用于认证电子邮件的方法和装置的制作方法

专利名称：用于认证电子邮件的方法和装置的制作方法
技术领域：
本发明一般地涉及电子邮件的领域，并且更具体而言，本发明涉及用于认证电子邮件的方法和装置。
背景技术：
随着因特网的发展，利用电子邮件或email的通信已经成为常用手段。因特网还被广泛应用于进行商业交易，并且这样的交易通常需要交换诸如信用卡细节、银行账户细节、密码、个人细节等等的保密信息。为了诱使接收者提供保密信息，带有不正当意图的人经常使用所谓的“伪造”email消息。然后该使用伪造email信息的人以欺骗性方式来使用保密信息，所述欺骗性方式例如是在因特网拍卖网站上对项目出价或者张贴虚假项目。
Email消息通常包括接收者可视的头部，该头部示出谁声称发送了该email(“来自”字段)，该email被发送给谁(“去往”字段)，该email的主题(“主题”字段)和发送该email的日期和时间(“日期”字段)。为了误导实际email源的接收者或受骗者，发送伪造攻击者通常改变(“来自”字段)以反映出一个已知或可靠的源。这样，当接收者接收到伪造email时，“来自”字段可能示出与发送者完全不相关的email地址。如果接收者将要回复该email，发送者则会随后获得受骗者的保密信息，该受骗者相信其保密信息正被发送到合法的源。

发明内容
根据本发明，提供了认证电子邮件的方法，该方法包括调查电子邮件头部中的数据；并且响应于所述调查而产生认证指示符。
在某些实施例中，所述认证指示符提供了对电子邮件是从电子邮件的接收者可视的声称发送者发出的可能性的指示，所述方法包括将认证指示符提供给电子邮件的接收者。
本发明扩展到包含指令序列的机器可读介质，当机器执行所述指令序列时，所述指令序列致使机器执行所述方法。
还根据本发明，提供了一种邮件服务器，该邮件服务器用于认证在邮件服务器和至少一个客户端设备之间传送的电子邮件，所述邮件服务器包括用于与至少一个客户端设备进行通信的通信接口；处理器；以及包括了一组指令的存储器，当所述处理器执行所述指令时，所述指令致使所述处理器调查电子邮件头部中的数据；并且响应于所述调查而产生认证指示符。
本发明的其他特征将从下面的附图和详细描述中显现出来。


现在将参考附图而以非局限性示例的方式来描述本发明，在附图中，相同的标号被用于指示相同或相似的特征。
图1示出了在经由因特网传送电子邮件或email的过程中所使用的示例性硬件配置的示意性框图；图2示出了email的示例性头部的示意性表示；图3示出了伪造发起者可以用来发送伪造email的服务器配置的示意性框图；图4示出了根据本发明，用于比较email头部中的发起者数据的方法的示意性流程图；图5示出了根据本发明，用于调查email头部中的域名数据的方法的示意性流程图；图6示出了根据本发明，用于调查email头部中所提供的IP地址的方法的示意性流程图；图7示出了用于检查黑名单的方法的示意性流程图，所述黑名单包括了可能从其发送出伪造email的源；图8示出了根据本发明，用于更新伪造email的可能发送者的黑名单的方法的示意性流程图；图9示出了根据本发明检查伪造email的示例性防毒应用的示意性框图；图10示出了包括用于识别可能的伪造email的客户端插件的邮件服务器的示意性框图；以及图11示出了用于执行这里所述方法中的任一方法的示例性计算机的示意性框图。
具体实施例方式
下面将描述用于认证电子邮件或email的方法和装置。在以下描述中，为了解释的目的而提出了多个具体细节，以便提供对本发明的全面了解。但是很明显，本领域的技术人员无需这些具体细节也可以实施本发明。
参考附图，标号20通常指示出用于经由因特网22来传送电子消息或email的示例性硬件配置。配置20包括由发送者或者源个人计算机(PC)24所定义的客户机，以及由目的PC 28所定义的另一客户机，所述源PC24连接到其关联的因特网服务提供商(ISP)26，并且目的PC 28连接到其关联的ISP 30。虽然在图中只示出两台PC 24、28，但是显而易见，图1中的图代表了可以在任意一台或多台其他PC之间传送email的任意两台连接到因特网的PC。
