CN102804213B - 实时的垃圾邮件查找系统 - Google Patents
实时的垃圾邮件查找系统 Download PDFInfo
- Publication number
- CN102804213B CN102804213B CN201080028270.3A CN201080028270A CN102804213B CN 102804213 B CN102804213 B CN 102804213B CN 201080028270 A CN201080028270 A CN 201080028270A CN 102804213 B CN102804213 B CN 102804213B
- Authority
- CN
- China
- Prior art keywords
- message
- email message
- spam
- inquiry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000003860 storage Methods 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 18
- 238000012546 transfer Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims 2
- 230000000977 initiatory effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 20
- 238000012545 processing Methods 0.000 description 13
- 230000009471 action Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 8
- 238000001914 filtration Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000000429 assembly Methods 0.000 description 4
- 230000000712 assembly Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000005055 memory storage Effects 0.000 description 3
- 230000037361 pathway Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000011229 interlayer Substances 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- G06Q50/60—
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Abstract
一种管理经由网络发送至电子邮件系统的不请自来的电子邮件的系统和方法。在入站邮件传送代理上接收消息上的电子邮件消息。确定是否怀疑该电子邮件消息是不请自来的可疑消息。发起关于消息的一个或多个特性的另外信息的一个或多个查询。在向发送服务器发布消息递送接受消息之前,基于针对这些查询的答复来做出决定。
Description
背景技术
不请自来的群发电子邮件(UBE:UnsolicitedBulkEmail)是一个非常普遍的问题。UBE有可能包括不请自来的商业广告电子邮件、垃圾邮件、网络钓鱼电子邮件(phishingemail)以及其他那些不请自来的群发电子邮件。UBE的发起方(垃圾邮件发送者)利用了众多邮件服务器机器的处理能力来发送UBE。在处理UBE的过程中,大规模的电子邮件服务供应商(ESP)会因为其邮件基础架构的极大规模以及接受入站(inbound)电子邮件的能力而处于不利地位。
UBE消息具有很多可以向ESP标识其自身是UBE的特性。通常,ESP会使用多种机制来减少系统用户接收的UBE的数量。因此,垃圾邮件发送者使用了多种技术来绕过ESP堵塞其消息的努力尝试。垃圾邮件发送者不断地改变路由、域名、源IP以及消息内容,以便欺骗UBE检测系统。
发明内容
所描述的是用于在向发送邮件服务器发布消息接受消息之前实现实时的垃圾邮件过滤的技术。当接收到可疑消息时,这时将会发布一个或多个对于所接收且被怀疑是UBE的电子邮件的组成部分(component)的查询。这些查询寻找可以将该消息标识成垃圾邮件或不请自来的群发邮件且在该消息中并非显而易见的信息。针对这些查询的响应将被接收,并且将会预先做出是否发布邮件接受消息的决定。所述查询可以将消息组成部分与所述消息到达入站邮件服务器时经由的网络基础架构相关联。
本发明内容是为了以简化的形式引入一组选择的概念而被提供的,并且在以下的具体实施方式中将会对其进行更进一步的描述。本发明内容既不打算标识所要保护的主题的关键特征或必要特征,也没有打算要用来帮助确定所要保护的主题的范围。
附图说明
图1描述了企业电子邮件系统的框图。
图2描述了根据本技术而在入站邮件服务器和消息信息服务器上进行的方法。
图3示出了用于发布关于入站电子邮件消息特性的同时查询的方法。
图4示出了基于所接收的相对于消息中的其他特性的查询来确定消息是否为垃圾邮件的方法。
图5示出了该技术的另一个实施例,其中。
图6是适合实现这里描述的技术的处理系统的图示。
具体实施方式
所描述的是用于改进大规模企业电子邮件系统处理不请自来的群发电子邮件(UBE)的能力的技术。实时过滤引擎发布一个或多个关于所接收且被怀疑是UBE的电子邮件的组成部分的查询。这些查询寻找可以将该消息标识成UBE且在该消息中并非显而易见的信息。针对这些查询的响应将被接收,并且会在自动发布此类接受之前做出是否发布邮件接受消息的决定。
图1是适合实现本技术的系统的方框级的图。系统200可以由电子邮件服务供应商(ESP)实现,并且举例来说,该系统可以包括一个包含了一个或多个处理设备的入站服务器220。多个入站服务器220-220n可以是在企业200内部提供的,并且其中所有服务器都可以包括一个或多个处理设备。
在一个实施例中,电子邮件服务器220是一个独立服务器,并且允许在服务器上具有电子邮件地址的用户经由IMAP或POP之类的任意数量的格式来访问其电子邮件。在一个可替换实施例中,入站服务器200是将消息传递到任意数量的后端处理设备的多个前端服务器之一,所述后端处理设备则会为企业用户存储电子邮件。这里讨论的技术可应用于独立的电子邮件服务器以及企业环境。
入站电子邮件服务器220接收从发送服务器110、130经由因特网50(或其他适当的网络)传送的电子邮件消息,其中每一个服务器都具有各自的MTA115,135。入站MTA215处理从发送邮件服务器经由因特网50耦合到入站MTA的连接,并且对入站电子邮件执行初始的接受和过滤任务集合。通常,MTA可以采用主机联网协议来接受或拒绝输入连接请求尝试。
