if a virus or spam has been detected, when the category of the client requires it.
  • the method consists in interrupting said mail flow when the category of the client imposes it without performing the analysis step.
  • the method consists in transmitting said mail flow when the category of the client requires it without performing the analysis step.
  • the method consists in monitoring emails contained in said mail flows.
  • the invention also relates to a mail flow monitoring system sent by a client of an internet access provider to a recipient mail server and / or received by said client from his mail server within a network of telecommunication, characterized in that it comprises means for inspecting in real time said mail flows between said client and the server recipient's e-mail message and between the client and its receiving mail server.
  • the system comprises:
  • interrogation means provided for determining, using the indices highlighted during the analysis step, whether the analyzed packet contains at least one virus or belongs to a spam-type mail flow.
  • the system comprises means for identifying the client.
  • the system comprises means for modifying the profile of the client.
  • the system comprises means for comparing the profile with a predetermined threshold intended to allow a category change of the client when the profile of said client exceeds this predetermined threshold and vice versa.
  • the system comprises means for providing data to said Internet access provider of virus detections and / or spam.
  • the system comprises means for notifying said Internet access provider of virus detections and / or spam.
  • the system comprises means for transmitting said mail flow even if a " virus " or spam has been detected, when the category of the client requires it.
  • the invention also relates to a message flow monitoring probe sent by a client to a recipient mail server and / or received by said client from his mail server within a telecommunications network.
  • the probe comprises means making it possible to implement some of the steps of the method described above.
  • the probe comprises means for determining a client category, means for modifying the client profile, means for notifying the client's Internet access provider and means for processing the client. mail flow.
  • FIG. 1 is an algorithm of the mail flow monitoring method according to the invention
  • FIG. 2 is a schematic representation of a first embodiment of the monitoring system according to the invention.
  • FIG. 3 is a schematic representation of a second embodiment of the monitoring system according to the invention.
  • the method according to the invention is intended to limit the number of spam mail streams or including viruses circulating in a telecommunications network.
  • the method also makes it possible to inform a given Internet access provider of spam and viruses sent and / or received by its clients.
  • the method according to the invention applies to any messaging protocol designed to implement a Transmission Control Protocol (TCP) session.
  • the protocols used for the transmission of mail flows are preferably the SMTP protocol and the ESMTP protocol and the protocol used for the reception of mail flows is the POP3 protocol (Post Office Protocol) or IMAP4 (Internet Message Access Protocol).
  • POP3 protocol Post Office Protocol
  • IMAP4 Internet Message Access Protocol
  • the information sent and received by a client of an Internet service provider is not limited to only emails. Indeed, an email has a header and in a part called message body, the actual information that the client of the access provider wants to send.
  • This e-mail is accompanied by a mail flow of protocol commands allowing for example to specify the origin and the destination of the electronic mail, as well as protocol responses allowing for example to specify if a protocol command is refused or accepted and the associated reason.
  • the sending of mail flows is done at the initiative of the client who establishes a TCP session, either to a relay SMTP server which can be that of its Internet access provider which serves as relay or to the SMTP server of the mail flow recipient.
  • the reception of a mail flow is done at the initiative of the receiver that establishes a TCP session to the POP or IMAP server of its email provider.
  • the method according to the invention occurs in real time following each initialization of a TCP session on the initiative of the receiver or the transmitter which can be either a client of the Internet access provider, or a relay SMTP server. The process is described in connection with FIG. 1.
  • a first detection step ElOO the session that has just been initialized is detected.
  • an ElOl identification step is implemented. During this identification step, the client at the origin of the detected session is recognized.
  • the category to which the previously identified client belongs is determined.
  • This category is predefined by the client's Internet Service Provider.
  • Such a category could for example be called “VIP” or “blacklist”, the category “VIP” corresponding to customers considered important and the category “blacklist” corresponding to customers considered harmful from the point of view of viruses and spam .
  • This category has consequences for the progress of the steps that follow, including the analysis and treatment steps that will be described below.
  • the method according to the invention provides, for certain categories of customers, such as customers in the "VIP” category, to directly transfer the detected mail flow without searching for viruses and spam and for certain other categories of customers, such as customers in the "blacklist” category, to directly interrupt the detected mail flow without searching for viruses and spam (See dashed arrows).
  • customer profiles For each known client of an ISP are also provided customer profiles. These customer profiles define a customer behavior in relationship with viruses and spam. For example, a customer may be a frequent spam emitter, whether this broadcast is intentional or not.
  • the customer profile can be determined at the same time as the category to which the customer belongs. This profile is updated during each session and is stored for use in subsequent sessions and accessed by the Internet Service Provider of the client to whom this profile corresponds.
  • the information contained in these profiles is for example the presence or absence of elements revealing viruses or spam in the mail flows inspected, the number of these elements detected, the names of the viruses associated with the detected elements, the number of emailed emails containing such elements, etc.
  • a second detection step El 03 the mail flow transmitted in the current session is detected.
  • an analysis step El 04 the presence of revealing elements of viruses and spam is sought. For this, packets arranged following each other and thus forming the detected message flow, are analyzed one by one using several analysis techniques. The choice of the analysis techniques used is determined by the category of the client at the origin of the analyzed mail flow.
  • Such methods of analysis may for example consist of the analysis of stubborn fields of an electronic mail, the analysis of significant keywords of a spam e-mail, the analysis of strings of characters or byte sequences corresponding to a virus, analyzing the attachment format to an email, etc.