对于当前论述，PC 24是可以用于将伪造email传送到目的PC 28的源PC。伪造email通常是这样的email，即在伪造email中，发送者或发起者对email的接收者隐藏或试图隐藏他或她的真实身份。隐藏email的源通常关联到发送者的如下不正当行为发送者想要诱使接收者提供诸如银行账户细节、信用卡细节、个人细节等等的保密信息。这样的细节例如可以在因特网拍卖环境中用于欺骗性地哄抬拍卖项目的价格，张贴虚假的销售项目以及其他不正当行为。
返回图1，当发送email时，PC 24使用其邮件客户端与ISP 26进行通信。ISP 26从接收自PC 24的email消息中识别出目的email地址，并且询问域名服务器(DNS)32(参见箭头34)。DNS 32使用目的email地址的域名(destination.emailaddress.com)来识别与域名相关联的IP地址。然后如箭头36所示，DNS 32将关联的IP地址返回到ISP 26，由此来识别PC 24发送的email的目的IP地址。ISP 26一旦识别出目的IP地址，就经由因特网和直接链路38将email消息传送到ISP 30。然后ISP 30通常识别出接收者(伪造受骗者)，并且然后将email发送到PC 28。如下更详细论述的，email被伪装起来，因此它看上去好像来自合法的源，但是实际上，它是从伪造发起者发送的，所述伪造发起者通常正试图从接收者或伪造受骗者那里获得保密数据。
具体参考图2，一般用标号40指示出示例性email。email 40包括传输数据邮件头部42、可视邮件头部44和内容部分46。在内容部分46中，用户通常键入消息的内容，或者包括HTML页面等等。可视邮件头部44通常在接收者的PC屏幕上是可视的，在该情况下，接收者是伪造受骗者。在某些实施例中，可视邮件头部44包括“去往”字段48、“来自”字段50、“主题”字段52和“日期”字段54。虽然大多数email包括上述四个字段，但是将会意识到，这些字段仅仅是示例性字段，并且在某些情况下，可以提供更多或其他字段。传输数据邮件头部42通常对email的接收者来说是不可视的，email的接收者只能看见可视邮件头部44和内容部分46。
传输数据邮件头部42包括了email 40被传送到接收者或伪造受骗者所经由的每个服务器包括到email 40中的数据。在一个实施例中，服务器包括两个“已接收”字段56和58。将会意识到，“已接收”字段56、58的数目依赖于被传送的email 40所经由的服务器数目，在某些情况下，由于内部处理，单个服务器可能添加多于一个的“已接收”字段56、58。每个“已接收”字段包括“来自”部分、IP地址、包括接收email 40的服务器名称的部分、包括天、日期、时间细节的部分，以及包括服务器添加来唯一标识email 40的消息ID的部分。
虽然很多客户端应用都自动将发送者的email地址填入“来自”字段50，但是该字段可以相对容易地被改变。例如，可以自由地获得允许email的发送者改变该字段以反映出不同的发送者信息的应用。因为通常会对email的接收者显示该字段，因此伪造email 40的发送者通常改变该字段，以示出可信或合法发送者的email地址。例如，伪造email的发送者通常在该字段中插入一个已知或合法域名上的声称发送者，例如support@eBay.com、support@hotmail.com等等。同样地，在email 40中通常包括吸引人的主题头部，以鼓励接收者进行回复，并且在内容部分46中所包括的信息通常是同样易于误导的。在某些情况下，伪造发送者可以将向接收者请求保密数据的网页包括在内容部分46中，因此如果接收者回复该email，伪造发起者则可以在受骗者答复伪造email地址(而不是“来自”字段50中显示的声称email地址)时捕获所述保密信息。
但是，与可视邮件头部44中可以相对容易被改变的“来自”字段50不同，在传输数据邮件头部42中的“已接收”字段56一般包括了可正确识别发送者的准确或实际的数据。这样，在“已接收”字段56的“来自”部分60中包括了email 40的实际源(当前示例中的spoof.orginator.de)。此外，“已接收”字段56还包括实际的IP地址62，在本示例中，该IP地址62是未经验证的。此外，“已接收”字段56包括接收email 40的服务器64的名称，以及全面的天、日期和时间信息66以及特定的服务器所特有的消息标识或ID 68。这样，虽然在可视邮件头部44中的“来自”字段50已经被改变为示出了声称发送者(purportedsender@hotmail.com)，但是在传输数据邮件头部42中反映出实际的发送者(spoof.orginator.de)。
