WO2012171424A1 - 电子邮件处理方法及装置 - Google Patents

Abstract

本发明实施例公开了一种电子邮件方法及装置。该方法包括：解析电子邮件的头部信息，得到所述电子邮件的传输路径信息，所述传输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的IP地址；根据所述电子邮件的传输路径上的所述邮件发送服务器的IP地址，获得所述电子邮件的传输路径上的所述邮件发送服务器的域名，确定所述电子邮件的发件人声称的域名与所述邮件发送服务器的域名不匹配时，对所述电子邮件的正文进行分析处理，以确定所述电子邮件是否为钓鱼邮件。本发明实施例技术方案可有效对电子邮件进行处理，提高电子邮件处理效率。

Description

电子邮件处理方法及装置 本申请要求于 2011 年 6 月 15 日提交中国专利局、 申请号为 201110160837.9、 发明名称为 "电子邮件处理方法及装置" 的中国专利申请的 优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及邮件处理技术， 尤其涉及一种电子邮件处理方法及装置。 背景技术

作为互联网中重要的信息传播工具， 由于具有便利、 低成本和高时效性 的优点， 以及可以进行各种信息的传输， 电子邮件已成为商业、 个人用户之 间交流、 信息分享及商务谈判等活动的最有价值的工具， 其被广泛应用于人 们的日常生活和工作中。

正是由于电子邮件传输的便利性， 网络上的许多人常常滥用电子邮件的 这种便利， 产生了大量的垃圾邮件， 特别是钓鱼邮件的出现， 给人们的生活 和工作中使用电子邮件带来不便和危害。 其中， 钓鱼邮件 (Phishing)是指钓鱼 攻击者通过伪造发件人地址， 向收件人发送带有欺骗性内容的电子邮件， 例 如， 向收件人发送声称来自于银行或其他知名机构的欺骗性垃圾邮件， 诱使 收件人访问伪造的网页（ Web )站点或者直接通过回复邮件的方式获取收件人 的敏感信息。 根据钓鱼邮件的内容， 可将钓鱼邮件分为： 有链接信息的钓鱼 邮件和未有链接信息的钓鱼邮件， 其中， 有链接信息的钓鱼邮件是指通过社 会工程学的手段引导收件人点击邮件中的链接信息，访问钓鱼攻击 Web站点， 而这些站点往往被伪造成银行等具有登录输入框的页面来骗取收件人的账 号、 密码等信息； 未有链接信息的钓鱼邮件是指欺骗收件人将账号、 密码等 信息回复给指定的接收者， 此类钓鱼邮件往往以中奖、 退税等方式进行诈骗， 这两类钓鱼邮件的区别在于， 前者在邮件正文中往往包含有链接信息， 而后 者没有链接信息。

现有技术一提出了基于链接域名的反钓鱼邮件技术， 其是在获取到电子 邮件后， 提取电子邮件正文中包含的链接地址， 获得该链接地址的域名， 对 获得的该域名的特征进行分析处理， 通过自然语言处理中的编辑距离

( Levenshtein Distance )算法匹配特征库中的记录， 当超过设定的阈值时即确 认该电子邮件为钓鱼邮件， 对邮件进行拦截。 该反钓鱼邮件技术中， 是对接 收到的所有邮件的正文进行分析， 且仅能识别出带有链接信息的钓鱼邮件， 无法对未有链接信息的钓鱼邮件进行处理； 而且， 该反钓鱼邮件技术中， 仅 通过分析邮件正文中的链接进行处理， 识别率较低， 容易产生误判。

现有技术二提出了基于邮件特征识别的反钓鱼邮件技术， 其是在获取到 电子邮件后，首先根据多功能因特网邮件扩充月良务（ Multipurpose Internet Mail Extensions, MIME )分析电子邮件的头部信息， 将头部信息的 IP信息进行分 类， 根据 IP分类计算得分； 然后提取电子邮件正文中的链接信息， 将提取出 的链接的 IP信息进行分类， 并根据 IP分类计算得分； 最后， 通过根据两次 IP 分类计算得到的总分数， 判定该接收到的电子邮件是否为钓鱼邮件。 该反钓 鱼邮件技术中， 通过对邮件进行综合分析， 提高了邮件识别率， 但是， 该反 钓鱼邮件技术也需要对接收到的所有邮件的正文进行分析， 且仅能识别带有 链接信息的钓鱼邮件， 无法对无链接信息的钓鱼邮件进行处理； 而且， 该反 钓鱼邮件技术在对邮件进行综合分析时， 需要进行多次的域名系统（Domain Name System, DNS ) 查询， 与 DNS服务器的交互查询过程导致邮件的处理 效率较低。

