JP4445243B2 - Spam blocking method - Google Patents
Spam blocking method Download PDFInfo
- Publication number
- JP4445243B2 JP4445243B2 JP2003367895A JP2003367895A JP4445243B2 JP 4445243 B2 JP4445243 B2 JP 4445243B2 JP 2003367895 A JP2003367895 A JP 2003367895A JP 2003367895 A JP2003367895 A JP 2003367895A JP 4445243 B2 JP4445243 B2 JP 4445243B2
- Authority
- JP
- Japan
- Prior art keywords
- url
- url information
- spam
- computer device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 85
- 230000000903 blocking effect Effects 0.000 title claims description 25
- 230000008569 process Effects 0.000 claims description 51
- 238000004458 analytical method Methods 0.000 claims description 43
- 238000012545 processing Methods 0.000 claims description 40
- 238000001514 detection method Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 10
- 238000013500 data storage Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000000605 extraction Methods 0.000 description 6
- 230000009931 harmful effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000010813 municipal solid waste Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、迷惑メール遮断方法に係り、特に、メールサーバにおいて迷惑メールのユーザへの配信を遮断する迷惑メール遮断方法に関する。 The present invention relates to a spam blocking method, in particular, it relates to a spam blocking how to cut off the delivery to spam users in the mail server.
近年、インターネット等の通信網を利用した電子メールの送受信において、受信者側の要・不要に係わらず、不特定多数の人に一方的に大量のメールが発信される事態が多発し、社会問題となっている。このようなメールは、受信者側に不快感を与えるとともに、不要なパケット料金の支払い等が発生するものであるので、迷惑メール又はスパムメールと呼ばれている。 In recent years, when sending and receiving e-mail using communication networks such as the Internet, regardless of whether the recipient is required or not, a large number of e-mails are unilaterally sent to an unspecified number of people. It has become. Such mails are called unsolicited mails or spam mails because they give an unpleasant feeling to the recipient side and generate unnecessary packet charges.
このような迷惑メールへの対策として、受信者側へ迷惑メールが配信される前に、迷惑メールを自動的に排除・処分するシステムが提案されている(例えば、特許文献1参照)。
特許文献1に記載された技術は、携帯電話において、メールの本文中にURL(Uniform Resource Locator)が含まれるか否かを判定し、URLが含まれている電子メールを抽出する。ユーザは、ごみ箱メモリに保存された電子メールを参照し、迷惑メールでないものがあった場合には、その電子メールをメール保存メモリに移動させる。このようにして、受信者側に配信された電子メールのなかから、迷惑メールを抽出することを可能としている。
しかし、上記従来技術によれば、送信側でURLに部分的に改変が加えられてしまった場合には、対応することができないという問題があった。ドメイン名は容易に更新できるため、上記従来技術では迷惑メールの遮断を確実に行うことは不可能であった。
The technology described in
However, according to the above-described conventional technology, there is a problem that it is impossible to cope with a case where the URL is partially modified on the transmission side. Since the domain name can be easily updated, it is impossible to reliably block spam mail with the above-described conventional technology.
迷惑メールを遮断する方法として、上記特許文献1のような技術の他に、レイティング方式と呼ばれる技術がある。レイティング方式とは、インターネット上の各ホームページに対して、「アダルトサイト」、「暴力サイト」などのラベルを付けておき、フィルタリングソフトがそれらのラベルに基づいて、自動的にホームページへのアクセスを制限する方式である。
しかし、上記方法では、レイティングされていないホームページについては対応することができないという問題があった。また、この方法においても、送信側でURLに部分的に改変が加えられてしまった場合には、対応することができないという問題があった。
As a method for blocking spam mail, there is a technique called a rating method in addition to the technique as described in
However, the above method has a problem that it is not possible to deal with a homepage that is not rated. In addition, this method also has a problem that it cannot cope with partial modification of the URL on the transmission side.
さらにまた、他の迷惑メールの遮断方法として、メールの本文中に所定の文字を見つけた場合に、そのメールを迷惑メールと判定する方法が知られている。
現在では、一方的に送りつけられるメールに対して、その表題欄に「未承諾広告*」或いは「!広告!」を付記することが義務づけられている。したがって、メール文中に、「未承諾広告*」或いは「!広告!」の文字を発見した場合には、迷惑メールとして判定するものである。しかし、上記方法では、言語依存が激しいため、全ての言語で効果を上げるのは非常に難しい。
Furthermore, as another spam mail blocking method, there is known a method of determining a mail as a spam mail when a predetermined character is found in the body of the mail.
Currently, it is obliged to add “unsolicited advertisement *” or “! Advertisement!” To the title column of mail sent unilaterally. Therefore, when the characters “unsolicited advertisement *” or “! Advertisement!” Are found in the mail text, it is determined as a spam mail. However, since the above method is highly language dependent, it is very difficult to improve the effect in all languages.
本発明の目的は、迷惑メールに含まれるURLアドレスに基づいて、確実に迷惑メールを検出することを可能とした、迷惑メール遮断方法を提供することにある。 An object of the present invention, based on the URL address included in the spam, made it possible to detect reliably spam is to provide a spam blocking how.
前記課題は、請求項1に係る発明によれば、コンピュータ装置を用いた電子メールの送受信における迷惑メール遮断方法であって、前記コンピュータ装置が、前記電子メールを、メール本文に含まれるセパレータ文字列に従って、メール構造の最小単位であるパートに分解するメール解析工程と、前記コンピュータ装置が、前記分解したパート毎に電子指紋を取得する電子指紋取得工程と、前記コンピュータ装置が、前記パートに含まれるURL情報を取得するURL情報取得工程と、前記コンピュータ装置が、過去の電子メールから取得・蓄積された電子指紋またはURL情報が格納されたデータベースを参照するデータベース参照工程と、前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が、前記データベースに迷惑メールに関連する電子指紋またはURL情報として格納されていた場合に、前記コンピュータ装置が、前記電子メールを迷惑メールと判定して該電子メールの配信を停止する配信停止工程と、を備えたことにより解決される。 According to the first aspect of the present invention, there is provided a spam mail blocking method in transmission / reception of an electronic mail using a computer device , wherein the computer device converts the electronic mail into a separator character string included in a mail text. accordingly the minimum unit at which decomposes in part mail analyzing process mail structure, the computer device, an electronic fingerprint acquisition step of acquiring fingerprint for each of the decomposed part, the computing device is included in the Part A URL information acquisition step of acquiring URL information, a database reference step in which the computer device refers to a database storing electronic fingerprints or URL information acquired / accumulated from past electronic mails, and the electronic fingerprint acquisition step. The acquired electronic fingerprint or the URL information acquired in the URL information acquisition step But if it is stored as a fingerprint or URL information associated with junk mail in the database, the computer apparatus, a distribution stop step of stopping the delivery of electronic mail to determine the e-mail as spam It is solved by having provided.
このように、本発明の迷惑メール遮断方法によれば、電子メールの各パートの電子指紋と、電子メールに含まれるURL情報に基づいて、ユーザ宛に繰り返し配送される迷惑メールを判定するようにされている。このため、入れ子構造のパートにURL情報が隠蔽されていたり、URL情報が符号化等により偽装されているときにも、ユーザ宛に繰り返し送付される情報を把握し、迷惑メールを確実に遮断することが可能となる。 As described above, according to the spam mail blocking method of the present invention, the spam mail repeatedly delivered to the user is determined based on the electronic fingerprint of each part of the email and the URL information included in the email. Has been. For this reason, even when URL information is concealed in a nested structure part or when the URL information is camouflaged by encoding or the like, the information repeatedly sent to the user is grasped and spam mail is surely blocked. It becomes possible.
前記URL情報取得工程では、符号化されたURL文字列を復号する処理、復号されたURL文字列を分解する処理、前記分解された部分に基づいてホスト名,ポート番号,パス名からなる文字列を生成する処理、前記ホスト名に基づいてIPアドレスを取得する処理が前記コンピュータ装置によってなされる。
上記処理により、URL情報が符号化により偽装されている場合であっても、復号化することにより偽装を見破ることが可能となる。また、改変することが難しい「ホスト名,ポート番号,パス名からなる文字列」を生成したり、IPアドレスを取得することにより、繰り返し送付される情報を確実に発見することが可能となる。
In the URL information acquisition step, a process of decoding the encoded URL character string, a process of decomposing the decoded URL character string, and a character string comprising a host name, a port number, and a path name based on the decomposed part The computer device performs a process of generating an IP address and a process of acquiring an IP address based on the host name.
By the above processing, even when URL information is forged by encoding, it is possible to detect forgery by decoding. In addition, it is possible to surely find information that is repeatedly sent by generating a “character string consisting of a host name, a port number, and a path name” that is difficult to modify or by acquiring an IP address.
また、本発明におけるデータベースの構築は、請求項3に記載のように行う。
すなわち、前記データベース参照工程の後に、前記コンピュータ装置が、前記データベースのデータ更新処理または新規データ登録処理を行う登録処理工程と、をさらに備え、前記登録処理工程では、前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が前記データベースに既に存在した場合には、前記コンピュータ装置が、データを更新するデータ更新処理を行い、前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が前記データベースに存在しなかった場合には、前記コンピュータ装置が、新規データとして登録する新規データ登録処理を行う。
Further, the construction of the database in the present invention is performed as described in
In other words, after the database reference step, the computer apparatus, a registration processing step of performing data updating processing or the new data registration processing of said database, further comprising a, in the registration process, are acquired by the fingerprint acquisition step If the electronic fingerprint or the URL information acquired in the URL information acquisition step already exists in the database, the computer device performs a data update process for updating data and is acquired in the electronic fingerprint acquisition step. If the electronic fingerprint or the URL information acquired in the URL information acquisition step does not exist in the database, the computer device performs a new data registration process for registering as new data.