  • a technique used in virus analysis is the search for virus signatures.
  • Spam analysis is different. It consists of looking for spam cues. Depending on the index sought, the presence or repetition of this index is sought and concurs that the mail flow in which it is is spam.
  • spam indices may for example be malformed character strings, or strings comprising a mixture of numbers and letters, a mail flow to more than 100 recipients, etc.
  • an interrogation step E105 the balance of the analyzes performed on the packet of the mail flow is carried out.
  • This report consists of defining whether, according to these analyzes, the parsed packet contains a virus or belongs to a spam mail flow. If the result of the interrogation step El 05 makes it possible to say that the packet analyzed does not contain a virus or does not belong to a mail flow type spam then the next step is the step El I l.
  • step El 11 it is verified that the parsed packet is an end packet of mail flow. If the parsed packet is not the last of the mail flow, the next step is again the packet parsing step E104. If the parsed packet closes the mail flow, then step El I l is followed by a step
  • the profile of the client is modified to show the absence of viruses or spam in the mail flow transmitted.
  • This modification consists, for example, in inserting information representative of the absence of viruses or in modifying statistics.
  • the mail flow is then transmitted to its recipient without undergoing modification of its content.
  • the next step is a profile modification step El 06.
  • the profile of the client sending the mail flow is modified so as to show the presence of the virus or spam highlighted.
  • a comparison step El 07 the client profile is compared to a threshold.
  • This threshold is set by the ISP and is a profile beyond which the customer's category is changed.
  • the newly updated profile in step El 06 is a value that exceeds a predefined value representing this threshold, the category of the client is modified during a step El 08.
  • a decision step E109 the processing of the mail flow is determined. This step is executed consecutively to one of the steps E107 or E108.
  • Step EI 10 if the category of the client is such that no transfer is possible, the mail flow is interrupted (Step EI 10). Otherwise, if the customer's category allows it, a transfer of the mail flow is performed (Step El 13). This transfer can be carried out in a conventional manner, or for example with slowing of the transmission speed, or with modification of the mail flow for further processing.
  • Step El 13 the data from the analysis of mail flow packets, profile changes and processing performed on the mail flow are made available to the client's access provider.
  • notification can be made to the Internet service provider of the client sending the mail flow of the presence of viruses in the mail flow analyzed by the method according to the invention.
  • a warning e-mail can also be sent to the customer to warn him of the infection of his mail flow with a virus or spam and, for example, to propose solutions to decontaminate him.
  • step El 14 the next step is then the step El 14 in which it is verified that the current session is completed. If the current session is not completed then the algorithm resumes at the step of detecting an E103 mail flow. Otherwise, the process ends.
  • FIG. 1 A first embodiment of the system according to the invention is shown in FIG.
  • Fig. 2 In this Fig. 2, the system is implemented in transmission of mail flow. However, it will be understood that such a system can also be implemented in reception of mail flow.
  • clients send and receive e-mail flows through Internet service providers 70 and e-mail providers 80 belonging to or separate from Internet service providers.
  • a modem 20, a Digital Subscriber Line Access Multiplexer (DSLAM) network splitter 30 operating using an Asynchronous Transmission Mode (ATM) protocol and a BAS 60 router (Broadband Access Server) connect each client 10 to its messaging provider. 80 directly or through a Internet access provider 70.
  • the client 10 can also be directly connected to the messaging provider 90 of the mail flow recipient.
  • DSLAM Digital Subscriber Line Access Multiplexer
  • ATM Asynchronous Transmission Mode
  • BAS 60 router Broadband Access Server
  • a two-level monitoring architecture is arranged between the clients 10 and their respective Internet access providers 70 or their messaging providers 80 or the e-mail providers 90 of the recipients.
  • a first level of architecture is illustrated by first-level devices 40.
  • Each of the first-level architecture devices 40 is preferably a probe used as a means for detecting the parameters of the detected message flow and in particular for determining the category of the client sending mail flow detected.
  • the first level device 40 can indifferently be placed in the modem 20, between the modem 20 and the DSLAM network splitter 30, in the DSLAM network splitter 30, at the output of the DSLAM splitter 30, in the router BAS 60 or at the output of the router BAS 60.
  • the second level of architecture is illustrated by a second level device
  • This second level device 50 is a processing means provided for carrying out the steps of the method with the exception of the steps already performed by the first level device 40.
  • This second level device 50 is connected to the first level device 40
  • each mail flow sent by a client terminal 10 is routed to a first-level architecture device 40 which determines the category of the client emitter of the detected mail flow and if this category allows it to transfer the flow of
  • the first-level architecture device 40 directly transfers the mail flow.
  • first-level architecture device 40 could perform other steps of the method and in particular the analysis step.
  • FIG. 3 A second embodiment of the system according to the invention is described with reference to FIG. 3.
  • the system that is represented is installed in sending and receiving SMTP mail flow traffic.
  • a client mail server 10 is connected to a destination mail server 100 via a CE router (Client Edge) client 20 and a Provider Edge (PE) router 30 of the client's ISP.
  • CE router Client Edge
  • PE Provider Edge
  • a processing device 40 is connected to the PE router 30 of the client's Internet access provider. This processing device 40 is provided to perform all the steps of the method according to the invention.
  • the PE router 30 redirects all messaging streams to the processing device 40 which executes the algorithm of FIG. During the execution of the algorithm, the processing device 40 redirects the analyzed packets to the destination mail server 100. It will be noted that the processing device 40 could be connected to the client router CE 20 in place of the PE router 30.
  • this processing device 40 is therefore a single device that does not require significant power.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La présente invention concerne un procédé de surveillance de courriers électroniques émis par un client d'un fournisseur d'accès Internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication. Selon l'invention, le procédé se caractérise en ce qu'il consiste à inspecter en temps réel lesdits courriers électroniques entre ledit client et le serveur de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.