综上， 现有反钓鱼邮件处理技术中， 均需要对所有邮件的正文进行分析， 而电子邮件系统中大部分为正常的非垃圾邮件， 这种对正常邮件的处理占用 较多的资源， 导致邮件处理效率低。 发明内容

本发明实施例提供一种电子邮件处理方法及装置， 减少电子邮件系统中 的资源占用， 提高邮件处理效率。

本发明实施例提供一种电子邮件处理方法， 包括：

解析电子邮件的头部信息， 得到所述电子邮件的传输路径信息， 所述传 输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的 IP地址； 根据所述电子邮件的传输路径上的所述邮件发送服务器的 IP地址， 获得 所述电子邮件的传输路径上的所述邮件发送服务器的域名， 确定所述电子邮 件的发件人声称的域名与所述邮件发送服务器的域名不匹配时， 对所述电子 邮件的正文进行分析处理， 以确定所述电子邮件是否为钓鱼邮件。

本发明实施例提供一种电子邮件处理装置， 包括：

路径解析模块， 用于解析电子邮件的头部信息， 得到所述电子邮件的传 输路径信息， 所述传输路径信息包括所述电子邮件的传输路径上的邮件发送 服务器的 IP地址；

邮件处理模块， 用于根据所述电子邮件的传输路径上的所述邮件发送服 务器的 IP地址， 获得所述电子邮件的传输路径上的所述邮件发送服务器的域 匹配时， 对所述电子邮件的正文进行分析处理， 以确定所述电子邮件是否为 钓鱼邮件。

本发明实施例提供的电子邮件处理方法及装置， 通过对电子邮件的头部 信息进行分析， 获得电子邮件传输的服务器的域名， 以确定是否对电子邮件 进行分析处理， 使得电子邮件处理时， 不需要对所有电子邮件的正文进行分 析， 可有效降低电子邮件处理占用的资源， 提高电子邮件处理效率。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例中所需要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图仅 仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性 劳动性的前提下， 还可以根据这些附图获得其他的附图。 图 1为本发明电子邮件处理方法实施例一的流程示意图；

图 1为本发明电子邮件处理方法实施例二的流程示意图；

图 3 为本发明实施例电子邮件处理方法实施例三中对电子邮件的正文进 行分析处理的流程示意图；

图 4为本发明电子邮件处理装置实施例一的结构示意图；

图 5为本发明电子邮件处理装置实施例二的结构示意图；

图 6为本发明电子邮件处理装置实施例中分析处理单元的结构示意图； 图 7为本发明电子邮件处理装置实施例三的结构示意图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发 明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明电子邮件处理方法实施例一的流程示意图。 如图 1所示， 本实施例电子邮件处理方法包括以下步骤：

步骤 101、 解析电子邮件的头部信息， 得到电子邮件的传输路径信息， 该 传输路径信息包括电子邮件的传输路径上的邮件发送服务器的 IP地址； 步骤 102、 根据电子邮件的传输路径上邮件发送服务器的 IP地址， 获得 电子邮件的传输路径上的邮件发送服务器的域名， 确定电子邮件的发件人声 称的域名与邮件发送服务器的域名不匹配时， 对电子邮件的正文进行分析处 理， 以确定电子邮件是否为钓鱼邮件。

其中， 发件人声称的域名， 相当于发件人地址里面的域名信息， 例如： XXX@sina.com中的 sina.com, 由于发件人可以伪造这个域名信息， 所以称为 声称的。 邮件进行处理。 具体地， 本实施例在接收到电子邮件后， 可首先对电子邮件 的头部进行分析， 通过对比电子邮件的发件人地址声称的域名与电子邮件路 径上的邮件发送服务器的域名是否匹配， 以初步确认接收到的电子邮件是正 常邮件或疑似钓鱼邮件， 只有在确认接收到的电子邮件为疑似钓鱼邮件时， 才对该电子邮件的正文进行分析处理， 确认该电子邮件为钓鱼邮件的可能性。

