一种邮件的处理方法、装置和系统制造方法及图纸

本发明专利技术实施例公开了一种邮件的处理方法及装置，该方法包括：远端主机连接开放中继端口，或者通过开放代理端口连接的目标主机端口是SMTP端口时，与远端主机之间建立连接；接收远端主机通过所述连接发来的第一邮件数据；对于第一邮件数据包含的每一封邮件，判断该封邮件是否是疑似测试邮件；如果是疑似测试邮件，将该封邮件上报至服务器，以便服务器在满足预设条件的情况下转发该邮件；如果不是疑似测试邮件，丢弃该封邮件。本发明专利技术能够保证对垃圾邮件发送者的黏性，且防止邮件蜜罐被滥用。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及一种邮件的处理方法、蜜罐客户端、服务器及邮件处理系统。
技术介绍
垃圾邮件(Spam)是描述未被请求的电子邮件的通用术语。黑名单技术的广泛应用，使得垃圾邮件发送者(Spammer)倾向于通过使用开放中继(Open Relay)或开放代理(Open Proxy),来伪造垃圾邮件的发件人和隐藏垃圾邮件发送者真实的源IP地址信息,千方百计地改变垃圾邮件的特征，突破邮件过滤技术的拦截和逃避追踪。开放中继是无需对邮件发送者的信息进行认证，就可以进行邮件中继转发的简单邮件传输协议(Simple Mail Transfer Protocol,简称:SMTP)服务。垃圾邮件发送者可以通过开放中继随意的伪装发件人和隐藏收件人信息，以达到迷惑邮件用户、逃避追踪的目的。开放代理是无需用户认证就可以进行数据转发的代理服务，使用开放代理可以隐藏邮件的源IP地址信息。经过分析发现，通过开放中继和开放代理发送的邮件基本都是垃圾邮件。理解垃圾邮件发送者的行为特征(Spammer behavior)是与垃圾邮件做长期斗争的关键一步。如何收集大量的垃圾邮件，是研究垃圾邮件发送者行为的首要任务。传统的垃圾邮件搜集方法摆脱不了防御技术所固有的被动性缺陷，而邮件蜜罐技术以其主动防御特性受到越来越多的关注。所谓蜜罐，是一种资源，它的价值是被攻击或攻陷。邮件蜜罐技术是指设置邮件蜜罐，来诱使垃圾邮件发送者使用邮件蜜罐进行垃圾邮件的转发，从而捕获垃圾邮件的技术。使用邮件蜜罐的方法可以收集到最新的垃圾邮件样本，记录垃圾邮件发送者的行为特征，以及定位垃圾邮件发送者的源IP地址信息，同时还可以消耗垃圾邮件发送者的时间和资源。目前的垃圾邮件蜜罐都是基于单一的SMTP的垃圾邮件蜜罐，即开放中继邮件蜜罐。开放中继邮件蜜罐对垃圾邮件进行获取的方法主要包括:监听传输控制协议(Transmission Control Protocol,简称:TCP)的25端口，当垃圾邮件发送者通过远端主机连接开放中继邮件蜜罐时，将垃圾邮件发送者发来的垃圾邮件保存在本地，并且，将所述垃圾邮件数据全部转发或全部丢弃。但是，将垃圾邮件发送者通过远端主机发来的垃圾邮件全部丢弃，会造成开放中继邮件蜜罐对垃圾邮件发送者的黏性降低；而如果将垃圾邮件全部转发，则会造成开放中继邮件蜜罐被滥用。
技术实现思路
本专利技术实施例中提供了一种邮件的处理方法及装置，能够保证对垃圾邮件发送者的黏性，且防止邮件蜜罐被滥用。第一方面，本专利技术实施例提供一种邮件的处理方法，包括:蜜罐客户端在远端主机连接所述蜜罐客户端的开放中继端口，或者通过所述蜜罐客户端的开放代理端口连接的目标主机端口是SMTP端口时，所述蜜罐客户端与所述远端主机之间建立连接；所述蜜罐客户端接收所述远端主机通过所述连接发来的第一邮件数据；对于第一邮件数据包含的每一封邮件，所述蜜罐客户端判断该封邮件是否是疑似测试邮件；如果是疑似测试邮件，所述蜜罐客户端将该封邮件上报至服务器，以便服务器在满足预设条件的情况下转发该邮件；如果不是疑似测试邮件，所述蜜罐客户端丢弃该封邮件。结合上述第一方面，在第一方面的第一种可能的实现方式中，所述蜜罐客户端判断该封邮件是否是疑似测试邮件包括:所述蜜罐客户端判断该邮件的收件人信息是否满足收件人条件，判断结果为是时，该封邮件是疑似测试邮件；否则，该封邮件不是疑似测试邮件。