Description

Procédé de surveillance de flux de messagerie émis et/ou reçus par un client d'un fournisseur d'accès Internet au sein d'un réseau de télécommunication
La présente invention concerne un procédé de surveillance de flux de messagerie émis et/ou reçus par un client d'un fournisseur d'accès Internet au sein d'un réseau de télécommunication. Le procédé selon l'invention vise notamment à détecter les virus et les spams contenus dans de tels flux de messagerie. Un virus est un petit programme informatique capable d'infecter un ordinateur par exemple en modifiant l'un de ses programmes informatiques. Les virus sont fréquemment transmis par l'intermédiaire de courriers électroniques. Un spam est un courrier électronique transmis au sein d'un flux de messagerie de manière intentionnelle ou non en grand nombre à l'attention de destinataires ne les ayant pas sollicités. Les méthodes utilisées pour transmettre des spams deviennent de plus en plus poussées. Parmi ces méthodes, on connaît celles qui consistent à transmettre via un courrier électronique un virus ou un ver, qui une fois acheminé sur le terminal du client destinataire installe ce que l'on appelle une porte dérobée. A partir de cette porte dérobée, des spams sont transférés sur commande à des adresses électroniques par exemple comprises dans le carnet d'adresse de la messagerie de ce client destinataire ou connues du virus par ailleurs. Le phénomène d'envoi intensif de virus et de spams s 'accroissant, des solutions juridiques ont été adoptées pour les combattre et les émetteurs de virus et de spams font par ailleurs de plus en plus souvent l'objet de poursuites judiciaires. Cependant, ce type de solution ne résout pas vraiment le problème de l'envoi de courriers électroniques de type spam, notamment du fait que ces spams sont souvent envoyés par des clients qui ne savent pas que des portes dérobées ont été installées sur leurs terminaux.
De plus, les protocoles utilisés pour l'envoi des courriers électroniques, tel que par exemple le protocole SMTP (Simple Mail Transfert Protocol) ou le protocole ESMTP (Extended Simple Mail Transfert Protocol), n'effectuent aucun contrôle des courriers électroniques émis. La diffusion de spams n'est donc pas aujourd'hui contrôlée lors de l'émission.
Enfin, le protocole SMTP autorisant la modification des informations nécessaires à l'envoi des courriers électroniques, il est souvent difficile de combattre ces envois illicites car il est difficile d'en déterminer l'auteur réel, l'émetteur du courrier électronique usurpant généralement l'identité d'autres clients.
Des solutions logicielles ont par ailleurs été développées. Une première solution logicielle s'installe sur des serveurs de messagerie. Cette solution logicielle est prévue pour inspecter le courrier électronique après son émission et avant sa réception par son destinataire.
Une seconde solution logicielle installée sur les terminaux clients est prévue pour inspecter le courrier électronique au moment de sa réception par les terminaux.
Ces solutions n'empêchent cependant pas les virus et spams d'emprunter les voies de communication établies entre l'émetteur et le serveur SMTP et ainsi de consommer des ressources importantes du fournisseur d'accès Internet utilisé.
En outre, ces solutions ne sont pas totalement efficaces dans la distinction des courriers électroniques puisqu'elles ne permettent pas de regrouper les clients émetteur ou récepteur de ces courriers électroniques entre eux en populations de comportements homogènes vis-à-vis des spams ou des virus. Les fournisseurs d'accès Internet rencontrent donc des difficultés à appliquer des traitements cohérents et efficaces sur les courriers électroniques infectés. De plus, les solutions logicielles existantes ne permettent pas toujours la détection de virus ou de spams en réception de courriers électroniques, par exemple lorsque le fournisseur de messagerie choisi par le client est indépendant du fournisseur d'accès Internet choisi par le client. En effet, lorsqu'un courrier électronique est reçu via le fournisseur de messagerie, la plate-forme de messagerie du fournisseur d'accès Internet n'en a pas systématiquement connaissance. De même, les solutions logicielles existantes ne permettent pas la détection de virus ou de spams en émission de courrier électronique, par exemple lorsque le client dispose de son propre serveur de messagerie. En effet, lorsqu'un courrier électronique est transmis du client à un destinataire, le courrier électronique ne passe pas systématiquement par le fournisseur d'accès Internet, qui n'en a donc pas connaissance.
Le but de l'invention est donc de proposer un procédé de surveillance d'un flux de messagerie et de détection de virus et de spams n'ayant pas les inconvénients des solutions précédemment citées et tentant de pallier aux inconvénients inhérents aux protocoles de messagerie utilisés.
A cet effet, la présente invention concerne un procédé de surveillance de flux de messagerie émis par un client d'un fournisseur d'accès Internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication. Selon l'invention, le procédé consiste à inspecter en temps réel lesdits flux de messagerie entre ledit client et le serveur de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.
Selon un mode de mise en œuvre avantageux de l'invention, le procédé comprend : - une étape de détermination de la catégorie à laquelle appartient ledit client ;
- une étape d'analyse d'un paquet dudit flux de messagerie afin de mettre en évidence des indices de virus et de spams ;
- une étape d'interrogation prévue pour déterminer, à l'aide des indices mis en évidence au cours de l'étape d'analyse, si le paquet analysé contient au moins un virus ou appartient à un flux de messagerie de type spam ;
- une étape de traitement du flux de messagerie en fonction du résultat de l'étape d'interrogation et de la catégorie dudit client. De manière avantageuse, préalablement à l'étape de détermination, le procédé comprend une étape d'identification du client.