当email 40被传递到一个或多个另外的服务器时，一个或多个另外的“已接收”字段58被包括在email 40的传输数据邮件头部42中。例如，在“已接收”字段58的“来自”字段70中包括了它从其接收email 40的服务器的域名(mail.intermediateserver.com)(参见“已接收”字段56中的服务器64的名称)，发送所述消息的邮件服务器的IP地址72，它自己的域的细节(destinationserver.mil)以及其特有的ID 76。它还包括受骗者的email地址(spoofvictim@destination.emailaddress.com)，以及日期、时间和天的细节。这样，在传输数据邮件头部42中提供了具有细节的所谓“文件记录”(paper trail)，该文件记录示出了自email 40的开端以来的实际服务器和域的历史。
如上所述，传输数据邮件头部42可以包括多个“已接收”字段56、58，其中每个字段都是由将email 40传送到其最后目的地所经过的服务器添加的。通常，如图3所示，来自不正当意图者的伪造email被发送到中间服务器，以便尝试隐藏email的实际源。具体而言，伪造email的发送者例如经由PC 24将伪造email传送到在图3中被示为服务器80(spoof.orginator.de)的ISP 26。这样，在本示例中，伪造发起者位于德国，并且与他或她的被标识为spoof.orginator.de的本地ISP进行通信。之后，email消息40被传送到中间服务器82(mail.intermediateserver.com)，以便尝试伪装email 40的源。之后，email 40被发送到目的服务器84(destinationserver.mil)，并且在某些情况下，如方框86所示，可能在目的服务器84处发生内部处理。然后目的服务器84在将其“已接收”字段58添加到邮件头部中之后，将email 40传送到PC 28可以随后从其ISP 30进行接收的目的email地址88。以上论述提供了伪造者如何使用各种服务器将伪造email传送到目的PC 28的示例，其中在可视邮件头部44中显示的实际源被伪装。但是，根据本发明，可以通过调查email 40的邮件头部中的数据，并且响应于调查而产生认证指示符来认证email 40。
具体参考图4，标号90一般指示出根据本发明的示例性实施例，用于认证email 40的方法。在方框92处，方法90解析(parse)传输数据邮件头部42和可视邮件头部44，以获得传输细节。具体而言，方法90调查或分析可视邮件头部44，从而提取出“来自”字段50中所包括的细节或数据，例如声称发送者的域名(hotmail.com)。此外，方法90对传输数据邮件头部42进行分析，从而从“已接收”字段56中提取出实际的发起者数据，例如email 40的实际发送者的实际域名。在“来自”部分60中提供了从其发送email 40的实际域名，并且该实际域名在email 40中被示为“spoof.orginator.de”。如判断框94处所示，一旦已经提取出上述数据，方法90就将来自“来自”字段50的域名(声称发送者数据)与来自“已接收”字段56的域名(实际发起者数据)进行比较，并且如果两个域名不匹配，那么如方框96处所示，方法90将信赖因子或认证指示符提供给email的接收者。在一个实施例中，由方法90显示出的信赖因子具有注释的形式，所述注释例如是“该email来自与邮件服务器的域不匹配的email地址”、“该email看来不是从声称发送者发出的”等等。但是将会意识到，可以将任意警告或信赖因子提供给email的接收者。例如，在某些实施例中，信赖因子可以具有特定范围(例如1到10)内的数、百分比等等的形式。返回到判断框94，如果从“来自”字段50提取出的域名与在“已接收”字段56中的域名相匹配，方法90则可以执行如方框98处所示的进一步检查，或者方法90也可以终止。