前記データ更新処理または新規データ登録処理では、前記電子指紋またはURL情報の重複登録回数、最終更新日時、最初に登場した電子メールのアーカイブ名が登録される。そして、前記最終更新日時から現時点までの期間に応じて、登録の古い順からデータの削除が行われる。 In the data update process or the new data registration process, the number of duplicate registrations of the electronic fingerprint or URL information, the last update date and time, and the archive name of the email that first appeared are registered. Then, data is deleted from the oldest registration according to the period from the last update date to the present time.
また、前記電子メール自体の情報と、前記メール構造に関する情報と、前記電子指紋に関する情報と、前記URL情報のうち少なくとも一つをHTMLファイルまたはテキストファイルとして出力する工程と、該HTMLファイルまたはテキストファイルをウェブサーバを介して外部に表示する工程とを備えた構成とすると、外部からでも解析結果を参照することが可能となる。 A step of outputting at least one of the information on the electronic mail itself, the information on the mail structure, the information on the electronic fingerprint, and the URL information as an HTML file or a text file; the HTML file or text file; If the configuration includes a step of displaying the information on the outside via the web server, the analysis result can be referred to even from the outside.
また、前記IPアドレスをDNSサーバに適用可能なブラックリストとして出力する処理がなされると、このブラックリストをDNS経由で参照することで、リモートホストでも迷惑メールの遮断が可能となる。 Further, when processing for outputting the IP address as a black list applicable to a DNS server is performed, spam mail can be blocked even by a remote host by referring to the black list via the DNS.
本発明の迷惑メール遮断方法によれば、マルチパート構造の電子メールの中にURL情報が隠蔽されている場合や、URL情報が偽装されている場合であっても、電子メールの解析及びURL情報の解析により、これらの隠蔽や偽装を見破り、迷惑メールを確実に検出することが可能となる。 According spam blocking how the present invention, or when the URL information in the e-mail of a multipart structure is concealed, even if the URL information is spoofed, analysis and URL email By analyzing the information, it is possible to detect these junk mails by detecting these concealments and camouflages.
以下、本発明の一実施の形態を図面に基づいて説明する。なお、以下に説明する部材,配置等は本発明を限定するものでなく、本発明の趣旨の範囲内で種々改変することができるものである。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. The members, arrangements, and the like described below are not intended to limit the present invention and can be variously modified within the scope of the gist of the present invention.
図1は一般的な電子メール送受信のシステム構成を示す説明図、図2は本発明の実施の形態における迷惑メール遮断方法が実行されるシステムの構成図、図3は迷惑メール検出の手順を示すブロック図、図4はメール受信からメールボックス格納までの流れを示す説明図、図5はメール受信から解析結果提示までの流れを示す説明図、図6はプログラムのオプションの例を示す一覧、図7は実際のaliasの例を示す一覧、図8乃至図10はMIMEメールの構造を示す説明図、図11はマルチパートの電子メールの復号化処理を示すフローチャート、図12はURLの抽出・解析処理を示すフローチャート、図13は符号化された文字の一覧表、図14は符号化されたURLと復号化されたURLの例を示す説明図、図15は迷惑メールの判定処理を示すフローチャート、図16はデータベースへの登録処理を示すフローチャート、図17は解析結果をユーザに返信する処理を示すフローチャート、図18及び図19は解析結果の一例を示す説明図、図20は解析結果を保存する記憶部の構造を示す説明図、図21はURLに使用可能な文字の具体例を示す説明図である。 1 is an explanatory view showing the system configuration of a general electronic mail transmission and reception, FIG. 2 is a structural view of a system spam blocking how in the embodiment of the present invention is performed, the procedure of FIG. 3 is spam detection FIG. 4 is an explanatory diagram showing a flow from mail reception to mailbox storage, FIG. 5 is an explanatory diagram showing a flow from mail reception to analysis result presentation, FIG. 6 is a list showing examples of program options, 7 is a list showing examples of actual aliases, FIGS. 8 to 10 are explanatory diagrams showing the structure of MIME mail, FIG. 11 is a flowchart showing the decryption processing of multipart email, and FIG. FIG. 13 is a list of encoded characters, FIG. 14 is an explanatory diagram illustrating examples of encoded URLs and decrypted URLs, and FIG. 15 is a spam mail. FIG. 16 is a flowchart showing the registration process in the database, FIG. 17 is a flowchart showing the process of returning the analysis result to the user, FIGS. 18 and 19 are explanatory diagrams showing an example of the analysis result, and FIG. Is an explanatory view showing the structure of the storage unit for storing the analysis result, and FIG. 21 is an explanatory view showing a specific example of characters usable in the URL.
図1に、一般的な電子メール送受信のシステム構成を示す。図示されているように、電子メール送受信のシステムは、メールサーバ10と、ユーザ端末20と、インターネット30等の通信回線網とを備えて構成されている。インターネット30には、複数のメールサーバ10が接続されており、メールサーバ10間でメールの送受信処理が行われる。
ユーザ端末20は、メールを作成及び送受信する機能を持つメールソフトウェアを備えており、ユーザ端末20がメールサーバ10に接続された状態において、ユーザ端末20はメールサーバ10のメールボックスから、ユーザ宛のメールを取得することができる。なお、ユーザ端末20が携帯電話である場合、メールサーバ10とユーザ端末20とは電通信回線を介して接続される。
FIG. 1 shows a system configuration for general electronic mail transmission / reception. As shown in the figure, the e-mail transmission / reception system includes a
The
図2は、本発明の実施の形態における迷惑メール遮断方法が実行されるシステムの構成図である。本システムは、本発明の実施の形態における迷惑メール遮断方法を実行するサーバ装置としてメールサーバ10を備えている。メールサーバ10には、迷惑メール遮断プログラムや、MTA(Mail Transfer Agent)を含むメールサーバソフトウェアがインストールされている。
メールサーバ10は、例えばワークステーションやパーソナルコンピュータ(パソコン)をはじめとするコンピュータ装置により構成される。メールサーバ10は、電子指紋として取得されるメールのハッシュ値や、メールに含まれていたURL情報が格納されるデータベースDB1〜DB4、ホワイトリスト情報が格納されるデータベースW1〜W4、メールの解析結果が格納されるデータ格納部11a,11b、メールボックス12、迷惑メールボックス13、ウェブサーバー14、POPサーバまたはIMAPサーバ15を備えて構成されている。また、メールサーバ10は、MTAや各種プログラムに従って各種処理を行う制御部(図示せず)を備えている。
Figure 2 is a block diagram of a system spam blocking how in the embodiment of the present invention is performed. This system includes a
The
図3に示すように、本例のシステムでは、DB1〜DB4への登録処理として、標準入力から電子メールを読み込む処理S1と、電子メールの各パートの要素に対する処理S2と、DB参照によるDBへの登録処理S3と、解析結果を登録されたユーザに返信する処理S4と、が行われる。さらに、迷惑メールの判定処理として、標準入力から電子メールを読み込む処理S1と、電子メールの各パートの要素に対する処理S2と、DB参照による判定処理S5と、迷惑メールの遮断処理S6とが行われる。
As shown in FIG. 3, in the system of this example, as registration processing in DB 1 to DB 4 , processing
図4に示すように、メールサーバ10は、ユーザ端末20から発信された電子メール、または他のメールサーバから転送されてきた電子メールを受信する。電子メールは、図示しない電子メール保存部に格納されるが、電子メールそのものを受信する前に、受信された電子メールの宛先の判定を行い、その電子メールの宛先がローカルであるかリモートであるかの判定を行う。宛先がローカルである場合には、その電子メールについてローカル処理がなされる。宛先がリモートの場合には、その電子メールは他のサーバへ転送される。
ローカル処理がなされる場合、電子メールは、判定プログラムに入力され、迷惑メールであるか否かが判定される。迷惑メールではないと判定された電子メールは、宛先が指定され、ローカルメーラープログラムによりメールボックス12へ配信される。
As shown in FIG. 4, the
When the local processing is performed, the e-mail is input to the determination program, and it is determined whether or not it is a junk mail. The e-mail that is determined not to be junk mail is designated as a destination and is delivered to the
DB1〜DB4には、迷惑メールを判定するために必要な各種データが格納されている。
DB1〜DB4には、電子メールから抽出された情報が格納される。DB1〜DB4に格納される情報としては、電子メールに含まれるURL文字列(復号化されたもの)、URLから容易に可変できる部分を除いた"host:port/path"の文字列、URLのホストをDNS検索して得られるIPアドレス、メールのパートごとのハッシュ値、の4種類がある。メールのパートごとのハッシュ値は、電子指紋として取得されるものである。
DB 1 to DB 4 store various data necessary for determining spam mail.
DB 1 to DB 4 store information extracted from electronic mail. Information stored in DB 1 to DB 4 includes a URL character string (decrypted) included in an e-mail, a character string of “host: port / path” excluding a part that can be easily changed from the URL, There are four types: IP addresses obtained by DNS search for URL hosts, and hash values for each mail part. The hash value for each part of the mail is acquired as an electronic fingerprint.