Selon un mode de mise en œuvre particulier de l'invention, les étapes d'interrogation sont suivies d'une étape de modification du profil du client. Selon un autre mode de mise en oeuvre particulier de l'invention, le procédé comprend une étape de comparaison du profil à un seuil prédéterminé prévue pour permettre une modification de catégorie du client lorsque le profil dudit client dépasse ce seuil prédéterminé et inversement.
Selon un autre mode de mise en œuvre particulier de l'invention, le procédé comporte une étape de mise à la disposition de données audit fournisseur d'accès Internet après exécution des étapes d'analyse, de traitement et de modification du profil.
Selon un autre mode de mise en œuvre particulier de l'invention, le procédé comporte une étape de notification dudit fournisseur d'accès Internet après chaque détection de virus et/ou de spam.
Selon un mode de mise en œuvre original de l'invention, le procédé consiste à transmettre ledit flux de messagerie même si un virus ou un spam à été détecté, lorsque la catégorie du client l'impose.
Selon un autre mode de mise en œuvre original de l'invention, le procédé consiste à interrompre ledit flux de messagerie lorsque la catégorie du client l'impose sans exécuter l'étape d'analyse.
Selon un autre mode de mise en œuvre original de l'invention, le procédé consiste à transmettre ledit flux de messagerie lorsque la catégorie du client l'impose sans exécuter l'étape d'analyse. Selon un autre mode de mise en œuvre original de l'invention, le procédé consiste à surveiller des courriers électroniques contenus dans lesdits flux de messagerie.
L'invention concerne également un système de surveillance de flux de messagerie émis par un client d'une fournisseur d'accès internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication, caractérisé en ce qu'il comprend des moyens pour inspecter en temps réel lesdits flux de messagerie entre ledit client et le serveur de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.
Selon un mode de réalisation avantageux de l'invention, le système comprend :
- des moyens de détermination de la catégorie à laquelle appartient ledit client ; - des moyens d'analyse d'un paquet dudit flux de messagerie prévus pour mettre en évidence des indices de virus et de spams ;
- des moyens d'interrogation prévus pour déterminer, à l'aide des indices mis en évidence au cours de l'étape d'analyse, si le paquet analysé contient au moins un virus ou appartient à un flux de messagerie de type spam. - des moyens de traitement du flux de messagerie en fonction du résultat de l'étape d'interrogation et de la catégorie dudit client.
Avantageusement, le système comprend des moyens d'identification du client. Selon un mode de réalisation particulier de l'invention, le système comprend des moyens de modification du profil du client. Selon un autre mode de réalisation particulier de l'invention, le système comprend des moyens de comparaison du profil à un seuil prédéterminé prévus pour permettre une modification de catégorie du client lorsque le profil dudit client dépasse ce seuil prédéterminé et inversement.
Selon un autre mode de réalisation particulier de l'invention, le système comporte des moyens de mise à disposition de données audit fournisseur d'accès Internet de détections de virus et/ou de spam.
Selon un autre mode de réalisation particulier de l'invention, le système comporte des moyens de notification dudit fournisseur d'accès Internet de détections de virus et/ou de spam. Selon un mode de réalisation original de l'invention, le système comprend des moyens pour transmettre ledit flux de messagerie même si un virus" ou un spam à été détecté, lorsque la catégorie du client l'impose.
L'invention concerne également une sonde de surveillance de flux de messagerie émis par un client vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication. Selon l'invention, la sonde comporte des moyens permettant de mettre en œuvre certaines des étapes du procédé décrit ci-dessus. Selon un mode de réalisation avantageux de l'invention, la sonde comporte des moyens de détermination d'une catégorie client, des moyens de modification du profil client, des moyens de notification du fournisseur d'accès Internet du client et des moyens de traitement du flux de messagerie. Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels :
- la Fig. 1 est un algorithme du procédé de surveillance de flux de messagerie selon 1 ' invention ;
- la Fig. 2 est une représentation schématique d'un premier mode de réalisation du système de surveillance selon l'invention ; et
- la Fig. 3 est une représentation schématique d'un second mode de réalisation du système de surveillance selon l'invention. Le procédé selon l'invention est prévu pour limiter le nombre de flux de messagerie de type spam ou comprenant des virus circulant dans un réseau de télécommunication. Le procédé permet en outre d'informer un fournisseur d'accès Internet déterminé des spams et virus émis et/ou reçus par ses clients.
Le procédé selon l'invention s'applique à tout protocole de messagerie prévu pour mettre en œuvre une session TCP (Transmission Control Protocol). Selon l'invention, les protocoles utilisés pour l'émission de flux de messagerie sont de préférence le protocole SMTP et le protocole ESMTP et le protocole utilisé pour la réception de flux de messagerie est le protocole POP3 (Post Office Protocol) ou IMAP4 (Internet Message Access Protocol). On notera que dans la suite du présent exposé on parlera de flux de messagerie plutôt que de courrier électronique, les informations émises et reçues par un client d'un fournisseur d'accès Internet n'étant pas limitées aux seuls courriers électroniques. En effet, un courrier électronique comporte un en-tête et dans une partie appelée corps de message, l'information proprement dite que le client du fournisseur d'accès souhaite envoyer. Ce courrier électronique est accompagné au sein d'un flux de messagerie de commandes protocolaires permettant par exemple de spécifier l'origine et la destination du courrier électronique, ainsi que de réponses protocolaires permettant par exemple de préciser si une commande protocolaire est refusée ou acceptée et la raison associée.
Selon le procédé de l'invention, l'émission de flux de messagerie se fait à l'initiative du client qui établit une session TCP, soit vers un serveur SMTP relais qui peut être celui de son fournisseur d'accès Internet qui sert de relais, soit vers le serveur SMTP du destinataire du flux de messagerie. De même, la réception d'un flux de messagerie se fait à l'initiative du récepteur qui établit une session TCP vers le serveur POP ou IMAP de son fournisseur de messagerie.