入站电子邮件服务器220可以包括解析代理225、垃圾邮件过滤器230、实时过滤器235以及实时数据245。如下所述,垃圾邮件过滤器230执行的初始检查被应用于输入消息,并且将垃圾邮件得分与每一个消息相关联。垃圾邮件内容过滤器230可以包括多种内容过滤方法中的任何一种,例如包括用于确定消息是否包含网络钓鱼内容、可疑链接或病毒附件的方法。如果认为电子邮件是可以递送的,那么入站电子邮件MTA将会接受该消息。
企业数据库保持了用于系统200所看到的所有来源的全局垃圾邮件数据。数据可以从个别的服务器220中的实时数据库245分发到企业数据库,以便分发到其他服务器220n。
解析代理225充当特征提取组件(component)110,它可以检测和提取网际协议(IP)地址,域名以及URL和在消息145中发现的其他信息。实时过滤器235使用解析代理提供的信息来对从消息中提取的数据元素运行实时查询,以便确定该消息的非显而易见的元素是否指示了垃圾邮件或不法消息的可能性。实时过滤器235包括查找组件,它可以执行任何数量的并行和异步查询,例如关于IP地址的反向DNS查找以及在下文中概述的其他查询,以便确定消息的状态。
图1还示出了通过网络的消息145的抽象视图。例如,发送方的边缘消息服务器110经由因特网50向输入邮件服务器220发送消息145。因特网50包括多个彼此相连(以及连接到其他组件)的路由器143、147、149。消息145从发送方的计算机110经由路由器147、149等等传播,直至其到达目的地计算机220。通过路由器的信息流程并未记录在电子邮件中。路由器并未修改经过它们的信息。电子邮件有时可以从一个服务器直接传播到另一个服务器。在从邮件服务器传递到邮件服务器时,在电子邮件中可以添加给出了服务器IP地址的线路,因此通常记录了服务器之间的流程。但是,每一个邮件服务器可以采用任何预期方式来修改该信息。因此,只有相对于服务器200而言是最后一个的邮件服务器的IP地址通常是可信的——先前任何服务器都有可能修改过该信息,或者垃圾邮件发送者可以在发送消息之前将虚假的IP地址插入到报头中。
此外在图1中还显示了一个URL内容服务器120,其负责响应于对消息145中嵌入的URL的请求来提供内容。名称服务器140对针对消息中的URL主机的查询以及其他名称服务请求做出响应。各种不同的路由器143、147和149可以用于促进网络上的各种不同服务器之间的通信。应该意识到的是,这些路由器并不是唯一的,并且在实体之间进行的任何给定通信可以采用通过因特网50的不同路径。
电子消息通常是使用简单邮件传输协议(SMTP)标准并经由因特网50发送的。借助SMTP发送的电子消息包括源信息、接收方信息以及数据信息。源信息通常包括源IP地址。所述源IP地址是电子消息源于的唯一地址,并且可以表示单个服务器、服务器组或虚拟服务器。
IP地址可以在消息递送路径(介于消息发送方与消息接收方之间)上的各种不同的点被添加到消息报头中,并且因此可能影响到垃圾邮件过滤器执行的消息处理。在消息中检测到的IP地址可以用于反向DNS信息以及路由追踪。最后一个IP地址是不能伪造的,其给出了所述消息的至少一个来源,并且是可以预测的。因此举例来说,垃圾邮件发送者可以通过用病毒和木马感染发送机器来尝试获取其他IP地址。然后,它们使用这些病毒或木马来发送垃圾邮件。因此,消息的IP地址可能是受感染的机器的IP地址。因此很难了解所有可能的感染以及保持关于这种感染的实时记录。
图2示出了由入站服务器220的各种不同组件执行的方法。对于在330中在入站服务器上接收的每一个消息,在332解析该消息以便提取用于确定该消息是否为UBE的一个或多个组成部分,从而将这些组成部分用于关于所述消息的实时特性查询。举例来说,这种提取可以包括使用这里描述的查询来确定所嵌入的URL中的根域和二级域,提取IP地址和其他报头信息,以及提取可能用于确定该消息的附加信息的任何组成部分。
在334做出关于是否怀疑该消息是不应该被递送给用户的UBE的初始确定。此类消息可以包括垃圾邮件和网络钓鱼消息,这些消息具有链接到在诸如内容服务器120之类的别的服务器上提供的内容的一个或多个嵌入的URL。在一个实施例中,所述确定334是由垃圾邮件过滤器组件230做出的。该初始确定可以通过检查电子邮件消息报头和主体中显而易见的消息组成部分来做出,其中举例来说,所述消息组成部分是发送方,发送方的域以及验证信息。历史数据可以用于将此类已知的特性与垃圾邮件消息相匹配。已知的良好特性同样可以用于清除消息。在一个方面中,垃圾邮件过滤器可以访问实时数据库245中的信息,并且可以从报头或主体中查找一个或多个信息组成部分,以便快速确定该消息是否为垃圾邮件。这种初始确定可以通过参考已知的垃圾电子邮件地址、域、发送方分类、消息的垃圾邮件概率得分、验证技术或是其他快速确定手段来做出。关于该消息的其他特性可以表明该消息不太可能是垃圾邮件。举例来说,如果先前将消息发送方或发送方的域表征成已知的良好消息,那么该消息不太可能是可疑的。更进一步,缺少任何指示消息是否为SPAM的特征的消息都有可能做出该消息可疑的决定。例如,该消息有可能来自先前未被看到的域。
在一个实施例中,垃圾邮件过滤器230是入站电子邮件服务器220的一个专门编程的部分,其中举例来说,所述部分包括已知的良好电子邮件地址和已知的恶劣电子邮件地址的列表、已知的良好电子邮件域和已知的恶劣电子邮件域的列表、域范围或IP地址,以及过滤测试,其中所述测试可以在电子邮件消息的某些部分上运行,以便确定该消息是否包含UBE。
在334,如果消息不是明显是垃圾邮件,那么在338中将会确定该消息是否可疑。可疑的消息可以是那些被垃圾邮件过滤器分配了比阈值得分更低的垃圾邮件得分的消息,所述阈值得分则清楚指示了垃圾邮件或者具有已知是UBE的消息所共有的其他特性(例如嵌入的URL)。
如果在338做出的初始确定是该消息可疑,那么将会执行一个或多个实时查询340。根据该技术,来自这些查询的结果将被用于确定是否向发送电子邮件服务器发布“消息接受”指示。在一个实施例中,在340中并行且异步地发布了多个查询。查询结果可被区分优先级为单独起决定性作用或组合起决定性作用,因此,针对在其他响应之前接收的一个或多个查询所接收的响应可以确定消息的状态——系统不必等待发布针对所有查询的响应。就此而论,该系统是异步的。该系统还通过在例如使用“接受消息以便递送”事务消息来完成消息事务之前接收针对查询的回答来“实时”工作。
在SMTP协议中,样本交换通常会在接收到数据之后以“250OK”或“250接受消息以便递送”消息结束:
Connectedtomail.example.com(1.2.3.4).
220mail.example.comESMTPReady...
HELOmail.somewhere.com
250a.mail.somewhere.comHello4.3.1.1.somewhere.com[4.3.2.1],
MAILFROM:<mikesomewhere.com>
2502.1.0<mikesomewhere.com>...Senderok
RCPTTO:<someoneexample.com>
2502.1.5<someoneexample.com>...Recipientok
DATA
354Entermail,endwith"."onalinebyitself
Hellothere!
OK,bye!