DB1〜DB4に対応して、ホワイトリスト登録用のデータベースW1〜W4が設けられている。ホワイトリスト登録用のデータベースW1〜W4には、迷惑メール関連でないことが予め判っている情報が格納される。
W1〜W4に登録される情報はDB1〜DB4に格納される情報と対になっており、復号後のURL文字列、"host:port/path"の文字列、IPアドレス、メールのパートごとのハッシュ値、が格納される。ここに記録された各情報に該当したメールについては、迷惑メール判定の対象外とされる。
DB1〜DB4及びW1〜W4はハッシュ形式であり、「復号後のURL文字列」、「"host:port/path"の文字列」、「IPアドレス」、「メールのパートごとのハッシュ値」、がキーとされ、「重複登録回数」、「最終更新日時(unix time)」、「最初に登場したメールのアーカイブ名」がデータとして登録される。
Corresponding to DB 1 to DB 4 , databases W 1 to W 4 for white list registration are provided. In the white list registration databases W 1 to W 4 , information that is known in advance to be not related to junk mail is stored.
Information to be registered in the W 1 ~W 4 has become the information and the pair is stored in the DB 1 ~DB 4, URL string after decoding, "host: port / path" string, IP address of the mail A hash value for each part is stored. Mail corresponding to each piece of information recorded here is excluded from the junk mail determination.
DB 1 to DB 4 and W 1 to W 4 are in a hash format, and are “decoded URL character string”, “character string of“ host: port / path ””, “IP address”, “mail part” “Hash value” is used as a key, and “duplicate registration count”, “last update date / time (unix time)”, and “archive name of first appearing mail” are registered as data.
なお、IPアドレスに関しては、別途、DNSBL用のデータ形式でファイルへ出力される。このようにすると、取得されたIPアドレスをいわゆるDNSBLの仕組みで参照できるようになり、リモートホストでも登録されたIPアドレスをベースにした迷惑メール遮断が可能とされる。最近では、RFC2136を用いて動的にDNSの更新を行うことも可能になり、この技術を利用する場合は、データ形式のファイルが不要となる。 The IP address is separately output to a file in the DNSBL data format. In this way, the acquired IP address can be referred to by a so-called DNSBL mechanism, and spam mail blocking based on the registered IP address can be performed even in the remote host. Recently, it is also possible to dynamically update DNS using RFC 2136, and when this technology is used, a file in a data format becomes unnecessary.
本例では、図5に示すように、DB1〜DB4またはW1〜W4へのデータの登録・削除の動作時に、ユーザ宛に解析結果レポートを送信することが可能である。メールサーバ10には、URL情報の解析結果が格納されるデータ格納部11a,11bが設けられている。
ユーザ提示される情報は、解析結果をHTMLファイルにすることにより形成される。HTML出力されたファイルは、データ格納部11aに格納される。
また、電子メールそのものがテキストファイルとして出力される。この情報は、データ格納部11bに格納される。データ格納部11a,11bへそれぞれファイルを格納するときは、最初に登場したメールのアーカイブ名がファイル名とされる。電子メールのテキストファイルは、解析結果のページからリンクを張って参照可能とされる。
データ格納部11a及び11bに格納された解析結果は、ウェブサーバ14を介して、外部から閲覧することができる。閲覧を希望するユーザには、これらの情報を閲覧するためのURLがメールにより送信される。
ユーザは解析結果を参照し、ホワイトリストに登録すべきものがあるかどうか検討する。ホワイトリストに登録するものがあれば、後述するように、そのURL情報をホワイトリスト登録用のアドレスにメール送信する。
In this example, as shown in FIG. 5, it is possible to transmit an analysis result report to the user at the time of data registration / deletion operation to DB 1 to DB 4 or W 1 to W 4 . The
Information presented by the user is formed by converting the analysis result into an HTML file. The HTML output file is stored in the data storage unit 11a.
Also, the e-mail itself is output as a text file. This information is stored in the
The analysis results stored in the
The user refers to the analysis result and examines whether there is anything to be registered in the white list. If there is something to be registered in the white list, the URL information is sent by e-mail to the address for white list registration as will be described later.
メールサーバ10では、DB1〜DB4、W1〜W4へのデータの登録及び削除や、データ格納部11a,11bへのデータ出力において、alias(別名指定)を利用したプログラムの呼び出しを行っている。
この場合、特定のメールアドレスにメールを転送することにより、aliasファイルに書かれたプログラムが所定のオプション付きで起動され、転送されたメールがそのプログラムに入力される、という動作がMTAにより行われる。
図6に、本例におけるオプションの一例を示す。また、図7に、メールサーバ10のaliasファイルに書かれているプログラムの一例を示す。
例えば、迷惑メールに含まれるURL情報等を、データベースDB1〜DB4へ登録する場合は、登録用のメールアドレス(−bオプションの指定されているalias)に対して電子メールを転送することにより行う。
また、特定の情報をデータベースDB1〜DB4から削除する場合は、その情報をメールに書いて、削除用のメールアドレス(−eオプションの指定されているalias)に送信するだけで良い。
さらに、ホワイトリストデータベースW1〜W4への登録であれば、ホワイトリスト登録用のメールアドレス(−wオプションの指定されているalias)に対して、本文に登録する情報を書いてメールを送信する。
本例のシステムでは、迷惑メールを判定するための情報として、送信元情報ではなく、誘導先情報であるURL情報と、メールの各パートのハッシュ値を用いているので、結果として、上記のように単純なメール送信によるDBへの登録が可能となっている。
The
In this case, by transferring the mail to a specific mail address, the program written in the alias file is started with a predetermined option, and the transferred mail is input to the program by the MTA. .
FIG. 6 shows an example of options in this example. FIG. 7 shows an example of a program written in the alias file of the
For example, when registering URL information or the like included in junk mail in the databases DB 1 to DB 4 , by transferring the e-mail to the e-mail address for registration (the alias specified with the -b option) Do.
Further, when deleting specific information from the databases DB 1 to DB 4 , it is only necessary to write the information in a mail and send it to a mail address for deletion (alias designated with the -e option).
Further, in the case of registration in the white list databases W 1 to W 4 , an e-mail is sent by writing information to be registered in the text to the e-mail address for white list registration (alias in which the −w option is specified). To do.
In the system of this example, the URL information that is the guidance destination information and the hash value of each part of the mail are used as the information for determining the junk mail, not the transmission source information. In addition, registration to the DB by simple mail transmission is possible.
DB1〜DB4は、定期的にメンテナンスが行われ、DBの更新プログラムが定期的に実行される。DBの更新プログラムは、現在日時と、DB1〜DB4に記録された更新日時を比較し、所定期間以上経過したデータは削除する。例えば、「IPアドレス」は3ヶ月、「メールの各パートのハッシュ値」は3ヶ月、「復号後のURL文字列」は1ヶ月、「"host:port/path"の文字列」は2ヶ月で削除される。 DB 1 to DB 4 are regularly maintained, and a DB update program is periodically executed. DB updates, the current date and time, comparing the update date and time recorded in the DB 1 to DB 4, passed the data more than a predetermined time period is deleted. For example, “IP address” is 3 months, “Hash value of each part of mail” is 3 months, “URL string after decryption” is 1 month, “string:“ host: port / path ”” is 2 months Is deleted.
「メールの各パートのハッシュ値」、「復号後のURL文字列」、「IPアドレス」、「"host:port/path"の文字列」は、次のようにして取得される。
「メールの各パートのハッシュ値」は、電子メールがMIME(Multipurpose Internet Mail Extensions)で規定されたパートからなるメールとして送付されたときに、その各パートから得られるものである。
ハッシュ値とは、任意の長さのデータを固定長のデータに投影するハッシュ関数を用いて計算される固定長のデータを指すものである。ハッシュ関数の種類によって、得られるハッシュ値のデータ長は異なる。
本例では、160bitのハッシュ値が得られるSHA1と称するハッシュ関数を用いている。ハッシュ関数としては、上記SHA1の他に、MD5(128bit)、RIPEMD(160bit)、SHA256(256bit)などがあるが、本例では、実用上十分な精度があり、計算量も適切なSHA1を用いている。
“Hash value of each part of mail”, “URL character string after decryption”, “IP address”, and “character string of“ host: port / path ”” are acquired as follows.
The “hash value of each part of mail” is obtained from each part when an electronic mail is sent as a mail composed of parts defined by MIME (Multipurpose Internet Mail Extensions).
A hash value refers to fixed-length data calculated using a hash function that projects data of an arbitrary length onto fixed-length data. The data length of the obtained hash value differs depending on the type of hash function.
In this example, a hash function called SHA1 that can obtain a 160-bit hash value is used. As the hash function, there are MD5 (128 bits), RIPEMD (160 bits), SHA256 (256 bits), etc. in addition to the above SHA1. In this example, SHA1 having sufficient practical accuracy and appropriate calculation amount is used. ing.
ハッシュ関数を使った場合、データの内容が1バイトでも異なると、全く別のハッシュ値が生成される。このため、ハッシュ値が同一であれば同一のデータであることが判明し、ハッシュ値が異なれば別の内容であると判定することができる。
ハッシュ値を利用することにより、同一のデータが繰り返し送付された場合に、それを検出することができ、迷惑メールとして判定することが可能となる。
When the hash function is used, if the data contents are different even by 1 byte, a completely different hash value is generated. For this reason, if the hash values are the same, the data is the same, and if the hash values are different, it can be determined that the contents are different.
By using the hash value, when the same data is repeatedly sent, it can be detected and can be determined as spam mail.