Le procédé selon l'invention intervient en temps réel suite à chaque initialisation d'une session TCP à l'initiative du récepteur ou de l'émetteur qui peut être, soit un client du fournisseur d'accès Internet, soit un serveur SMTP relais. Le procédé est décrit en relation avec la Fig. 1.
Au cours d'une première étape de détection ElOO, la session qui vient d'être initialisée est détectée. Suite à cette étape, une étape d'identification ElOl est mise en œuvre. Au cours de cette étape d'identification, le client à l'origine de la session détectée est reconnu.
Au cours d'une étape de détermination El 02, la catégorie à laquelle appartient le client précédemment identifié est déterminée. Cette catégorie est prédéfinie par le fournisseur d'accès Internet du client. Une telle catégorie peut par exemple être intitulée « VIP » ou « liste noire », la catégorie « VIP » correspondant à des clients jugés importants et la catégorie « liste noire » correspondant à des clients jugés nuisibles du point de vue des virus et des spams. Cette catégorie a des conséquences sur le déroulement des étapes qui vont suivre et notamment des étapes d'analyse et de traitement qui seront décrites ci-après. On notera que le procédé selon l'invention prévoit, pour certaines catégories de clients, comme par exemple les clients de la catégorie « VIP », de transférer directement le flux de messagerie détecté sans rechercher les virus et les spams et pour certaines autres catégories de clients, comme par exemple les clients de la catégorie « liste noire », d'interrompre directement le flux de messagerie détecté sans rechercher les virus et les spams (Voir flèches en pointillés).
Pour chaque client connu d'un fournisseur d'accès Internet sont également prévus des profils clients. Ces profils client définissent un comportement du client en relation avec les virus et les spams. Par exemple, un client pourra être émetteur assidu de spams, que cette émission soit intentionnelle ou non. Le profil client pourra être déterminé en même temps que la catégorie à laquelle appartient le client. Ce profil est mis à jour lors de chaque session et est mémorisé pour être utilisé lors de sessions ultérieures et consulté par le fournisseur d'accès Internet du client à qui correspond ce profil. Les informations contenues dans ces profils sont par exemple la présence ou l'absence d'éléments révélateurs de virus ou de spams dans les flux de messagerie inspectés, le nombre de ces éléments détectés, le nom des virus associés aux éléments détectés, le nombre de courriers électroniques émis contenant de tels éléments, etc. Au cours d'une seconde étape de détection El 03, le flux de messagerie transmis dans la session en cours est détecté.
Au cours d'une étape d'analyse El 04, la présence d'éléments révélateurs de virus et de spams est recherchée. Pour cela, des paquets disposés à la suite les uns des autres et formant ainsi le flux de messagerie détecté, sont analysés un par un à l'aide de plusieurs techniques d'analyse. Le choix des techniques d'analyse utilisées est déterminé par la catégorie du client à l'origine du flux de messagerie analysé.
De telles méthodes d'analyse peuvent par exemple consister en l'analyse des champs d'entêté d'un courrier électronique, l'analyse de mots clés significatifs d'un courrier électronique de type spam, l'analyse de chaînes de caractère ou de suites d'octets correspondant à un virus, l'analyse du format de pièce jointe à un courrier électronique, etc.
Ainsi, une technique utilisée dans l'analyse de virus est la recherche de signatures de virus. L'analyse de spams est différente. Elle consiste à rechercher des indices de spams. En fonction de l'indice recherché, la présence ou la répétition de cet indice est recherchée et concourt à dire que le flux de messagerie dans lequel il se trouve est un spam. De tels indices de spam peuvent par exemple être des chaînes de caractères malformés, ou des chaînes de caractères comprenant un mélange de chiffres et de lettres, un flux de messagerie à destination de plus de 100 destinataires, etc.
Au cours d'une étape d'interrogation E105, le bilan des analyses effectuées sur le paquet du flux de messagerie est effectué. Ce bilan consiste à définir si d'après ces analyses le paquet analysé contient un virus ou appartient à un flux de messagerie de type spam. Si le résultat de l'étape d'interrogation El 05 permet de dire que le paquet analysé ne contient pas de virus ou n'appartient pas à un flux de messagerie de type spam alors l'étape suivante est l'étape El I l.
Au cours de cette étape El 11, on vérifie que le paquet analysé est un paquet de fin de flux de messagerie. Si le paquet analysé n'est pas le dernier du flux de messagerie, l'étape suivante est à nouveau l'étape d'analyse de paquet E104. Si le paquet analysé clôt le flux de messagerie, alors l'étape El I l est suivie d'une étape
El 12 de modification de profil. Au cours de cette étape de modification de profil
El 12, le profil du client est modifié de manière à faire apparaître l'absence de virus ou de spam dans le flux de messagerie transmis. Cette modification consiste par exemple à insérer une information représentative de l'absence de virus ou encore à modifier des statistiques.
Au cours d'une étape de transmission El 13, le flux de messagerie est ensuite transmis à son destinataire sans subir de modification de son contenu.
Au cours d'une étape consécutive d'interrogation El 14, on vérifie que la session en cours est terminée. Si la session en cours n'est pas terminée alors l'algorithme reprend à l'étape de détection d'un flux de messagerie El 03. Sinon, le procédé se termine.
Par contre, si un virus est mis en évidence dans le paquet analysé ou si le flux de messagerie dont le paquet a été analysé est considéré comme un spam alors l'étape suivante est une étape de modification de profil El 06.
Au cours de l'étape de modification de profil El 06, le profil du client émetteur du flux de messagerie est modifié de manière à faire apparaître la présence du virus ou du spam mis en évidence.