由于电子邮件系统是通过筒单邮件传输协议 （Simple Mail Transfer Protocol, SMTP )在互联网上的主机之间进行信息的传输， 电子邮件的传送 主要包括发送、 传输和接收三个阶段。 其中， 发送阶段是用户通过在邮件客 户端将编辑好的电子邮件发送到邮件发送服务器； 传输阶段是根据邮件发送 服务器接收到的电子邮件的目的地址， 依照 SMTP协议将电子邮件发送到目 的地址对应的邮件接收服务器， 且该阶段中， 邮件发送服务器和邮件接收服 务器之间还可能包括一个或多个中转服务器； 接收阶段是邮件接收服务器将 目的地址为本域的电子邮件接收过来， 并提供给用户。 因此， 电子邮件传输 过程中， 其传输路径会经过发件人所在的邮件发送服务器， 这样， 电子邮件 的传输路径的前几个传输节点对应的服务器必然是发件人发送邮件的真实域 名对应的邮件发送服务器； 而且， 钓鱼邮件的发件人一般是伪造域名来进行 名进行比较， 即可有效确认该电子邮件是否为正常电子邮件， 只有在域名不 一致时才需要进一步地确定电子邮件是否为钓鱼邮件， 减少了电子邮件系统 中的资源占用， 提高电子邮件的处理效率。 息进行分析， 获得电子邮件传输所途经的邮件发送服务器的域名， 通过对比 定是否对电子邮件正文进行分析处理， 使得电子邮件处理时， 不需要对所有 电子邮件的正文进行分析， 可有效降低电子邮件处理占用的资源， 提高电子 邮件处理效率。

图 2为本发明电子邮件处理方法实施例二的流程示意图。 如图 2所示， 本实施例电子邮件处理方法包括以下步骤：

步骤 201、 获取电子邮件；

步骤 202、 获取电子邮件的发件人声称的域名， 确定该域名是否为敏感域 名， 是则确定电子邮件为敏感邮件， 需要进一步判定， 执行步骤 203, 否则， 电子邮件为正常邮件， 结束；

步骤 203、 提取电子邮件的头部信息；

步骤 204、根据电子邮件的头部信息，解析得到电子邮件的传输路径信息， 服务器的域名匹配， 是则， 该电子邮件为正常邮件， 结束； 否则， 电子邮件 为疑似钓鱼邮件， 执行步骤 205;

步骤 205、对电子邮件的正文进行分析处理， 以确认电子邮件是否为钓鱼 邮件。

本实施例步骤 202 中， 可通过查询在域名数据库中设置的敏感域名， 当 电子邮件的发件人声称的域名为敏感域名时， 即可初步确定该电子邮件为敏 感邮件， 需要进一步地对邮件进行分析， 以确定该电子邮件是否为钓鱼邮件。 其中， 该域名数据库中可预先记录有需要进行进一步分析的敏感域名， 该敏 感域名可以是根据统计分析得到的， 以及根据用户反馈得到的， 通常而言， 该敏感域名一般为容易被伪造的域名； 电子邮件的发件人声称的域名可以根 据 SMTP协议， 以及多功能因特网邮件扩充服务（ Multipurpose Internet Mail Extension, MIME )格式提出电子邮件中的 FROM字段， 并从 FROM字段中 得到并记录发件人所在域的域名， 该域名即是发件人声称的域名。

本实施例步骤 204 中， 通过对电子邮件的头部信息进行分析， 即可获得 电子邮件的传输路径信息， 从而可根据电子邮件路径中邮件发送服务器节点 的 IP地址， 确定电子邮件传输时邮件发送 务器的域名， 具体地， 可在域名 数据库中存储所有邮件服务器的 IP地址与域名映射关系表， 这样， 在获得了 电子邮件传输路径中节点的 IP地址后， 即可根据该 IP地址来查询 IP地址与 域名映射关系表， 确定节点对应的邮件发送服务器的域名。 其中， 域名数据 库中存储的服务器的 IP地址与域名映射关系表可实时更新， 以得到所有电子 邮件服务器的 IP地址与域名映射关系表。 本实施例中， 提取电子邮件的传输 路径， 具体可以根据 SMTP协议， 以及 MIME格式将电子邮件信头部分的路 径提取出来。

