专利名称:动态电子邮件帐号收集攻击检测和缓解的制作方法
技术领域:
本技术领域一般涉及动态地检测并缓解电子邮件帐号收集攻击的系统和方法。背景被称为因特网的全球计算机网络系统可用于在用户之间传递和发送消息或电子 邮件(即,email) 0使用因特网电子邮件服务器来方便了从其它电子邮件服务器和用户处 接收到的电子邮件消息的传输。在一达成一致的电子邮件标准(诸如例如,SMTP,其代表简单邮件传输协议)中, 所利用的符合该标准的电子邮件服务器可接收或拒绝从另一电子邮件服务器处接收到的消息。电子邮件服务器接收或拒绝电子邮件消息的决定通常由电子邮件服务器通过使 用服务器被配置成接收其邮件的电子邮件地址的列表检查电子邮件接收者的地址来驱动。 如果未在此类列表内找到接收者的地址,则服务器使用对首先向服务器发送该电子邮件的 相连客户机的相关联的错误代码拒绝该电子邮件。对使用已知用户的列表(也被称为“目录服务”)来确定是否接受传入电子邮件的 电子邮件服务器的操作者而言,存在字典或帐号收集攻击的机会。字典攻击是由未经授权的个体或系统进行的通过分析从大量被拒绝的电子邮件 和消息返回的错误代码和消息来得到特定因特网域的已知有效电子邮件地址的列表的尝 试。收集并生成此未经授权的列表的目的是将该列表出售给将会将其用于发送未经要求的 电子邮件(SPAM)的实体。通过尝试向给定域名内的大量不同电子邮件地址发送单个或各种电子邮件消息 来以自动方式开始字典攻击的过程。试验性地址名称有时是顺序自动化和生成的(例如, aaiexample. com, abiexample. com)或可按包括随机或伪随机方式的其它模式生成以努力 避免检测。用于检测并缓解帐号收集攻击以及缓解攻击的动态系统将减少垃圾邮件程度并 阻止未经授权的实体得到特定域的已知良好电子邮件地址。
发明内容
提供本概述以便以简化的形式介绍将在以下说明性实施例的详细描述中进一步 描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征, 也不旨在用于限定所要求保护的主题的范围。通常,动态电子邮件帐号收集攻击检测和缓解提供通过分析和确定在一段较短时 间内测量到对特定域的电子邮件传递的局部增加正在发生来检测到正在发动帐号收集攻 击的能力。在检测到攻击时,通过接受该域的所有电子邮件消息并删除目的地不是有效用 户地址的电子邮件消息,随后使恶意发送者(个体或系统)相信已经传递了被删除的电子 邮件来缓解该攻击。在各实施例中,或将虚假的成功电子邮件传递通知转发给发送者,或阻 止不成功传递通知被转发给发送者。一旦攻击停止,则电子邮件服务器回复到其标准操作行为。在另一形式中,电子邮件管理系统包括输入/输出部分,其被配置成接收电子邮件并接受所接收的电子邮件以供传递到预期接收者(如果确定该预期接收者是有效接收 者),且包括处理部分,其被配置成确定所接收到的电子邮件的预期接收者的有效性,且如 果确定预期接收者是无效的,则其通过确定电子邮件的来源并在不向该来源提供删除通知 的情况下删除电子邮件来处理恶意电子邮件。或者,可向该来源发送错误的虚假成功传递 通知。如此处所述的动态电子邮件帐号收集攻击检测和缓解阻止字典或帐号收集攻击 的发起者成功地得到特定域的已知良好电子邮件地址。可将系统设置成动态地并自动地缓 解此类攻击。在示例实施例中,动态电子邮件帐号收集攻击检测和缓解系统动态地开启和关闭 缓解技术,并仅在被攻击时将缓解技术开启,其在除了它确定自己正遭受攻击外的所有时 间内维持典型的电子邮件反射消息系统。