Au cours d'une étape de comparaison El 07, le profil du client est comparé à un seuil. Ce seuil est défini par le fournisseur d'accès Internet et correspond à un profil au-delà duquel la catégorie du client est modifiée. Ainsi, si le profil nouvellement mis à jour au cours de l'étape El 06 est une valeur qui dépasse une valeur prédéfinie représentant ce seuil, la catégorie du client est modifiée au cours d'une étape El 08.
Au cours d'une étape de décision E109, le traitement du flux de messagerie est déterminé. Cette étape est exécutée consécutivement à l'une des étapes E107 ou E108.
Ainsi, si la catégorie du client est telle qu'aucun transfert n'est possible, le flux de messagerie est interrompu (Etape EI lO). Sinon, si la catégorie du client l'autorise, un transfert du flux de messagerie est effectué (Etape El 13). Ce transfert peut s'effectuer de manière classique, ou par exemple avec ralentissement de la vitesse de transmission, ou encore avec modification du flux de messagerie pour un traitement ultérieur. Suite à cette étape El 13, les données issues de l'analyse des paquets du flux de messagerie, les modifications de profil et les traitements effectués sur le flux de messagerie sont mis à la disposition du fournisseur d'accès du client. En outre, notification peut être faite au fournisseur d'accès Internet du client émetteur du flux de messagerie de la présence de virus dans le flux de messagerie analysé par le procédé selon l'invention. Un courrier électronique d'avertissement peut en outre être transmis au client afin de l'avertir de l'infection de son flux de messagerie par un virus ou un spam et, par exemple, lui proposer des solutions pour se décontaminer.
L'étape suivante est alors l'étape El 14 au cours de laquelle on vérifie que la session en cours est terminée. Si la session en cours n'est pas terminée alors l'algorithme reprend à l'étape de détection d'un flux de messagerie E103. Sinon, le procédé se termine.
Le procédé précédemment décrit peut être implémenté au sein d'un système dont deux modes de réalisation sont décrits ci-après en relation avec respectivement les Figs. 2 et 3. Un premier mode de réalisation du système selon l'invention est représenté à la
Fig. 2. Sur cette Fig. 2, le système est mis en oeuvre en émission de flux de messagerie. On comprendra cependant qu'un tel système peut aussi bien être mis en œuvre en réception de flux de messagerie.
Dans ce mode de réalisation, des clients 10 envoient et reçoivent des flux de messagerie par l'intermédiaire de fournisseurs d'accès Internet 70 et de fournisseurs de messagerie 80 appartenant à des fournisseurs d'accès Internet ou distincts de ceux- ci.
Un modem 20, un répartiteur réseau DSLAM (Digital Subscriber Line Access Multiplexer) 30 fonctionnant à l'aide d'un protocole ATM (Asynchronous Transmission Mode) et un routeur BAS 60 (Broadband Access Server) relient chaque client 10 à son fournisseur de messagerie 80 directement ou par l'intermédiaire d'un fournisseur d'accès Internet 70. Le client 10 peut également être directement relié au fournisseur de messagerie 90 du destinataire du flux de messagerie.
Une architecture de surveillance à deux niveaux est disposée entre les clients 10 et leurs fournisseurs d'accès Internet respectifs 70 ou leurs fournisseurs de messagerie 80 ou les fournisseurs de messagerie 90 des destinataires.
Un premier niveau d'architecture est illustré par des dispositifs de premier niveau 40. Chacun des dispositifs de premier niveau d'architecture 40 est de préférence une sonde utilisée comme moyen pour détecter les paramètres du flux de messagerie détecté et notamment pour déterminer la catégorie du client émetteur du flux de messagerie détecté.
Le dispositif de premier niveau 40 peut indifféremment être placé dans le modem 20, entre le modem 20 et le répartiteur réseau DSLAM 30, dans le répartiteur réseau DSLAM 30, en sortie du répartiteur DSLAM 30, dans le routeur BAS 60 ou en sortie du routeur BAS 60. Le second niveau d'architecture est illustré par un dispositif de second niveau
50. Ce dispositif de second niveau 50 est un moyen de traitement prévu pour réaliser les étapes du procédé à l'exception des étapes déjà réalisées par le dispositif de premier niveau 40. Ce dispositif de second niveau 50 est relié au dispositif de premier niveau 40. Dans l'exemple représenté chaque flux de messagerie émis par un terminal client 10 est acheminé vers un dispositif de premier niveau d'architecture 40 qui détermine la catégorie du client émetteur du flux de messagerie détecté et si cette catégorie le permet transfère le flux de messagerie au dispositif de second niveau d'architecture 50. Dans le cas contraire, le dispositif de premier niveau d'architecture 40 transfère directement le flux de messagerie.
On notera que le dispositif de premier niveau d'architecture 40 pourrait réaliser d'autres étapes du procédé et notamment l'étape d'analyse.
Un second mode de réalisation du système selon l'invention est décrit en relation avec la Fig. 3. Le système qui est représenté est installé en émission et réception du trafic de flux de messagerie SMTP.
Dans ce mode de réalisation, un serveur de messagerie clients 10 est relié à un serveur de messagerie destinataire 100 par l'intermédiaire d'un routeur CE (Client Edge) client 20 et d'un routeur PE (Provider Edge) 30 du fournisseur d'accès Internet du client.
Selon l'invention, un dispositif de traitement 40 est relié au routeur PE 30 du fournisseur d'accès Internet du client. Ce dispositif de traitement 40 est prévu pour réaliser l'ensemble des étapes du procédé selon l'invention.
Le routeur PE 30 redirige l'ensemble des flux de messagerie vers le dispositif de traitement 40 qui exécute l'algorithme de la Fig. 1. Au cours de l'exécution de l'algorithme, le dispositif de traitement 40 redirige les paquets analysés vers le serveur de messagerie destinataire 100. On notera que le dispositif de traitement 40 pourrait être relié au routeur client CE 20 à la place du routeur PE 30.
Dans ce second mode de réalisation, seul le trafic SMTP est dévié vers l'unique dispositif de traitement 40. Avantageusement, ce dispositif de traitement 40 est donc un unique dispositif ne nécessitant pas de posséder une puissance importante.