本实施例步骤 204中， 在分析得到电子邮件传输路径中的 IP地址后， 还 可判断电子邮件的传输路径上邮件发送服务器的 IP地址是否为黑名单中限制 的 IP地址， 是则确定电子邮件为钓鱼邮件， 结束对邮件的处理， 直接给出为 钓鱼邮件的提示。 其中， 黑名单中限制的 IP地址为预先设置的 IP地址， 可认 定这些 IP地址的邮件发送服务器发送来的电子邮件均为垃圾邮件， 且这个黑 名单可为保存在域名数据库中， 以便于进行查询。

本实施例步骤 204 中， 获得电子邮件传输时邮件发送服务器的域名后， 即可判断电子邮件的发件人声称的域名是否与该邮件发送服务器的域名匹 配， 不匹配则说明电子邮件发件人声称的域名可能是伪造的， 该电子邮件可 能是钓鱼邮件， 需要对其做进一步地分析确认， 否则， 则说明该电子邮件为 正常邮件， 则直接可将电子邮件发送到邮件接收服务器或用户。 的敏感域名， 以判定是否需要对电子邮件进行处理， 只有域名为敏感域名的 电子邮件才需要进行分析处理； 同时， 还可根据电子邮件传输路径上邮件发 送服务器的 IP地址是否为黑名单中的 IP地址， 判断是否为钓鱼邮件， 可进一 步提高电子邮件处理效率。

图 3 为本发明实施例电子邮件处理方法实施例三中对电子邮件的正文进 行分析处理的流程示意图。 在上述图 1或图 2所示实施例技术方案的基础上， 当确认接收到的电子邮件为疑似钓鱼邮件后， 即可对电子邮件的正文进行分 析处理， 以确定该电子邮件为疑似钓鱼邮件的可能性， 具体地， 如图 3所示， 步骤 2051、 对电子邮件的正文进行解析；

步骤 2052、 确定电子邮件的正文中是否有链接地址信息， 是则执行步骤 2054, 否则， 确定该电子邮件疑似为无链接地址的钓鱼邮件， 执行步骤 2053; 步骤 2053、 为该电子邮件标记第一告警标识；

步骤 2054、 提取链接地址信息， 获得该链接地址对应的域名；

步骤 2055、 判断电子邮件的发件人声称的域名是否与该链接地址对应的 域名匹配， 是则该电子邮件为普通的垃圾邮件， 执行步骤 2056, 否则， 该电 子邮件极有可能是钓鱼邮件， 执行步骤 2057;

步骤 2056、 为该电子邮件标记第二告警标识， 结束；

步骤 2057、 为该电子邮件标记第三告警标识， 结束。

本实施例中， 当确定电子邮件的正文中有链接地址信息时， 获得所述链 地址对应的域名匹配， 是则为所述电子邮件标记第二告警标识， 以标识所述 电子邮件为普通垃圾邮件， 否则， 为所述电子邮件标记第三告警标识， 以标 识所述电子邮件为钓鱼邮件。

本实施例中， 提取电子邮件中的链接地址， 具体可在带有文本内容的电 子邮件的正文中查询 http://或 "www" 字段， 在带有超文本类型的电子邮件中 查找 "<a herf=，， 以及 "</a>，， 字段。

本实施例中， 当提取电子邮件中的链接地址后， 即可确定该链接地址对 应的域名， 并可将电子邮件发件人声称的域名与其进行匹配， 若域名相同， 则匹配， 否则不匹配， 从而可根据域名是否匹配来确定电子邮件是否为钓鱼 邮件。 例如， 发件人的地址为 " user@sina.com " , 链接地址为 "http://www.sina.com/cifm/id " ,则发件人声称的域名和链接地址对应的域名 均为 "sina.com" , 发件人声称的域名与链接地址对应的域名就会匹配； 假设 发 件 人 的 地 址 为 " user@sina.com " , 而 链 接 地 址 为 " http://www.sina.com.asdfasdf.info/cifm/id=r " , 则发件人声称的域名为 "sina.com" , 链接地址对应的域名为 "sina.com.asdfasdf.info" , 发件人声称的 域名与链接地址对应的域名就不匹配。

