本发明涉及数据安全领域,具体涉及一种邮件处理方法、系统及邮件代理网关。
背景技术:
邮件代理,作为邮件客户端和服务器之间的桥梁,为邮件发送和接收提供更快、更高效、更安全的管控。
水印,即一种背景添加技术,在文档、图片、多媒体等内容的背景上,添加半透明的文字或图片,用于标记该邮件附件的内容。邮件作为信息传递的重要工具,在传递过程中携带大量的敏感信息,为了防止信息二次泄漏,追踪信息源头,在邮件发送的时候对邮件附件添加特定的水印,这样该邮件在传递过程中,就很容易知道该邮件隶属于哪个公司,哪个部门,是否允许外传等告警信息,能有效的提醒和约束邮件的二次转发,避免了信息的二次泄漏。
邮件水印是在邮件代理的基础上,通过在邮件代理转发过程中,识别邮件的敏感关键字或重要属性,进而对符合策略要求的邮件按照设定的水印格式进行添加,添加成功后,邮件继续回到代理进行正常投递。
邮件代理是邮件的中转站,目前常见的邮件代理是对邮件进行转发为目的,很难达到对邮件内容进行检测和添加水印,水印添加不仅包括常见的office文档,还包括图片、视频等多媒体格式,并且确保经过水印处理后的文件未发生属性上的丢失。
现有技术中提出了一种基于水印的音频审计方法和系统(申请号:cn201610035147.3),该技术提供了一种水印的音频审计方法和系统,通过捕获流入或流出音频文件服务器的所有数据包,进行网络层ip协议及传输层tcp协议的解析,得到相关的网络传输信息;进行tcp重组,进行应用层协议的解析,得到有效音频片段,通过对有效音频片段进行水印解析,得到音频水印中包含的音频关键内容信息;与相关的身份认证系统对接,获取音频访问者的身份信息,构建包含访问者、访问行为、访问对象的完整审计链。
上述专利方案,其特征在于,包括:数据包捕获、tcp/ip协议处理、应用层协议处理、文件片段还原、水印解析、身份对接、系统管理与审计信息展示。
上述现有技术存在以下缺点:
(1)上述技术是通过对网络数据包的解析获取关键内容信息,对获取的信息进行记录审计,未能采取强制措施对需要外发的邮件进行水印处理;
(2)上述技术仅针对音频的水印进行审计,未涉及到其他格式。
因此,需要提出并实现的一种基于水印的邮件代理方法,该方法通过对邮件附件内容的解析、提取、分析等一系列处理,正确识别敏感源,并对附件添加设定的水印,然后把处理过的邮件继续放到代理服务器并投递。
技术实现要素:
为解决上述技术问题,本发明提供了一种邮件处理方法,该方法包括以下步骤:
提取待发送邮件的邮件内容;
对提取的邮件内容进行规则匹配,得到匹配结果;
对命中规则的邮件提取邮件水印信息;
对提取的水印信息与需要添加的水印信息进行对比,根据对比情况决定是否对邮件添加水印。
根据本发明的方法,优选的,所述邮件内容包括:邮件的收/发件人、邮件主题、邮件正文、邮件附件。
根据本发明的方法,优选的,所述规则匹配包括:正则匹配、关键字匹配、机器学习匹配、文件指纹匹配。
根据本发明的方法,优选的,对命中规则的邮件附件提取文件的水印信息,根据邮件附件的文件格式,提取不同格式的水印信息。
根据本发明的方法,优选的,对提取的水印信息与需要添加的水印信息进行对比;
如果是文字水印,则比较两者是否相同,相同时不再对该邮件添加水印,否则将新文字水印替换旧文字水印;
如果是图片水印,则比较两者相似度是否超过设定阈值,超过设定阈值则不对该邮件添加水印,否则用新图片水印替换旧图片水印。
为解决上述技术问题,本发明提供了一种邮件代理网关,该网关包括:
邮件内容提取模块,提取待发送邮件的邮件内容;
邮件匹配模块,对提取的邮件内容进行规则匹配,得到匹配结果;
邮件水印提取模块,对命中规则的邮件提取邮件水印信息;
邮件水印识别模块,对提取的水印信息进行识别;
邮件水印添加模块,对提取的水印信息与需要添加的水印信息进行对比,根据对比情况决定是否对邮件添加水印。
根据本发明的实施例,优选的,所述邮件内容包括:邮件的收/发件人、邮件主题、邮件正文、邮件附件。
根据本发明的实施例,优选的,所述规则匹配包括:正则匹配、关键字匹配、机器学习匹配、文件指纹匹配。
根据本发明的实施例,优选的,所述邮件水印添加模块,对提取的水印信息与需要添加的水印信息进行对比;
如果是文字水印,则比较两者是否相同,相同时不再对该邮件添加水印,否则将新文字水印替换旧文字水印;
如果是图片水印,则比较两者相似度是否超过设定阈值,超过设定阈值则不对该邮件添加水印,否则用新图片水印替换旧图片水印。
为解决上述技术问题,本发明提供了一种邮件代理网关,该网关包括计算机处理装置和计算机存储介质,所述计算机存储介质存储有计算机程序指令,通过计算机处理装置执行所述计算机程序指令实现如上述之一的方法。
为解决上述技术问题,本发明提供了一种邮件处理系统,该系统包括:邮件发送服务器、邮件接收服务器以及如上述之一的邮件代理网关。
通过本方法提出的邮件水印处理,能够有效的解决邮件外发过程中造成的信息泄露、多次转发、无法追踪等问题,能有效的避免邮件的多次传递和非法用途,避免信息泄露对企业造成无法挽回的损失。
通过本方法提出的完整技术解决方案,可以提高邮件内容的安全传递和合法使用,保护私有知识产权,对邮件内容的防护提升到一个新的安全高度。
附图说明
图1为本发明的方法流程图。
图2为本发明的网关组成框图。
图3是本发明的邮件系统组成框图。
具体实施方式
如图1,是本发明的方法流程图,具体包括:
本发明提出的邮件处理过程如图1所示,其中包括了提取邮件内容、邮件内容与规则匹配、提取邮件水印信息、水印识别、添加水印共5个顺次进行的处理步骤,通过这一系列的邮件处理,对外发的邮件有了明确的过滤,正常的邮件安全送到邮件服务器。下面对这5个信息处理步骤逐一进行介绍:
(1)提取邮件内容
根据邮件的原始文件提取邮件的收/发件人(包括抄送、密送)、主题、正文、附件(包括附件格式、大小、内容)等,便于后续模块进行内容检测;
(2)邮件内容与规则匹配
对提取的邮件内容进行规则匹配,定义规则的时候根据规则内容的风险级别定义不同的严重程度,按照规则的危害严重程度进行匹配,匹配方式包括正则、关键字、机器学习、指纹识别等。
(3)提取邮件水印信息
只有邮件附件可能存在水印,且附件格式为office文档、pdf、图片、多媒体等。对命中规则的邮件附件提取文件的水印信息,根据附件的文件格式,提取不同格式的水印信息。例如:对于office文档,随机抽取n(n>1)页文档的背景图片,并对比图片的像素点和特征点,如果相同说明该文件已添加水印,该背景图片即为水印信息。
(4)水印识别
对提取的水印信息与需要添加的水印信息进行对比,如果是文字水印,则比较文字内容是否相同,相同则不再添加水印,不同时,用新水印替换旧水印;,如果是图片水印,则比较图片相似度,如果相似度超过80%,则不要对该文件重复添加水印,否则需要对该文件重复添加水印信息用新图片水印替换原有的图片水印。
(5)添加水印
对需要添加水印的文件按照设定的水印样式(文字水印和图片水印,其中文字水印包括字体、颜色、间隔、角度;图片水印包括透明度、角度)添加水印信息,添加完后保持原始文件的完整性,并将该邮件发送到邮件外发队列进行转发。
如图2,是本发明的邮件代理网关框图,具体包括:
邮件内容模块,根据邮件的原始文件提取邮件的收/发件人(包括抄送、密送)、主题、正文、附件(包括附件格式、大小、内容)等,便于后续模块进行内容检测;
邮件匹配模块,对提取的邮件内容进行规则匹配,按照规则的危害程度进行匹配,匹配方式包括正则、关键字、机器学习、指纹识别等,然后将匹配结果传递给模块(3)。
邮件水印提取模块,对命中规则的邮件附件提取文件的水印信息,根据附件的文件格式,提取不同格式的水印信息。
邮件水印识别模块,对提取的水印信息与需要添加的水印信息进行对比,如果是文字水印,则比较文字是否相同,如果是图片水印,则比较图片相似度,如果相似度超过80%,则不要对该文件重复添加水印,负责需要对该文件重复添加水印信息。
邮件水印添加模块,对需要添加水印的文件按照设定的水印样式添加水印信息,添加完后保持原始文件的完整性,并将该邮件发送到邮件外发队列进行转发。
如图3,将邮件网关通过代理的方式部署到邮件系统中,然后外发邮件服务器指向该代理,代理的下一跳地址配置成邮件接收服务器,这样就使得外发的所有邮件都需通过邮件网关转发才能实现投递,邮件网关对外发的邮件进行层层把关最终转发到邮件服务器,具体过程描述如下:
首先,用户设定所在行业敏感关键词和重要规则,可以选择设定关键字、正则表达式、模糊关键字、机器学习、文档指纹等,并对这些规则制定对应的响应方式;
其次,用户可模拟发送包含敏感关键字的邮件并携带附件发送,邮件识别到附件水印信息并判断是否再次添加水印信息,如果需要则添加水印信息。
然后,用户可以通过在接收端收取邮件,查看该邮件附件内容是否已添加水印信息,及水印是否符合要求。
最后,通过以上步骤,可得知在实际环境中,邮件代理对于邮件外发过程中添加水印操作是否达到预想的效果。
通过本方法提出的邮件水印处理,能够有效的解决邮件外发过程中造成的信息泄露、多次转发、无法追踪等问题,能有效的避免邮件的多次传递和非法用途,避免信息泄露对企业造成无法挽回的损失。
通过本方法提出的完整技术解决方案,可以提高邮件内容的安全传递和合法使用,保护私有知识产权,对邮件内容的防护提升到一个新的安全高度。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式发送机或其他可编程数据发送终端设备的发送器以产生一个机器,使得通过计算机或其他可编程数据发送终端设备的发送器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据发送终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据发送终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的发送,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种邮件处理方法、系统以及邮件网关,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。