标号100一般指示出根据本发明的示例性实施例，用于认证email 40的另一方法。方法100解析头部，更具体而言是解析传输数据邮件头部42，以从“已接收”字段56中获得声称IP地址62(参见方框102)。之后，在方框104处，方法100询问DNS 32(参见图1)或与其进行通信，在这期间，从“已接收”字段56中提取出的发送者60的实际域名被传送到DNS 32，以获得与从部分60中提取出的域名相关联的IP地址。如图1中的线段36所示，DNS 32返回与实际域名相关联的IP地址(实际发起者的实际IP地址)。在判断框106处，方法100将从DNS 32获得的实际IP地址与在“已接收”字段56中提供的声称IP地址62进行比较，并且如果它们不匹配，那么如方框108所示，将对用户显示低的认证指示符。例如，与方法90显示认证指示符的情况一样，由方法100显示的认证指示符可以包括诸如“警告发送者的声称域名与实际域名不匹配”。但是将会意识到，可以将任意消息或指示符提供给用户，以改变具有该差异的用户。这样，如果IP地址62与email的实际发起者不相关联，则警告用户。返回判断框106，如果来自头部的IP地址实际上与来自DNS 32的IP地址62相匹配，那么方法100可以如方框110所示执行进一步的检查，或者方法100也可以终止。
具体参考图6，标号120一般指示出根据本发明的另一示例性实施例，用于认证email 40的方法。当被执行时，方法120在方框122中解析可视邮件头部44，以从“来自”字段50中获得声称发送者的域名，并且还从传输数据邮件头部的“已接收”字段56中获得IP地址62。之后，方法120询问“WHOIS”数据库，或与其进行通信。具体而言，如方框124所示，方法120将声称发送者的声称域名(hotmail.com)提供给WHOIS数据库，以获得与声称发送者的特定域名相关联的IP地址。之后，在判断框126处，方法120将从WHOIS数据库获得的IP地址与从传输数据邮件头部42中提取出的IP地址62进行比较，以判断它们是否匹配。如果来自WHOIS的IP地址与来自传输数据邮件头部42的IP地址不匹配，则如方框128所示，将对用户显示低的信赖因子或认证指示符。例如，方法120可以指示用户“实际发送者的IP地址与声称发送者的IP地址不匹配”。但是，如果来自WHOIS数据库的IP地址与来自邮件头部的IP地址相匹配，则如方框130所示，该方法可以终止，或者执行进一步检查。
将会意识到，当验证或认证电子邮件时，可以执行示例性方法90、100和120中的任意一种或多种。此外，提供给用户的信赖因子或认证指示符可以采用向用户指示出email 40被伪造的可能性的警告或警报的形式。同样地，在本发明的其他实施例中，当在被调查的头部中的多个部分之间存在匹配时，可以提供认证指示符。
参考图7，标号140一般指示出根据本发明的示例性实施例，用于认证email的另一方法。方法140解析传输数据邮件头部42，以分别获得“已接收”字段56、58的“来自”部分60、70中的域名数据。如果email 40已经穿过另外的服务器，那么也对其他的服务器所添加的“已接收”字段进行调查，以获得email 40头部中的所有域名的全面列表(参见方框142)。之后，如方框144所示，将从传输数据邮件头部42中提取出的域名与发送者的黑名单进行比较。发送者的黑名单包括可能作为诸如伪造email的不期望的email的源的所有域名的列表，并且与上述方法一样，可以将信赖因子或认证指示符提供给email 40的接收者(读取者)。在某些实施例中，如方框146所示，方法140阻挡已经从黑名单的服务器发送出的email。在一个实施例中，为了增强有效性，方法140使用图8的示例性方法150来更新其email的黑名单。
如方框152所示，方法150自动监控用户何时激活PC上的邮件客户端。当方法150检测到用户行为或适当的连接(例如到因特网)时，如方框154所示，它连接到黑名单服务器。在一个实施例中，当邮件客户端运转时，方法150连接到黑名单服务器。如方框156所示，方法150随后将更新的黑名单下载到邮件客户端，并且之后如方框158所示，以自动的方式将更新的列表集成到邮件客户端中。如方框160所示，一旦已经下载了更新的黑名单，方法150通常就终止当前会话。