本实施例中， 当确认电子邮件可能是钓鱼邮件后， 即可通过提取电子邮 件的正文， 对电子邮件的正文进行分析， 以确定电子邮件是否为钓鱼邮件， 并给出为钓鱼邮件的可能性的告警标识信息， 其中， 上述的标记第一告警标 识的电子邮件标识该电子邮件极有可能为无链接地址的钓鱼邮件， 标记第二 告警标识的电子邮件可能为普通的垃圾邮件， 标记第三告警标识的电子邮件 可能为有链接地址的钓鱼邮件， 这样， 在将电子邮件发送给用户时， 可根据 告警标识信息分类提供给用户， 使得用户可根据相关的告警信息确认电子邮 件是否为钓鱼邮件， 对于带有告警标识的电子邮件， 可慎重打开， 或打开后 要特别注意， 使得对电子邮件的处理更加具有针对性， 避免电子邮件误判给 用户带来的影响。

本领域技术人员可以理解的是， 上述处理后的电子邮件在提供给用户时， 可对用户发送相应的告警信息， 例如， 标记第一告警标识的电子邮件在发送 给用户是， 可在用户打开该电子邮件前， 为用户提示该邮件疑似为无链接地 址的钓鱼邮件的提示信息； 或者， 根据电子邮件标记的告警标识， 对电子邮 件进行分类提供给用户， 例如可给用户提供正常电子邮件、 疑似无链接地址 的钓鱼邮件、 疑似普通垃圾邮件、 疑似有链接地址的钓鱼邮件。 这样， 用户 在收到相关的电子邮件后， 打开电子邮件时， 可以更加慎重电子邮件的信息， 避免陷入钓鱼邮件设下的陷阱。

可以看出， 本实施例在对电子邮件进行分析， 确定电子邮件是否为钓鱼 邮件时， 可对钓鱼邮件的类型进行分类， 从而可将疑似为钓鱼邮件的电子邮 件有针对性的提供给用户， 避免用户收到钓鱼邮件的影响； 同时， 通过对电 子邮件进行分类， 可确认出有链接地址的钓鱼邮件和无链接地址的钓鱼邮件， 提高了钓鱼邮件判断的准确性和可靠性， 避免现有技术中无法对无链接地址 的钓鱼邮件的漏判， 提高钓鱼邮件处理的全面性； 而且， 通过对电子邮件进 行分类， 避免了现有技术中将电子邮件丢弃而导致可能为正常的电子邮件无 法被用户收到， 提高钓鱼邮件处理的全面性， 可有效保证电子邮件系统的安 全性和可靠性； 此外， 通过对电子邮件分类， 还可根据邮件的分类， 直观的 提供给用户， 使得用户更加易于区分钓鱼邮件。 此外， 本实施例中， 还接收用户， 即收件人的反馈信息， 为用户提供个 性化的邮件服务， 具体地， 接收用户的反馈信息， 为用户提供个性化邮件服 务具体可包括以下步骤：

步骤 301、 接收来自用户的反馈信息， 该反馈信息包括反馈类型、 接收的 电子邮件的发件人信息以及域名， 其中反馈类型用于指示对具有反馈中的发 件人信息和域名的电子邮件的操作方式；

步骤 302、 根据反馈类型， 对发件人信息和域名进行标记， 以便接收到具 有相同发件人信息和域名的邮件时， 按照用户反馈的操作方式进行处理。

可以看出， 根据用户的反馈信息， 在接收到符合相关反馈类型的邮件时， 即可直接根据用户之前的反馈将邮件提供给用户， 例如， 用户接收到疑似为 钓鱼邮件的电子邮件， 用户打开后认为该电子邮件为正常的电子邮件， 用户 反馈的信息指示在接收到该类的电子邮件时， 可直接将其确认为正常的电子 邮件， 无需再进行其它分析， 从而可满足用户的个性化需求， 且也减少了邮 件的不必要处理步骤， 提高邮件处理效率。

本领域技术人员可以理解的是， 本实施例电子邮件处理方法在对电子邮 件进行处理时， 是根据电子邮件的传输的逻辑关系对电子邮件进行处理， 使 得电子邮件处理时， 可不需要对所有的电子邮件进行处理， 节省电子邮件处 理时间和能源消耗， 提高电子邮件处理效率。

