識別電子郵件的方法及識別電子郵件伺服器的方法

2023-04-25 21:23:06 3

專利名稱：識別電子郵件的方法及識別電子郵件伺服器的方法
技術領域：
本發明涉及計算機和網絡領域，尤其涉及一種識別電子郵件的方法以及識別電子 郵件伺服器的方法。
背景技術：
電子郵件已成為日常生活中流行的通訊工具。每天，大量的電子郵件通過網際網路 發送。在電子郵件為日常生活帶來便利的同時，一些電子郵件(例如垃圾郵件)也在困擾 著用戶。除了垃圾郵件，基於安全因素，一些電子郵件也不允許進入專用網絡。通常，連接 在網際網路和專用網絡之間的網絡安全設備用於篩選電子郵件和電子郵件伺服器。用於在網際網路的應用層發送或接收電子郵件的協議主要有四個簡單郵件傳 輸協、議(Simple Mail Transfer Protocol， SMTP)、由P局協、議(Post Office Protocol, POP)、網際網路郵件訪問協議(Internet Mail Access Protocol，IMAP)和超文本傳輸協議 (Hypertext Transfer Protocol，HTTP)。每個協議使用固定的埠與網際網路的傳輸層通 訊。SMTP、POP、IMAP、HTTP 分別使用埠 25、埠 110、埠 143 和埠 80。SMTP、POP、 IMAP是標準的電子郵件協議，被獨立的電子郵件客戶端使用，例如Microsoft Outlook 和Outl00kExpress 。HTTP是非標準的電子郵件協議，以網頁的形式發送電子郵件，被免 費的電子郵件服務商使用，例如Hotmail 和Yahoo 。在網絡安全設備中普遍使用的識別電子郵件的方法是，分析網際協議(Internet Protocol, IP)包以獲取IP包中攜帶的源埠號。源埠號可用於識別使用標準電子郵件 協議發送的郵件。然而，由於源埠號無法識別使用超文本傳輸協議發送的電子郵件，相 反，這些使用超文本傳輸協議發送的電子郵件被當作是普通的網頁，因而，通常來自於電子 郵件伺服器的垃圾郵件就可能不被識別。

發明內容
本發明要解決的技術問題在於，提供一種識別電子郵件的方法以及識別電子郵件 伺服器的方法，能夠識別使用非標準電子郵件協議發送的電子郵件和識別電子郵件服務 器。這樣，識別電子郵件的精度得到提高，同時專用網絡的安全性得到加強。為解決上述技術問題，本發明提供了一種識別電子郵件的方法，其中，該方法至少 包括識別IP包攜帶的消息體；在所述消息體中搜索電子郵件消息的特徵；以及根據搜索 結果確定所述IP包是否與電子郵件相關聯；其中，所述電子郵件消息的特徵包括多個字。本發明所述的識別電子郵件的方法，所述根據搜索結果確定所述IP包是否與電 子郵件相關聯的步驟進一步包括若在所述消息體中找到所述多個字中的一個字，更新計 數；當所述計數達到閾值，確定所述IP包與電子郵件相關聯。本發明所述的識別電子郵件的方法，所述根據搜索結果確定所述IP包是否與電 子郵件相關聯的步驟進一步包括所述多個字被劃分為多個類型；若在所述消息體中找到 所述多個類型中的一個類型，更新計數；當所述計數達到閾值，確定所述IP包與電子郵件相關聯。本發明所述的識別電子郵件的方法，所述多個類型從收信人特徵、發信人特徵、主 題特徵、內容特徵和附件特徵中選擇其中的部分或全部。本發明所述的識別電子郵件的方法，所述多個字從主題、RE、FW、@、發信人和收信 人中選擇其中的部分或全部。本發明所述的識別電子郵件的方法，所述IP包包括使用超文本傳輸協議發送的 IP包。本發明所述的識別電子郵件的方法，在識別出所述IP包與電子郵件相關聯之後， 所述識別電子郵件的方法還包括分析所述消息體以為所述電子郵件消息的特徵獲得更多的字。