一种邮件处理方法及系统与流程

本发明涉及数据安全领域，具体涉及一种邮件处理方法及系统。

背景技术：

邮件代理，作为邮件客户端和服务器之间的桥梁，为邮件发送和接收提供更快、更高效、更安全的管控；

邮件网关：能够对邮件进行分类控制，对邮件正文、附件、发件人、收件人(抄送、密送)等信息进行管控，防止敏感信息泄露。

邮件网关，即根据设定的规则，对通过网关的所有邮件进行管控，防止携带敏感信息的邮件未经允许发送出去，避免信息泄露。随着网络的普及，信息安全越来越受到人们的关注和重视，如何防止信息泄露，保障用户私有数据的安全性是信息安全的首要任务。传统邮件审计的方法很难从根本上严格控制邮件的外发，新型的邮件代理方式，可以从根本上严控邮件的外发、审批、外部攻击等，保障内部邮件服务器及数据的安全。

实现邮件网关需要设计一个邮件网关代理，外发的所有邮件都先通过邮件网关代理，然后由邮件网关代理将邮件交给邮件分析和监测程序，对邮件进行细粒度的分析和监测后，如果发现敏感源，则根据敏感源的处理定义对该邮件进行相应的处理，高危的敏感源直接阻断，并通知管理员进行处理，中危的敏感源对邮件先保留待发，通知管理员对邮件进行审核，审核通过后再发送出去，如果是低危敏感源，则记录这条邮件的详细信息并转发。

邮件代理是整个邮件网关的核心，目前常见的邮件网关仅仅是对邮件进行转发的目的，很难达到对邮件内容进行检测和管控，同时，对于邮件服务器的攻击和大量邮件对服务器负载的影响都很难避免，因此，邮件网关需要一种可靠的方式来满足邮件的转发、管控，以及邮件服务器的负载保护、防攻击等功能。

经检索，得到最接近的对比文献：

发明名称：一种邮件控制方法及装置，公开号:cn106411690a)。

该发明专利提供一种邮件控制方法及装置，通过二次检测确定邮件的合法性，并可以阻断不合法邮件的转发，进而可以提高邮件过滤的准确率，避免非法邮件的发送，提升用户体验。

该现有技术收到客户端发送的邮件时，判断该邮件是否符合预设过滤规则；在确定该邮件不符合预设过滤规则时，将该邮件缓存后丢包；检查缓存的邮件是否合法；在确定缓存的邮件合法时，将该邮件转发至服务器。

上述现有技术的缺点是：

(1)上述专利是通过预设过滤规则对邮件进行判断，从而决定邮件是否转发，并未对不符合规则的邮件进行有效的反馈，未能进行人为干预和审批；

(2)上述专利对邮件服务器的负载和安全性未做防护，当邮件服务器负载过高时，邮件网关如果不能及时对邮件加以控制，邮件服务器可能会出现异常；同时，如果发现大量攻击性邮件，邮件网关不能及时进行拦截，可能对邮件服务器造成不必要的损失。

技术实现要素：

本发明提出并实现的一种基于代理的邮件网关的方法，该方法通过对邮件正文和附件内容的解析、提取、分析等一系列处理，正确识别敏感源，并通知系统管理员；同时，根据收件服务器的负载和处理情况，提供邮件缓存队列及邮件攻击防护，确保邮件服务器的安全。

为解决上述技术问题，本发明提供了一种邮件处理方法，其特征在于，该方法包括以下步骤：

1)提取待发送邮件的内容；

2)对提取的邮件内容进行规则匹配；

3)对命中规则的邮件按照规则规定的响应方式做相应的处理；

4)将经处理后仍需发送的邮件放入邮件外发队列后，发送邮件外发队列中的部分邮件，根据反馈确定邮件服务器的繁忙程度，根据繁忙程度调整邮件发送频率和数量；

5)通过统计单位时间段内的邮件发送频率和数量判断攻击邮件；

6)对攻击邮件进行处理。

根据本发明的实施例，优选的，所述步骤1)中提取邮件的内容包括：收/发件人、邮件主题、邮件正文、邮件附件。

根据本发明的实施例，优选的，所述步骤2)对提取的邮件内容进行规则匹配包括：按照规则指定的不同危害程度进行匹配，匹配方式包括正则匹配、关键字匹配、机器学习匹配、指纹识别匹配。

根据本发明的实施例，优选的，所述步骤3)中，对命中规则的邮件按照规则的响应方式做相应的处理，并通知管理员；

管理员确定邮件无误后执行允许邮件发送操作，将其放入邮件外发队列。

根据本发明的实施例，优选的，所述步骤4)中，对于发送的部分邮件，如果邮件服务器处于繁忙或失去连接状态，则等待一段时间后重发该部分邮件，如果第二次重发后邮件服务器仍然处于繁忙或失去连接状态，则继续增加等待时间，以此类推，根据反馈，确定邮件服务器的繁忙程度，并根据该繁忙程度调整后续邮件的发送频率和数量。