图 4为本发明电子邮件处理装置实施例一的结构示意图。 如图 4所示， 本实施例电子邮件处理装置包括路径解析模块 1和邮件处理模块 2, 其中： 路径解析模块 1 用于解析电子邮件的头部信息， 得到电子邮件的传输路 径信息， 传输路径信息包括电子邮件的传输路径上的邮件发送 务器的 IP地 址；

邮件处理模块 2与路径解析模块连接， 用于根据电子邮件的传输路径上 的邮件发送服务器的 IP地址， 获得电子邮件的传输路径上的邮件发送服务器 时， 对电子邮件的正文进行分析处理， 以确定电子邮件是否为钓鱼邮件。 本实施例可应用于电子邮件系统中， 对邮件接收服务器接收到的电子邮 件进行处理后， 再提供给用户， 避免钓鱼邮件对用户的影响， 其具体实现过 程可参考上述本发明方法实施例的说明， 在此不再赘述。

图 5为本发明电子邮件处理装置实施例二的结构示意图。 在上述图 4所 示实施例技术方案的基础上， 如图 5所示， 本实施例中的邮件处理模块 2具 体可包括域名查找单元 21、 判断单元 22、 邮件确定单元 23和分析处理单元 24, 其中：

域名查找单元 21用于根据电子邮件的传输路径上的邮件发送服务器的 IP 地址， 从 IP地址与域名映射关系表中查找电子邮件的传输路径上的邮件发送 服务器的 IP地址对应的域名；

判断单元 22与域名查找单元 21连接， 用于判断电子邮件的发件人声称 的域名是否与邮件发送服务器的域名一致；

邮件确定单元 23与判断单元 22连接， 用于在电子邮件的发件人声称的 域名与邮件发送服务器的域名不一致时， 判断电子邮件疑似为钓鱼邮件； 分析处理单元 24与邮件确定单元 23连接， 用于在判断电子邮件疑似为 钓鱼邮件时， 对电子邮件的正文进行分析处理。

图 6 为本发明电子邮件处理装置实施例中分析处理单元的结构示意图。 如图 6所示， 上述图 5所示实施例中的分析处理单元 24具体可包括解析判断 子单元 241、 分析处理子单元 242和告警标记子单元 243, 其中：

解析判断子单元 241 用于对电子邮件的正文进行解析， 确定电子邮件的 正文中是否有链接地址信息；

分析处理子单元 242与解析判断子单元 241连接， 用于确定电子邮件的 正文中有链接地址信息时， 提取链接地址信息对电子邮件进行分析处理； 告警标记子单元 243与解析判断子单元 241连接， 用于确定电子邮件的 正文中无链接地址信息时， 为电子邮件标记第一告警标识， 以标识电子邮件 为无链接地址的钓鱼邮件。

其中， 分析处理子单元 242具体可用于获得链接地址对应的域名， 判断 电子邮件的发件人声称的域名是否与链接地址对应的域名匹配； 上述的告警标记子单元 243还可用于电子邮件的发件人声称的域名与链 接地址对应的域名匹配时， 为电子邮件标记第二告警标识， 以标识电子邮件 为普通垃圾邮件； 或者， 用于电子邮件的发件人声称的域名与链接地址对应 的域名不匹配时， 为电子邮件标记第三告警标识， 以标识所述电子邮件为钓 鱼邮件。

本实施例中， 上述功能模块通过获取电子邮件传输路径， 确定电子邮件 传输时的邮件发送服务器域名是否与发件人声称的域名一致， 从而判断电子 邮件是否为疑似钓鱼邮件， 以便确定电子邮件为疑似钓鱼邮件后， 再对电子 邮件进行分析处理， 可有效避免对大量电子邮件的分析处理， 只需要对为疑 似钓鱼邮件的电子邮件进行处理， 提高电子邮件的处理效率。

图 7为本发明电子邮件处理装置实施例三的结构示意图。 在上述图 4所 示实施例技术方案的基础上， 如图 7所示， 本实施例电子邮件处理装置还可 包括预处理模块 3, 可用于获取电子邮件的发件人声称的域名， 确定域名是否 为敏感域名， 是则确定电子邮件为敏感邮件， 对电子邮件进行钓鱼邮件的识 别流程， 否则， 电子邮件为正常邮件； 同时还可用于获取邮件头部中包含的 邮件发送服务器的 IP地址是否为黑名单的中限制 IP地址，是则确定电子邮件 为钓鱼邮件， 直接结束判断流程， 否则， 对电子邮件进行钓鱼邮件的识别流 程。