本發明所述的識別電子郵件的方法，計算機可讀存儲介質中的計算機可執行指令 指示處理器執行所述識別電子郵件的方法，其中，所述計算機可讀存儲介質包括在第三層 網關中。本發明還提供了一種識別電子郵件的方法，其中，所述方法至少包括訪問IP包 攜帶的消息體；識別所述消息體中電子郵件消息的特徵；其中，所述電子郵件消息的特徵 包括多個字；以及基於所述電子郵件消息的特徵將所述IP包與電子郵件相關聯。本發明所述的識別電子郵件的方法，所述基於所述電子郵件消息的特徵將所述IP 包與電子郵件相關聯的步驟進一步包括若在所述消息體中找到所述多個字的一個字，更 新計數；以及若所述計數達到閾值，確定所述IP包與電子郵件相關聯。本發明所述的識別電子郵件的方法，所述基於所述電子郵件消息的特徵將所述IP 包與電子郵件相關聯的步驟進一步包括將所述電子郵件消息的特徵分為多個類型；若在 所述消息體中找到所述多個類型中的一個類型，更新計數；以及若所述計數達到閾值，確定 所述IP包與電子郵件相關聯。本發明所述的識別電子郵件的方法，所述多個類型從收信人特徵、發信人特徵、主 題特徵、文本特徵和附件特徵中選擇其中的部分或全部。本發明所述的識別電子郵件的方法，所述識別電子郵件的方法還包括識別所述 IP包攜帶的源埠號；以及根據所述源埠號識別使用非標準電子郵件協議發送的所述 IP包。本發明所述的識別電子郵件的方法，所述非標準電子郵件協議包括超文本傳輸協 議。本發明所述的識別電子郵件的方法，在識別出所述IP包與電子郵件相關聯之後， 所述識別電子郵件的方法還包括分析所述消息體以為所述電子郵件消息的特徵獲得更多的字。本發明所述的識別電子郵件的方法，所述多個字從主題、回復、轉發、@、發信人和 收信人中選擇其中的部分或全部。本發明進一步提供了一種識別電子郵件伺服器的方法，其中，所述方法至少包括 識別與電子郵件相關聯的IP包；找到與所述IP包攜帶的源IP位址相關聯的計數，其中所 述計數用於表示在預設時間段內攜帶有所述源IP位址且被識別為與電子郵件相關聯的IP 包的數量；更新所述計數；以及若所述計數達到閾值，將在所述源IP位址的電子設備識別為所述電子郵件伺服器。本發明所述的識別電子郵件伺服器的方法，所述識別與電子郵件相關聯的IP包 的步驟還包括若採用標準電子郵件協議發送所述IP包，識別所述IP包為電子郵件；若採 用非標準電子郵件協議發送所述IP包，識別所述IP包攜帶的消息體；在所述消息體中搜索 電子郵件消息的特徵，其中，所述電子郵件消息的特徵包括多個字；以及根據搜索結果，確 定所述IP包是否與電子郵件相關聯。本發明所述的識別電子郵件伺服器的方法，所述非標準電子郵件協議包括超文本 傳輸協議。本發明所述的識別電子郵件伺服器的方法，所述多個字從主題、回復、轉發、@、發 信人和收信人中選擇其中的部分或全部。與現有技術相比，本發明能識別使用非標準電子郵件協議發送的電子郵件和識別 電子郵件伺服器。這樣，識別電子郵件的精度得到提高，同時專用網絡的安全性得到加強。


圖1是本發明實施例提供的一個用於識別電子郵件或電子郵件伺服器的裝置的 結構示意圖；圖2是本發明實施例提供的一個TCP段的結構示意圖；圖3是本發明實施例提供的一個識別電子郵件的方法的流程示意圖；圖4是本發明實施例提供的一個識別電子郵件伺服器的方法的流程示意圖。