结合上述第一方面，和/或，第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述蜜罐客户端判断该封邮件是否是疑似测试邮件之前还包括:所述蜜罐客户端判断该封邮件是否满足采样条件；如果满足采样条件，所述蜜罐客户端将该封邮件上报至服务器；如果不满足采样条件，所述蜜罐客户端再执行所述判断该封邮件是否是疑似测试邮件的步骤。结合上述第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述蜜罐客户端判断该封邮件是否满足采样条件包括:所述蜜罐客户端判断该封邮件是否是所述远端主机在本次连接中发送的第一封邮件，如果是，则满足采样条件；如果不是，所述蜜罐客户端判断该封邮件在本地连接中的序号是否满足序号规贝1J，如果满足，则满足采样条件，如果不满足，则不满足采样条件。结合上述第一方面,和/或，第一方面的第一种可能的实现方式，和/或，第一方面的第二种可能的实现方式，和/或，第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，还包括:所述蜜罐客户端将远端主机连接开放中继端口或者开放代理端口的连接信息上报至服务器；和/或，所述蜜罐客户端将建立所述连接时使用的SMTP命令信息上报至服务器。结合上述第一方面,和/或，第一方面的第一种可能的实现方式，和/或，第一方面的第二种可能的实现方式，和/或，第一方面的第三种可能的实现方式，和/或，第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，还包括:所述远端主机通过所述蜜罐客户端的开放代理端口连接的目标主机端口不是SMTP端口时，所述蜜罐客户端判断远端主机发来的数据是否满足转发条件；满足转发条件时，将远端主机发来的数据转发至目标主机；不满足转发条件时，将远端主机发来的数据丢弃。第二方面，本专利技术实施例提供一种邮件的处理方法，包括:服务器接收蜜罐客户端发来的第二邮件数据；所述第二邮件数据包括疑似测试邮件；对于第二邮件数据包含的每一封邮件，所述服务器判断该封邮件的类型；如果判断该封邮件为非测试邮件，所述服务器不转发该封邮件；如果判断该封邮件为垃圾测试邮件，所述服务器按照该封邮件的地址信息转发该封邮件；如果判断该封邮件为反垃圾测试邮件，所述服务器不转发该封邮件。结合上述第二方面，在第二方面的第一种可能的实现方式中，所述服务器判断该封邮件的类型包括:所述服务器判断该封邮件中是否包括垃圾测试邮件的关键字，如果不包括垃圾测试邮件的关键字，则该封邮件的类型为非测试邮件；如果包括垃圾测试邮件的关键字，所述服务器判断该封邮件中是否包括反垃圾测试邮件的关键字，如果不包括反垃圾测试邮件的关键字，则该封邮件的类型为垃圾测试邮件；如果包括反垃圾测试邮件的关键字，则该封邮件的类型为反垃圾测试邮件。结合上述第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，如果所述第二邮件数据还包括采样邮件；所述服务器判断该封邮件的类型之前，还包括:所述服务器判断该邮件的收件人信息是否满足收件人条件，如果判断结果为否，则该封邮件的类型为非测试邮件；如果判断结果为是，所述服务器再执行所述判断该封邮件中是否包括垃圾测试邮件的关键字的步骤。结合上述第二方面，和/或，第二方面的第一种可能的实现方式，和/或，第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，还包括:所述服务器存储蜜罐客户端发来的邮件数据；和/或，所述服务器接收并存储蜜罐客户端发来的SMTP命令信息；和/或，所述服务器接收并存储蜜罐客户端发来的远端主机的连接信息。第三方面，本专利技术实施例提供一种蜜罐客户端，包括:连接建立单元，用于远端主机连接所述蜜罐客户端的开放中继端口，或者通过所述蜜罐客户端的开放代理端口连接的目标主机端口是SMTP端口时，与所述远端主机之间建立连接；第一接收单元，用于接收所述远端主机通过所述连接本文档来自技高网...