此外， 本实施例中， 还可包括有反馈处理模块， 用于接收来自用户的反 馈信息， 并根据反馈信息的反馈类型， 对反馈信息中携带的发件人信息和域 名进行标记， 反馈类型用于指示对具有发件人信息的域名的电子邮件的操作 方式， 以便接收到具有相同发件人信息和域名的邮件时， 按照用户反馈的操 作方式进行处理。

本领域技术人员可以理解的是， 本实施例电子邮件处理装置可作为一个 独立的装置， 部署在现有的电子邮件系统中， 并将处理后的电子邮件交给收 件服务器， 由收件服务器再将处理后的电子邮件提供给用户； 此外， 本实施 例电子邮件处理装置也可以与现有的电子邮件系统集成在一起， 作为电子邮 件系统的一部分， 例如集成在收件服务器中， 对电子邮件进行处理， 其具体 部署方式并不做限制。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读 取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述 的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介 质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求

1、 一种电子邮件处理方法， 其特征在于， 包括：

解析电子邮件的头部信息， 得到所述电子邮件的传输路径信息， 所述传 输路径信息包括所述电子邮件的传输路径上的邮件发送服务器的 IP地址； 根据所述电子邮件的传输路径上的所述邮件发送服务器的 IP地址， 获得 所述电子邮件的传输路径上的所述邮件发送服务器的域名， 确定所述电子邮 件的发件人声称的域名与所述邮件发送服务器的域名不匹配时， 对所述电子 邮件的正文进行分析处理， 以确定所述电子邮件是否为钓鱼邮件。

2、 根据权利要求 1所述的电子邮件处理方法， 其特征在于， 所述解析电 子邮件的头部信息， 得到所述电子邮件的传输路径信息， 包括：

根据筒单邮件传输协议 SMTP, 以及多功能因特网邮件扩充服务 MIME 格式从电子邮件信头部分提取路径， 将提取的路径作为所述电子邮件的传输 路径信息。

3、 根据权利要求 1或 2所述的电子邮件处理方法， 其特征在于， 根据所 述电子邮件的传输路径上的所述邮件发送 务器的 IP地址， 获得所述电子邮 件的传输路径上的所述邮件发送服务器的域名， 确定所述电子邮件的发件人 声称的域名与所述邮件发送服务器的域名是否匹配包括：

根据所述电子邮件的传输路径上的邮件发送服务器的 IP地址，从 IP地址 与域名映射关系表中查找所述电子邮件的传输路径上的所述邮件发送服务器 的 IP地址对应的域名；

所述电子邮件为正常邮件， 否则， 所述电子邮件为疑似钓鱼邮件。

4、 根据权利要求 3 所述的电子邮件处理方法， 其特征在于， 所述从 IP 地址与域名映射关系表中查找所述电子邮件的传输路径上的所述邮件发送服 务器的 IP地址对应的域名之前还包括： 判断所述电子邮件的传输路径上的所述邮件发送服务器的 IP地址是否为 黑名单中限制的 IP地址， 是则确定所述电子邮件为钓鱼邮件。

5、 根据权利要求 1、 3或 4所述的电子邮件处理方法， 其特征在于， 所 述对所述电子邮件的正文进行分析处理包括：

对所述电子邮件的正文进行解析， 确定所述电子邮件的正文中是否有链 接地址信息， 是则提取所述链接地址信息对所述电子邮件进行分析处理， 否 则， 为所述电子邮件标记第一告警标识， 以标识所述电子邮件为无链接地址 的钓鱼邮件。

6、 根据权利要求 1所述的电子邮件处理方法， 其特征在于， 还包括： 接收来自用户的反馈信息， 所述反馈信息包括反馈类型、 电子邮件的发 件人信息以及域名 , 所述反馈类型用于指示对具有所述发件人信息和所述域 名的电子邮件的操作方式；

根据所述反馈类型， 对所述发件人信息和域名进行标记， 以便接收到具 有所述发件人信息和所述域名的邮件时， 按照所述用户反馈的操作方式进行 处理。

7、 根据权利要求 1所述的电子邮件处理方法， 其特征在于， 所述解析电 子邮件的头部信息， 得到所述电子邮件的传输路径信息之前还包括：

获取电子邮件的发件人声称的域名， 确定所述域名是否为敏感域名， 是 则确定所述电子邮件为敏感邮件， 以便对所述电子邮件进行分析处理， 以确 定所述电子邮件是否为钓鱼邮件； 否则， 所述电子邮件为正常邮件。