标号170一般指示出示例性防毒应用，该防毒应用除了其防毒功能之外，还包括方法90、100、120、140和150中的一种或多种。在一个实施例中，应用170以客户端插件172的形式包括了方法90、100、120、140和150，所述客户端插件172与防毒功能174交互。为了执行上述功能，客户端插件172包括解析器模块176、WHOIS API 178、DNS API 180和数字证书182。应用170通常被提供在客户机(例如PC 24和28)上，并且与邮件服务器184进行通信，以便在客户机接收到来自邮件服务器184的email时，客户端插件172如这里所述地认证email 40。这样，每次在防毒应用170检查email上的病毒时，它还可以对email进行认证，从而获得用于告知用户email被伪造的可能性的认证指示符。
虽然应用170通常位于客户机上，但是在本发明的其他实施例中，在邮件服务器186上提供客户端插件172。这样，在客户机从邮件服务器186下载消息之前，邮件服务器186执行这里所描述的认证方法。然后可以将信息中包括的适当消息传送到客户机。
图11以计算机系统300的示例性形式示出了机器的图形表示，在计算机系统300内，可以执行用于致使机器执行上述方法中的任意一种的一组指令。在其它实施例中，该机器可以包含网络路由器、网络交换机、网络桥、个人数字助理(PDA)、蜂窝电话、网络装置，或者能够执行指令序列的任意机器，所述指令序列指定了该机器将要执行的动作。
计算机系统300包括处理器302、主存储器304和静态存储器306，它们经由总线308来彼此通信。计算机系统300还可以包括视频显示单元310(例如液晶显示器(LCD)或者阴极射线馆(CRT))。计算机系统300还包括混合符号输入设备312(例如键盘)、光标控制设备314(例如鼠标)、磁盘驱动单元316、信号产生设备318(例如扬声器)和网络接口设备320。计算机系统300的各种组件可以被包括在邮件服务器186中。
磁盘驱动单元316包括机器可读介质322，在机器可读介质322上存储了一组指令(软件)324，其包含了上述方法中的任意一种或全部方法。示出的软件324也完全或至少部分位于主存储器304和/或处理器302内。软件324还可以经由网络接口设备320而被发送或接收。为了说明的目的，术语“机器可读介质”将包括能够存储用于机器执行的指令序列，或对其进行编码，并且致使机器执行本发明的方法中的任意一种的任意介质。术语“机器可读介质”因此将包括但不局限于固态存储器、光盘和磁盘以及载波信号。
这样，已经描述了用于认证email的方法和装置。虽然已经参考具体的示例性实施例而描述了本发明，但是很明显，无需脱离本发明的广阔精神和范围，就可以对这些实施例进行各种修改和改变。因此，应从示例性而非限制性的意义上看待说明书和附图。
权利要求
1.一种认证电子邮件的方法，该方法包括调查所述电子邮件头部中的数据；并且响应于所述调查而产生认证指示符。
2.如权利要求1所述的方法，其中所述认证指示符提供了对所述电子邮件是从所述电子邮件中所示的声称发送者发出的可能性的指示，所述方法包括将所述认证指示符提供给所述电子邮件的接收者。
3.如权利要求1所述的方法，其中所述调查头部中的数据包括解析所述头部，以获得在邮件客户端填入的“来自”字段中的声称发送者数据，并且获得实际发起者数据；将所述声称发送者数据与实际发起者数据进行比较；并且响应于所述比较而产生所述认证指示符。
4.如权利要求3所述的方法，其中所述“来自”字段是电子邮件中提供来用于识别所述电子邮件的发送者的“来自”字段。
5.如权利要求3所述的方法，其中所述实际发起者数据是在接收到来自所述邮件客户端的电子邮件的服务器处包括进来的“已接收”字段中提供的数据。
6.如权利要求1所述的方法，其中所述调查头部中的数据包括解析所述头部，以获得所述电子邮件的发起者的声称IP地址，并且获得所述电子邮件的实际发送者的实际域名；利用所述实际域名来询问域名服务器，以获得与所述实际域名相关联的IP地址；将所述相关联的IP地址与所述声称IP地址进行比较；并且响应于所述比较而产生所述认证指示符。
7.如权利要求1所述的方法，其中所述调查头部中的数据包括解析所述头部，以获得所述电子邮件的发起者的头部IP地址，并且获得所述电子邮件的声称发送者的声称域名；利用所述声称域名来询问商业实体数据库，以获得与所述声称域名相关联的IP地址；将所述头部IP地址与所述相关联的IP地址相比较；并且响应于所述比较而产生所述认证指示符。
8.如权利要求7所述的方法，其中所述商业实体数据库是WHOIS数据库。
9.如权利要求1所述的方法，该方法与防毒软件结合执行。
10.如权利要求1所述的方法，其中所述电子邮件的头部包括可视邮件头部和传输数据邮件头部，所述可视邮件头部在所述接收者打开电子邮件时对所述接收者来说是可视的，所述传输数据邮件头部包括了由被传送的电子邮件所经由的至少一个服务器包括进来的接收数据，所述方法包括调查所述可视邮件头部和传输数据邮件头部两者中的数据。
11.如权利要求1所述的方法，其中所述调查头部中的数据包括解析所述头部，以获得所述电子邮件被传送经过的每个服务器的域名数据；将所述每个服务器的域名数据与参考域名数据进行比较；并且响应于所述比较而产生所述认证指示符。
12.如权利要求11所述的方法，其中所述参考域名数据包括与伪造的电子邮件相关联的域名，所述方法包括以自动方式更新所述参考域名数据。
13.如权利要求12所述的方法，其中所述参考域名数据被存储在客户机中，所述方法包括将所述客户机连接到参考域名数据的远端数据库；下载被更新的参考域名数据；并且将所述参考域名数据存储在所述客户机上。
14.如权利要求11所述的方法，该方法包括经由因特网下载所述参考域名数据。
15.如权利要求11所述的方法，其中所述参考域名数据被集成在邮件客户端的应用中。
16.如权利要求11所述的方法，该方法包括解析由所述电子邮件被传送经过的每个服务器包括到所述头部中的“已接收”字段。
17.一种包含指令序列的机器可读介质，当机器执行所述指令序列时，所述指令序列致使所述机器执行认证电子邮件的方法，所述方法包括调查所述电子邮件头部中的数据；并且响应于所述调查而产生认证指示符。
18.如权利要求17所述的机器可读介质，其中所述认证指示符提供了对所述电子邮件是从所述电子邮件中所示的声称发送者发出的可能性的指示，所述方法包括将所述认证指示符提供给所述电子邮件的接收者。
19.如权利要求17所述的机器可读介质，其中所述调查头部中的数据包括解析所述头部，以获得在邮件客户端填入的“来自”字段中的声称发送者数据，并且获得实际发起者数据；将所述声称发送者数据与实际发起者数据进行比较；并且响应于所述比较而产生所述认证指示符。
20.如权利要求19所述的机器可读介质，其中所述“来自”字段是电子邮件中提供来用于识别所述电子邮件的发送者的“来自”字段。
21.如权利要求19所述的机器可读介质，其中所述实际发起者数据是在接收到来自所述邮件客户端的电子邮件的服务器处包括进来的“已接收”字段中提供的数据。
22.如权利要求17所述的机器可读介质，其中所述调查头部中的数据包括解析所述头部，以获得所述电子邮件的发起者的声称IP地址，并且获得所述电子邮件的实际发送者的实际域名；利用所述实际域名来询问域名服务器，以获得与所述实际域名相关联的IP地址；将所述相关联的IP地址与所述声称IP地址进行比较；并且响应于所述比较而产生所述认证指示符。
23.如权利要求17所述的机器可读介质，其中所述调查头部中的数据包括解析所述头部，以获得所述电子邮件的发起者的头部IP地址，并且获得所述电子邮件的声称发送者的声称域名；利用所述声称域名来询问商业实体数据库，以获得与所述声称域名相关联的IP地址；将所述头部IP地址与所述相关联的IP地址相比较；并且响应于所述比较而产生所述认证指示符。
24.如权利要求23所述的机器可读介质，其中所述商业实体数据库是WHOIS数据库。
25.如权利要求17所述的机器可读介质，其中所述指令与防毒软件结合执行。
26.如权利要求17所述的机器可读介质，其中所述电子邮件的头部包括可视邮件头部和传输数据邮件头部，所述可视邮件头部在所述接收者打开电子邮件时对所述接收者来说是可视的，所述传输数据邮件头部包括了由被传送的电子邮件所经由的至少一个服务器包括进来的接收数据，所述方法包括调查所述可视邮件头部和传输数据邮件头部两者中的数据。
27.如权利要求17所述的机器可读介质，其中所述调查头部中的数据包括解析所述头部，以获得所述电子邮件被传送经过的每个服务器的域名数据；将所述每个服务器的域名数据与参考域名数据进行比较；并且响应于所述比较而产生所述认证指示符。
28.如权利要求27所述的机器可读介质，其中所述参考域名数据包括与伪造的电子邮件相关联的域名，所述方法包括以自动方式更新所述参考域名数据。
29.如权利要求28所述的机器可读介质，其中所述参考域名数据被存储在客户机中，所述方法包括将所述客户机连接到参考域名数据的远端数据库；下载被更新的参考域名数据；并且将所述参考域名数据存储在所述客户机上。
30.如权利要求27所述的机器可读介质，其中所述方法包括经由因特网下载所述参考域名数据。
31.如权利要求27所述的机器可读介质，其中所述参考域名数据被集成在邮件客户端的应用中。
32.如权利要求27所述的机器可读介质，其中所述方法包括分析由所述电子邮件被传送经过的每个服务器包括到所述头部中的接收字段。
33.一种邮件服务器，用于认证在所述邮件服务器和至少一个客户端设备之间传送的电子邮件，所述邮件服务器包括用于与所述至少一个客户端设备进行通信的通信接口；处理器；以及包括了一组指令的存储器，当所述处理器执行所述指令时，所述指令致使所述处理器调查所述电子邮件头部中的数据；并且响应于所述调查而产生认证指示符。
34.如权利要求33所述的邮件服务器，其中所述认证指示符被提供给所述电子邮件的接收者，以提供对所述电子邮件是从所述电子邮件中所示的声称发送者发出的可能性的指示。
35.如权利要求33所述的邮件服务器，其中所述处理器解析所述头部，以获得在邮件客户端填入的“来自”字段中的声称发送者数据，并且获得实际发起者数据；将所述声称发送者数据与实际发起者数据进行比较；并且响应于所述比较而产生所述认证指示符。
36.如权利要求35所述的邮件服务器，其中所述“来自”字段是电子邮件中提供来用于识别所述电子邮件的发送者的“来自”字段。
37.如权利要求35所述的邮件服务器，其中所述实际发起者数据是在从所述邮件客户端接收所述电子邮件的服务器处包括进来的“已接收”字段中提供的数据。
38.如权利要求33所述的邮件服务器，其中所述处理器解析所述头部，以获得所述电子邮件的发起者的声称IP地址，并且获得所述电子邮件的实际发送者的实际域名；利用所述实际域名来询问域名服务器，以获得与所述实际域名相关联的IP地址；将所述相关联的IP地址与所述声称IP地址进行比较；并且响应于所述比较而产生所述认证指示符。
39.如权利要求33所述的邮件服务器，其中所述处理器解析所述头部，以获得所述电子邮件的发起者的头部IP地址，并且获得所述电子邮件的声称发送者的声称域名；利用所述声称域名来询问商业实体数据库，以获得与所述声称域名相关联的IP地址；将所述头部IP地址与所述相关联的IP地址相比较；并且响应于所述比较而产生所述认证指示符。
40.如权利要求39所述的邮件服务器，其中所述商业实体数据库是WHOIS数据库。
41.如权利要求33所述的邮件服务器，其中所述处理器解析所述头部，以获得所述电子邮件被传送经过的每个服务器的域名数据；将所述每个服务器的域名数据与参考域名数据进行比较；并且响应于所述比较而产生所述认证指示符。
42.如权利要求41所述的邮件服务器，其中所述参考域名数据包括与伪造的电子邮件相关联的域名，并且所述参考域名数据以自动的方式被更新。
43.如权利要求42所述的邮件服务器，其中所述参考域名数据被存储在客户机中，并且所述处理器将所述客户机连接到参考域名数据的远端数据库；下载被更新的参考域名数据；并且将所述参考域名数据存储在所述客户机上。
44.一种邮件服务器，用于认证在所述邮件服务器和至少一个客户端设备之间传送的电子邮件，所述邮件服务器包括用于与所述至少一个客户端设备进行通信的装置通信接口；处理器装置；以及存储了一组指令的装置，当所述处理器执行所述指令时，所述指令致使所述处理器装置调查所述电子邮件头部中的数据；并且响应于所述调查而产生认证指示符。
全文摘要
本发明公开了用于认证电子消息的方法和装置。该方法包括调查电子消息头部中的数据，并且响应于所述调查而产生认证指示符。认证指示符可以提供对电子消息是从电子消息的接收者可视的声称发送者发出的可能性的指示。在某些实施例中，该方法包括将认证指示符提供给电子消息的接收者。调查头部中的数据可以包括解析头部，以获得在邮件客户端填入的“来自”字段中的声称发送者数据，并且获得实际发起者数据；将声称发送者数据与实际发起者数据进行比较；并且响应于所述比较而产生认证指示符。所述“来自”字段可以是电子邮件消息中提供来用于识别电子邮件消息的发送者的“来自”字段。
文档编号H04L29/06GK1703868SQ200380101024
公开日2005年11月30日 申请日期2003年10月6日 优先权日2002年10月7日
发明者克里斯·拉隆德, 马蒂·阿博特, 克尔克·尚弗德, 格雷格·艾萨克斯 申请人:电子湾有限公司