以上概述以及以下详细描述在结合附图阅读时可被更好地理解。出于示出动态电 子邮件帐号收集攻击检测和缓解的目的,在附图中示出了其示例性构造;然而,动态电子邮 件帐号收集攻击检测和缓解不限于所公开的具体方法和手段。图1是用于实现动态电子邮件帐号收集攻击检测和缓解的示例处理器的框图。图2是其中可以实现客户的合适计算环境的图示。图3是动态电子邮件帐号收集攻击检测和缓解的示例过程的概括流程图。说明性实施例的详细描述如此处所述的动态电子邮件帐号收集攻击检测和缓解允许动态检测并缓解对电 子邮件服务器、路由器、以及其它消息传递设备的字典或帐号收集攻击。已知个体或被编程 的设备可出于对其不具有控制、篡改、或查看的授权的电子邮件服务器设备的恶意目的而 尝试确定有效电子邮件地址。在顶层概览中,可通过参考图3快速地理解动态电子邮件帐号收集攻击检测和缓 解的一种形式。动态电子邮件帐号收集攻击检测和缓解的此形式包括一种方法的步骤,该 方法包括接收电子邮件消息(20)、确定电子邮件接收者的有效性(22)、如果该接收者是无 效的,则确定字典或帐号收集攻击是否在进行(24),且如果是,则确定恶意电子邮件的来源 并在不向电子邮件的来源发送出错消息的情况下删除该电子邮件(26)。传统风格的电子邮件路由和其它消息路由可通过使用标准包括基于接收者地址 的消息路由的SMTP(简单邮件传输协议)来进行。如在符合该标准的电子邮件服务器或 路由器中所使用的,服务器或路由器接受或拒绝从另一电子邮件服务器接收到的消息。在 SMTP标准中,如果例如通过地址中的错误或其它错误发现电子邮件消息是可拒绝的,则创 建出错消息并将其发送回所接收到的电子邮件的来源。在作出接受或拒绝电子邮件的决定时,电子邮件服务器通常使用服务器被配置成 接受其邮件的电子邮件地址的列表来检查电子邮件接收者的地址。如果未在列表内找到接 收者的地址,则服务器使用对相连的来源或客户机相关联的错误代码来拒绝该电子邮件。
根据动态电子邮件帐号收集攻击检测和缓解的示例实施例,通过将在给定时间段内尝试对其传递的给定域的独特接收者的数量与给定域的独特有效电子邮件地址的总数 相比较来检测帐号收集攻击尝试。如果对域中的不同地址的尝试的数量显著高于给定域的 有效电子邮件地址的总数,则其指示目录攻击。例如,如果“example, com”域具有500个有效电子邮件地址,且被配置成接受针对 "example, com"的电子邮件的电子邮件服务器在两分钟内接收到对“example, com”处的超 过1000个独特电子邮件地址的传递电子邮件的尝试,则其指示目录攻击正在发生。独特电子邮件地址的总数对不同域而言将是可变的,这将同样造成对设置阈值数 量或在其中观察、记录并纪录对由电子邮件服务器维护的域中的每一个的传入电子邮件消 息发送尝试的时间段的改变。为简明起见,电子邮件服务器可路由一个或多个域的电子邮 件。此外,可监视替换变量并改变阈值以确定攻击正在进行,如常见但无效的电子邮 件地址,顺序或按字母表排序的地址、或可随着时间发现的其它模式,这些模式包括地址名 称的非顺序或伪随机模式、接收电子邮件的次数、以及传入电子邮件的来源或客户机等。此 夕卜,可计算不同关系并利用相应阈值级别以确定攻击是否正在发生,如确定无效电子邮件 接收相较域中的有效电子邮件地址的总数的比率或百分比。还可利用许多各种度量来确定 攻击是否正在发生。此外,因为特定域的有效电子邮件地址的数量可能随着时间改变,所以同样阈值 数量也可相应地改变。通过使得所利用的各检测阈值能够基于被观察的域的状态(例如有 效电子邮件地址的数量)的改变自动改变,本发明系统进而在其对攻击的可能响应方面变 为动态。域的其它属性还可随着时间改变,以迫使检测阈值级别或数量的相应自动改变。响应于帐号收集或字典攻击的缓解技术可通过更改围绕进行接收的电子邮件服 务器如何实施其传递规则的逻辑来达成。例如,在确定电子邮件服务器被攻击时,更改电子 邮件服务器对所接收到的电子邮件的响应。具体而言,电子邮件服务器将被重新配置成接受被攻击的域的所有电子邮件。该 方法将随后向发送者返回标准结果代码以指示成功的传递。在接受邮件之后,进行接收的 邮件服务器将在其域的有效电子邮件地址的列表或目录中查找接收者电子邮件地址。如果 该地址在有效地址的列表中,则如常传递该电子邮件,如果不在,则在没有对发送者的任何 通知的情况下销毁该电子邮件。仅在字典攻击继续时采用此缓解方法。一旦攻击停止,电子邮件服务器回复到其 接受已知良好用户的邮件并拒绝相应域的所有其它人的邮件的原始状态。此缓解技术的自 动开启和自动关闭创造了使攻击对其恶意目的而言无价值的动态且稳健的方法。图1是用于实现动态电子邮件帐号收集攻击检测和缓解的示例性处理器68的图 示。处理器68包括处理部分70、存储器部分72和输入/输出部分74。处理部分70、存储 器部分72和输入/输出部分74被耦合在一起(耦合未在图1中示出)以允许它们之间的 通信。输入/输出部分74能够提供和/或接收用于执行如上所述的动态电子邮件帐号收集 攻击检测和缓解的组件。例如,如上所述,输入/输出部分74能够提供/接收电子邮件消 息并传送出错消息、以及传送指示成功的电子邮件传递的标准结果代码、或其组合。此外, 如果确定预期接收者是有效的,则输入/输出部分可将所接收到的电子邮件消息转发给预期接收者,和/或接受电子邮件供传递给预期接收者的电子邮件。处理部分70能够实现如上所述的动态电子邮件帐号收集攻击检测和缓解。例如, 处理部分70能够确定帐号收集攻击何时发生、改变其接受或拒绝电子邮件消息的策略、改 变其在帐号收集攻击不再发生时接受或拒绝电子邮件消息的策略。此外,如上所述,处理部 分70可计算、更改并确定创建用于确定攻击检测的准则的各种动态阈值。此外,处理部分 可在确定预期接收者无效时确定恶意电子邮件的来源、确定恶意攻击活动正在进行、以及 在不对来源提供或造成删除通知的情况下删除电子邮件。结合输入/输出部分,处理器可 确定转发到电子邮件来源的标准结果代码。在攻击缓解期间,其可向来源给予已经传递了 所接收到的恶意电子邮件的错误印象。
处理器68可被实现为客户机处理器和/或服务器处理器。在一基本配置中,处理 器68可包括至少一个处理部分70和存储器部分72。如上所述,存储器部分72可存储结合 实现动态电子邮件帐号收集攻击检测和缓解利用的任何信息。取决于处理器的精确配置和 类型,存储器部分72可以是易失性的(如RAM) 76、非易失性的(如ROM、闪存等)78、或其组 合。处理器68可以具有附加特征/功能。例如,处理器68可以包括附加存储(可移动存 储80和/或不可移动存储82),包括但不限于,磁盘或光盘、磁带、闪存、智能卡或其组合。 诸如存储器部分72、76、78、80和82等计算机存储介质包括以用于存储诸如计算机可读指 令、数据结构、程序模块或其它数据等信息的任意方法或技术来实现的易失性和非易失性、 可移动和不可移动介质。计算机存储介质包括,但不限于,RAM、R0M、EEPR0M、闪存或其它存 储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁 存储设备、兼容通用串行总线(USB)的存储器、智能卡、或能用于存储所需信息且可以由处 理器68访问的任何其它介质。任何这样的计算机存储介质都可以是处理器68的一部分。处理器68还可包含允许处理器68与诸如例如其它设备等其它设备进行通信的通 信连接88。通信连接88是通信介质的一个示例。通信介质通常以诸如载波或其它传输机 制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,且包含任何 信息传递介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方 式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接 线连接,以及无线介质,诸如声学、RF、红外线和其它无线介质。如此处所使用的术语“计算 机可读介质”包括存储介质和通信介质两者。处理器68也可具有输入设备86,诸如键盘、 鼠标、笔、语音输入设备、触摸输入设备等。还可包括输出设备84,如显示器、扬声器、打印机寸。图2和以下讨论提供了其中可实现动态电子邮件帐号收集攻击检测和缓解的合 适计算环境的简要概括描述。虽然不是必需,但动态电子邮件帐号收集攻击检测和缓解的 各方面能在诸如由客户机工作站或服务器等计算机上执行的诸如程序模块等计算机可执 行指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据 类型的例程、程序、对象、组件、数据结构等。此外,动态电子邮件帐号收集攻击检测和缓解 的实现可用其它计算机系统配置来实施,包括手持设备、多处理器系统、基于微处理器的系 统或可编程消费电子产品、网络PC、小型计算机、大型计算机等。此外,动态电子邮件帐号收 集攻击检测和缓解也可以在其中任务由通过通信网络链接的远程处理设备来执行的分布 式计算环境中实施。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
计算机系统可被大致分为三个组件组硬件组件、硬件/软件接口系统组件、以及 应用程序组件(也被称为“用户组件”或“软件组件”)。在计算机系统的各实施例中,硬件 组件可包括中央处理单元(CPU) 721 ;存储器(R0M764和RAM 725两者);基本输入/输出系 统(BIOS) 766 ;以及诸如键盘740、鼠标762、监视器747和/或打印机(未示出)等各种输 入/输出(I/O)设备。硬件组件包括计算机系统的基本物理基础结构。应用程序组件包括各种软件程序,包括但不限于编译器、数据库系统、文字处理程 序、业务程序、视频游戏等。应用程序提供用于利用计算机资源来解决问题、提供解决方案、 及处理各种用户(机器、其它计算机系统和/或最终用户)的数据的手段。在一示例实施 例中,应用程序执行与实现如上所述的动态电子邮件帐号收集攻击检测和缓解相关联的功 能。硬件/软件接口系统组件包括(并且在某些实施例中只包括)操作系统,其本身 在大多数情况下包括外壳和内核。“操作系统”(OS)是担当应用程序和计算机硬件之间的 中介的特殊程序。硬件/软件接口系统组件还可以包括虚拟机管理器(VMM)、公共语言运行 库(CLR)或其功能等效物、Java虚拟机(JVM)或其功能等效物、或者作为对计算机系统中 的操作系统的替换或补充的其它这样的软件组件。硬件/软件接口系统的目的在于提供用 户可在其中执行应用程序的环境。硬件/软件接口系统通常在启动时被加载到计算机系统中,并且之后管理计算机 系统中的所有应用程序。应用程序通过经由应用程序接口(API)请求服务来与硬件/软件 接口系统交互。某些应用程序使得最终用户能够经由诸如命令语言或图形用户界面(GUI) 等用户界面来与硬件/软件接口系统交互。硬件/软件接口系统传统上执行用于应用程序的各种服务。在其中多个程序可 同时运行的多任务硬件/软件接口系统中,硬件/软件接口系统确定各应用程序应该以何 种次序运行以及在为轮换而切换至另一应用程序之前应该允许每一个应用程序多长时间。 硬件/软件接口系统还管理多个应用程序之间的内部存储器的共享,并且处理来自诸如硬 盘、打印机和拨号端口等附连硬件设备的输入以及对其的输出。硬件/软件接口系统还将 关于操作的状态和可能已发生的任何错误的消息发送给每一个应用程序(并且在某些情 况下发送给最终用户)。硬件/软件接口系统还可卸载批作业(例如,打印)的管理以使得 启动应用程序免除该工作并能够继续执行其它处理和/或操作。在能提供并行处理的计算 机上,硬件/软件接口系统还管理划分程序以使其同时在多于一个的处理器上运行。硬件/软件接口系统外壳(被称为“外壳”)是对硬件/软件接口系统的交互式最 终用户接口。(外壳也称为“命令解释程序”,或在操作系统中被称为“操作系统外壳”)。夕卜 壳是可直接由应用程序和/或最终用户访问的硬件/软件接口系统的外层。与外壳相反, 内核是直接与硬件组件交互的硬件/软件接口系统的最内层。如图2所示,示例性通用计算系统包括常规计算设备760等,其包括处理单元721、 系统存储器762和将包括系统存储器的各种系统组件耦合到处理单元721的系统总线723。 系统总线723可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、 外围总线、以及使用各种总线体系结构中的任一种的局部总线。系统存储器包括只读存储 器(ROM) 764和随机存取存储器(RAM) 725。基本输入/输出系统(BIOS) 766被存储在ROM764中,它包含帮助在诸如启动期间在计算设备760内的元件之间传递信息的基本例程。计算设备760还可包括对硬盘(硬盘未示出)读写的硬盘驱动器727、对可移动磁盘728 (例 如,软盘、移动存储)读写的磁盘驱动器729 (例如,软盘驱动器)、以及对诸如⑶-ROM或其 它光学介质等可移动光盘731读写的光盘驱动器730。硬盘驱动器727、磁盘驱动器728 和光盘驱动器730分别通过硬盘驱动器接口 732、磁盘驱动器接口 733和光盘驱动器接口 734来连接到系统总线723。驱动器及其相关联的计算机可读介质为计算设备760提供了 对计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。虽然此处所描述的示 例性环境采用了硬盘、可移动磁盘729和可移动光盘731,但本领域的技术人员可以理解, 在示例性操作环境中也可以使用可储存可由计算机访问的数据的其它类型的计算机可读 介质,如磁带盒、闪存卡、数字视频盘、贝努利盒式磁带、随机存取存储器(RAM)、只读存储器 (ROM)等等。同样,示例性环境还可包括诸如热传感器和安全或火警系统等许多类型的监控 设备,以及其它信息源。多个程序模块可被存储在硬盘、磁盘729、光盘731、R0M 764或RAM 725中,包括操 作系统735、一个或多个应用程序736、其它程序模块737和程序数据738。用户可通过诸如 键盘740和定点设备762 (例如,鼠标)等输入设备将命令和信息输入到计算设备760中。 其它输入设备(未示出)可以包括话筒、操纵杆、游戏键盘、圆盘式卫星天线、扫描仪等。这 些和其它输入设备通常由耦合至系统总线的串行端口接口 746连接至处理单元721,但也 可以由其它接口,诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器747或其它 类型的显示设备也经由接口,诸如视频适配器748连接至系统总线723。除监视器747之 夕卜,计算机通常包括其它外围输出设备(未示出),诸如扬声器或打印机等。图2的示例性 环境还包括主机适配器755、小型计算机系统接口(SCSI)总线756和连接到SCSI总线756 的外部存储设备762。计算设备760可使用至诸如远程计算机749等一个或多个远程计算机的逻辑连接 在网络化环境中操作。远程计算机749可以是另一计算设备(例如,个人计算机)、服务器、 路由器、网络PC、对等设备或其它常见的网络节点,且通常包括上文相对于计算设备760描 述的许多或所有元件,尽管在图2中只示出了存储器存储设备750 (软盘驱动器)。图2所 描绘的逻辑连接包括局域网(LAN)751和广域网(WAN) 752。这样的网络环境常见于办公室、 企业范围计算机网络、内联网和因特网。当在LAN联网环境中使用时,计算设备760通过网络接口或适配器753连接至LAN 751。当在WAN联网环境中使用时,计算设备760可包括调制解调器754或用于通过诸如因 特网等广域网752来建立通信的其它装置。或为内置或为外置的调制解调器754经由串行 端口接口 746连接到系统总线723。在网络化环境中,相对于计算设备760描绘的程序模块 或其部分可被储存在远程存储器存储设备中。可以理解,所示的网络连接是示例性的,且可 以使用在计算机之间建立通信链路的其它手段。尽管可以想像动态电子邮件帐号收集攻击检测和缓解的多个实施例尤其适用于 计算机化系统,然而在本说明中不意味着将动态电子邮件帐号收集攻击检测和缓解限于此 类实施例。相反,此处所使用的术语“计算机系统”旨在包括能够存储和处理信息和/或能 够使用所存储的信息来控制设备本身的行为或执行的任何及所有设备,而不管那些设备本 质上是否为电子的、机械的、逻辑的、或虚拟的。
此处所述的各种技术可结合硬件或软件,或在适当时以其组合来实现。因此,用于 实现动态电子邮件帐号收集攻击检测和缓解的方法和装置或其某些方面或部分,可以采取 包含在诸如软盘、CD-ROM、硬盘驱动器或任何其它机器可读存储介质等有形介质中的程序 代码(即,指令)的形式,其中,当程序代码被加载至诸如计算机等机器并由其运行时,该机 器成为用于实现动态电子邮件帐号收集攻击检测和缓解的装置。如果需要,程序可以用汇编语言或机器语言来实现。在任何情况下,语言可以是编 译的或解释的语言,且与硬件实现相结合。用于实现动态电子邮件帐号收集攻击检测和缓 解的方法和装置也可以经由以通过某种传输介质传输的程序代码的形式体现的通信来实 现,传输介质比如通过电线或电缆、通过光纤或经由任何其它传输形式,其中,当程序代码 由诸如EPR0M、门阵列、可编程逻辑器件(PLD)、客户计算机等机器接收、加载并执行时。当 在通用处理器上实现时,程序代码与处理器相结合来提供一种用于调用动态电子邮件帐号 收集攻击检测和缓解的功能的独特装置。另外,结合动态电子邮件帐号收集攻击检测和缓 解使用的任何存储技术总是可以是硬件和软件的组合。
尽管已结合各个附图的各示例实施例对动态电子邮件帐号收集攻击检测和缓解 进行了描述,但是可以理解,可以使用其它类似的实施例,或可以对所述实施例进行修改或 添加,来实现动态电子邮件帐号收集攻击检测和缓解的相同功能而不背离本发明。因此,此 处所描述的动态电子邮件帐号收集攻击检测和缓解不应限于任何单个实施例,而是应该根 据所附权利要求书的广度和范围来解释。
权利要求
一种电子邮件管理系统,包括输入/输出部分(74),所述输入/输出部分被配置成接收(20)电子邮件;如果确定(22)预期接收者是有效的,则接受所接收到的电子邮件以供传递给所述预期接收者;以及处理部分,所述处理部分被配置成确定(22)所接收到的电子邮件的预期接收者的有效性;以及如果确定(22)所述预期接收者是无效的,则确定(26)所述电子邮件的来源;以及在不向所述来源提供删除通知的情况下删除(26)所述电子邮件。
2.如权利要求1所述的电子邮件管理系统,其特征在于,所述输入/输出部分被配置成 接受具有相应多个预期接收者的多个电子邮件。
3.如权利要求1所述的电子邮件管理系统,其特征在于所述处理部分还被配置成确定指示所述电子邮件的成功传递的标准结果代码;以及 所述输入/输出部分还被配置成向所确定的来源发送所述标准结果代码,以向所述来 源给予所述电子邮件被传递给所述预期接收者的印象。
4.如权利要求1所述的电子邮件管理系统,其特征在于,所接收到的电子邮件是字典 攻击的一部分。
5.如权利要求1所述的电子邮件管理系统,其特征在于,所述处理部分还被配置成通 过确定在给定时间段内尝试对其传递所接收到的电子邮件的给定域的独特接收者的数量 是否超过预先确定的数量来确定所接收到的电子邮件是恶意行动的一部分。
6.如权利要求1所述的电子邮件管理系统,其特征在于,所述处理部分还被配置成通 过确定在给定时间段内尝试对其传递所接收到的电子邮件的给定域的独特接收者的百分 比是否超过预先确定的数量来确定所接收到的电子邮件是恶意行动的一部分。
7.如权利要求1所述的电子邮件管理系统,其特征在于,所述处理部分被配置成 如果检测到恶意行动则开启帐号收集缓解技术;以及如果未检测到恶意行动则关闭所述帐号收集缓解技术。
8.一种电子邮件管理方法,包括 接收(20)电子邮件;确定(22)所接收到的电子邮件的预期接收者的有效性;以及 如果确定所述预期接收者是有效的,则接受(22、26)所述电子邮件以供传递给所述预 期接收者;以及如果确定(22)所述预期接收者是无效的,则 确定(26)所述电子邮件的来源;以及在不向所述来源提供删除通知的情况下删除(26)所述电子邮件以创建帐号收集缓解 技术。
9.如权利要求8所述的方法,其特征在于,还包括接收具有相应多个预期接收者的多 个电子邮件。
10.如权利要求8所述的方法,其特征在于,还包括向所述电子邮件的来源发送标准结果代码以向所述来源给予所述电子邮件被传递给所述预期接收者的印象。
11.如权利要求8所述的方法,其特征在于,还包括通过确定在给定时间段内尝试对其 传递所接收到的电子邮件的给定域的独特接收者的数量是否超过预先确定的数量来确定 所接收到的电子邮件是恶意行动的一部分。
12.如权利要求8所述的方法,其特征在于,还包括通过确定在给定时间段内尝试对其 传递所接收到的电子邮件的给定域的独特接收者的百分比是否超过预先确定的数量来确 定所接收到的电子邮件是恶意行动的一部分。
13.如权利要求8所述的方法,其特征在于,还包括如果检测到恶意行动则激活所述缓解技术;以及如果未检测到恶意行动则关闭所述缓解技术。
14.一种包括用于通过执行以下步骤来管理电子邮件的计算机可执行指令的计算机可 读介质(72、762、764、725、728、730、762、729)接收(20)电子邮件;确定(22)所接收到的电子邮件的预期接收者的有效性;以及如果确定(22)所述预期接收者是有效的,则接受所述电子邮件以供传递给所述预期 接收者;以及如果确定(22)所述预期接收者是无效的,则确定(26)所述电子邮件的来源;以及在不向所述来源提供删除通知的情况下删除(26)所述电子邮件以形成帐号收集缓解 技术。
15.如权利要求14所述的计算机可读介质,其特征在于,多个电子邮件由相应多个预 期接收者接收。
16.如权利要求14所述的计算机可读介质,其特征在于,所述计算机可执行指令还用 于向所述电子邮件的来源发送标准结果代码以向所述来源给予所述恶意电子邮件被传递 给所述预期接收者的印象。
17.如权利要求14所述的计算机可读介质,其特征在于,所接收到的电子邮件是字典 攻击的一部分。
18.如权利要求14所述的计算机可读介质,其特征在于,所述计算机可执行指令还用 于确定帐号收集攻击正在发生。
19.如权利要求14所述的计算机可读介质,其特征在于,所述计算机可执行指令还用 于通过确定在给定时间段内尝试对其传递所接收到的电子邮件的给定域的独特接收者的 数量是否超过预先确定的数量来确定所接收到的电子邮件是恶意行动的一部分。
20.如权利要求14所述的计算机可读介质,其特征在于,所述计算机可执行指令还用 于通过确定在给定时间段内尝试对其传递所接收到的电子邮件的给定域的独特接收者的 百分比是否超过预先确定的数量来确定所接收到的电子邮件是恶意行动的一部分。
全文摘要
动态帐号收集攻击检测和缓解系统通过更改围绕进行接收的电子邮件服务器如何实施其电子邮件传递规则的逻辑来达成。电子邮件服务器对所接收到的电子邮件的所设想的响应在确定该服务器正被攻击时改变,进而阻止未经授权地获取由该电子邮件服务器保存的有效电子邮件地址和其它信息。
文档编号G06Q50/00GK101809612SQ200880109419
公开日2010年8月18日 申请日期2008年9月26日 优先权日2007年9月27日
发明者C·F·麦科尔根, M·E·罗特索科, S·J·博林格 申请人:微软公司