Claims

REVENDICATIONS
1) Procédé de surveillance de flux de messagerie émis par un client d'un fournisseur d'accès Internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication, caractérisé en ce qu'il consiste à inspecter en temps réel lesdits flux de messagerie entre ledit client et le serveur de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.
2) Procédé selon la revendication 1, caractérisé en ce qu'il comprend :
- une étape de détermination de la catégorie à laquelle appartient ledit client ;
- une étape d'analyse d'un paquet dudit flux de messagerie afin de mettre en évidence des indices de virus et de spams ;
- une étape d'interrogation prévue pour déterminer, à l'aide des indices mis en évidence au cours de l'étape d'analyse, si le paquet analysé contient au moins un virus ou appartient à un flux de messagerie de type spam ;
- une étape de traitement du flux de messagerie en fonction du résultat desdites étapes d'interrogation et de la catégorie dudit client.
3) Procédé selon l'une des revendications 1 ou 2, caractérisé en ce que préalablement à l'étape de détermination, le procédé comprend une étape d'identification du client.
4) Procédé selon l'une des revendications précédentes, caractérisé en ce que l'étape d'interrogation est suivie d'une étape de modification du profil du client.
5) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comprend une étape de comparaison du profil à un seuil prédéterminé prévue pour permettre une modification de catégorie du client lorsque le profil dudit client dépasse ce seuil prédéterminé et inversement. 6) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte une étape de mise à disposition de données audit fournisseur d'accès Internet après exécution des étapes d'analyse, de traitement, et de modification du profil. 7) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte une étape de notification dudit fournisseur d'accès Internet après chaque détection de virus et/ou de spam.
8) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à transmettre ledit flux de messagerie même si un virus ou un spam a été détecté, lorsque la catégorie du client l'impose.
9) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à interrompre ledit flux de messagerie lorsque la catégorie du client l'impose, sans exécuter l'étape d'analyse. 10) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à transférer ledit flux de messagerie lorsque la catégorie du client l'impose, sans exécuter l'étape d'analyse.
11) Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à surveiller des courriers électroniques contenus dans lesdits flux de messagerie.
12) Système de surveillance de flux de messagerie émis par un client d'un fournisseur d'accès internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication, caractérisé en ce qu'il comprend des moyens pour inspecter en temps réel lesdits flux de messagerie entre ledit client et le serveur de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.
13) Système selon la revendication 12, caractérisé en ce qu'il comprend :
- des moyens de détermination de la catégorie à laquelle appartient ledit client ;
- des moyens d'analyse d'un paquet dudit flux de messagerie prévus pour mettre en évidence des indices de virus et de spams ;
- des moyens d'interrogation prévus pour déterminer, à l'aide des indices mis en évidence au cours de l'étape d'analyse, si le paquet analysé contient au moins un virus ou appartient à un flux de messagerie de type spam ;
- des moyens de traitement du flux de messagerie en fonction du résultat desdites étapes d'interrogation et de la catégorie dudit client.
14) Système selon l'une des revendications 12 ou 13, caractérisé en ce que le système comprend des moyens d'identification du client. 15) Système selon l'une des revendications 12 à 14, caractérisé en ce qu'il comprend des moyens de modification du profil du client.
16) Système selon l'une des revendications 12 à 15, caractérisé en ce qu'il comprend des moyens de comparaison du profil à un seuil prédéterminé prévus pour permettre une modification de catégorie du client lorsque le profil dudit client dépasse ce seuil prédéterminé et inversement.
17) Système selon l'une des revendications 12 à 16, caractérisé en ce qu'il comporte des moyens de mise à disposition de données audit fournisseur d'accès Internet. 18) Système selon l'une des revendications 12 à 17, caractérisé en ce qu'il comporte des moyens de notification dudit fournisseur d'accès Internet après chaque détection de virus et/ou de spam.
19) Système selon l'une des revendications 12 à 18, caractérisé en ce qu'il comprend des moyens pour transmettre ledit flux de messagerie même si un virus ou un spam à été détecté, lorsque la catégorie du client l'impose.
20) Sonde de surveillance de flux de messagerie émis par un client vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication, caractérisée en ce qu'elle comporte des moyens permettant de mettre en œuvre certaines des étapes du procédé selon l'une des revendications 1 à 11.
21) Sonde selon la revendication 20, caractérisée en ce qu'elle comporte des moyens de détermination d'une catégorie client, des moyens de modification du profil client, des moyens de mise à disposition de données au fournisseur d'accès Internet du client et des moyens de traitement du flux de messagerie.
PCT/FR2005/002062 2004-09-10 2005-08-09 Procede de surveillance de flux de messagerie emis et/ou recus par un client d’un fournisseur d’acces internet au sein d’un reseau de telecommunication WO2006030079A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US11/576,418 US20080037728A1 (en) 2004-09-10 2005-08-09 Method Of Monitoring A Message Stream Transmitted And/Or Received By An Internet Access Provider Customer Within A Telecommunication Network
EP05795975A EP1794956A1 (fr) 2004-09-10 2005-08-09 Procede de surveillance de flux de messagerie emis et/ou recus par un client d'un fournisseur d'acces internet au sein d'un reseau de telecommunication

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0409606 2004-09-10
FR0409606A FR2875317A1 (fr) 2004-09-10 2004-09-10 Procede de surveillance de couriers electroniques emis et/ou recus par un client d'un fournisseur d'acces internet au sein d'un reseau de telecommunication

Publications (1)

Publication Number Publication Date
WO2006030079A1 true WO2006030079A1 (fr) 2006-03-23

Family

ID=34949629

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002062 WO2006030079A1 (fr) 2004-09-10 2005-08-09 Procede de surveillance de flux de messagerie emis et/ou recus par un client d’un fournisseur d’acces internet au sein d’un reseau de telecommunication

Country Status (4)

Country Link
US (1) US20080037728A1 (fr)
EP (1) EP1794956A1 (fr)
FR (1) FR2875317A1 (fr)
WO (1) WO2006030079A1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999032985A1 (fr) * 1997-12-22 1999-07-01 Accepted Marketing, Inc. Filtre a courriers electroniques et procede associe
EP1139608A2 (fr) * 2000-03-31 2001-10-04 Lucent Technologies Inc. Méthode et système pour des services de communications configurable par abonnés
WO2002075570A1 (fr) * 2001-03-16 2002-09-26 Wells Fargo Bank, N.A. Systeme de capture et de detection d'adresses e-mail redondantes
US20030149726A1 (en) * 2002-02-05 2003-08-07 At&T Corp. Automating the reduction of unsolicited email in real time
US20040058673A1 (en) * 2000-09-29 2004-03-25 Postini, Inc. Value-added electronic messaging services and transparent implementation thereof using intermediate server