2502Messageacceptedfordelivery
QUIT。
在本上下文中,“实时”未必意味着即刻,而是在经过了某个时间的情况下工作的,因此顾及了发布查询和接收查询响应以及分析该响应的处理,这其中包括确定是否发布“接受消息以便递送”命令。应该认识到的是,对消息也可以采取除了简单地抑制“接受消息以便递送”消息之外的其他“实时”动作。例如,其他动作可以包括但不局限于:阻塞连接的IP(断开连接),基于限度来对发送方的速率进行限制,或是完全基于与关联于发送方的各种不同基础架构相关联的阈值来减慢发送方。更进一步的动作可以包括基于这里的数据而在接收方的电子邮件收件箱中采用不同的方式向接收方呈现消息。例如,如果消息具有某个链接到可疑网络钓鱼主机的URL,那么可以在邮件界面中向用户显示一个红色安全条。相反,如果该消息来自已知的可信源,那么在邮件界面中可以使用可信的显示机制。
在342,当接收到针对在340发布的查询的响应时,将会确定该响应是否表明消息存在问题。在图4中进一步具体示出了步骤334和336。如果该消息被确定为是垃圾邮件,那么在344中就不会发送“邮件接受”消息。如果该消息不是垃圾邮件,则发布邮件接受消息346。在348,由查询导致产生的数据被返回给实时数据库,以便在334和338的初始确定步骤中使用。
在一个实施例中,在344上执行的动作包括在SMTP会话中不提供“250消息接受”响应。但是,在步骤334可以实现多个替换方案。邮件服务器可以通过发布SMTP级500错误来拒绝邮件,接受所述邮件但将其标记成路由到一个垃圾文件夹,接受以及自动删除消息,和/或接受消息并且采用不同方式来呈现该消息。在334采取的动作可以取决于消息是UBE的置信度——较高的置信度可以导致直接拒绝,而较低的置信度则可能导致接受和选择性的呈现处理。
图3详细示出了图2的步骤340和342。在步骤340,对一个电子邮件消息可以同时发布多个并行的查询。
如图3所示,任何数量的查询404、412、422、432、442、452可以并行发布。在一个示例中,这些查询包括用于提供关于内容服务器的信息的URL查找404,用于提供关于发送域或内容服务器的信息的WhoIs查询412,关于发送域和内容服务器的反向DNS查询422,关于消息到达发送域或内容服务器所采取的路径的跟踪路由(traceroute)432,以及用于确定垃圾邮件域来源之间的潜在关系的名称服务器查询442。可以进行多达“n”个并行的查询。在240可以执行揭示了消息中的非显而易见信息以及揭示了与在其上接收到该消息的网络的基础架构相关的信息的任何类型的查询。图3所示的示例并非穷举性的。
一旦发起查询(在404、412、422、432、442、452),则系统分别在405,413,423,433,443,453等待每个查询的结果。由于并非所有查询都可以在相同的时间帧中检索到结果,因此对于每一个查询来说,在406,414,424,434,444,454将会确定是否已接收到别的查询结果。如果检索到别的查询结果,则分别在408、416、426、436、446、456确定该结果(单独或者与其他查询结果相结合)是否能决定所述消息是UBE或者不是UBE。如果由于接收到的别的测试结果而确定该消息是UBE,则在344将该消息标记成垃圾邮件。如果不是的话,则该方法前进到步骤346,并且如图2所示提供一个“接受邮件以便递送”消息。
如果没有检索到在先结果,那么在410、418、428、438、448、458,每一个查询的结果可以是决定性的。如下所述,如果结果不是决定性的,那可以在确定是否发布消息接受消息之前将所述结果数据与其他查询结果结合使用。
每一个查询都被设计成返回关于该消息的可发现信息。例如,垃圾邮件发送者可以廉价地创建很多的主机名。这些主机名可以共用很多属性。通过检查多个消息以及返回关于该消息的数据,诸如IP范围、注册人名称或地址或是公共名称服务器之类的组件中的模式将会显现出来。这些共同性被用于将新接收的消息识别成UBE。每一个查询都被设计成不但检查与消息自身一起给出的消息的组成部分,而且还进一步钻研那些揭示了消息的真实特性的组成部分的可发现的方面。很多搜索都与发现关于与网络基础架构相链接的消息组成部分的信息相联系。
在指向附加内容或是被嵌入并设计成显示例如HTML编码消息中的内容的URL被提供在电子邮件消息的主体中的情形下,可以进行URL主机查找查询404。URL查询404检查URL的特性以便确定该消息是否为UBE,以及使用该特性来发起对于该消息的查询。在一个实施例中,可以分析URL特征以得到URL是否指向可疑内容服务器的线索。URL的一些部分可被提取并在垃圾邮件过滤中使用。对于URL特征,垃圾邮件发送者可以通过同时包含属于其他人的良好URL以及他们控制的URL来尝试欺骗机器学习过滤器。例如,由于microsoft.com是以良好或“安全的”URL著称的,因此,垃圾邮件发送者可以在他的消息中的某个位置包含microsoft.com。为了缓解这种劫持(hijacking),在这里可以包含基于计数以及基于组合的URL特征以作为机器学习过滤器的输入。
URL主机查找404检查URL的附加特性,这其中包括URL的域是否与UBE实体具有已知的关系。URL主机查找可以产生能与诸如WhoIs查询之类的其他查询相结合的结果,以便提供附加的垃圾邮件特性。
WhoIs查询可以返回能够依照所有者、所有者地址或是WhoIs查询返回的其他数据来识别域之间的关系的信息。WhoIs查询可以返回域名的所有者、IP地址或是因特网上的自治系统号码。如果垃圾邮件发送者使用了大量域地址,那么WhoIs查询可以揭示出不法的域共用了公共的所有者或公共的街道地址,并且所述所有者或地址可被用于识别以后的不法的域。
反向DNS查询422可以用于将与电子邮件相关联的IP地址解析为域名,这些从反向DNS查询中得出的名称可以与已知的不法域名相比较(或是与其他查询结合使用),以便确定消息是否有可能是UBE。另一种技术是对IP地址执行反向DNS查找。应该指出的是,控制处于某个IP地址的机器的人不能控制用于该IP地址的反向DNS地址条目。例如,家庭计算机用户有可能具有经由电缆调制解调器或DSL线路发送垃圾邮件的受感染的计算机。控制用于电缆/DSL线路的IP地址的反向DNS地址条目的是其因特网供应商。垃圾邮件发送者控制计算机,但却没有控制DNS条目。即使是控制DNS服务器的垃圾邮件发送者也不能控制用于计算机的反向DNS地址条目。即使在垃圾邮件发送者确实控制了用于该计算机DNS条目的情况下,一种常见的技术是执行反向DNS查找,然后则对最终得到的RDNS条目执行DNS查找;如果这两个查找不匹配,则很好地证明了该DNS服务器是错误配置或受到损害的,并且来自它的任何信息都可以被无视(discount)。
反向DNS地址条目是以一种略微不同于常规条目的方式配置的,并且要想控制反向DNS地址条目,通常必须具有大量的IP地址。在一些情况中,反向DNS地址条目被保持空白或遗漏。IP地址可以借助反向DNS查找组件410来分析。该处理并不是仅仅涉及简单地检查该地址是否为NULL,或者其是否包含其他字串,例如DSL。相反,在非空信息中返回的空值和/或名称可被得到并用作实时数据库的输入。
跟踪路由查询432推导两个IP地址之间的至少一条路径。虽然在任何两台计算机之间可能有很多通过因特网的替换路径,但是跟踪路由路径中的公共因素可以揭示出消息是垃圾邮件的可能性。跟踪路由在发送者所处的地理位置可以变窄。跟踪路由操作指的是一种可以发送追踪分组来确定信息的工具。特别地,对于该本地主机,该工具可以追踪UDP分组到远程主机的路由。所述跟踪路由还可以显示为了达到其目的地计算机所采取的路由的时间和位置。在确定了相关IP地址之后,这时可以执行跟踪路由,确定用于到达发送方的外部服务器的至少一个、两个或更多路由器。借助跟踪路由获取的信息可以用于训练过滤器,例如垃圾邮件过滤器。
垃圾邮件发送者可以通过获取大量的IP地址来尝试欺骗使用IP地址的垃圾邮件过滤器。但是,与获取不同数量的因特网连接相比,获取不同范围的IP地址要更为容易。“跟踪路由”信息可以用于了解垃圾邮件发送者用以连接到因特网的路径。通过查看最后一跳以及倒数第二跳等等,可以获悉垃圾邮件所采取的路由。例如,可以发现有很多垃圾邮件是沿着公共的路由的。
路由器不会修改经过它们的信息。电子邮件有时可能直接从一个服务器传播到另一个服务器。在从邮件服务器传递到邮件服务器时,会在电子邮件中添加给出服务器IP地址的线路,因此通常会记录服务器之间的流程。但是,每一个邮件服务器可以采用任何期望的方式来修改该信息。
可以执行用于URL、发送方的域或是从其他搜索中精选的信息的DNS查找442。垃圾邮件发送者有可能只具有用于多个主机名的单个DNS服务器。结果,DNS服务器的身份对于垃圾邮件过滤器而言有可能是一个很有价值的特征。垃圾邮件发送者可以具有多个DNS服务器,但是它们有可能驻留在网络附近。因此,通过结合使用跟踪路由和DNS查询来获取通往DNS服务器的路径可以提供很有价值的信息。DNS服务器可以具有特定的偏好类型。关于DNS服务器的版本信息有可能是很有价值的信息。
通过使用DNS服务器,主机名可被转换成IP地址。如果垃圾邮件发送者创建的各种不同主机驻留在相同服务器上,那么它们应该或者可以具有相同的IP地址。因此,对于垃圾邮件过滤器,IP地址或是它的某些部分有可能是很有价值的特征。IP地址必须经由因特网来联系。通过对IP地址执行跟踪路由,我们可以发现很多IP地址都是以相似的方式连接的。关于授权名称服务器(authoritativenameserver)的查询还可以揭示与不法服务器类似的公共性。