MIMEメールがMIME−multipartである場合、パートを入れ子にすることが可能であるため、解析は再帰的に行う。
ここで、MIMEメールの構造について説明する。
MIMEメールの最小単位になるパートは、図8に示すように、ヘッダ部、空行、本文から構成されているが、図9及び図10に示すようにマルチパートの構造からなるものがある。この場合、ヘッダ部には、例えば「Content−Type:multipart/mixed」のように記載されている。
マルチパートの構造は、セパレータ文字列を区切りにして、パートの中に、さらにパートを備えた構造となっている。
When the MIME mail is MIME-multipart, it is possible to nest parts, so the analysis is performed recursively.
Here, the structure of the MIME mail will be described.
As shown in FIG. 8, the part that is the minimum unit of the MIME mail is composed of a header part, a blank line, and a body, but there is a part having a multipart structure as shown in FIGS. In this case, the header portion is described as “Content-Type: multipart / mixed”, for example.
The multi-part structure is a structure in which a separator character string is used as a delimiter and a part is further provided in the part.
図9及び図10は、入れ子構造のマルチパートとされた例であり、図9の例では、本文の中にさらにパートが一つ設けられている。図10の例では、本文の中にパートが一つ設けられ、このパートの中に、さらにパートが設けられている。セパレータ文字列の前後にマイナス記号を2つずつ付加したものがマルチパート終了を意味する。
また、入れ子構造の他に、パートの中に複数のパートが並列に格納されている構造や、並列に格納された構造と、入れ子構造を組み合わせた構造としたものもある。
迷惑メールでは、上記各パートにURLを含ませて、URLを隠蔽していることがある。このため、各パートをMIME−multipartの構造に沿って復号化し、さらに各パートに含まれるURLを抽出する必要がある。
9 and 10 show examples of nested multiparts. In the example of FIG. 9, one more part is provided in the text. In the example of FIG. 10, one part is provided in the text, and further parts are provided in this part. The addition of two minus signs before and after the separator character string means the end of multipart.
In addition to the nested structure, there are also a structure in which a plurality of parts are stored in parallel in a part, or a structure in which a structure stored in parallel and a nested structure are combined.
In junk mail, URLs may be concealed by including URLs in the above parts. For this reason, it is necessary to decode each part along the MIME-multipart structure, and to extract the URL included in each part.
本例のメールサーバ10では、プログラムにしたがって、マルチパートの電子メールの解析が行われる。図11は、マルチパートの電子メールを、その構造に沿って復号化する処理の流れを示すものである。この処理は、図3のS2の処理(パートの要素に対する処理)に該当する。
最初に、本文とヘッダからなるメールが、解析対象のパートとして渡される(ステップS11)。
次に、パートのヘッダ部の解析が行われる(ステップS12)。ヘッダ部には、符号化方式、コンテンツの種類等の情報が記載されている。
ヘッダ部に、例えば「Content−Type:multipart/mixed」と記載されている場合は、電子メールがマルチパートの構造であると判断される。電子メールがマルチパートの構造である場合は、セパレータ文字列を読み取る。
In the
First, a mail composed of a body and a header is passed as a part to be analyzed (step S11).
Next, the analysis of the header part of the part is performed (step S12). The header portion describes information such as the encoding method and content type.
For example, when “Content-Type: multipart / mixed” is described in the header portion, it is determined that the e-mail has a multipart structure. If the email has a multipart structure, the separator string is read.
ステップS13では、本文のハッシュ計算を行う。
さらに、各パートは、base64やquoted−printableという手法で符号化されていることがあるため、ステップS14で、ヘッダ部に符号化指定が記載されているかどうか判定する(ステップS14)。符号化指定がある場合は(ステップS14;Yes)、ステップS15で復号化処理を行い、本文の復号化を行う。符号化指定があるのに、符号化されていない場合は、復号化処理は行わず、ステップS16に進む。
また、符号化指定がない場合は(ステップS14;No)、ステップS16に進む。
ステップS16では、ステップS12で解析したヘッダ部の情報に基づき、パートがマルチパートの構造であるか否かが判定される。
マルチパートの構造ではない場合(ステップS16;No)、ステップS17に進み、パートが可読なものであるか否かを判定する。パートのメディアタイプが、text/plain、text/html等可読なものの場合には(ステップS17;Yes)、ステップS18でURLの抽出・解析処理を行う。
パートのメディアタイプが可読なものでない場合は(ステップS17;No)、処理を終了する。
In step S13, the body hash calculation is performed.
Furthermore, since each part may be encoded by a technique such as base64 or quoted-printable, it is determined in step S14 whether an encoding designation is described in the header part (step S14). If there is an encoding designation (step S14; Yes), the decoding process is performed in step S15, and the body is decoded. If encoding is specified but not encoded, the decoding process is not performed and the process proceeds to step S16.
If no encoding is specified (step S14; No), the process proceeds to step S16.
In step S16, it is determined whether or not the part has a multi-part structure based on the header part information analyzed in step S12.
If the structure is not a multi-part structure (step S16; No), the process proceeds to step S17 to determine whether the part is readable. If the media type of the part is readable such as text / plain, text / html (step S17; Yes), URL extraction / analysis processing is performed in step S18.
If the media type of the part is not readable (step S17; No), the process ends.
また、ステップS16で、パートがマルチパートの構造であると判定された場合は(ステップS16;Yes)、セパレータ文字列に従って、パートの中に入れ込まれているパートを切り出す処理を行う(ステップS19)。そして、切り出された各パートについて、ステップS11〜ステップS19の処理を同様に行う。
この処理により、電子メールを構成する各パートについて、それぞれハッシュ値が求められるとともに、各パートにURL情報が含まれている場合は、その情報が抽出・解析される。
このように、本例ではMIMEマルチパートが入れ子構造を許していることに対応して、解析手続きを再帰呼び出しして、完全な解析を実現している。
なお、解析結果を収納する記憶部(メモリ)の構造についても、MIMEマルチパートの構造にしたがって入れ子構造になっている。図20(a)は、1つのパートを納める記憶部の構造を示すものである。入れ子構造のパートの場合は、内包するパートを256個まで格納できる。内包されるパートについては、実際には図20(a),(b)に示すように、この定義で示されている構造体へのポインタとして格納される。
If it is determined in step S16 that the part has a multi-part structure (step S16; Yes), a process of cutting out the part inserted in the part is performed according to the separator character string (step S19). ). And the process of step S11-step S19 is performed similarly about each part cut out.
Through this process, hash values are obtained for each part constituting the e-mail, and if each part contains URL information, the information is extracted and analyzed.
As described above, in this example, the analysis procedure is recursively called in response to the fact that the MIME multipart permits a nested structure, thereby realizing a complete analysis.
The structure of the storage unit (memory) that stores the analysis results is also nested according to the MIME multipart structure. FIG. 20A shows the structure of a storage unit that stores one part. In the case of nested parts, up to 256 parts can be stored. As shown in FIGS. 20A and 20B, the included part is actually stored as a pointer to the structure shown in this definition.
次に、図12に基づいて、URLの抽出・解析処理(図11の処理のステップS18)について説明する。
ステップS21では、電子メールに所定のスキームが含まれているかどうかのサーチがなされる。
ステップS21のスキームのサーチにおいて、ターゲットとなるURLは、以下の4種類の仕様(スキーム)に対応するURLである。
「http://」で始まるURL。このURLは、HTTP(Hypertext Transfer Protocol)、すなわちウェブサーバとウェブクライアントの間でHTML文書を送受信するための通信プロトコルに対応しているものである。
「https://」で始まるURL。このURLは、HTTPS(Hypertext Transfer Protocol Security)、すなわち、HTTPとSSL(Secure Sockets Layer)の暗号化機能を組み合わせた通信プロトコルに対応するものである。
「rtsp://」で始まるURL。このURLは、RTSP(Real Time Streaming Protocol)、すなわち、オーディオ・データやビデオ・データを実時間転送するための通信プロトコルに対応するものである。
「ftp://」で始まるURL。このURLは、FTP(File Transfer Protocol)、すなわち、ファイル転送プロトコルに対応するものである。
ここで、URLが1つもない場合には、以下のステップにおけるデータは生成されず、ハッシュ値だけの参照となる。
Next, the URL extraction / analysis process (step S18 of the process of FIG. 11) will be described with reference to FIG.
In step S21, a search is made as to whether a predetermined scheme is included in the e-mail.
In the search of the scheme in step S21, the target URL is a URL corresponding to the following four types of specifications (schemes).
URL starting with “http: //”. This URL corresponds to HTTP (Hypertext Transfer Protocol), that is, a communication protocol for transmitting and receiving an HTML document between a web server and a web client.
URL starting with “https: //”. This URL corresponds to HTTPS (Hypertext Transfer Protocol Security), that is, a communication protocol that combines the encryption functions of HTTP and SSL (Secure Sockets Layer).
URL starting with “rtsp: //”. This URL corresponds to RTSP (Real Time Streaming Protocol), that is, a communication protocol for transferring audio data and video data in real time.
URL starting with “ftp: //”. This URL corresponds to FTP (File Transfer Protocol), that is, a file transfer protocol.
Here, when there is no URL, data in the following steps is not generated, and only the hash value is referenced.