8、 根据权利要求 7所述的电子邮件处理方法， 其特征在于， 所述获取电 子邮件的发件人声称的域名， 包括：

根据 SMTP, 以及 MIME格式提取出电子邮件中的 FROM字段， 并从 FROM 字段中得到并记录发件人所在域的域名， 将该域名作为发件人声称的 域名， 或者

获取电子邮件中的发件人地址， 从所述发件人地址中提取字符 "@" 之 后的字符串， 将提取的字符串作为发件人声称的域名。

9、 一种电子邮件处理装置， 其特征在于， 包括：

路径解析模块， 用于解析电子邮件的头部信息， 得到所述电子邮件的传 输路径信息， 所述传输路径信息包括所述电子邮件的传输路径上的邮件发送 服务器的 IP地址；

邮件处理模块， 用于根据所述电子邮件的传输路径上的所述邮件发送服 务器的 IP地址， 获得所述电子邮件的传输路径上的所述邮件发送服务器的域 匹配时， 对所述电子邮件的正文进行分析处理， 以确定所述电子邮件是否为 钓鱼邮件。

10、 根据权利要求 9所述的电子邮件处理装置， 其特征在于， 所述路径 解析模块具体用于根据筒单邮件传输协议 SMTP,以及多功能因特网邮件扩充 服务 MIME格式从电子邮件信头部分提取路径， 将提取的路径作为所述电子 邮件的传输路径信息。

11、 根据权利要求 9所述的电子邮件处理装置， 其特征在于， 所述邮件 处理模块包括：

域名查找单元， 用于根据所述电子邮件的传输路径上的邮件发送服务器 的 IP地址，从 IP地址与域名映射关系表中查找所述电子邮件的传输路径上的 所述邮件发送服务器的 IP地址对应的域名； 发送服务器的域名一致； 送服务器的域名不一致时， 判断所述电子邮件为疑似钓鱼邮件；

分析处理单元， 用于在判断所述电子邮件为疑似钓鱼邮件时， 对所述电 子邮件的正文进行分析处理。

12、 根据权利要求 11所述的电子邮件处理装置， 其特征在于， 所述分析 处理单元包括：

解析判断子单元， 用于对所述电子邮件的正文进行解析， 确定所述电子 邮件的正文中是否有链接地址信息；

分析处理子单元， 用于确定所述电子邮件的正文中有链接地址信息时， 提取所述链接地址信息对所述电子邮件进行分析处理；

告警标记子单元， 用于确定所述电子邮件的正文中无链接地址信息时， 为所述电子邮件标记第一告警标识， 以标识所述电子邮件为无链接地址的钓 鱼邮件。

13、 根据权利要求 12所述的电子邮件处理装置， 其特征在于， 所述分析 处理子单元具体可用于获得链接地址对应的域名， 判断电子邮件的发件人声 称的域名是否与链接地址对应的域名匹配； 应的域名匹配时， 为电子邮件标记第二告警标识， 以标识电子邮件为普通垃 圾邮件； 或者， 用于电子邮件的发件人声称的域名与链接地址对应的域名不 匹配时， 为电子邮件标记第三告警标识， 以标识所述电子邮件为钓鱼邮件。

14、 根据权利要求 9所述的电子邮件处理装置， 其特征在于， 还包括： 反馈处理模块， 用于接收来自用户的反馈信息， 并根据所述反馈信息的 反馈类型， 对所述反馈信息中携带的发件人信息和域名进行标记， 所述反馈 类型用于指示对具有所述发件人信息的所述域名的电子邮件的操作方式， 以 便接收到具有相同发件人信息和所述域名的邮件时， 按照用户反馈的操作方 式进行处理。

15、 根据权利要求 9所述的电子邮件处理装置， 其特征在于， 还包括： 预处理模块， 用于获取电子邮件的发件人声称的域名， 确定所述域名是 否为敏感域名， 是则确定所述电子邮件为敏感邮件， 以便对所述电子邮件进 行处理， 否则， 所述电子邮件为正常邮件。