图4示出了图3中确定个别的查询是否表明消息是垃圾邮件的过程(步骤410,418,428,438,448,458)。在步骤502,来自组成部分查询的查询结果被接收。在504,关于所述结果是否明显地指示特定消息是UBE的初始确定将被做出。举例来说,如果跟踪路由查询揭示消息路径与对于已知UBE消息的另一个跟踪路由查询的消息路径完全匹配,那么可以明确地将该消息标记成UBE。如果查询结果并未明显地指示UBE消息,那么在506,它仍旧有可能指示消息可能存在问题。例如,我们有可能需要接收具有给定消息路径的更大数量的消息,以便将消息定义成明显的垃圾邮件,但接收到数量较少的路径相同的消息有可能导致关于该消息的怀疑,并且如果在506中出现怀疑,则可以在508选择组合查询并通过返回步骤340来发布它。另一个替换方案是:如果在消息具有完美得分之前从来没有从特定的发送方那里看到过消息,但是消息来自首次发送者的事实可以使其他因素失效(override),则将消息标记成可能存在问题。在所有情况中,实时信息数据库都会在510更新。
至少存在有两种替换方案可以用于确定在步骤340中可以运行哪些查询。在一个替换方案中,这些查询可以基于入站服务器220的规模运行。如果正在使用大量的入站服务器,那么可以将有限数量的查询用于入站消息。在这种环境中,系统很可能必需处理大量的消息。在发布消息接受消息的过程中的任何显著延迟都有可能导致垃圾邮件发送者尝试打开连至入站邮件服务器的附加连接。因此,可以进一步使用超时,从而如果没有在特定时段中接收到决定性响应就必须接受该消息。在另一个实施例中,查询策略可以基于入站服务器上看到的问题的类型。如果确定特定UBE模式比其他模式的可能性更大,则可以将查询局限于被设计成聚焦于那些最常看到的问题的那些类型的查询。
图5示出了本技术的另一个独特的方面,其中步骤340的查询可以在UBE活动(campaign)(仅仅超出用于消息的实时查询)期间或是在解决UBE活动的时段中运行。在一些实例中,垃圾邮件发送者可以使用在其中分发一组UBE消息或UBE活动的独特的时段来。所述活动持续的时间有可能超出在入站服务器上接收的初始消息的时段。在步骤512,通过在入站消息服务器上接收一定数量或模式的消息,确定某一个活动。任何数量的方法都可以用于确定UBE活动处于进行之中。此外,活动的类型也是可以被确定。例如,垃圾邮件发送者可以发送一系列消息,并且这些消息内嵌了寻址到只在某个时段才会活动的域的URL。一旦确定了垃圾邮件活动,则在514中可以在一个时段中运行一个或多个查询,而不是实时地为接收到的每一个消息运行查询。例如,反向DNS查询可以是针对URL中的域运行的,直至活动结束,或是只要在516指示了问题。在查询时段结束或是查询表明所述域不再活动这样的时间之前,所述URL或域可以被分类成是与垃圾邮件链接的域。
参考图6,用于实现该技术的例示系统包括计算机660形式的通用计算设备。计算机660的组件可以包括但不局限于:处理单元620,系统存储器630,以及将包括系统存储器的各种不同系统组件耦合到处理单元620的系统总线626。系统总线626可以是若干种总线结构中的任何一种,这其中包括存储器总线或存储器控制器,外设总线,以及使用了多种总线架构中的任何一种的本地总线。作为示例而不是限制,这种架构包括工业标准架构(ISA)总线,微通道架构(MCA)总线,增强型ISA(EISA)总线,视频电子标准协会(VESA)本地总线,以及也被称为夹层(Mezzanine)总线的外设组件互连(PCI)总线。
计算机600通常包括多种计算机可读媒体。计算机可读媒体可以是能被计算机660访问的任何可用媒体,并且包括易失和非易失媒体,可移除和不可移除媒体。作为示例而不是限制,计算机可读媒体可以包括计算机存储媒体和通信媒体。计算机存储媒体包括用任何用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的方法或技术实现的易失和非易失、可移除和不可移除媒体。计算机存储媒体包括但不局限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多用途盘(DVD)或其他光盘存储器、盒式磁带、磁带、磁盘存储器或其他磁存储设备、或是其他任何可以用于存储期望信息并能被计算机660访问的介质。通信媒体通常包含计算可读指令、数据结构、程序模块或其他数据,并且包含任何信息递送媒体。作为示例而不是限制,通信媒体包括有线媒体,例如有线网络或直接线路连接,还包括无线媒体,例如声学、RF、红外和其他无线媒体。上述各项的任何组合同样应该包含在计算机可读媒体的范围以内。
系统存储器630包括易失和非易失存储器形式的计算机存储媒体,例如只读存储器(ROM)636和随机存取存储器(RAM)632。基本输入/输出系统633(BIOS)包含例如在启动过程中帮助在计算机660内部的元件之间传送信息的基本例程,该系统通常存储在ROM636中。RAM632通常包含可以由处理单元620立即访问和/或当前操作的数据和/或程序模块。作为示例而不是限制,图6示出了操作系统634,应用程序635,其他程序模块636,以及程序数据637。
计算机660还可以包括其他的可移除/不可移除、易失/非易失计算机存储媒体。仅仅作为示例,图6示出了读取或写入不可移除的非易失磁媒体的硬盘驱动器640,读取或写入可移除的非易失磁盘652的磁盘驱动器656,以及读取或写入诸如CD-ROM或其他光媒体之类的可移除的非易失光盘656的光盘驱动器655。能在例示操作环境中使用的其他的可移除/不可移除、易失/非易失的计算机存储媒体包括但不局限于盒式磁带、闪存卡、数字多用途盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器646通常经由诸如接口640之类的不可移除存储器接口连接到系统总线626,并且磁盘驱动器656和光盘驱动器655通常通过诸如接口650之类的可移除存储器接口连接到系统总线626。
在上文中论述并在图6中示出的驱动器以及与之关联的计算机存储媒体为计算机660提供了对于计算机可读指令、数据结构、程序模块以及其他数据的存储。举例来说,在图6中,硬盘驱动器641被图示为存储操作系统644,应用程序645,其他程序模块646,以及程序数据647。应该指出的是,这些组件与操作系统634、应用程序635、其他程序模块636以及程序数据637可以是相同的,也可以是不同的。在这里赋予操作系统644、应用程序645、其他程序模块646以及程序数据647不同的数字,以便图示它们最低程度是不同的拷贝。用户可以通过输入设备将命令和信息输入计算机660,其中所述输入设备例如是键盘662和通常被称为鼠标、轨迹球或触摸板的指示设备661。其他输入设备(未显示)可以包括麦克风、摇杆、游戏板、碟式卫星天线、扫描仪等等。这些以及其他输入设备通常通过耦合到系统总线的用户输入接口660连接到处理单元620,但是也可以通过其他接口和总线结构来连接,例如并行端口、游戏端口或通用串行总线(USB)。监视器691或其他类型的显示设备同样经由诸如视频接口690之类的接口连接到系统总线626。除了监视器之外,计算机还可以包括可以通过输出外设接口690连接的其他外设输出设备,例如扬声器697和打印机696。
计算机660可以使用与诸如远程计算机680之类的一个或多个远程计算机相连的逻辑连接而在联网环境中工作。远程计算机680可以是个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且通常包括在上文中相对计算机660描述的很多或所有元件,但在图6中仅仅示出了存储器存储设备686。图6描述的逻辑连接包括局域网(LAN)676和广域网(WAN)673,但是也可以包括其他网络。这种联网环境在办公室、企业级计算机网络、内部网以及因特网中是很普通的。
当在LAN联网环境中使用时,计算机660通过网络接口或适配器670与LAN676相连。当在WAN联网环境中使用时,计算机660通常包括调制解调器672或用于在诸如因特网之类的WAN673上建立通信的其他装置。调制解调器672可以处于内部或外部,它可以经由用户输入接口660或他适当的机制连接到系统总线626。在联网环境中,结合计算机660描述的程序模块或其某些部分可以保存在远程存储器存储设备中。作为示例而不是限制,图6示出了驻留在存储器设备686上的远程应用程序685。应该意识到的是,所显示的网络连接是例示性的,并且用于在计算机之间建立通信链路的其他装置也是可以使用的。
本技术可以结合众多其他的通用或专用计算系统环境或配置来工作。适合与本技术结合使用的众所周知的计算系统、环境和/或配置的示例包括但不局限于个人计算机、服务器计算机、手持或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费类电子设备、网络PC、微型计算机、大型计算机、包含上述系统或设备中的任何一个的分布式计算环境等等。
本技术可以在诸如程序模块之类由计算机执行的计算机可执行指令的一般上下文中描述。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。该技术还可以在分布式计算环境中实施,其中任务是由通过通信网络链接的远程处理设备执行的。在分布式计算环境中,程序模块可以位于本地和远程计算机存储媒体中,包括存储器存储设备。
虽然用特定于结构特征和/或方法动作的语言描述了本主题,但是应该理解,附加权利要求中限定的主题未必局限于上述具体特征或动作。相反,以上描述的具体特征和动作是作为用于实现权利要求的例示形式公开的。
Claims (12)
1.一种用于管理经由公共网络发送至电子邮件系统的不请自来的电子邮件的方法,该系统包含多个入站邮件服务器,包括:
(a)在入站邮件传送代理上接收电子邮件消息,并且在发布“消息接受”消息给电子邮件消息的发送者之前:
向公共网络上公共可访问的主机发起对关于所述电子邮件消息的多个不同特性的附加公共信息的多个并发查询,响应于所述查询,每个查询基于关于所述特性可用的公共网络基础架构信息返回关于所述多个特性中的一个或多个的公共网络基础架构信息;
基于响应于所述多个查询接收到的公共网络基础架构信息,通过如下方式来确定所述电子邮件消息是否是不请自来的群发电子邮件:对于所述多个查询中的每一个,确定何时接收到对所述多个查询中的每一个的答复,确定另一个并发的查询是否在所述每一个查询之前返回结果,如果是的话,确定所述返回的结果对于所述电子邮件消息是否是不请自来的群发电子邮件而言是否是决定性的,如果不是,等待来自所述多个查询中的每一个的结果;
(b)在确定所述电子邮件消息是否是不请自来的群发电子邮件之后,如果所述电子邮件消息不是不请自来的群发电子邮件,那么发布“消息接受”消息给发送者,如果所述电子邮件消息是不请自来的群发电子邮件的话,则抑制“消息接受”消息。
2.根据权利要求1所述的方法,其中确定所述电子邮件消息是否是不请自来的群发电子邮件包括基于先前查询的响应来确定该电子邮件消息是否可疑。
3.根据权利要求1所述的方法,其中该方法还包括存储每一个查询的响应,以便在确定所述电子邮件消息是否是不请自来的群发电子邮件中使用。
4.根据权利要求1所述的方法,其中确定所述电子邮件消息是否是不请自来的群发电子邮件包括更新来自多个并发搜索的搜索结果来执行确定步骤。
5.根据权利要求1所述的方法,其中确定所述电子邮件消息是否是不请自来的群发电子邮件包括下列各项中的至少一项:
确定电子邮件消息的真实源IP以及该IP是否与已知的垃圾邮件发送者相关联;
确定电子邮件消息的源IP以及该IP是否与关联于已知垃圾邮件发送者的一批IP相关联;
确定源IP以及关联于所述源IP的域的注册者是否是关联于已知的垃圾邮件发送者的IP;
对于域名确定用于该域的授权名称服务器以及授权名称服务器是否与已知的垃圾邮件发送者相关联;
确定关联于发送者的MX记录以及MX记录中的域或IP地址是否与已知的垃圾邮件发送者相关联;
确定关联于电子邮件源的已知IP地址的主机名以及确定主机名称服务器IP是否与已知的垃圾邮件发送者相关联;
确定与发送域相关联的名称服务器,以及确定该名称服务器是否与已知的垃圾邮件发送者相关联。
6.根据权利要求1所述的方法,其中该方法包括异步地执行多个查询。
7.根据权利要求1所述的方法,其中所述方法还包括下列各项中的一项或多项:
确定通过发布SMTP等级500错误来拒绝所述电子邮件消息;
确定接受所述电子邮件消息并且将电子邮件消息路由到垃圾文件夹;
确定接受该电子邮件消息并且自动删除该电子邮件消息;
确定接受该电子邮件消息并且采用不同方式来呈现该电子邮件消息。
8.一种用于确定是否为在公共网络上接收的电子邮件消息发布“接受消息以便递送”消息的方法,包括:
接受所述电子邮件消息以便递送,并且在发布“接受消息以便递送”消息给发送者之前:
确定电子邮件消息是否具有垃圾邮件特性;
对于具有垃圾邮件特性的每一个电子邮件消息,向公共网络上的公共主机发布关于电子邮件消息的一个或多个不同特性的多个并行查询,以便确定关于所述特性的公共网络基础架构信息,以及使用响应于所述多个并行查询中的至少一个返回的公共基础架构信息来确定该电子邮件消息是否与先前被确定成是垃圾邮件的电子邮件消息共有网络基础架构特性;
接收包括公共基础架构信息的针对所述多个并行查询的少于全部的子集的答复;
确定接收到的答复是否足以确定该电子邮件消息是不是垃圾邮件;
通过如下方式来确定该电子邮件消息是或不是垃圾邮件:评估该答复从而使得如果接收到的答复足以确定该电子邮件消息是或不是垃圾邮件,则基于所述答复来确定该电子邮件消息是或不是垃圾邮件,并且忽略其它答复,如果不是的话,则等待一个或多个另外的答复,并且基于所述另外的答复来确定该电子邮件消息是或不是垃圾邮件;
在确定该电子邮件消息是不是垃圾邮件之后,如果所述电子邮件消息不是垃圾邮件,发布“接受消息以便递送”消息给发送者,如果所述电子邮件消息是垃圾邮件,则丢掉所述电子邮件消息而不发布“接受消息以便递送”消息。
9.根据权利要求8所述的方法,其中该方法还包括存储答复查询以便在每个确定步骤中使用,所述发布包括基于先前查询的结果来确定该电子邮件消息是否可疑。
10.根据权利要求9所述的方法,其中所述确定该电子邮件消息是不是垃圾邮件的步骤包括使用来自多个并发查询的已更新搜索结果来执行确定步骤。
11.一种包含耦合到公共网络并从公共网络接收电子邮件消息的处理设备的消息传递系统,其中所述处理设备包括;
用于管理与消息传递系统的连接的消息传送代理,该消息传送代理接收电子邮件消息;
入站电子邮件解析代理,其包括邮件组成部分提取模块;
可疑电子邮件确定模块,被配置用于执行下列步骤:
接受电子邮件消息,并且在向电子邮件消息的发送者发布“接受消息以便递送”消息之前,确定电子邮件消息是否具有垃圾邮件特性;以及
对于具有垃圾邮件特性的每一个电子邮件消息,向具有公共基础架构信息的公共主机发布关于电子邮件消息的多个并行查询,每个查询寻求关于电子邮件消息的不同特性的公共基础架构信息,以便关于每个查询的特性确定公共网络基础架构信息;
接收针对所述多个查询中的一个或多个的答复,该答复包括公共基础架构信息;
根据作为对一个或多个查询的答复接收到的公共基础架构信息,基于垃圾邮件消息所共有的网络基础架构信息来确定该电子邮件消息是否与先前被确定成是垃圾邮件或不是垃圾邮件的电子邮件消息共有特性;
确定接收到的答复是否足以确定该电子邮件消息是或不是垃圾邮件,以及如果接收到的答复足以确定该电子邮件消息是或不是垃圾邮件,则忽略其它答复并且基于所述答复来确定该电子邮件消息是或不是垃圾邮件,如果不是的话,则等待一个或多个另外的答复并且基于所述另外的答复来确定该电子邮件消息是或者不是垃圾邮件;以及
在确定该电子邮件消息是或不是垃圾邮件之后,如果所述电子邮件消息不是垃圾邮件,发布“接受消息以便递送”消息给发送者,如果所述电子邮件消息是垃圾邮件,则丢掉所述电子邮件消息而不发布“接受消息以便递送”消息给发送者。
12.根据权利要求11所述的系统,其中发布多个查询的步骤包括发布用于下列多项的查询:
确定电子邮件消息的真实源IP以及该IP是否与已知的垃圾邮件发送者相关联;
确定电子邮件消息的源IP以及该IP是否与关联于已知垃圾邮件发送者的一批IP相关联;
确定源IP以及关联于所述源IP的域的注册者是否是关联于已知的垃圾邮件发送者的IP;
对于域名确定用于该域的授权名称服务器以及授权名称服务器是否与已知的垃圾邮件发送者相关联;
确定关联于发送者的MX记录以及MX记录中的域或IP地址是否与已知的垃圾邮件发送者相关联;
确定关联于电子邮件源的已知IP地址的主机名以及确定该主机名称服务器IP是否与已知的垃圾邮件发送者相关联;
确定与发送域相关联的名称服务器,以及确定该名称服务器是否与已知的垃圾邮件发送者相关联。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/493046 | 2009-06-26 | ||
US12/493,046 | 2009-06-26 | ||
US12/493,046 US8959157B2 (en) | 2009-06-26 | 2009-06-26 | Real-time spam look-up system |
PCT/US2010/039190 WO2010151493A2 (en) | 2009-06-26 | 2010-06-18 | Real-time spam look-up system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102804213A CN102804213A (zh) | 2012-11-28 |
CN102804213B true CN102804213B (zh) | 2016-05-25 |
Family
ID=43381919
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080028270.3A Active CN102804213B (zh) | 2009-06-26 | 2010-06-18 | 实时的垃圾邮件查找系统 |
Country Status (12)
Country | Link |
---|---|
US (1) | US8959157B2 (zh) |
EP (1) | EP2446411B1 (zh) |
JP (1) | JP2012531666A (zh) |
KR (1) | KR101745624B1 (zh) |
CN (1) | CN102804213B (zh) |
AR (1) | AR077019A1 (zh) |
AU (1) | AU2010263086B2 (zh) |
BR (1) | BRPI1015421A2 (zh) |
CA (1) | CA2761970A1 (zh) |
RU (1) | RU2011152895A (zh) |
TW (1) | TW201101769A (zh) |
WO (1) | WO2010151493A2 (zh) |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
US8713676B2 (en) | 2010-05-13 | 2014-04-29 | Verisign, Inc. | Systems and methods for identifying malicious domains using internet-wide DNS lookup patterns |
US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