ステップS22では、URLの終点が確定される。
そして、ステップS23では、URLが符号化されているかどうかの判定がなされる。符号化されている場合(ステップS23;Yes)、ステップS24で復号化が行われ、再度、URLの終点が確定される。
ステップS23及びステップS24の処理は、符号化により偽装されたURLに対応するために行われるものであり、この処理により、「復号後のURL文字列」を取得することができる。
符号化の手法として、例えば文字実体参照、数値実体参照、エスケープ符号化がある。
文字実体参照は、DTD(Document Type Definition;文書型定義)で定義された名前で文字を指定する手法であり、文字コード位置が「&」と「;」で囲まれる記載となる。
文字実体参照の例として、例えば「&」であれば、「&」と表示される。また、例えば「¥」であれば、「¥」と表示される。また、例えば「<」であれば、「<」と表示される。
数値実体参照において、例えば10進数で指定する場合は、文字コード位置が「&♯」と「;」で囲まれる記載となる。
数値文字参照の例として、例えば「&」であれば「&♯38;」と表示される。また、例えば「¥」であれば、「¥」と表示される。また、例えば「<」であれば、「&♯60;」と表示される。
In step S22, the end point of the URL is determined.
In step S23, it is determined whether the URL is encoded. If it has been encoded (step S23; Yes), decoding is performed in step S24, and the end point of the URL is determined again.
The processing of step S23 and step S24 is performed in order to cope with the URL camouflaged by the encoding, and “decoded URL character string” can be acquired by this processing.
Examples of encoding methods include character entity reference, numerical entity reference, and escape encoding.
The character entity reference is a technique for designating a character with a name defined by DTD (Document Type Definition; document type definition), and the character code position is surrounded by “&” and “;”.
As an example of character entity reference, for example, “&”, “&” is displayed. For example, “&en;” is displayed for “¥”. For example, if “<”, “<” is displayed.
In the numerical entity reference, for example, when a decimal number is specified, the character code position is enclosed by “&#” and “;”.
As an example of numerical character reference, for example, “&” is displayed for “&”. For example, “¥” is displayed for “¥”. For example, if “<”, “<” is displayed.
エスケープ符号化も、本来URLに使用できない文字を取り込むのに使用される枠組みであり、URLの偽装に使用されることがある。エスケープ符号化は、RFC2396に記載されているように、三連文字として符号化されるものである。この三連文字は、「%」文字の後に、2つの16進数字が続く形で構成される。URLにおいてエスケープ符号化がなされた場合は、「w」が「%77」と表示される。
このように、符号化に際しては特定の文字が使用されているため、ステップS23では文字が符号化されているか否かを判定するため、URLのなかに、「&」、「♯」、「;」、「%」の文字が使用されているか否かがチェックされる。
Escape encoding is also a framework used to capture characters that cannot be originally used in URLs, and is sometimes used for URL spoofing. The escape encoding is encoded as a triple character as described in RFC2396. This triple character is composed of a “%” character followed by two hexadecimal digits. When escape encoding is performed in the URL, “w” is displayed as “% 77”.
As described above, since a specific character is used for encoding, in step S23, it is determined whether or not the character is encoded. In the URL, “&”, “#”, “; It is checked whether or not the characters “%” and “%” are used.
ステップS24では、符号化された文字を復号するために、文字一覧表が読み込まれる。文字一覧表は、例えば図13に示すように、符号化された文字と、復号した文字とが対になって登録されている。そして、この一覧表を参照して、符号化された文字の復号がなされる。
図14に、復号化の一例を示す。図において、上段が符号化されたURL、下段が復号化されたURLである。例1は数値実体参照による符号化の例、例2は数値実体参照(セミコロンなし)による符号化の例、例3はエスケープ(URI−encode)による符号化の例である。
In step S24, a character list is read to decode the encoded characters. In the character list, for example, as shown in FIG. 13, encoded characters and decoded characters are registered in pairs. Then, the encoded characters are decoded with reference to this list.
FIG. 14 shows an example of decoding. In the figure, the upper row is the encoded URL, and the lower row is the decoded URL. Example 1 is an example of encoding by numerical entity reference, Example 2 is an example of encoding by numerical entity reference (no semicolon), and Example 3 is an example of encoding by escape (URI-encode).
ここで、URIに使用可能な文字で余計な部分を切り捨てる。つまり、抽出されたURLの各部にそれぞれ使用可能な文字のチェックをかけ、使用できない文字が発見されるとそこを末尾と判定する。図21に、末尾判定に使用される文字、ユーザ情報部分に使用可能な文字、ユーザ情報以外の部分に使用可能な文字の具体例を示す。
ステップS25では、URLを要素に分解する処理がなされる。
URLはインターネットで使用される様々なリソースの場所を表すものであり、URLにはリソースを取り出すためのプロトコルやディレクトリ、ポートなどの情報が含まれている。
URLは、一般に次のような形式とされている。
「scheme://userinfo@host:port/path?query」
なお、「userinfo@」、「:port」、「path」、「?query」は省略されていることもある。
ステップS25では、URLを、「scheme」、「userinfo」、「host」、「port」、「path」、「query」に分解する処理がなされる。
Here, the unnecessary part is cut off with characters usable in the URI. In other words, the characters that can be used are checked for each part of the extracted URL, and when an unusable character is found, it is determined as the end. FIG. 21 shows specific examples of characters used for end determination, characters usable for the user information portion, and characters usable for portions other than the user information.
In step S25, the URL is broken down into elements.
The URL represents the location of various resources used on the Internet, and the URL includes information such as a protocol, a directory, and a port for extracting the resource.
The URL is generally in the following format.
“Scheme: // userinfo @ host: port / path? Query”
Note that “userinfo @”, “: port”, “path”, and “? Query” may be omitted.
In step S25, the URL is decomposed into “scheme”, “userinfo”, “host”, “port”, “path”, and “query”.
具体的な例を挙げると、例えば、
「http://ando:password@ns@www.ppml.tv/」
というURLの場合は、次のように分解される。
「userinfo」は「ando:password@ns」。
「host」は「www.ppml.tv」。
「port」は省略されているが、httpなので「80」。ポート番号は、httpなら80、httpsなら443、ftpなら21、rtspなら554、が適用される。
「path」は「/」。
「query」は「なし」。
「scheme」は「http」。
For example, for example,
“Http: // ando: password @ ns @ www.ppml.tv /”
Is decomposed as follows.
“Userinfo” is “ando: password @ ns”.
“Host” is “www.ppml.tv”.
“Port” is omitted, but “80” because it is http. The port number is 80 for http, 443 for https, 21 for ftp, 554 for rtsp.
“Path” is “/”.
“Query” is “none”.
“Scheme” is “http”.
迷惑メールに記載されるURLは、特定のURLとして拾われることを防止するため、文字等を追加して異なるURLに見せかけているものがある。
例えば、userinfoにわざと「@」を含む文字列を使って、
「scheme://intrude@intercept@host:port/」
のようにされているURLがある。この場合は、「intrude@intercept」がuserinfoとして扱われるべき文字列となる。
また、userinfoに「空白文字」を含ませて、
「http://u s e r i n f o@host:port/」のようにされているURLがある。この場合は、「u s e r i n f o」がuserinfoとして扱われるべき文字列となる。
さらに、userinfoに「改行」を含ませて、
「http://user(改行)
info@string@hostname:port/」のようにされているURLがある。この場合は、「改行」を除き、「userinfo@string」がuserinfoとして扱われるべき文字列となる。
Some URLs described in spam mails appear to be different URLs by adding characters or the like in order to prevent them from being picked up as specific URLs.
For example, using a character string that includes "@" on userinfo purposely,
“Scheme: // intrude @ intercept @ host: port /”
There is a URL that looks like this. In this case, “intrude @ intercept” is a character string to be treated as userinfo.
Also, include “blank characters” in userinfo,
There is a URL that looks like "http: // us er in f o @ host: port /". In this case, “us er i n f o” is a character string to be treated as userinfo.
In addition, include “line feed” in userinfo,
“Http: // user (line feed)
There is a URL such as “info @ string @ hostname: port /”. In this case, except for “line feed”, “userinfo @ string” is a character string to be treated as userinfo.
また、ホスト名部分において偽装されていることがある。
a.「www.ppml.tv」を、大文字と小文字を入れ替えることにより「www.PpMl.tv」としている。
b.ホスト名である「www.ppml.tv」を、IPアドレスである「210.138.35.27」としている。
c.IPアドレス「210.138.35.27」を、Hexadecimal(16進数)形式を用いて「0xD2.0x8A.0x23.0x1B」としている。
Also, the host name part may be disguised.
a. “Www.ppml.tv” is changed to “www.PpMl.tv” by replacing upper and lower case letters.
b. The host name “www.ppml.tv” is the IP address “210.138.35.27”.
c. The IP address “210.138.35.27” is set to “0xD2.0x8A.0x23.0x1B” using the hexadecimal (hexadecimal number) format.
d.IPアドレス「210.138.35.27」を、Octal(8進数)形式を用いて「0322.0212.043.033」としている。
e.IPアドレス「210.138.35.27」を、Hexadecimal形式(unsigned long;符号なし長整数)を用いて「0xD28A231B」としている。
f.IPアドレス「210.138.35.27」を、Decimal(10進数)形式(unsigned long)を用いて「3532268315」としている。
d. The IP address “210.138.35.27” is set to “0322.0212.043.03” using the Octal (octal) format.
e. The IP address “210.138.35.27” is set to “0xD28A231B” using the hexadecimal format (unsigned long: unsigned long integer).
f. The IP address “210.138.35.27” is set to “3532683315” using the Decimal format (unsigned long).