具體實施例方式以下通過結合附圖對本發明的一些實施例進行描述，以進一步理解本發明的目 的、具體結構特徵和優點。雖然本發明將結合以下實施例進行闡述，但應理解為這並非意指將本發明限定於 這些實施例。相反，本發明旨在涵蓋由權利要求書所界定的本發明精神和範圍內所定義的 各種可選項、可修改項和等同項。此外，在以下對本發明的詳細描述中，為了提供針對本發明的完全的理解，闡明了 大量的具體細節。然而，本領域技術人員將理解，沒有這些具體細節，本發明同樣可以實施。 在另外的一些實例中，對於大家熟知的方案、流程、元件和電路未作詳細描述，以便於凸顯 本發明的主旨。圖1是本發明的一個實施例提供的用於識別電子郵件或識別電子郵件伺服器的 裝置100的結構示意圖。在圖1所示實施例中，裝置100包括輸入口 110、輸出口 120、處理 器104和存儲器106。存儲器106存儲程序和數據。處理器104執行存儲器106中存儲的 程序定義的操作。在一個實施例中，裝置100可以為網絡安全裝置，例如第三層(Layer 3， L3)網關；進一步地，存儲器106具體可以為計算機可讀存儲介質，程序和數據具體可以為 計算機可執行指令，處理器104具體可以為計算機系統，計算機可執行指令指示計算機系 統執行本發明實施例所述的識別電子郵件的方法，其中，該計算機可讀存儲介質包括在L3 網關中。在一個實施例中，裝置100連接在網際網路(圖1中未出示)和專用網絡(例如企業內部網，圖1中未示出)之間。裝置100在輸入口 110接收來自網際網路的IP包，確定來 自網際網路的IP包中的哪一部分被允許進入專用網絡，在輸出口 120輸出被允許進入專用網 絡的IP包。下面給出IP包的描述。傳輸控制協議(Transmission ControlProtocol,TCP)/IP 是用於在網際網路傳輸數據的協議棧，包括四個層應用層、傳輸層、網絡層和數據鏈路層。一 旦建立起TCP通信，發往目的IP位址的消息體(消息數據)從應用層被傳輸到傳輸層。在 傳輸層，消息體被打包成TCP數據段，且這些TCP數據段被傳輸到網絡層。圖2是TCP數據 段200的結構示意圖。在網絡層，TCP數據段被打包成多個組。在源IP位址、目的IP位址 和控制信息被加入到每個組以形成IP包之後，IP包被傳輸到目的IP位址。因此，在一個 實施例中，在每個IP包進入裝置100之後，處理器104可以分析IP包以識別(讀取)IP包 攜帶的源埠號、消息體和源IP位址。有利的是，處理器104可按照如下所述的方式識別使用非標準電子郵件協議(例 如HTTP)發送的電子郵件。此外，處理器104可識別來自於電子郵件伺服器的電子郵件。 此外，根據如下所述的技術方案，處理器104可阻止一些郵件進入專用網絡。在一個實施例中，處理器104基於包中的源埠號確定IP包是否與電子郵件相關 聯。處理器104檢查源埠號以確定是否使用標準電子郵件協議(例如IP包包括的源端 口號為25、110或14 傳送IP包。依此方式，若使用標準電子郵件協議發送IP包，處理器 104可直接識別該IP包為電子郵件。否則，處理器104可在IP包攜帶的消息體中搜索電子 郵件消息的特徵，並確定該IP包是否和電子郵件消息相關。更確切的說，電子郵件消息的特徵包括通常用在電子郵件中的多個字，例如「主 題(subject)」、「回復(RE) 」、「轉發(FW)」、「@」、「發信人(sender) 」和「收信人(receiver)」 中的部分或全部。在一個實施例中，每個電子郵件消息的特徵可被歸類為多個類型中的一 個。這些類型可以包括例如收信人特徵、發信人特徵、主題特徵、文本特徵和附件特徵。每 個類型包括多個特殊字。例如，收信人特徵包括「收信人(receiver)」、「收信箱(receiver box)」和「@」；發信人特徵包括「發信人(sender)」、「發信箱(send box) 」和；主題特 徵包括「主題(subject)」、「轉發(FW)」和「回復(RE) 」；文本特徵包括「餵(hi)」和「你好 (hello)」；附件特徵包括「附件(attach)」和「文件(file)」。這些字和這些字的其他例子 在以下的描述中被稱為關鍵字。處理器104在消息體中搜索電子郵件的特徵，一個計數被用於表示搜索的結果。 在一個實施例中，上述計數基於「關鍵字類型」的方案被更新。更確切的說，若在IP包攜帶 的消息體中找到上述提到的關鍵字類型中的一個類型，處理器104即可確定該IP包有相應 的特徵。例如，若在IP包攜帶的消息體中找到字「回復(RE) 」，則IP包有主題特徵。若在 消息體中找到與特殊的特徵類型相關聯的關鍵字，就更新(增加)計數。也就是說，該計數 表示IP包所擁有的特徵類型的數量。若該計數達到閾值，處理器104可確定該IP包與電 子郵件消息相關。在另一個實施例中，前述提到的計數基於「關鍵字」方案被更新。更確切的說，若 在消息體中找到一個關鍵字，更新(增加)計數。在一個實施例中，對於每一個被找到的關 鍵字，計數加一；例如若在消息體中找到五個關鍵字，則計數加五。若計數達到閾值，處理 器104確定該IP包與電子郵件消息相關聯。換句話說，上述提到的計數的值表示IP包與電子郵件相關聯的可能性，值越大，可能性越高。涉及關鍵字的本實施例以及涉及關鍵字類 型的下述實施例可以被結合或單獨使用。在一個實施例中，在識別出IP包與電子郵件相關聯之後，處理器104可進一步分 析IP包的消息體以得到更多的關鍵字。從而，提高識別電子郵件的精確度。因而，處理器104可以識別使用非標準電子郵件協議發送的電子郵件。此外，處理 器104還可以以如下所述的方式識別來自電子郵件伺服器的電子郵件。為了識別來自電子郵件伺服器的電子郵件，計數被存儲在存儲器106中，並且可 以由處理器104訪問。計數根據源IP位址進行分類；也就是說，對於被識別為與電子郵件 相關聯且攜帶有相同源IP位址的IP包，有相應的計數。換句話說，依據源IP位址相應有 一個計數。在一個實施例中，在處理器104將IP包識別為與電子郵件相關聯後，處理器104 使用攜帶在IP包中的源IP位址在存儲器106中找到與該源IP位址相關聯的計數，然後更 新(增加)計數。若更新後的計數在預設的時間段內達到閾值，處理器104可將在源IP地 址的電子設備識別為電子郵件伺服器。根據上述技術方案，處理器104可阻止一些郵件進入專用網絡。在一個實施例中， 可阻止包含有不被允許進入專用網絡的「不受歡迎」信息的電子郵件。在本實施例中，處理 器104可搜索被識別為與電子郵件相關聯的IP包的消息體，確定該消息體是否包括「不受 歡迎「信息。更確切的說，一些「不受歡迎」的字被存儲在存儲器106中，處理器104在消息 體中搜索這些字，若在IP包中找到「不受歡迎」的字中的一個，處理器104阻止該IP包。在 另一個實施例中，該技術方案被用於阻止來自特定IP位址的電子郵件伺服器的電子郵件。 在該實施例中，若處理器104識別出IP包與電子郵件相關聯，且IP包攜帶的源IP位址與 該特定IP位址相同，處理器104阻止該IP包進入專用網絡。從而使得來自電子郵件服務 器的垃圾郵件不能進入專用網絡。上述提到的用於識別電子郵件和電子郵件伺服器的閾值可以被調節。例如，用於 識別與電子郵件相關聯的IP包的閾值可以被設置為更高的值以提高識別精確度。圖3是本發明實施例提供的一個識別電子郵件的方法的流程示意圖300。結合圖 1對圖3進行描述。在步驟302中，處理器104識別IP包攜帶的消息體。在一個實施例中，在一個IP 包進入裝置100之後，處理器104分析該IP包以識別(讀取)IP包的源埠號、源IP位址 和該IP包攜帶的消息體。如圖1所述，處理器104首先基於源埠號確定IP包是否為電子 郵件。若使用標準電子郵件協議發送該IP包，處理器104將該IP包識別為電子郵件。否 則，在步驟304中，處理器104在消息體中搜索特徵以找到在標準電子郵件中使用的 關鍵字。上述已經對這些關鍵字進行舉例說明，此處不再贅述。在步驟306中，處理器104根據搜索結果確定IP包是否與電子郵件相關聯。在一 個實施例中，計數被用於表示該IP包與電子郵件相關聯的可能性。結合前述圖1所述，根 據搜索結果更新該計數。若更新後的計數達到閾值，處理器104識別IP包與電子郵件相關聯。圖4是本發明實施例提供的一個識別電子郵件伺服器的方法的流程圖400。結合
8圖1對圖4進行描述。在步驟402中，識別與電子郵件相關聯的IP包。在步驟404中，在存儲器中找到與IP包攜帶的源IP位址相關聯的計數。在一個 實施例中，存儲器106中存儲計數，每一個計數被用於表示在預設時間段內包括源IP位址 且被識別為與電子郵件相關聯的IP包的數量。在步驟406中，更新(增加)找到的計數。在步驟408中，若計數達到閾值，將源IP位址的電子設備識別為電子郵件伺服器。總的來說，在現有技術中，IP包是否與電子郵件相關聯是基於是否使用標準電子 郵件協議(例如SMTP、P0P3或IMAP4)發送該IP包，因此，有可能識別不出使用非標準電 子郵件協議(例如HTTP)發送的IP包。而在本發明實施例中，實現了基於IP包的特徵將 使用非標準電子郵件協議發送的IP包識別為電子郵件。相對於現有技術，本發明能夠識別 出使用非標準電子郵件協議發送的電子郵件。上文具體實施方式
和附圖僅為本發明的常用實施例。顯然，在不脫離權利要求書 所界定的本發明精神和保護範圍的前提下可以有各種增補、修改和替換。本領域技術人員 應該理解，本發明在實際應用中可根據具體的環境和工作要求在不背離發明準則的前提下 在形式、結構、布局、比例、材料、元素、組件及其它方面有所變化。因此，在此披露的實施例 僅用於說明而非限制，本發明的範圍由權利要求及其合法等同物界定，而不限於此前的描 述。
權利要求
1.一種識別電子郵件的方法，其特徵在於，所述識別電子郵件的方法至少包括 識別IP包攜帶的消息體；在所述消息體中搜索電子郵件消息的特徵；以及根據搜索結果確定所述IP包是否與電子郵件相關聯，其中，所述電子郵件消息的特徵 包括多個字。
2.根據權利要求1所述的識別電子郵件的方法，其特徵在於，所述根據搜索結果確定 所述IP包是否與電子郵件相關聯的步驟進一步包括若在所述消息體中找到所述多個字中的一個字，更新計數； 當所述計數達到閾值，確定所述IP包與電子郵件相關聯。
3.根據權利要求1所述的識別電子郵件的方法，其特徵在於，所述根據搜索結果確定 所述IP包是否與電子郵件相關聯的步驟進一步包括所述多個字被劃分為多個類型；若在所述消息體中找到所述多個類型中的一個類型，更新計數； 當所述計數達到閾值，確定所述IP包與電子郵件相關聯。
4.根據權利要求3所述的識別電子郵件的方法，其特徵在於，所述多個類型從收信人 特徵、發信人特徵、主題特徵、內容特徵和附件特徵中選擇其中的部分或全部。
5.根據權利要求1所述的識別電子郵件的方法，其特徵在於，所述多個字從主題、RE、 FW、@、發信人和收信人中選擇其中的部分或全部。
6.根據權利要求1所述的識別電子郵件的方法，其特徵在於，所述IP包包括使用超文 本傳輸協議發送的IP包。
7.根據權利要求1所述的識別電子郵件的方法，其特徵在於，在識別出所述IP包與電 子郵件相關聯之後，所述識別電子郵件的方法還包括分析所述消息體以為所述電子郵件消息的特徵獲得更多的字。
8.根據權利要求1所述的識別電子郵件的方法，其特徵在於，計算機可讀存儲介質中 的計算機可執行指令指示處理器執行所述識別電子郵件的方法，其中，所述計算機可讀存 儲介質包括在第三層網關中。
9.一種識別電子郵件的方法，其特徵在於，所述識別電子郵件的方法至少包括 訪問IP包攜帶的消息體；識別所述消息體中電子郵件消息的特徵；其中，所述電子郵件消息的特徵包括多個字；以及基於所述電子郵件消息的特徵將所述IP包與電子郵件相關聯。
10.根據權利要求9所述的識別電子郵件的方法，其特徵在於，所述基於所述電子郵件 消息的特徵將所述IP包與電子郵件相關聯的步驟進一步包括若在所述消息體中找到所述多個字的一個字，更新計數；以及 若所述計數達到閾值，確定所述IP包與電子郵件相關聯。
11.根據權利要求9所述的識別電子郵件的方法，其特徵在於，所述基於所述電子郵件 消息的特徵將所述IP包與電子郵件相關聯的步驟進一步包括將所述電子郵件消息的特徵分為多個類型； 若在所述消息體中找到所述多個類型中的一個類型，更新計數；以及若所述計數達到閾值，確定所述IP包與電子郵件相關聯。
12.根據權利要求11所述的識別電子郵件的方法，其特徵在於，所述多個類型從收信 人特徵、發信人特徵、主題特徵、文本特徵和附件特徵中選擇其中的部分或全部。
13.根據權利要求9所述的識別電子郵件的方法，其特徵在於，所述識別電子郵件的方 法還包括識別所述IP包攜帶的源埠號；以及根據所述源埠號識別使用非標準電子郵件協議發送的所述IP包。
14.根據權利要求13所述的識別電子郵件的方法，其特徵在於，所述非標準電子郵件 協議包括超文本傳輸協議。
15.根據權利要求9所述的識別電子郵件的方法，其特徵在於，在識別出所述IP包與電 子郵件相關聯之後，所述識別電子郵件的方法還包括分析所述消息體以為所述電子郵件消息的特徵獲得更多的字。
16.根據權利要求9所述的識別電子郵件的方法，其特徵在於，所述多個字從主題、回 復、轉發、@、發信人和收信人中選擇其中的部分或全部。
17.一種識別電子郵件伺服器的方法，其特徵在於，所述識別電子郵件伺服器的方法至 少包括識別與電子郵件相關聯的IP包；找到與所述IP包攜帶的源IP位址相關聯的計數，其中所述計數用於表示在預設時間 段內攜帶有所述源IP位址且被識別為與電子郵件相關聯的IP包的數量；更新所述計數；以及若所述計數達到閾值，將在所述源IP位址的電子設備識別為所述電子郵件伺服器。
18.根據權利要求17所述的識別電子郵件伺服器的方法，其特徵在於，所述識別與電 子郵件相關聯的IP包的步驟還包括若採用標準電子郵件協議發送所述IP包，識別所述IP包為電子郵件；若採用非標準電 子郵件協議發送所述IP包，識別所述IP包攜帶的消息體；在所述消息體中搜索電子郵件消息的特徵，其中，所述電子郵件消息的特徵包括多個 字；以及根據搜索結果，確定所述IP包是否與電子郵件相關聯。
19.根據權利要求18所述的識別電子郵件伺服器的方法，其特徵在於，所述非標準電 子郵件協議包括超文本傳輸協議。
20.根據權利要求18所述的識別電子郵件伺服器的方法，其特徵在於，所述多個字從 主題、回復、轉發、@、發信人和收信人中選擇其中的部分或全部。
全文摘要
本發明公開了一種識別電子郵件的方法及識別電子郵件伺服器的方法。所述識別電子郵件的方法包括識別網際協議IP包攜帶的消息體；在所述消息體中搜索電子郵件消息的特徵；以及根據搜索結果確定所述IP包是否與電子郵件相關聯，其中，所述電子郵件消息的特徵包括多個字。本發明能識別使用非標準電子郵件協議發送的電子郵件，從而提高識別電子郵件的精確度。
文檔編號H04L12/58GK102118383SQ20101053026
公開日2011年7月6日 申請日期2010年10月29日 優先權日2009年12月30日
發明者劉傑, 陳之翔 申請人:凹凸電子(武漢)有限公司