【技术保护点】
一种邮件的处理方法，其特征在于，包括：蜜罐客户端在远端主机连接所述蜜罐客户端的开放中继端口，或者通过所述蜜罐客户端的开放代理端口连接的目标主机端口是SMTP端口时，所述蜜罐客户端与所述远端主机之间建立连接；所述蜜罐客户端接收所述远端主机通过所述连接发来的第一邮件数据；对于第一邮件数据包含的每一封邮件，所述蜜罐客户端判断该封邮件是否是疑似测试邮件；如果是疑似测试邮件，所述蜜罐客户端将该封邮件上报至服务器，以便服务器在满足预设条件的情况下转发该邮件；如果不是疑似测试邮件，所述蜜罐客户端丢弃该封邮件。

【技术特征摘要】
1.一种邮件的处理方法，其特征在于，包括: 蜜罐客户端在远端主机连接所述蜜罐客户端的开放中继端口，或者通过所述蜜罐客户端的开放代理端口连接的目标主机端口是SMTP端口时，所述蜜罐客户端与所述远端主机之间建立连接； 所述蜜罐客户端接收所述远端主机通过所述连接发来的第一邮件数据； 对于第一邮件数据包含的每一封邮件，所述蜜罐客户端判断该封邮件是否是疑似测试邮件； 如果是疑似测试邮件，所述蜜罐客户端将该封邮件上报至服务器，以便服务器在满足预设条件的情况下转发该邮件； 如果不是疑似测试邮件，所述蜜罐客户端丢弃该封邮件。2.根据权利要求1所述的方法，其特征在于，所述蜜罐客户端判断该封邮件是否是疑似测试邮件包括: 所述蜜罐客户端判断该邮件的收件人信息是否满足收件人条件，判断结果为是时，该封邮件是疑似测试邮件；否则，该封邮件不是疑似测试邮件。3.根据权利要求1或2所述的方法，其特征在于，所述蜜罐客户端判断该封邮件是否是疑似测试邮件之前还包括: 所述蜜罐客户端判断该封邮件是否满足采样条件； 如果满足采样条件，所述蜜罐客户端将该封邮件上报至服务器； 如果不满足采样条件，所述蜜罐客户端再执行所述判断该封邮件是否是疑似测试邮件的步骤。4.根据权利要求3所述的方法，其特征在于，所述蜜罐客户端判断该封邮件是否满足采样条件包括: 所述蜜罐客户端判断该封邮件是否是所述远端主机在本次连接中发送的第一封邮件，如果是，则满足采样条件； 如果不是，所述蜜罐客户端判断该封邮件在本地连接中的序号是否满足序号规则，如果满足，则满足采样条件，如果不满足，则不满足采样条件。5.根据权利要求1至4任一项所述的方法，其特征在于，还包括: 所述蜜罐客户端将远端主机连接开放中继端口或者开放代理端口的连接信息上报至服务器；和/或， 所述蜜罐客户端将建立所述连接时使用的SMTP命令信息上报至服务器。6.根据权利要求1至5任一项所述的方法，其特征在于，还包括: 所述远端主机通过所述蜜罐客户端的开放代理端口连接的目标主机端口不是SMTP端口时，所述蜜罐客户端判断远端主机发来的数据是否满足转发条件； 满足转发条件时，将远端主机发来的数据转发至目标主机； 不满足转发条件时，将远端主机发来的数据丢弃。7.一种邮件的处理方法，其特征在于，包括: 服务器接收蜜罐客户端发来的第二邮件数据；所述第二邮件数据包括疑似测试邮件； 对于第二邮件数据包含的每一封邮件，所述服务器判断该封邮件的类型； 如果判断该封邮件为非测试邮件，所述服务器不转发该封邮件；如果判断该封邮件为垃圾测试邮件，所述服务器按照该封邮件的地址信息转发该封邮件； 如果判断该封邮件为反垃圾测试邮件，所述服务器不转发该封邮件。8.根据权利要求7所述的方法，其特征在于，所述服务器判断该封邮件的类型包括: 所述服务器判断该封邮件中是否包括垃圾测试邮件的关键字，如果不包括垃圾测试邮件的关键字，则该封邮件的类型为非测试邮件； 如果包括垃圾测试邮件的关键字，所述服务器判断该封邮件中是否包括反垃圾测试邮件的关键字，如果不包括反垃圾测试邮件的关键字，则该封邮件的类型为垃圾测试邮件；如果包括反垃圾测试邮件的关键字，则该封邮件的类型为反垃圾测试邮件。9.根据权利要求8所述的方法，其特征在于，如果所述第二邮件数据还包括采样邮件；所述服务器判断该封邮件的类型之前，还包括: 所述服务器判断该邮件的收件人信息是否满足收件人条件，如果判断结果为否，则该封邮件的类型为非测试邮件； 如果判断结果为是，所述服务器再执行所述判断该封邮件中是否包括垃圾测试邮件的关键字的步骤。10.根据权利要求7至9任一项所述的方法，其特征在于，还包括: 所述服务器存储蜜罐客户端发来的邮件数据；和/或， 所述服务器接收并存储蜜罐客户端发来的SMTP命令信息；和/或， 所述服务器接收并存储蜜罐客户端发来的远端主机的连接信息。11.一种蜜罐客户端，其特征在于，包括: 连接建立单元，用于远端主机连接所述蜜罐客户端的开放中继端口，或者通过所述蜜罐客户端的开放代理端口连接的目标主机端口是SMTP端口时，与所述远端主机之间建立连接...

【专利技术属性】
技术研发人员：孙灵峰，诸葛建伟，郭军权，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：