根据本发明的实施例，优选的，所述步骤6)中，对于识别出的攻击邮件，将其加入到邮件黑名单，不再进行处理。

为解决上述技术问题，本发明提供了一种邮件处理网关，其特征在于，该邮件处理网关包括：

邮件提取模块，提取从邮件外发服务器接收邮件的内容；

规则匹配模块，对提取的邮件内容进行规则匹配；

邮件处理模块，对命中规则的邮件按照规则规定的响应方式做相应的处理；

邮件发送频率调整模块，将经处理后仍需发送的邮件放入邮件外发队列后，通过发送邮件外发队列中的部分邮件，根据反馈确定邮件服务器的繁忙程度，根据繁忙程度调整邮件发送频率和数量；

邮件攻击判定模块，通过统计单位时间段内的邮件发送频率和数量判断攻击邮件；

攻击邮件处理模块，对攻击邮件进行处理。

根据本发明的实施例，优选的，攻击邮件处理模块根据收发件人在单位时间段内的邮件收发频率和数量判断邮件是否对邮件服务器造成攻击，如果设定时间段内相同收发件人高频率发送邮件和/或发送大量邮件到同一邮箱，则会限制邮件发送的频率，并将邮件置于邮件外发队列并设置延迟时间。

根据本发明的实施例，优选的，邮件发送频率调整模块对于发送的部分邮件，如果邮件服务器处于繁忙或失去连接状态，则等待一段时间后重发该部分邮件，如果第二次重发后邮件服务器仍然处于繁忙或失去连接状态，则继续增加等待时间，以此类推，根据反馈，确定邮件服务器的繁忙程度，并根据该繁忙程度调整后续邮件的发送频率和数量。

为解决上述技术问题，本发明提供了一种邮件处理系统，该系统包括：邮件外发服务器、邮件服务器以及上述之一所述的邮件处理网关。

通过本发明的技术方案取得了以下技术效果：

通过本方法提出的邮件代理，能够有效的解决邮件外发过程中造成的信息泄露、邮件丢失、邮件服务器拥堵、邮件服务器被攻击等问题。能第一时间告知管理员信息泄露和邮件服务器异常，避免信息泄露对企业造成无法挽回的损失。

通过本方法提出的完整技术解决方案，可以提高邮件系统的安全性和可靠性，对邮件系统的防护提升到一个新的安全高度。

附图说明

图1是本发明的邮件处理流程图

图2是本发明系统构成图

具体实施方式

<邮件处理方法>

如图1，本发明中提出的基于代理的邮件网关的方法，针对邮件传输过程中的敏感源，传播非法内容以及邮件服务器的安全性等多方面需求，解决了邮件传输中的内容非法、机密外泄、邮件溢出、邮件丢失、服务器被攻击等问题。本方法从邮件内容识别和处理、邮件队列缓存、邮件服务器安全防护三个技术层面进行处理，采用代理的方式从根源上解决邮件传输中面临的现实问题。

首先，通过对邮件的正文、附件等内容进行提取，识别出邮件的关键字，根据设定的规则对关键字进行模糊匹配和精确匹配，对符合规则的邮件根据风险级别进行相应的处理，并告知管理员对非法邮件进行审批、阻断等方法进行追踪。

其次，通过在不同阶段设置队列的方式对接收和待发送的邮件进行缓存，在确保邮件服务器的可处理能力范围内对邮件进行有效的送达。该技术根据邮件服务器的返回状态、响应时间、以及邮件服务器的实时状态调整邮件投递的频率。

再次，在邮件内容合法的前提下，监测邮件的类型和不同收发件人在等额时间内收发邮件的数量和频率，进而判断该邮件是否为攻击性邮件。确保邮件服务器的安全。

本发明的邮件处理方法，包括以下步骤：

1)提取待发送邮件的内容；

2)对提取的邮件内容进行规则匹配；

3)对命中规则的邮件按照规则规定的响应方式做相应的处理；

4)将经处理后仍需发送的邮件放入邮件外发队列后，发送邮件外发队列中的部分邮件测试邮件服务器的繁忙程度，根据繁忙程度调整邮件发送频率和数量；

5)通过统计单位时间段内的邮件发送频率和数量判断攻击邮件；

6)对攻击邮件进行处理。

所述步骤1)中提取邮件的内容包括：收/发件人、邮件主题、邮件正文、邮件附件。

所述步骤2)对提取的邮件内容进行规则匹配包括：按照规则指定的不同危害程度进行匹配，匹配方式包括正则匹配、关键字匹配、机器学习匹配、指纹识别匹配。

所述步骤3)中，对命中规则的邮件按照规则的响应方式做相应的处理，并通知管理员；

管理员确定邮件无误后执行允许邮件发送操作，将其放入邮件外发队列。

所述步骤4)中，对于发送的部分邮件，如果邮件服务器处于繁忙或失去连接状态，则等待一段时间后重发该部分邮件，如果第二次重发后邮件服务器仍然处于繁忙或失去连接状态，则继续增加等待时间，以此类推，以此测试邮件服务器的繁忙程度，并根据该繁忙程度调整后续邮件的发送频率和数量。

所述步骤6)中，对于识别出的攻击邮件，将其加入到邮件黑名单，不再进行处理。

具体来说，本发明申请提出的邮件代理网关方法的邮件处理过程如图1所示，其中包括了提取邮件内容、邮件内容与规则匹配、处理命中规则的邮件、判断邮件服务器状态、识别邮件攻击、处理攻击邮件共6个顺次进行的处理步骤，通过这一系列的邮件处理，对外发的邮件有了明确的过滤，正常的邮件安全送到邮件服务器。下面对这6个信息处理步骤逐一进行介绍：

(1)提取邮件内容

根据邮件的原始文件提取邮件的收/发件人(包括抄送、密送)、主题、正文、附件(包括附件格式、大小、内容)等，便于后续模块进行内容检测；

(2)邮件内容与规则匹配

对提取的邮件内容进行规则匹配，按照规则的危害程度进行匹配，匹配方式包括正则、关键字、机器学习、指纹识别等，然后将匹配结果传递给模块(3)。

(3)处理命中规则的邮件

对命中规则的邮件按照规则的响应方式做相应的处理，并告知管理员。如命中高危敏感关键字，相应方式需要对邮件进行审批，则对该邮件进行滞留，并给发件人和邮件管理通过告警邮件的方式告知其邮件需要审批处理，管理员确定邮件无误后执行允许邮件发送操作，邮件即可正常发送。

(4)判断邮件服务器状态

需要发送的邮件进入邮件外发队列后，邮件代理会给邮件服务器发送部分邮件，并根据所发送邮件的回复时间和回复内容判断邮件服务器当前的状态，如果邮件服务器处于繁忙或失去连接，则代理会等待60s后重发，如果第二次重发后服务器仍然处于繁忙或失去连接状态，则等待时间会翻倍，继续等待。

(5)识别邮件攻击

邮件代理根据收发件人在单位时间段内的频率判断邮件是否对邮件服务器造成攻击，如果设定时间段内邮件相同发件人高频率发送到同一邮箱，则邮件代理会限制邮件发送的频率，将邮件置于外发队列并设置延迟时间。

(6)处理攻击邮件

如果邮件代理识别出带有攻击类的邮件，则将邮件无限期保留，并通知管理员对邮件进行审查，此部分邮件一旦确认为攻击邮件，则会将该邮件加入到邮件黑名单，不再进行处理。

<邮件处理系统>

本发明公开了一种邮件处理网关，该邮件处理网关包括：

邮件提取模块，提取从邮件外发服务器接收邮件的内容；

规则匹配模块，对提取的邮件内容进行规则匹配；

邮件处理模块，对命中规则的邮件按照规则规定的响应方式做相应的处理；

邮件发送频率调整模块，将经处理后仍需发送的邮件放入邮件外发队列后，通过发送邮件外发队列中的部分邮件测试邮件服务器的繁忙程度，根据繁忙程度调整邮件发送频率和数量；

邮件攻击判定模块，通过统计单位时间段内的邮件发送频率和数量判断攻击邮件；

攻击邮件处理模块，对攻击邮件进行处理。

攻击邮件处理模块根据收发件人在单位时间段内的邮件收发频率和数量判断邮件是否对邮件服务器造成攻击，如果设定时间段内相同收发件人高频率发送邮件和/或发送大量邮件到同一邮箱，则会限制邮件发送的频率，并将邮件置于邮件外发队列并设置延迟时间。

邮件发送频率调整模块对于发送的部分邮件，如果邮件服务器处于繁忙或失去连接状态，则等待一段时间后重发该部分邮件，如果第二次重发后邮件服务器仍然处于繁忙或失去连接状态，则继续增加等待时间，以此类推，以此测试邮件服务器的繁忙程度，并根据该繁忙程度调整后续邮件的发送频率和数量。

本发明公开了一种邮件处理系统，该系统包括：邮件外发服务器、邮件服务器以及上述所述的邮件处理网关。

<具体实施例>

将邮件网关通过代理的方式部署到邮件系统中，然后外发邮件服务器指向该代理，代理的下一跳地址配置成邮件接收服务器，这样就使得外发的所有邮件都需通过邮件网关转发才能实现投递，邮件网关对外发的邮件进行层层把关最终转发到邮件服务器，具体过程描述如下：

首先，用户设定所在行业敏感关键词和重要规则，可以选择设定关键字、正则表达式、模糊关键字、机器学习、文档指纹等，并对这些规则制定对应的响应方式；

其次，用户可模拟发送包含敏感关键字的邮件，邮件网关对邮件进行内容识别并按照设定的响应方式进行处理；

然后，用户可以通过并发模拟程序对同一个邮箱连续发送多封邮件，观察邮件网关对邮件的延缓发送和攻击告警，确保邮件服务器的安全稳定运行。

最后，通过以上步骤，可得知在真是环境中，邮件网关对于邮件外发过程中的管控作用，以及对于邮件服务器的安全防护。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应保护在本发明的保护范围之内。