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7596606B2 (en) * 1999-03-11 2009-09-29 Codignotto John D Message publishing system for publishing messages from identified, authorized senders
US6321267B1 (en) * 1999-11-23 2001-11-20 Escom Corporation Method and apparatus for filtering junk email
US7072942B1 (en) * 2000-02-04 2006-07-04 Microsoft Corporation Email filtering methods and systems
US20040073617A1 (en) * 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7325249B2 (en) * 2001-04-30 2008-01-29 Aol Llc Identifying unwanted electronic messages
US20030009698A1 (en) * 2001-05-30 2003-01-09 Cascadezone, Inc. Spam avenger
US20060036701A1 (en) * 2001-11-20 2006-02-16 Bulfer Andrew F Messaging system having message filtering and access control
US7539726B1 (en) * 2002-07-16 2009-05-26 Sonicwall, Inc. Message testing
US7603472B2 (en) * 2003-02-19 2009-10-13 Google Inc. Zero-minute virus and spam detection
US7249162B2 (en) * 2003-02-25 2007-07-24 Microsoft Corporation Adaptive junk message filtering system
US7496628B2 (en) * 2003-02-25 2009-02-24 Susquehanna International Group, Llp Electronic message filter
CA2420391C (fr) * 2003-02-28 2014-08-26 Internet Light And Power Inc. Systeme et methode de filtrage de messages de courrier electronique
US7320020B2 (en) * 2003-04-17 2008-01-15 The Go Daddy Group, Inc. Mail server probability spam filter
JP3663199B2 (ja) * 2003-05-16 2005-06-22 三洋電機株式会社 迷惑メール自動判定機能を有する通信装置
US7653698B2 (en) * 2003-05-29 2010-01-26 Sonicwall, Inc. Identifying e-mail messages from allowed senders
US7657599B2 (en) * 2003-05-29 2010-02-02 Mindshare Design, Inc. Systems and methods for automatically updating electronic mail access lists
US7287060B1 (en) * 2003-06-12 2007-10-23 Storage Technology Corporation System and method for rating unsolicited e-mail
US7051077B2 (en) * 2003-06-30 2006-05-23 Mx Logic, Inc. Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US20090100138A1 (en) * 2003-07-18 2009-04-16 Harris Scott C Spam filter
US7610342B1 (en) * 2003-10-21 2009-10-27 Microsoft Corporation System and method for analyzing and managing spam e-mail
US7373385B2 (en) * 2003-11-03 2008-05-13 Cloudmark, Inc. Method and apparatus to block spam based on spam reports from a community of users
US7409203B2 (en) * 2003-11-12 2008-08-05 Redknee Inc. Method and system for the prevention of unwanted wireless telecommunications
US20050198174A1 (en) * 2003-12-30 2005-09-08 Loder Theodore C. Economic solution to the spam problem
US20070294351A1 (en) * 2004-03-26 2007-12-20 Hisham Arnold El-Emam Method for the Monitoring the Transmission of Electronic Messages
PL1733532T3 (pl) * 2004-03-30 2008-12-31 Maestro Shipping Sa Filtr i sposób filtrowania wiadomości elektronicznych
US7912905B2 (en) * 2004-05-18 2011-03-22 Computer Associates Think, Inc. System and method for filtering network messages
US7552186B2 (en) * 2004-06-28 2009-06-23 International Business Machines Corporation Method and system for filtering spam using an adjustable reliability value
US20060026242A1 (en) * 2004-07-30 2006-02-02 Wireless Services Corp Messaging spam detection
US20060031333A1 (en) * 2004-08-04 2006-02-09 O'neill Patrick J Method to populate white list
US7660865B2 (en) * 2004-08-12 2010-02-09 Microsoft Corporation Spam filtering with probabilistic secure hashes
US7500265B2 (en) * 2004-08-27 2009-03-03 International Business Machines Corporation Apparatus and method to identify SPAM emails
US20070143422A1 (en) * 2005-12-21 2007-06-21 Yigang Cai Phonebook use to filter unwanted telecommunications calls and messages

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999032985A1 (fr) * 1997-12-22 1999-07-01 Accepted Marketing, Inc. Filtre a courriers electroniques et procede associe
EP1139608A2 (fr) * 2000-03-31 2001-10-04 Lucent Technologies Inc. Méthode et système pour des services de communications configurable par abonnés
US20040058673A1 (en) * 2000-09-29 2004-03-25 Postini, Inc. Value-added electronic messaging services and transparent implementation thereof using intermediate server
WO2002075570A1 (fr) * 2001-03-16 2002-09-26 Wells Fargo Bank, N.A. Systeme de capture et de detection d'adresses e-mail redondantes
US20030149726A1 (en) * 2002-02-05 2003-08-07 At&T Corp. Automating the reduction of unsolicited email in real time

Also Published As

Publication number Publication date
US20080037728A1 (en) 2008-02-14
EP1794956A1 (fr) 2007-06-13
FR2875317A1 (fr) 2006-03-17

Similar Documents

Publication Publication Date Title
CA2513967C (fr) Boucle de retroaction pour la prevention d'un multipostage abusif (spam)
KR100938072B1 (ko) 안티-스팸 기술의 통합을 가능하게 하는 프레임워크
EP2446411B1 (fr) Système de consultation de pourriels en temps réel
CA2467869C (fr) Caracteristiques de provenance/destination et listes de prevention du pollupostage
US7543053B2 (en) Intelligent quarantining for spam prevention
US20070124384A1 (en) Voicemail and fax filtering
US20070214506A1 (en) Method and system of providing an integrated reputation service
JP2009512082A (ja) 電子メッセージ認証
WO2006108989A2 (fr) Procede de lutte contre l'envoi d'information vocale non sollicitee
Liu et al. Detecting and filtering instant messaging spam-a global and personalized approach
US7383306B2 (en) System and method for selectively increasing message transaction costs
EP2689560B1 (fr) Procede et dispositif d'extraction de donnees d'un flux de donnees circulant sur un reseau ip
WO2009121808A1 (fr) Procede de gestion de messages electroniques a partir d'un client de messagerie et systeme pour mettre en oeuvre le procede
WO2006030079A1 (fr) Procede de surveillance de flux de messagerie emis et/ou recus par un client d’un fournisseur d’acces internet au sein d’un reseau de telecommunication
US7831677B1 (en) Bulk electronic message detection by header similarity analysis
EP1501248B1 (fr) Système et procédé de messagerie électronique
KR100576316B1 (ko) 웹컨텐츠 분석을 통한 네트워크 기반의 스팸메일 차단 장치
Nazirova IMPROVEMENT OF ANTI SPAM TECHNOLOGY WITH THE HELP OF AN ESTIMATION OF RELIABILITY OF THE SENDER
WO2020128373A1 (fr) Procede de surveillance du mode de terminaison d'un message telephonique
EP2100430B1 (fr) Procédé et système de télécommunication permettant à au moins deux utilisateurs distincts d'accéder à un meme ensemble d'informations
WO2007028889A1 (fr) Relachement de session dans un reseau ip
WO2007144532A1 (fr) Procede et systeme de transmission de messages electroniques a consultation limitee
FR2877114A1 (fr) Systeme et procede de gestion de messages dans un reseau de communication par messagerie electronique

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2005795975

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2005795975

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 11576418

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 11576418

Country of ref document: US