US8452874B2 (en) * | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
US9646164B2 (en) | 2010-12-30 | 2017-05-09 | Aziomatics Ab | System and method for evaluating a reverse query |
SE1051394A1 (sv) | 2010-12-30 | 2011-10-13 | Axiomatics Ab | A system and method for evaluating a reverse query |
US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
US8966576B2 (en) | 2012-02-27 | 2015-02-24 | Axiomatics Ab | Provisioning access control using SDDL on the basis of a XACML policy |
US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
US10164989B2 (en) * | 2013-03-15 | 2018-12-25 | Nominum, Inc. | Distinguishing human-driven DNS queries from machine-to-machine DNS queries |
US9634970B2 (en) * | 2013-04-30 | 2017-04-25 | Cloudmark, Inc. | Apparatus and method for augmenting a message to facilitate spam identification |
US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US10447631B2 (en) | 2015-03-06 | 2019-10-15 | Microsoft Technology Licensing, Llc | Enhanced acknowledgment for messages |
US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
US10243957B1 (en) | 2015-08-27 | 2019-03-26 | Amazon Technologies, Inc. | Preventing leakage of cookie data |
US10135860B2 (en) * | 2015-08-31 | 2018-11-20 | International Business Machines Corporation | Security aware email server |
US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
US9954877B2 (en) | 2015-12-21 | 2018-04-24 | Ebay Inc. | Automatic detection of hidden link mismatches with spoofed metadata |
US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
US10469513B2 (en) | 2016-10-05 | 2019-11-05 | Amazon Technologies, Inc. | Encrypted network addresses |
US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
CN108259415B (zh) * | 2016-12-28 | 2022-08-26 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
US10812495B2 (en) * | 2017-10-06 | 2020-10-20 | Uvic Industry Partnerships Inc. | Secure personalized trust-based messages classification system and method |
US10686807B2 (en) | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
US11379577B2 (en) | 2019-09-26 | 2022-07-05 | Microsoft Technology Licensing, Llc | Uniform resource locator security analysis using malice patterns |
US11509667B2 (en) | 2019-10-19 | 2022-11-22 | Microsoft Technology Licensing, Llc | Predictive internet resource reputation assessment |
US11431751B2 (en) | 2020-03-31 | 2022-08-30 | Microsoft Technology Licensing, Llc | Live forensic browsing of URLs |
US11916858B1 (en) * | 2022-09-30 | 2024-02-27 | Sophos Limited | Method and system for outbound spam mitigation |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1780266A (zh) * | 2004-11-26 | 2006-05-31 | 郑志文 | 解析邮件行为控制电子邮件的方法 |
Family Cites Families (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050081059A1 (en) * | 1997-07-24 | 2005-04-14 | Bandini Jean-Christophe Denis | Method and system for e-mail filtering |
US6522875B1 (en) * | 1998-11-17 | 2003-02-18 | Eric Morgan Dowling | Geographical web browser, methods, apparatus and systems |
US6654787B1 (en) * | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
US6321267B1 (en) * | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
US7249175B1 (en) * | 1999-11-23 | 2007-07-24 | Escom Corporation | Method and system for blocking e-mail having a nonexistent sender address |
AUPQ449399A0 (en) | 1999-12-07 | 2000-01-06 | Automatic Pty Ltd | Internet redirection methods |
US7707252B1 (en) * | 2000-05-12 | 2010-04-27 | Harris Technology, Llc | Automatic mail rejection feature |
GB2366706B (en) * | 2000-08-31 | 2004-11-03 | Content Technologies Ltd | Monitoring electronic mail messages digests |
US20020032727A1 (en) | 2000-09-08 | 2002-03-14 | International Business Machines Corporation | System and method for enhancing load controlling in a clustered Web site |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US6993574B2 (en) * | 2001-06-19 | 2006-01-31 | Zoetics, Inc. | Web-based communications addressing system and method |
US20030105712A1 (en) * | 2001-11-30 | 2003-06-05 | Gerhard Bodensohn | Messaging system and method |
KR100871581B1 (ko) * | 2002-02-19 | 2008-12-02 | 포스티니 코포레이션 | E-메일 관리 서비스들 |