上記aのように、「www.PpMl.tv」のように大文字で記載されたものについては、「www.ppml.tv」のように小文字に変換する。
また、上記b〜fのように、IPアドレスを別の形式で書き換えてあるものについて、「210.138.35.27」のようにドットで区切られた10進数での表記に統一する。
As described in a above, a capital letter such as “www.PpMl.tv” is converted to a small letter such as “www.ppml.tv”.
In addition, as in the above b to f, the IP address that has been rewritten in another format is unified with a decimal number notation such as “210.138.35.27”.
ステップS26では、ステップS25での分解結果から、「host:port/path」文字列が生成される。この文字列は、URLの要素のなかで容易に可変できない部分であり、迷惑メールの判定を行う際に有効に用いることができる。
「http://ando:password@ns@www.ppml.tv/」の例では、「host:port/path」文字列として「www.ppml.tv:80/」が生成される。
In step S26, a “host: port / path” character string is generated from the decomposition result in step S25. This character string is a part that cannot be easily changed in the elements of the URL, and can be used effectively when determining spam mail.
In the example of “http: // ando: password @ ns @ www.ppml.tv /”, “www.ppml.tv:80/” is generated as a “host: port / path” character string.
ステップS27では、ホスト名からIPアドレスを取得する処理が行われる。
この処理は、上記ステップS25でIPアドレスが得られた場合には省略される。
ステップS28では、ステップS26でホスト名「www.ppml.tv」が得られた場合、このホスト名に基づいてIPアドレスが取得される。IPアドレスは、DNS(Domein Name System)サーバへのアクセスにより得ることができる。IPアドレスは得られた数だけ全てが取得される。
In step S27, processing for acquiring an IP address from the host name is performed.
This process is omitted when the IP address is obtained in step S25.
In step S28, when the host name “www.ppml.tv” is obtained in step S26, an IP address is acquired based on this host name. The IP address can be obtained by accessing a DNS (Domain Name System) server. All of the obtained IP addresses are acquired.
このようにして、URLの抽出及び解析が終了する。ステップS21〜ステップS27の処理により、URLが様々な形で偽装されていても、その偽装を解いて、「復号後のURL文字列」、「"host:port/path"の文字列」、「IPアドレス」を得ることができる。
URLの解析が終了すると、解析結果は図2に示すデータベースDB 1 〜DB 4 に保存される。そして、その後、DB1〜DB4参照による判定処理及びDB1〜DB4への登録処理等の各処理が行われる。
In this way, the URL extraction and analysis are completed. Even if the URL is camouflaged in various forms by the processing of step S21 to step S27, the camouflage is solved and “decoded URL character string”, “character string of“ host: port / path ””, “ IP address "can be obtained.
The analysis of the URL is finished, the analysis results are stored in the
ここで、URLの抽出・解析処理のステップS24の後に行う例外処理について説明する。この処理では、リダイレクターの排除が行われる。
迷惑メールに記載されるURLは、特定のURLとして禁止されることを防止するため、無関係なサイトのリダイレクト機能を用いていることがある。すなわち、本来のURLの前に、別のURLを付加し、この別のURLにアクセスしてきたユーザを、強制的に本来的に見せたいページへ導くものである。
Here, exception processing performed after step S24 of URL extraction / analysis processing will be described. In this process, the redirector is eliminated.
In order to prevent the URL described in the spam mail from being prohibited as a specific URL, an unrelated site redirect function may be used. That is, another URL is added before the original URL, and the user who has accessed the other URL is forcibly led to a page that the user wants to originally display.
リダイレクターを不正に利用したURLは、例えば、
「http://srd.abcde.com/drst/800501378255/*http:/www.365pharm1.com/」
のように記載されている。
上記URLのうち、「http:/www.365pharm1.com/」が本来的にユーザに見せたいページを示す部分である。
ステップS41では、URLに記載された「*」の位置が確定される。次いで、ステップS42では、「*」以降に記載されている、本来ユーザに見せたい方のURL(この場合では「http:/www.365pharm1.com/」の部分)を抽出する処理を行う。
URLが抽出されたら、URLの抽出・解析処理のステップS26〜ステップS28において、URLの解析が行われる。
For example, the URL that illegally used the redirector is
“Http://srd.abcde.com/drst/800501378255/*http://www.365pharm1.com/”
It is described as follows.
Of the above URL, “http://www.365pharm1.com/” is a portion indicating a page that the user originally wants to show.
In step S41, the position of “*” described in the URL is determined. Next, in step S42, a process of extracting a URL (in this case, “http://www.365pharm1.com/”) described after “*” that is originally intended to be shown to the user is performed.
When the URL is extracted, the URL is analyzed in steps S26 to S28 of the URL extraction / analysis process.
次に、図15において、迷惑メールの判定処理及び迷惑メール送付遮断処理について説明する。判定処理は、図3に示すステップS5及びステップS6に該当する。
判定のフローは、MTAからローカルメイラーの代わりに、以下の処理を行うプログラムが呼び出されて行われる。
ステップS1及びステップS2の処理を経て、「メールの各パートのハッシュ値」、「復号後のURL文字列」、「"host:port/path"文字列」、「IPアドレス」が取得されると、DB1〜DB4を参照し、一致するデータのスコアを計算し、スコアが1以上であるか否かが判定される(ステップS31)。
スコアが1以上であった場合(ステップS31;Yes)、迷惑メールであると判定され、迷惑メールボックス13にメールが配送される(ステップS32)。
また、スコアが0であった場合(ステップS31;No)、迷惑メールではないと判定され、ユーザのメールボックス12にメールが配送される(ステップS33)。
このとき、メールのヘッダに検出結果(スコア)を付加して配送する。こうすることにより、MUA(Mail User Agent)で、ヘッダ情報を利用した分別等の処理が可能となる。なお、配送先のアカウントを切り替える際は、図6の−u及び−rオプションを使用することにより、切り替えが可能となる。
Next, referring to FIG. 15, the spam mail determination process and the spam mail blocking process will be described. The determination process corresponds to step S5 and step S6 shown in FIG.
The determination flow is performed by calling a program for performing the following processing from the MTA instead of the local mailer.
When the “hash value of each part of mail”, “decoded URL character string”, ““ host: port / path ”character string”, and “IP address” are acquired through the processing of step S1 and step S2. , DB 1 to DB 4 are referred to, the score of the matching data is calculated, and it is determined whether or not the score is 1 or more (step S31).
If the score is 1 or more (step S31; Yes), it is determined that the mail is spam and mail is delivered to the spam mail box 13 (step S32).
If the score is 0 (step S31; No), it is determined that it is not a spam mail, and the mail is delivered to the user's mail box 12 (step S33).
At this time, the detection result (score) is added to the mail header and delivered. By doing so, processing such as sorting using header information can be performed by MUA (Mail User Agent). It should be noted that when the delivery destination account is switched, it can be switched by using the -u and -r options in FIG.
図16は、データベースDB1〜DB4への登録処理を示すものである。この処理は、図3に示すステップS3に該当する。
登録のフローは、登録用のメールアドレスにメールを転送することで行われる。そうすると、登録用のプログラムが呼び出され、登録処理が行われる。
登録処理では、解析結果をもとに、「メールの各パートのハッシュ値」、「復号後のURL文字列」、「"host:port/path"文字列」、「IPアドレス」が、それぞれのデータベースDB1〜DB4に登録される。
ステップS41では、取得された上記4種類のデータについて、DB1〜DB4が参照され、当該情報がDB1〜DB4へ登録されているか否かが判定される。登録があった場合(ステップS41;Yes)は、重複登録回数(カウンタ)を1増加させ、更新日時を更新して再登録する(ステップS42)。
登録がなかった場合(ステップS41;No)は新規登録となる。新規登録されるURL情報は、重複登録回数(カウンタ)が1、更新日時は現在、アーカイブ名は現在処理中のもので登録される(ステップS43)。
FIG. 16 shows registration processing in the databases DB 1 to DB 4 . This process corresponds to step S3 shown in FIG.
The registration flow is performed by transferring an email to a registration email address. If it does so, the program for registration will be called and registration processing will be performed.
In the registration process, based on the analysis result, “the hash value of each part of the mail”, “the URL character string after decryption”, “the“ host: port / path ”character string”, “IP address” Registered in the databases DB 1 to DB 4 .
In step S41, DB 1 to DB 4 are referred to for the acquired four types of data, and it is determined whether or not the information is registered in DB 1 to DB 4 . If registration has been made (step S41; Yes), the number of duplicate registrations (counter) is incremented by 1, the update date is updated, and re-registration is performed (step S42).
When there is no registration (step S41; No), it becomes new registration. The newly registered URL information is registered with the duplicate registration count (counter) being 1, the update date / time is currently, and the archive name is currently being processed (step S43).
図17は、解析結果をユーザに返信する処理を示すものである。この処理は、図3におけるステップS4に該当する。
ステップS51では、電子メールがテキストファイルとして出力される。出力されたデータは、「アーカイブ名.txt」というファイル名でデータ格納部11bに格納される。
また、ステップS52では、解析結果がHTML出力される。出力されたデータは、「アーカイブ名.html」というファイル名でデータ格納部11aに格納される。
ステップS53では、解析結果を閲覧希望するユーザに対して、これらの情報を閲覧するためのURLがメールにより送信される。テキストファイルは、解析結果のページからリンクを張って参照可能とされる。
FIG. 17 shows a process of returning the analysis result to the user. This process corresponds to step S4 in FIG.
In step S51, the e-mail is output as a text file. The output data is stored in the
In step S52, the analysis result is output in HTML. The output data is stored in the data storage unit 11a with the file name “archive name.html”.
In step S53, a URL for browsing these pieces of information is transmitted by mail to a user who wishes to browse the analysis results. The text file can be referred to by providing a link from the analysis result page.
図18及び図19は、解析結果の一例を示すものである。
図18に示す例では、送付された電子メールのタイプ(図中の符号A)、本文のハッシュ値(図中の符号B)、各パートのメディアタイプ(図中の符号C)、各パートのハッシュ値(図中の符号D,E,F)、各パートに含まれていたURLの数(図中の符号G,H,I)、送付時のURL文字列(図中の符号J)、復号後のURL文字列(図中の符号K)、URLを分解した結果情報(図中の符号L)、"host:port/path"の文字列(図中の符号M)、IPアドレス(図中の符号N)等の情報が表示されている。
図19に示す例では、送付された電子メールの解析結果に加えて、DB1〜DB4に登録されるデータについても表示されている。
図19では、送付された電子メールのタイプ(図中の符号A)、本文のハッシュ値(図中の符号B)、メールに含まれていたURL情報の数(図中の符号G)、送付時のURL文字列(図中の符号J)、復号後のURL文字列(図中の符号K)、URLを分解した結果情報(図中の符号L)、"host:port/path"の文字列(図中の符号M)、IPアドレス(図中の符号N)が表示されている。
さらに、抽出されたIPアドレスの重複登録回数(図中の符号O)、更新日時(図中の符号P)、アーカイブ名(図中の符号Q)が表示されている。
18 and 19 show examples of analysis results.
In the example shown in FIG. 18, the type of sent email (symbol A in the figure), the hash value of the body (symbol B in the figure), the media type of each part (symbol C in the figure), the Hash value (codes D, E, F in the figure), number of URLs included in each part (codes G, H, I in the figure), URL character string at the time of sending (code J in the figure), URL character string after decryption (symbol K in the figure), result information obtained by decomposing the URL (symbol L in the figure), "host: port / path" character string (symbol M in the figure), IP address (symbol) Information such as N) is displayed.
In the example shown in FIG. 19, in addition to the analysis result of the sent e-mail, data registered in DB 1 to DB 4 is also displayed.
In FIG. 19, the type of sent email (symbol A in the figure), the hash value of the text (symbol B in the figure), the number of URL information included in the email (symbol G in the figure), the delivery URL character string at the time (symbol J in the figure), URL character string after decryption (symbol K in the figure), information obtained by decomposing the URL (symbol L in the figure), "host: port / path" characters A column (symbol M in the figure) and an IP address (symbol N in the figure) are displayed.
Furthermore, the number of duplicate registrations of the extracted IP address (symbol O in the figure), the update date (symbol P in the figure), and the archive name (symbol Q in the figure) are displayed.
上記解析結果では、「NEWURL」等、NEWの付いているデータが、新規登録されたことを意味しているので、ユーザはその内容をチェックする。
このとき、DBに登録したくないURL情報(すなわち、迷惑メールとは無関係なURL情報)があれば、そのURL情報はホワイトリストに登録される。
この場合は、迷惑メールと無関係なURL情報をメールの本文に記載し、ホワイトリスト登録用のメールアドレスにメールを送信する。そうすると、図7の「ホワイトリスト登録とレポート」に記載されたプログラムが起動される。そして、該当情報がデータベースDB1〜DB4から削除されるとともに、ホワイトリストのデータベースW1〜W4への登録が行われる。
In the analysis result, since the data with NEW such as “NEWURL” is newly registered, the user checks the contents.
At this time, if there is URL information that is not desired to be registered in the DB (that is, URL information irrelevant to spam mail), the URL information is registered in the white list.
In this case, URL information irrelevant to the spam mail is described in the body of the mail, and the mail is transmitted to the whitelist registration mail address. Then, the program described in “Whitelist registration and report” in FIG. 7 is started. Then, the corresponding information is deleted from the databases DB 1 to DB 4 and the white list is registered in the databases W 1 to W 4 .
ログファイルを作成する際は、ログファイルにはそのメールの含んでいるURL情報とその解析結果及び、詳細なスコア(DBにヒットした数/検出数)が記録される。
ログファイルは、例えば次のような形式で記録される。
X−Picky−Score:101(ip:23/27、hpp:39/43、url:39/43、psig:0/3)
上記の例では、メールサーバで、同じIPアドレス(ip)、または同じhostname:port/pth文字列(hpp)、または同じURL(url)、または同じ各パートの電子指紋(psig)のうち、全部で101個がDB1〜DB4に登録されていたことを示している。
この例では、ip(IPアドレス)については27個検出のうちの23個がDB3の情報に一致し、hpp(「host:port/path」文字列)についは43個検出のうちの39個がDB2の情報に一致し、url(復号後のURL文字列)については43個検出のうちの39個がDB1の情報に一致し、psig(メールの各パートのハッシュ値)については3個検出のうちの0個がDB4の情報に一致したことが示されている。
When a log file is created, URL information included in the mail, an analysis result thereof, and a detailed score (number of hits in DB / number of detections) are recorded in the log file.
The log file is recorded in the following format, for example.
X-Picky-Score: 101 (ip: 23/27, hpp: 39/43, url: 39/43, psig: 0/3)
In the above example, all of the same IP address (ip), the same hostname: port / pth string (hpp), the same URL (url), or the same electronic fingerprint (psig) of each part on the mail server This indicates that 101 are registered in DB 1 to DB 4 .
In this example, for ip (IP address), 23 out of 27 detections match the information in DB 3 , and for hpp (“host: port / path” character string), 39 out of 43 detections. Matches the information in DB 2 , 39 out of 43 detections for url (decoded URL character string) match the information in DB 1 , and 3 for psig (the hash value of each part of the mail) 0 of number detection is shown to match the information in the DB 4.
本例のシステムを、有害ウェブサイトへのアクセス制限に用いても良い。
この場合も、上記実施の形態と同様にして、有害ウェブサイトに関するURL情報を取得する。このURL情報を有する端末では、登録されたURL情報に基づいて、有害ウェブサイトへのアクセスがなされようとしている場合に、そのアクセスが制限される。
The system of this example may be used to restrict access to harmful websites.
Also in this case, URL information related to the harmful website is acquired in the same manner as in the above embodiment. In the terminal having the URL information, when access to the harmful website is attempted based on the registered URL information, the access is restricted.
上記構成から把握できる請求項以外の技術的思想を以下に記載する。
(1)電子メールにより誘導される特定ウェブサイトへのアクセス制限方法であって、
前記電子メールを、メール本文に含まれるセパレータ文字列に従って、メール構造の最小単位であるパートに分解するメール解析工程と、
前記分解したパート毎に電子指紋を取得する電子指紋取得工程と、
前記パートに含まれるURL情報を取得するURL情報取得工程と、
過去の電子メールから取得・蓄積された電子指紋またはURL情報が格納されたデータベースを参照するデータベース参照工程と、
前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が、前記データベースに迷惑メールに関連する電子指紋またはURL情報として格納されていた場合に、前記URL情報を有害ウェブサイトに関する情報と判定して、該有害ウェブサイトへのアクセスを制限するアクセス制限工程と、を備えたことを特徴とする特定ウェブサイトへのアクセス制限方法。
The technical ideas other than the claims that can be grasped from the above configuration will be described below.
(1) A method for restricting access to a specific website induced by e-mail,
A mail analysis step of disassembling the electronic mail into parts that are the minimum unit of a mail structure according to a separator character string included in a mail body;
An electronic fingerprint acquisition step of acquiring an electronic fingerprint for each disassembled part;
URL information acquisition step of acquiring URL information included in the part;
A database reference process for referring to a database storing electronic fingerprints or URL information acquired / accumulated from past e-mails;
When the electronic fingerprint acquired in the electronic fingerprint acquisition step or the URL information acquired in the URL information acquisition step is stored as electronic fingerprint or URL information related to spam mail in the database, the URL information is An access restriction method for a specific website, comprising: an access restriction step for restricting access to the harmful website by determining that the information is about a harmful website.
迷惑メールに関するデータを提供するサイト(例えばスパムアーカイブ;http://www.spmarchive.org/)を利用して、本システムの機能を評価した。
迷惑メールを1通ずつ解析し、迷惑メールとして登録するという手順で、34日分、37,000通あまりをDBに登録した。
その結果、URLからIPアドレスが取得できたものに限ると、31日目のデータで99.58%の迷惑メールを遮断することができた。これは一般的な迷惑メール遮断の手法を上回る検出率である。
We evaluated the functionality of this system using a site that provides data on spam (for example, spam archives; http://www.spmarchive.org/).
By analyzing the spam mails one by one and registering them as spam mails, about 37,000 mails for 34 days were registered in the DB.
As a result, it was possible to block 99.58% of spam mails with the data on the 31st day only if the IP address could be obtained from the URL. This is a detection rate that exceeds the general spam blocking method.
また、37,000通のメールを解析した結果、各DBに記録されているデータエントリーは、
URL文字列のDB:68,473件
host:port/path文字列のDB:40,526件
メールの各パートのハッシュ値のDB:37,424件
IPアドレスのDB:5,202件
となった。
このなかで、検出に最も貢献したのは、IPアドレスのDBであった。
このように、本例のシステムでは、小さなサイズのDBで高い検出効率を達成することができるため、大規模サイトへの適用も可能である。
また、従来の仕組みのように、発信元のホストやIPアドレス、発信者のドメインを利用して迷惑メールを判定する手法では、迷惑メールの発信元として登録されてしまうと、それ以降その発信元からはメールが届かなくなってしまうが、本例のシステムでは、誘導先のURL情報さえ消せば確実にメールは到達するので、実用上、より弊害の少ない安全なシステムになっていると言える。
As a result of analyzing 37,000 mails, the data entry recorded in each DB is
URL string DB: 68,473 cases host: port / path string DB: 40,526 cases Hash value DB of each mail part: 37,424 IP address DB: 5,202 cases .
Among these, the IP address DB contributed most to the detection.
As described above, in the system of this example, high detection efficiency can be achieved with a small-sized DB, so that it can be applied to a large-scale site.
Also, in the method of judging spam mail using the sender's host, IP address, and sender's domain as in the conventional mechanism, if it is registered as the sender of spam mail, then that sender However, in the system of this example, the mail arrives as long as the destination URL information is deleted, so it can be said that the system is a safe system with less harmful effects in practice.
10 メールサーバ、11 メール受信部、12制御部、13 記憶部、14 メールボックス、15 迷惑メールボックス、16 リモート処理部、20 ユーザ端末、30 インターネット 10 mail server, 11 mail receiving unit, 12 control unit, 13 storage unit, 14 mail box, 15 junk mail box, 16 remote processing unit, 20 user terminal, 30 Internet
Claims (7)
前記コンピュータ装置が、前記電子メールを、メール本文に含まれるセパレータ文字列に従って、メール構造の最小単位であるパートに分解するメール解析工程と、
前記コンピュータ装置が、前記分解したパート毎に電子指紋を取得する電子指紋取得工程と、
前記コンピュータ装置が、前記パートに含まれるURL情報を取得するURL情報取得工程と、
前記コンピュータ装置が、過去の電子メールから取得・蓄積された電子指紋またはURL情報が格納されたデータベースを参照するデータベース参照工程と、
前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が、前記データベースに迷惑メールに関連する電子指紋またはURL情報として格納されていた場合に、前記コンピュータ装置が、前記電子メールを迷惑メールと判定して該電子メールの配信を停止する配信停止工程と、を備えたことを特徴とする迷惑メール遮断方法。 A spam mail blocking method for sending and receiving e-mail using a computer device ,
A mail analysis step in which the computer device decomposes the electronic mail into parts that are the minimum unit of a mail structure according to a separator character string included in a mail text;
An electronic fingerprint acquisition step in which the computer device acquires an electronic fingerprint for each disassembled part;
A URL information acquisition step in which the computer device acquires URL information included in the part;
A database reference step in which the computer device refers to a database in which electronic fingerprint or URL information acquired / accumulated from past e-mails is stored;
When the electronic fingerprint acquired in the electronic fingerprint acquisition step or the URL information acquired in the URL information acquisition step is stored in the database as an electronic fingerprint or URL information related to spam mail, the computer device And a delivery stop step for determining that the email is spam and stopping delivery of the email.
前記登録処理工程では、前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が前記データベースに既に存在した場合には、前記コンピュータ装置が、データを更新するデータ更新処理を行い、前記電子指紋取得工程で取得された電子指紋または前記URL情報取得工程で取得されたURL情報が前記データベースに存在しなかった場合には、前記コンピュータ装置が、新規データとして登録する新規データ登録処理を行うことを特徴とする請求項1又は2に記載の迷惑メール遮断方法。 After the database reference step, the computer device further comprises a registration processing step of performing data updating processing or the new data registration processing of said database,
In the registration processing step, when the electronic fingerprint acquired in the electronic fingerprint acquisition step or the URL information acquired in the URL information acquisition step already exists in the database, the computer device updates the data When the electronic fingerprint acquired in the electronic fingerprint acquisition step or the URL information acquired in the URL information acquisition step does not exist in the database, the computer device registers as new data. 3. The spam mail blocking method according to claim 1, wherein new data registration processing is performed.
該HTMLファイルまたはテキストファイルをウェブサーバを介して外部に表示する工程と、を備えたことを特徴とする請求項1または3記載の迷惑メール遮断方法。 Outputting at least one of information on the electronic mail itself, information on the mail structure, information on the electronic fingerprint, and the URL information as an HTML file or a text file;
The method for blocking spam mail according to claim 1 or 3, further comprising a step of displaying the HTML file or text file externally via a web server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003367895A JP4445243B2 (en) | 2003-10-28 | 2003-10-28 | Spam blocking method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003367895A JP4445243B2 (en) | 2003-10-28 | 2003-10-28 | Spam blocking method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005135024A JP2005135024A (en) | 2005-05-26 |
| JP4445243B2 true JP4445243B2 (en) | 2010-04-07 |
Family
ID=34645763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003367895A Expired - Fee Related JP4445243B2 (en) | 2003-10-28 | 2003-10-28 | Spam blocking method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4445243B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101877680A (en) * | 2010-05-21 | 2010-11-03 | 电子科技大学 | A spam sending behavior control system and method |
| US10706032B2 (en) | 2015-04-28 | 2020-07-07 | International Business Machines Corporation | Unsolicited bulk email detection using URL tree hashes |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8856239B1 (en) | 2004-02-10 | 2014-10-07 | Sonicwall, Inc. | Message classification based on likelihood of spoofing |
| JP4732042B2 (en) * | 2005-07-12 | 2011-07-27 | 株式会社エヌ・ティ・ティ・データ | Mail server, proxy server, server system, guided address determination method, access destination confirmation method and program |
| JP4612535B2 (en) * | 2005-12-02 | 2011-01-12 | 日本電信電話株式会社 | Whitelist collection method and apparatus for valid site verification method |
| JP2007241378A (en) * | 2006-03-06 | 2007-09-20 | Data Henkan Kenkyusho:Kk | Retrieval device and program therefor |
| US7627641B2 (en) | 2006-03-09 | 2009-12-01 | Watchguard Technologies, Inc. | Method and system for recognizing desired email |
| JP4963426B2 (en) * | 2007-02-27 | 2012-06-27 | 楽天株式会社 | Continuous mail countermeasure system |
| JP5749053B2 (en) * | 2010-03-31 | 2015-07-15 | 株式会社ブロードバンドセキュリティ | File upload blocking system and file upload blocking method |
| JP5462713B2 (en) * | 2010-05-25 | 2014-04-02 | 株式会社Kddi研究所 | Web page collection apparatus, method, and program |
| WO2016117776A1 (en) * | 2015-01-23 | 2016-07-28 | 주식회사 플랜티넷 | Router-based harmful site blocking system and method therefor |
-
2003
- 2003-10-28 JP JP2003367895A patent/JP4445243B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101877680A (en) * | 2010-05-21 | 2010-11-03 | 电子科技大学 | A spam sending behavior control system and method |
| US10706032B2 (en) | 2015-04-28 | 2020-07-07 | International Business Machines Corporation | Unsolicited bulk email detection using URL tree hashes |
| US10810176B2 (en) | 2015-04-28 | 2020-10-20 | International Business Machines Corporation | Unsolicited bulk email detection using URL tree hashes |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005135024A (en) | 2005-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8015250B2 (en) | Method and system for filtering electronic messages | |
| US8539224B2 (en) | Obscuring form data through obfuscation | |
| US8584233B1 (en) | Providing malware-free web content to end users using dynamic templates | |
| US20220109690A1 (en) | Automated collection of branded training data for security awareness training | |
| US8069213B2 (en) | Method of controlling access to network resources using information in electronic mail messages | |
| US10771418B2 (en) | System and method for securely performing multiple stage email processing with embedded codes | |
| JP4395848B2 (en) | Method, system, and computer program for generating and processing disposable email addresses | |
| US20110238770A1 (en) | Method and apparatus to screen electronic communications | |
| US8321512B2 (en) | Method and software product for identifying unsolicited emails | |
| US20150067839A1 (en) | Syntactical Fingerprinting | |
| US7739337B1 (en) | Method and apparatus for grouping spam email messages | |
| WO2002093428A1 (en) | Parsing of nested internet electronic mail documents | |
| CN108259415A (en) | A kind of method and device of mail-detection | |
| JP4445243B2 (en) | Spam blocking method | |
| US8473556B2 (en) | Apparatus, a method, a program and a system for processing an e-mail | |
| US20210329007A1 (en) | Method of Using Sequential Email Numbering to Detect an Email Phishing Attempt or Fraudulent Email Within an Email Domain | |
| Ahmad et al. | Overview of phishing landscape and homographs in Arabic domain names | |
| US8676907B2 (en) | Relay apparatus, relay method and recording medium | |
| KR20040013180A (en) | Email blocking algorithm and system based on URL pattern matching method | |
| KR100459379B1 (en) | Method for producing basic data for determining whether or not each electronic document is similar and System therefor | |
| WO2023157191A1 (en) | Communication system, gateway device, terminal device, and program | |
| CA3064380A1 (en) | Method of using sequential email numbering to detect an email phishing attempt or fraudulent email within an email domain | |
| KR100440270B1 (en) | Location tracking system of mail receiver and method thereof | |
| JP2017167934A (en) | COMMUNICATION DEVICE, Mail processing method, and mail processing program | |
| JP2006221586A (en) | Reporting spam filtering system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061019 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090406 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091020 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091201 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100105 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4445243 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| S201 | Request for registration of exclusive licence |
Free format text: JAPANESE INTERMEDIATE CODE: R314201 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| S201 | Request for registration of exclusive licence |
Free format text: JAPANESE INTERMEDIATE CODE: R314201 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140122 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |