专利名称:电子邮件服务系统和使用动态ip过滤技术的方法
技术领域:
本发明一般涉及电子邮件服务和方法,尤其涉及动态IP过滤技术,它采用变化的起始时间概念连续地过滤IP地址,按照时间应用多个IP过滤策略并对单个IP组实现各种IP过滤策略。
背景技术:
如因特网那样的分布式计算机网络是用于信息交换和传播的不断增加的全球通信网络,使用电子邮件(email)系统的点对点通信成为日常业务之一。电子邮件被广泛地用于网络应用,其中文本消息通过使用各种网络协议在各种类型网络上的终端用户之间电子地发送。电子邮件系统是具有为客户提供电子邮件服务的等价服务器的分布式客户/服务器系统。电子邮件系统基于开放式系统,其中客户与服务器进行通信以发送和接收电子邮件消息,而服务器与其他服务器通信。此开放式本质暴露出日益增长的UCE(未经请求的商业电子邮件),广告邮件、垃圾邮件、电子邮件炸弹等(称为“垃圾邮件”)。
自从1990年代起,随着因特网的商业意识的上升,出于以更低代价进行商业广告宣传的目的,人们使用垃圾邮件不加选择地发送大量未经请求的电子邮件消息。垃圾电子邮件对于ISP(信息服务提供者)和终端用户都是一种巨大的威胁。ISP浪费他们的系统资源来处理垃圾邮件在发送超过数十亿的目标为数十万用户的垃圾消息的网络资源;以及采取防范措施所花费的系统和人力资源的额外通信代价和损失,如自动返回垃圾邮件到发送者,和处理来自垃圾接收者的拒绝和申诉消息。同样,许多接收者要花费时间将真实的邮件从垃圾邮件中区分出来,而且耗费计算资源。
解决垃圾邮件泛溢的传统方法包括接收方的方法和电子邮件提供者的方法。这种基于服务器的解决方案是MTA控制技术和联系规则的组合,在该方案中,禁止垃圾发送者使用匿名配置,且阻塞SMTP。
通常,在ISP中邮件服务器的数据通信量在接收电子邮件时比发送电子邮件时多5到10倍,而且垃圾邮件数量约为接收邮件通信的60到80%。许多垃圾邮件制造者隐藏在假返回地址之后而,并处心积虑地写消息来误导接收者。因此防止垃圾邮件的最可靠的办法是逐个地阅读和审查电子邮件消息的标题及主体文本以确定该电子邮件是否是垃圾。然而,这对ISP和终端用户来说都需要花费太多的时间和费用,而且判定垃圾邮件是很困难的,因为判定的准则是主观确定的。
因此,为了因特网和电子邮件的公共利益,需要技术措施以便有效地解决垃圾邮件的问题。
发明内容
本发明的一个目标是使电子邮件服务提供者由于垃圾邮件而受到的损失最小。
本发明的另一个目标是有效地维持和控制在电子邮件服务提供者中垃圾邮件的数据通信量以防止由于垃圾邮件产生的破坏。
本发明的又一个目标是提供电子邮件服务系统和方法,它能对请求与该系统连接的IP组应用各自的垃圾阻断策略,并能对单个IP组灵活地应用各种IP过滤或阻断策略。
根据本发明的一个方面,如果从远程主机来的连接请求数超过预定的参考数,电子邮件服务系统就会拒绝从该远程主机来的请求,而且重发被拒绝的电子邮件的响应传送给请求主机。为判定连接允许或拒绝,参考对应的一个IP地址,计算从远程主机来的连接请求数。通过IP过滤方案,就能有效地管理及控制电子邮件服务系统的数据通信量。
本发明的电子邮件服务系统包括动态IP过滤模块、邮件传输代理(MTA)、用于接受来自远程主机的连接请求的接收装置、用于按照IP块提取对应于请求的远程主机的IP地址的装置和用于通过将预定的参考值与在预定的控制时间周期期间所做出的过去请求数和来自所提取IP地址的当前请求之和进行比较来判定连接允许的装置。动态过滤模块包括在判定连接许可前复位在最后连接时间和当前时间之间部分中的连接数。
在本发明的电子邮件服务系统中,动态IP过滤方法包括下列步骤接收从远程主机的连接请求;搜索IP块并从该IP块提取对应于请求的远程主机的IP地址;通过将预定的参考值与在预定的控制时间周期期间所做出的过去请求数和来自所提取IP地址的当前请求数之和进行比较来判定连接允许;以及在判定步骤以前,复位在最后连接时间和当前时间之间部分的连接数。
根据本发明的另外方面,各种IP过滤策略能按照时间应用于不同的IP组或单个IP组,使得能有效地控制在电子邮件服务系统中的数据通信量,而且,IP过滤技术可以在各种情况下灵活地实现。
通过下面参考附图的详细描述,本发明的这些和其他特征与优点将变得显而易见,其中图1是根据本发明的电子邮件网络的整体配置的方框图;图2是示意图,示出在本发明的电子邮件服务系统中IP块和记录;图3是在电子邮件服务系统中的一种动态IP地址过滤方法的处理流程图;图4是方框图,示出按本发明将不同的IP阻断策略应用于不同的IP块的多策略技术;图5是方框图,示出按时间将不同的IP过滤策略应用于单个IP组的实施例;以及图6是以ASP(应用服务供应商)方式实现的电子邮件服务系统的方框图。
具体实施例方式
图1示出按本发明的电子邮件网络的配置。电子邮件网络是分布式计算机系统,用于产生、访问、发送和接收电子邮件,并基于包括IMAP(Internet消息访问协议)、POP(邮局协议)和SMTP(简单邮件传输协议)的这些协议,但不限于这些协议。
远程主机10通过包括如因特网和LAN(局域网)那样公用网络的网络连接到电子邮件服务系统100。远程主机10可以是个人用户客户系统或包括相当于电子邮件服务系统100的服务器系统。网络具有众多的连接节点,而通信使用网际协议(IP)进行。IP作为数据通信的标准是众所周知的。上层协议如HTTP(超文本传输协议)和FTP(文件传输协议)在应用层上通信,而低层协议如TCP/IP(传输控制协议/网际协议)在传输层和网络层上通信。邮件消息使用SMTP协议发送到如<receiver@terracetech.com>的地址。电子邮件服务系统100包括一个或多个服务器计算机,并可配置一部分连到公用网的专用企业网。为安全起见,在公用网和专用企业网之间的通信可由防火墙进行过滤及控制。防火墙限止外界对企业网内的某些资源的访问。包括在电子邮件服务系统100内的服务器计算机配置成为客户执行服务器软件程序。服务器计算机配置用于维持用户的帐号,接收和组织邮件消息,使得无论消息中的信息如何编码,都能容易地定位和检索这些消息。服务器计算机能包括Web服务器、CGI(公共网关接口)程序、帐号管理程序和SMTP邮件服务器。
电子邮件服务系统100包括动态IP地址过滤模块20和邮件传输代理(MTA)50,如SendmailTM和QmailTM。MTA50包括传输器MTA、接收器MTA和网关MTA。过滤模块20包括连接处理单元30和IP块40。电子邮件服务系统100使用如POP-3协议接收来自远程主机10新的电子邮件消息,并通过使用SMTP(简单邮件传输协议)或ESMTP(扩展的SMTP)协议发送电子邮件消息。
远程主机10向服务系统100送出连接请求,并传输给服务系统100电子邮件消息、附件和发送电子邮件消息所必需的数据,如MAIL From<spam@host.domain>.RCPT TO<receiver@host.domain>.。动态IP地址过滤模块20的连接处理单元30参考IP块40判定对来自远程主机10的请求的连接允许。如果连接是允许的,将来自远程主机10发送的数据和消息提交给MTA50并传输到指定的电子邮件接收器或另一远程主机。对远程主机10的连接允许的判定取决于参考值与根据IP地址来自某个远程主机连接请求的数目的比较结果,这将在下面详细解释。
图2是在按本发明的电子邮件服务系统中IP块和记录的配置的概念性示意图。在电子邮件服务系统100中的IP块是事先存入的数据。当远程主机10请求连接时,记录与远程主机关联的IP地址。IP块40包括多个IP组40a、40b、…、40k,它们按照预定IP地址分组的规则安排。连接处理单元30接收来自远程主机10的连接请求,从IP块40中搜索和取出对应于请求的远程主机的IP地址。最好通过使用如散列函数来配置IP地址的IP块,使得连接允许能判定同时发生的多个连接请求。单个IP组(如40a)包括多个记录(#0~#m-1),对应一个IP地址形成一条记录。每个记录包括多个片(slice),如从‘片0’到‘片n-1’的‘n’个片。片是根据时间划分记录的单元。在每片中,记录所接收到的来自某个远程主机的连接请求的数目。
图3示出在本发明的电子邮件服务系统中动态IP地址过滤的处理流程。
在步骤110接收来自远程主机的连接请求。通过在步骤115搜索IP块,在步骤120取出请求远程主机的IP地址。根据来自所取出的IP地址的请求累计数,在步骤130中初步判定该远程主机连接的许可。通过审查请求的总和是否超过参考值,在步骤135作出判定。这里,通过将当前的请求和在时间片内记录的累计请求数相加得到总和请求,该时间片对应于从距离当前请求最近的过去连接请求时间(即最后请求时间)开始到追溯到预定控制周期的时间为止的时间范围。例如,假设单个记录有10片,这些片控制在10分钟时间单位,当前请求在1213接收,而最后的请求时间是1211。在整个片0-9所记录的数据中,在片3-9中存储的连接数(即对应于1203到1210之间时间的片)和在片0中存储的连接数(即对应于1210到1211之间时间的片)以及当前的连接请求相加成为累计的请求数,且在步骤135该累计值与参考值比较。参考值通过综合考虑电子邮件服务提供者的系统资源、用户的规模和数据通信量来确定,并标记为每次请求的数目。
如果累计的连接数超过参考值,在步骤145拒绝对应于该相关IP地址的远程主机的连接。即使当来自远程主机的请求累计数未超过参考值,在步骤140还要判断对此相关IP地址的连接拒绝时间是否已过去。当连接拒绝时间尚未过去时,拒绝对应于相关IP地址的远程主机的连接。如果连接拒绝时间已过去,或者没有拒绝此连接先前的情况,在步骤150允许连接,并且电子邮件消息和数据传输到MTA50以进行正常的电子邮件发送处理。
在判定连接允许步骤130之前,在步骤125复位该连接数。连接数复位步骤125将在最后连接时间和当前时间之间的片中的连接数复位为‘0’。在上例的情况,在对应于最后请求时间1211和当前时间1213的片之间存在一个1202的片。这是因为在最后连接时间和当前时间之间没有连接,因此在此时间间隔内,连接数数据记录在对应于在追溯到片控制时间(本例中为10分钟)的时间以前的过去时间的片中。因此,存储在过去片中的连接时间数据复位到‘0’,使得控制时间能作为连续时间值被保存。
在连接许可的判定步骤130之后,顺序执行流程回到接收新连接请求的步骤110。可以考虑记住允许连接的IP地址并省略对相同IP地址的搜索IP块。然而,考虑到记住或存储与连接许可相联系的IP地址数据的系统资源,最好一旦请求连接时,搜索IP块并取出对应的IP地址。
按照本发明的动态IP过滤技术,多次策略能应用于单个数据结构。
图4为方框图,示出多种时间策略,不同的策略应用到多个IP块的每一个。应用于IP组A 40a的IP过滤策略A 200a具有与策略B 200b和C 200c不同的单位控制时间、参考值和连接拒绝时间。此时,单位控制时间是指在图3的步骤135用于累加请求数的时间周期,‘参考数’是指与在单位控制时间内的累计请求数和当前请求之和进行比较的参考数。例如,多IP过滤策略对具有从210.220.10.0到20.220.250.255的IP地址的IP组A 40a,具有1小时的单位控制时间a1、10次的参考值12和2小时的连接拒绝时间a3,而IP地址从210.0.10.0到210.220.0.0的IP组B 40b应用IP过滤政策B200b,它具有10分钟单位控制时间b1、10次参考值b2和30分钟的连接拒绝时间b3。在多IP过滤策略中,默认的策略可应用于不需要专门策略的IP组。当需要确认是否阻断某个IP地址时,可以调用并读出与包括某个IP地址的IP组相关的IP过滤策略的参数。该策略参数(如单位控制时间、参考值和连接拒绝时间)应用到相关的IP过滤策略并计算。
如图5所示,按照本发明,不同策略可以按时间应用到单个IP组40n。通过这样做,就可能在垃圾邮件的请求达到高峰时的某个时间周期,动态地和灵活地应用专门加强的策略,因此可能做出更有效的服务器数据通信管理。
图6是以ASP(应用服务供应商)方式实现的电子邮件服务系统的方框图。电子邮件服务系统210接收连接请求、发送电子邮件消息所必须的信号、电子邮件消息及附件,而动态IP过滤模块220确定到来自远地主机10请求的连接许可。当连接允许,电子邮件服务系统210传送电子邮件消息和必要的数据到多个远地服务器300a、300b和300c,它们经通信网络400互连。类似图1的系统100,动态IP过滤模块220包括连接处理单元230和IP块240。远地服务器300a、300b和300c具有它们自己的MTA 250a、250b和250c,这些MTA可以包括传输MTA、接收MTA和网关MTA。
在本发明的电子邮件服务系统的ASP实现中,远地服务器300a、300b和300c的每一个都能利用IP过滤模块的外部资源,因此能保持其自己的系统资源。
在附图及说明中已揭示了本发明典型的较佳实施例,虽然使用专门术语,它们只以通常及表述的意义使用,而不是出于限制的目的。有许多本发明的其他实施例未作专门说明。本发明的范围在下面权利要求中列出。
权利要求
1.一种具有动态过滤模块的电子邮件服务系统,其特征在于,包括接收来自远程主机的连接请求的装置;按照IP块提取对应于所述请求远程主机的IP地址的装置;通过将预定的参考值与在预定控制时间周期内作出的过去请求数和来自所取得的IP地址当前请求的总和值进行比较来判定连接许可的装置,所述预定的控制时间周期被分成若干片,并且所述的动态过滤模块包括在判定连接许可以前复位在最后连接时间和当前时间之间的片中的连接请求数的装置。
2.如权利要求1所述的电子邮件服务系统,其特征在于,当所述判定装置拒绝该连接时,对该IP地址创建连接拒绝时间,且阻断该IP地址的连接,直到在连接拒绝时间过去。
3.如权利要求2所述的电子邮件服务系统,其特征在于,所述IP块包括多个IP组,且应用于一个IP组的一个IP过滤策略与应用于另一个IP组的策略不同,所述的IP过滤策略具有预定控制时间、参考值和连接拒绝时间的数据。
4.如权利要求2所述的电子邮件服务系统,其特征在于,所述IP块包括多个IP组,且多种IP过滤策略应用于单个IP组,所述的策略包括所述的预定控制时间周期、所述预定参考值和与连接拒绝相关的参数。
5.一种具有动态IP过滤模块并通过通信网络互连到多个远程服务器的电子邮件服务系统,所述远程服务器具有自己的邮件传输代理(MTA),其特征在于,所述电子邮件服务系统包括接收来自远程主机到多个远程服务器的连接请求的装置;按照IP块提取对应于请求的远程主机的IP地址的装置;通过将预定的参考值与在预定控制时间周期内作出的过去请求数和来自所取得的IP地址当前请求的总和值进行比较来判定连接许可的装置,所述预定控制时间周期被分成若干片;所述动态IP过滤模块包括在判定连接许可以前复位在最后连接时间和当前时间之间的片中的连接请求数的装置;以及用于将电子邮件传输到其连接已由判定装置所许可的对应的远程服务器的装置。
6.如权利要求5所述的电子邮件服务系统,其特征在于,当所述判定装置拒绝连接时,对该IP地址创建连接拒绝时间,且阻断该IP地址的连接,直到连接拒绝时间过去。
7.在电子邮件服务系统中,一种用于动态过滤IP地址的方法,其特征在于,所述方法包括下列步骤接收来自远程主机的连接请求;搜索IP块并从该IP块中提取对应于请求远程主机的IP地址;通过将预定的参考值与在预定控制时间周期内作出的过去请求数和来自所取得的IP地址当前请求的总和值进行比较来判定连接许可,所述预定控制时间周期被分成若干片;在判定连接许可以前,复位在最后连接时间和当前时间之间的片中的连接请求数。
8.如权利要求7所述的方法,其特征在于,当所述判定装置拒绝连接时,对该IP地址创建连接拒绝时间,且阻断该IP地址,直到所述连接拒绝时间过去。
9.如权利要求7或8所述的方法,其特征在于,所述IP块包括记录,每个记录对应一个IP地址,每个记录包括按照预定控制时间期间连续管理的多个片,且将来自对应的IP地址的连接请求数写入每个记录。
10.如权利要求7或8所述的方法,其特征在于,在连接许可的判定步骤之后,程序序列回到接收来自远程主机连接请求的步骤。
11.如权利要求8所述的方法,其特征在于,所述IP块包括多个IP组,且应用于一个IP组的IP过滤策略不同于应用于另一个IP组的IP过滤策略,所述IP过滤策略包罗预定控制时间周期、预定参考值和与连接拒绝时间有关的参数。
12.如权利要求8所述的方法,其特征在于,所述IP块包括多个IP组,而多个IP过滤策略应用于一个IP组,所述IP过滤策略包括预定控制时间周期、预定参考值和与连接拒绝时间有关的参数。
13.在连接到多个远程服务器的电子邮件服务系统中,每个远程服务器具有自己的邮件传输代理,其特征在于,动态过滤IP地址的方法包括下列步骤接收来自远程主机到多个远处服务器的连接请求;搜索IP块,并从所述IP块提取对应于请求远程主机的IP地址;通过将预定的参考值与在预定控制时间周期内作出的过去请求数和来自所取得的IP地址当前请求的总和值进行比较来判定连接许可,所述预定控制时间周期被分成若干片;在判定步骤之前,复位在最后连接时间和当前时间之间的片中的连接请求数;和将与在所述判定步骤中允许连接的远程主机有关的电子邮件传输到相应的远程服务器。
14.如权利要求13所述的方法,其特征在于,当判定装置拒绝所述连接,对该IP地址建立连接拒绝时间,阻断所述IP地址的连接,直到所述连接拒绝时间过去。
全文摘要
如果从远程主机来的连接请求数超过预定的参考数,从该远程主机来的连接请求就会被电子邮件服务系统所拒绝,且重发被拒绝的电子邮件的响应被传送到请求的主机。为了判定连接许可或拒绝,参考对应的IP地址计算从远程主机来的连接请求数。借助IP过滤方案,能有效地管理和控制电子邮件服务系统的数据通量。本发明的电子邮件服务系统包括动态IP过滤模块、邮件传输代理(MTA)、接受从远程主机来的连接请求的接收装置、用于按照IP块提取对应于请求的远程主机的IP地址的装置,和通过将预定参考值与在预定控制时间期间作出的过去的请求数和来自提取的IP地址的当前请求的总和值进行比较来判定连接许可的装置。该动态过滤模块包括在判定连接许可之前复位在最后连接时间和当前时间之间的片中的连接数。
文档编号H04L12/58GK1410924SQ0212685
公开日2003年4月16日 申请日期2002年7月19日 优先权日2001年10月6日
发明者林星烨, 李祐周 申请人:泰瑞斯技术股份有限公司