US20030172291A1 (en) | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
ATE502467T1 (de) * | 2002-05-02 | 2011-04-15 | Tekelec Us | Filterungs- und anwendungsauslöseplattform |
US7231428B2 (en) | 2002-05-28 | 2007-06-12 | Teague Alan H | Communication system using alias management rules for automatically changing sender alias in a message based on group that includes recipient address |
US7516182B2 (en) * | 2002-06-18 | 2009-04-07 | Aol Llc | Practical techniques for reducing unsolicited electronic messages by identifying sender's addresses |
US7293065B2 (en) * | 2002-11-20 | 2007-11-06 | Return Path | Method of electronic message delivery with penalties for unsolicited messages |
US7206814B2 (en) * | 2003-10-09 | 2007-04-17 | Propel Software Corporation | Method and system for categorizing and processing e-mails |
JP3663199B2 (ja) * | 2003-05-16 | 2005-06-22 | 三洋電機株式会社 | 迷惑メール自動判定機能を有する通信装置 |
US7272853B2 (en) * | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
US20050055433A1 (en) * | 2003-07-11 | 2005-03-10 | Boban Mathew | System and method for advanced rule creation and management within an integrated virtual workspace |
US7200637B2 (en) * | 2003-07-16 | 2007-04-03 | Thomas John Klos | System for processing electronic mail messages with specially encoded addresses |
US7610341B2 (en) * | 2003-10-14 | 2009-10-27 | At&T Intellectual Property I, L.P. | Filtered email differentiation |
US7715059B2 (en) * | 2003-10-22 | 2010-05-11 | International Business Machines Corporation | Facsimile system, method and program product with junk fax disposal |
US7636716B1 (en) * | 2003-12-03 | 2009-12-22 | Trend Micro Incorporated | Method and architecture for blocking email spams |
JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
US20050204159A1 (en) * | 2004-03-09 | 2005-09-15 | International Business Machines Corporation | System, method and computer program to block spam |
US7783706B1 (en) * | 2004-04-21 | 2010-08-24 | Aristotle.Net, Inc. | Filtering and managing electronic mail |
US7647321B2 (en) | 2004-04-26 | 2010-01-12 | Google Inc. | System and method for filtering electronic messages using business heuristics |
US20060218111A1 (en) * | 2004-05-13 | 2006-09-28 | Cohen Hunter C | Filtered search results |
CA2508304A1 (en) | 2004-05-25 | 2005-11-25 | Northseas Advanced Messaging Technology Inc. | Method of and system for management of electronic mail |
US7849142B2 (en) | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
US7870200B2 (en) * | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
US7748038B2 (en) * | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
US7664819B2 (en) | 2004-06-29 | 2010-02-16 | Microsoft Corporation | Incremental anti-spam lookup and update service |
GB2418330B (en) * | 2004-09-17 | 2006-11-08 | Jeroen Oostendorp | Platform for intelligent Email distribution |
US20060123083A1 (en) * | 2004-12-03 | 2006-06-08 | Xerox Corporation | Adaptive spam message detector |
US7532890B2 (en) * | 2005-04-01 | 2009-05-12 | Rockliffe Systems | Content-based notification and user-transparent pull operation for simulated push transmission of wireless email |
US20070041372A1 (en) * | 2005-08-12 | 2007-02-22 | Rao Anup V | Method and system for deterring SPam over Internet Protocol telephony and SPam Instant Messaging |
US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
TW200732935A (en) * | 2006-02-24 | 2007-09-01 | Acer Inc | Information acquiring method and hand mobile communication apparatus and computer readable medium using the same |
WO2007103354A2 (en) * | 2006-03-03 | 2007-09-13 | Kidd John T | Electronic communication relationship management system and methods for using same |
US7630727B2 (en) * | 2006-06-29 | 2009-12-08 | Alcatel-Lucent Usa Inc. | MAP message processing for SMS spam filtering |
US7707222B2 (en) * | 2006-07-06 | 2010-04-27 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for providing access to information systems via e-mail |
WO2008053426A1 (en) * | 2006-10-31 | 2008-05-08 | International Business Machines Corporation | Identifying unwanted (spam) sms messages |
US7904958B2 (en) | 2007-02-27 | 2011-03-08 | Symantec Corporation | Spam honeypot domain identification |
US20090064329A1 (en) * | 2007-06-25 | 2009-03-05 | Google Inc. | Zero-hour quarantine of suspect electronic messages |
US7937468B2 (en) * | 2007-07-06 | 2011-05-03 | Yahoo! Inc. | Detecting spam messages using rapid sender reputation feedback analysis |
US8103727B2 (en) * | 2007-08-30 | 2012-01-24 | Fortinet, Inc. | Use of global intelligence to make local information classification decisions |
US7769815B2 (en) * | 2008-06-04 | 2010-08-03 | Yahoo! Inc. | System and method for determining that an email message is spam based on a comparison with other potential spam messages |
US20090307320A1 (en) * | 2008-06-10 | 2009-12-10 | Tal Golan | Electronic mail processing unit including silverlist filtering |
US8554847B2 (en) * | 2008-07-15 | 2013-10-08 | Yahoo! Inc. | Anti-spam profile clustering based on user behavior |
-
2009
- 2009-06-26 US US12/493,046 patent/US8959157B2/en active Active
-
2010
- 2010-05-25 TW TW099116703A patent/TW201101769A/zh unknown
- 2010-06-08 AR ARP100102009A patent/AR077019A1/es unknown
- 2010-06-18 BR BRPI1015421A patent/BRPI1015421A2/pt not_active Application Discontinuation
- 2010-06-18 RU RU2011152895/08A patent/RU2011152895A/ru not_active Application Discontinuation
- 2010-06-18 JP JP2012517611A patent/JP2012531666A/ja not_active Withdrawn
- 2010-06-18 WO PCT/US2010/039190 patent/WO2010151493A2/en active Application Filing
- 2010-06-18 CN CN201080028270.3A patent/CN102804213B/zh active Active
- 2010-06-18 EP EP10792546.3A patent/EP2446411B1/en active Active
- 2010-06-18 CA CA2761970A patent/CA2761970A1/en not_active Abandoned
- 2010-06-18 AU AU2010263086A patent/AU2010263086B2/en not_active Ceased
- 2010-06-18 KR KR1020117030793A patent/KR101745624B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1780266A (zh) * | 2004-11-26 | 2006-05-31 | 郑志文 | 解析邮件行为控制电子邮件的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102804213A (zh) | 2012-11-28 |
EP2446411A2 (en) | 2012-05-02 |
WO2010151493A3 (en) | 2011-03-03 |
JP2012531666A (ja) | 2012-12-10 |
TW201101769A (en) | 2011-01-01 |
KR20120099572A (ko) | 2012-09-11 |
EP2446411A4 (en) | 2017-04-26 |
KR101745624B1 (ko) | 2017-06-09 |
AR077019A1 (es) | 2011-07-27 |
US20100332601A1 (en) | 2010-12-30 |
RU2011152895A (ru) | 2013-06-27 |
AU2010263086B2 (en) | 2014-06-05 |
EP2446411B1 (en) | 2019-05-29 |
WO2010151493A2 (en) | 2010-12-29 |
BRPI1015421A2 (pt) | 2016-04-19 |
US8959157B2 (en) | 2015-02-17 |
CA2761970A1 (en) | 2010-12-29 |
AU2010263086A1 (en) | 2011-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102804213B (zh) | 实时的垃圾邮件查找系统 | |
CN1573784B (zh) | 用于阻止垃圾邮件的源/目的地的特征和列表 | |
US7836133B2 (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
US7921063B1 (en) | Evaluating electronic mail messages based on probabilistic analysis | |
US9123027B2 (en) | Social engineering protection appliance | |
US9521114B2 (en) | Securing email communications | |
US7366919B1 (en) | Use of geo-location data for spam detection | |
US20160191548A1 (en) | Method and system for misuse detection | |
US8135780B2 (en) | Email safety determination | |
CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
CN101471897A (zh) | 对电子通讯中可能的错误拼写地址的启发性检测方法 | |
US20150007253A1 (en) | Method and system for processing a stream of information from a computer network using node based reputation characteristics | |
Stringhini et al. | {B@ bel}: Leveraging Email Delivery for Spam Mitigation | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
US8291024B1 (en) | Statistical spamming behavior analysis on mail clusters | |
WO2012171424A1 (zh) | 电子邮件处理方法及装置 | |
US20060259551A1 (en) | Detection of unsolicited electronic messages | |
AU2009299539A1 (en) | Electronic communication control | |
JPH11252158A (ja) | 電子メール情報管理方法及び装置並びに電子メール情報管理処理プログラムを記録した記録媒体 | |
JP7453886B2 (ja) | 検知装置、検知方法及び検知プログラム | |
JP2010282662A (ja) | メール不達判定装置及びプログラム | |
JP2002163216A (ja) | アドレス信用度評価システム及び方法 | |
JP2002215542A (ja) | 相手先確認メールシステムおよびメールの相手先確認方法 | |
JP2004078623A (ja) | 迷惑メールチェック方法およびシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150604 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20150604 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |