专利名称:用于控制对电子消息接收者的访问的系统和方法
技术领域:
本公开内容涉及计算机网络,更确切来说涉及用于控制对多种形式的电子通信 (例如“电子邮件”、“即时消息传送”)的访问控制的系统和方法,其中使用发送者和接收者 标识符在参与者之间传导消息。
背景技术:
电子邮件(“e-mail”)的强大之处在于定义e-mail消息的内容和递交的通用 标准协议。遗憾的是,这些标准协议不认证发送者标识,从而对e-mail的访问控制难以提 出。在最近几年,对e-mail缺乏访问控制已经导致商业广告和其他非期望的消息(“垃圾 邮件”)的数量泛滥地增加。十多年间,已经有数以百计的尝试要创建对e-mail收件箱的控制访问的软件系 统。在提交本申请时,全面地来看确信现有反垃圾邮件技术无法解决e-mail中的垃 圾邮件问题,甚至有预言垃圾邮件已经将媒体置于变得不可使用的危机。最常见的方法是通称为“垃圾邮件过滤”的一种方法。垃圾邮件过滤尝试基于对 其内容、发送者的标识符或消息的某些其他特征的评估来确定消息是否是所想要的。过滤器往往存在一个或多个常见的缺陷。过滤器频繁地漏检垃圾邮件消息,并允 许它们递交,而且还不正确地将合法的消息标识为垃圾邮件(“误肯定”)。足够漏检大量 垃圾邮件但是阻挡合法消息的问题对于大多数用户来说完全是不可容忍的,尤其是在被过 滤的消息属于至关重要的公司里。因为过滤器据以识别垃圾邮件的属性通常在发送者的控制下(例如发送者的标 识符、主题、消息内容),所以容易绕开过滤器。基于规则的过滤器要求用户和管理员进行规则的持续维护。过滤器可能在计算方 面成本高昂,因为每个消息均通过所有规则处理,从而导致消息递交的延迟。 限制对电子通信的访问的第二种方法是拒绝所有来自非认证的源的访问,一种技
术通常称为“白名单”。这是一种允许“仅被邀请”的消息到达的系统。 当将消息发送到白名单保护的e-mail地址时,该消息仅在发送者的标识符出现
在该白名单上的情况下才被递交。来自白名单上没有的发送者的消息则被拒绝,作为可疑
垃圾邮件被隔离或最常见地被质询。每次拒绝行为导致自身的工作负荷,以及合法通信的干扰。
因为大多数垃圾邮件发送者不想接收回复消息,所以白名单是有效的,由此基于 消息的质询多数只会到达合法消息发送者。更改底层e-mail协议不会缓解问题。IETF (定义和支持RFC e-mail标准的实体) 已经在1999年定义了对标准e-mail通信的认证扩充,称为ESMTP。尽管ESMTP已经伴随我 们四年,但是罕有邮件主机要求发送者使用ESMTP,因为这样做将会拒绝主要多数的采用通 用非认证标准(SMTP)发送的消息。所以在每个人都这样做之前,没有人会转移到ESMTP标 准,从而导致对SMTP的持续且永久性依赖。尝试对email设置收费控制系统(例如每个消息付费的e-mail和捆绑的e-mail) 或尝试从法律方面的知识产权保护(例如在消息头中的商标诗)的商业方案要求太多的设 置以及后续工作才够为大多数用户所接受。促成本发明的关键理念一直接受如下事实,即使并非不可能,设计一种将混合在 一个集合中的所有期望的消息与非期望的消息分离的系统也是非常困难的。这样做的多种 多样的尝试并未达到针对垃圾邮件的完全保护而且不阻挡合法消息。解决方案存在于这样一种系统或方法中,可以由用户或企业单方面采用该系统或 方法,以防止期望的消息和非期望的消息混合在同一个集合中。
发明内容
根据本公开内容的一个方面,一种用于选择性地允许或拒绝对耦合到电子通信网 络的用户的访问的系统,包括通过电子通信网络从发送者接收入站消息的接收器。该入站 消息包含与发送者关联的标识符和与接收者关联的标识符。该系统还包括处理器,该处理 器用于确定与接收者关联的标识符是否是由用户先前生成的以及是否是与接收者关联的 多个代理标识符中所没有的。处理器还确定与入站消息关联的至少三个安全性状态的其中 之一。第一安全性状态指示允许将入站消息递交到用户。第二安全性状态指示拒绝将入站 消息递交到用户。第三安全性状态指示有条件地允许将该消息递交到用户。这三个安全性 状态的每一个状态与入站消息中包含的发送者标识符和接收者标识符关联。在一个实施例中,该处理器可以配置为将与接收者关联的标识符添加到多个代理 标识符中。确定接收者标识是由该用户先前生成的步骤可以包括将接收者标识符的一部分 分离,以确定多个代理标识符中是否包含该部分。如果第一安全性状态与入站消息关联,则 该处理器可以从入站消息中移除接收者标识符。根据本公开内容的另一个方面,一种用于选择性地允许或拒绝对耦合到电子通信 网络的用户的访问的系统,包括通过电子通信网络从发送者接收入站消息的接收器。该入 站消息包含与发送者关联的标识符和与接收者关联的标识符。该系统还包括处理器,该处 理器配置为确定与入站消息关联的至少三个安全性状态的其中之一。第一安全性状态指示 允许将入站消息递交到用户。第二安全性状态指示拒绝将入站消息递交到用户。第三安全 性状态指示有条件地允许将该消息递交到用户。至少三个安全性状态的每一个状态与入站 消息中包含的发送者标识符和接收者标识符关联。如果允许递交,则处理器还配置为向入 站消息添加注脚。该注脚配置为用作用户的界面。在一个实施例中,注脚可以包含入站消息中所含的信息。在一个实施例中,注脚可以包括表示与入站消息关联的安全性状态的信息。该处理器可以配置为调整注脚,用于更新注脚表示的信息。该处理器还可以配置为调整注脚,用于更新注脚表示的信息,其中用户 发起该调整。基于所确定的安全性状态,该处理器可以延迟入站消息的递交。根据本公开内容的另一个方面,一种用于选择性地允许或拒绝对耦合到电子通信 网络的用户的访问的系统,包括通过电子通信网络从发送者接收入站消息的接收器。该入 站消息包含与发送者关联的标识符和与接收者关联的标识符。该系统还包括处理器,该处 理器配置为确定与入站消息关联的至少三个安全性状态的其中之一。第一安全性状态指示 允许将入站消息递交到用户。第二安全性状态指示拒绝将入站消息递交到用户。第三安全 性状态指示有条件地允许将该消息递交到用户。至少三个安全性状态的每一个状态与入站 消息中包含的发送者标识符和接收者标识符关联。该处理器还配置为确定入站消息是否豁 免于安全性状态并基于安全性豁免(exemption)递交入站消息。在一个实施例中,安全性豁免可以基于与发送者关联的标识符。安全性豁免可以 基于与接收者标识符关联的域。安全性豁免可以基于包含相似域的接收者标识符和发送者 标识符。安全性豁免可以基于入站消息,该入站消息是对发送到豁免和非豁免接收者的另 一个消息的回复消息。安全性豁免可以在一段时间间隔内有效。该处理器还可以配置为存 储表示入站消息的递交的数据。根据本公开内容的另一个方面,一种用于选择性地允许或拒绝对耦合到电子通信 网络的用户的访问的系统,包括配置为通过电子通信网络从发送者接收入站消息的接收 器。该入站消息包含与发送者关联的标识符和与接收者关联的标识符。该系统还包括处理 器,该处理器配置为确定与入站消息关联的至少三个安全性状态的其中之一。第一安全性 状态指示允许将入站消息递交到用户。第二安全性状态指示拒绝将入站消息递交到用户。 第三安全性状态指示有条件地允许将该消息递交到用户。至少三个安全性状态的每一个状 态与入站消息中包含的发送者标识符和接收者标识符关联。确定安全性状态的步骤包括确 定何时接收到包含与发送者关联的标识符和与接收者关联的标识符的先前消息。在一个实施例中,该处理器还可以配置为在入站消息与先前消息的接收之间的时 间间隔小于预定义的时间的情况下递交入站消息。根据本公开内容的另一个方面,一种用于选择性地允许或拒绝对耦合到电子通信 网络的用户的访问的系统,包括通过电子通信网络从发送者接收入站消息的接收器。该入 站消息包含与发送者关联的标识符和与接收者关联的标识符。该系统还包括处理器,该处 理器配置为确定与入站消息关联的至少三个安全性状态的其中之一。第一安全性状态指示 允许将入站消息递交到用户。第二安全性状态指示拒绝将入站消息递交到用户。第三安全 性状态指示有条件地允许将该消息递交到用户。至少三个安全性状态的每一个状态与入站 消息中包含的发送者标识符和接收者标识符关联。该处理器还确定是否已经提升与该入站 消息关联的安全性状态。在一个实施例中,如果提升安全性状态并且入站消息与第一安全性状态关联,则 处理器可以将第二安全性状态与该入站消息关联以取代第一安全性状态。如果提升安全性 状态并且入站消息与第一安全性状态关联,则处理器可以将第三安全性状态与该入站消息 关联以取代第一安全性状态。安全性状态提升可以在一段预定义的时间间隔内发生。确定 是否已提升安全性状态的步骤可以包括检测预定义的条件。确定是否已提升安全性状态的 步骤可以包括从系统管理员处接收指令。
从下文详细描述中,本领域技术人员将容易地显见到本发明公开内容的其他优点 和方面,其中仅通过说明实现本发明而构想的最佳实施方式来图示并描述了本发明的实施 例。例如,公开内容中结合描述系统来描述方法和计算机产品实现。如将描述的,在未背离 本发明公开内容的精神的前提下,本发明公开内容能够实现其他和不同的实施例,它的许 多细节可容易地在显见的方面进行修改。因此,这些附图和描述本质上视为说明性的,而非 限定性的。
图1是表示电子通信系统的体系结构的框图。图2是表示e-mail通信量如何填充数据库以及在安全性模块的实施之前所遵循 的其他初始步骤的流程图。图3是表示以实施模式工作的产品的安全性模块的逻辑和行为的流程图。图4是表示产品以标记模式工作时安全性模块的逻辑和行为的流程图。图5是表示根据消息场景(即谁在发送该消息,使用什么代理以及发给谁)和多 种安全性设置的多种地址转换结果的公式表。图6是表示仅隐含安全性豁免的操作的流程图。图7是包括登录页面的图形用户界面。图8是包括联系人列表的图形用户界面。图9是包括联系人详情页面的图形用户界面。图10是包括Reflexion用户选项页面的图形用户界面。图11是包括管理员添加全局豁免页面的图形用户界面。图12是包括管理员创建新用户页面的图形用户界面。图13是表示即时名称(Name-on-the-Fly)的地址创建的操作的流程图。图14是表示将注脚添加到入站消息的操作的流程图。图15是表示从出站消息中移除注脚的操作的流程图。图16是表示接收消息时安全性实施的操作的流程图。 图17是表示冷联系人防病毒的流程图。
图18是表示抵御病毒和基于容量的攻击的禁闭防范的流程图。
具体实施例方式本发明(“产品”)提供用于控制电子通信(例如“电子邮件”、“即时消息传送”) 形式的访问的系统和方法,其中通过创建和管理用作受保护的原始标识符(“始发者”)的 替换的多个代理标识符(“代理”),使用发送者和接收者标识符在参与者之间递交消息,这 些代理的每一个具有定义访问权的离散安全性状态,这些访问权对应于据以与始发者(“联 系人”)通信的消息传送群体(community)的部分。通常,至少有三个安全性状态,在许多实施例中有多于三个安全性状态,这些安全 性状态控制代理标识符(例如e-mail地址)在消息递交期间作为对目的地标识符访问的 限制、创建代理标识符(例如e-mail地址)和将代理标识符(例如e-mail地址)替换用 于对消息中的源标识符的引用的方式。
该系统可以支持总体上彼此相互作用的多个(即,多于三个)安全性设置,从而得 到离散的安全性状态和相应行为的矩阵。本实施例中安全性状态的多样性提供比例如允许 或禁止访问的二进制状态系统更精确的系统行为。在本实施例和其他实施例中,可以允许 某些群体的用户访问其他用户不能访问的地方,即使是在发送到相同目的地标识符的消息 中。为了实现访问控制,可以拒绝、质询、隔离或接受消息,并且每个具有不同的变化。能以多种方式定义代理e-mail地址,包括在通过系统处理消息时由本产品自动创建和指定、由企业或个人用户显式地创建和指定以及遵循预先确定源e-mail地址和初 始安全性状态的命名约定的隐含创建。对代理e-mail地址的引用可以转换成或不转换成对应的源地址,具体取决于安 全性状态。例如,在整个消息中,以源标识符替换对产品自动创建的代理标识符的引用。不 以源标识符替换显式地创建的或通过命名约定定义的代理地址(并因此对于用户是已知 的)。本产品由三个系统构成=Reflexion邮件服务器(RMS)、管理Web网站(AWS)和数 据库服务器。三个系统可以驻留在一个服务器中或以多种配置集群在多个服务器上。通常,往返于始发者的大多数外部消息均通过本产品。从始发者到外部接收者 (“联系人”)的消息本文称为“出站消息”;从外部发送者(也称为“联系人”)到始发者的 消息本文称为“入站消息”。Reflexion邮件服务器(“RMS”)采用两个存储队列,在一个队列中驻留入站通信 消息直到安全性模块处理它们(“预处理队列”)为止,而另一个队列中放置处理的消息和 退回消息以便进行最后递交(“递交队列”)。SMTP递交的传输封装中指定的发送者和接收者e-mail地址是安全性模块的关 键。安全性模块基于如下文定义的交互安全性状态的组合来确定是否应该将该消息递交到 预期的接收者。如果确证的话,可以向发送者回送多种错误消息和告警。递交的消息通常具有由RMS附着于消息底部的注脚连同至Reflexion向导的链 接,Reflexion向导是用作用户与本产品的主界面的多态浏览器界面。Reflexion邮件服务器也管理作为本发明的核心安全性设备的代理标识符阵列的 创建和使用。代理地址为每个联系人指定一个或多个代理地址,每个代理地址是RFC-相容e-mail地址 (即与大多数常见e-mail协议的命名约定兼容的地址;有关e-mail协议的更多信息,参见 http://www. ietf. org/rfx. html)。在本申请的上下文中,“代理标识符”与“代理地址”是 同义的。在第一参考上为每个联系人指定它自己的代理地址作为传送通过RMS的消息中 的发送者或接收者。本产品基于作为属性存储在每个安全性代码上的企业和用户偏好和缺 省值来控制对基础结构的访问。如下是从始发者到外部联系人的消息1.通过主机企业的现有e-mail底层设施处理出站消息,并到达实施本发明的本产品。
2.本产品自动指定并记录唯一的代理地址,如将其登记以供联系人使用。如果代理地址先前已指定给该联系人,则将重复使用它。3.将对出站消息的消息头和消息体中的始发者地址的所有引用更改为对应的代 理地址。例如,来自始发者地址的消息From :ssmithicompany. com发送到外部联系人。因为该消息通过本产品,所以对始发者地址ssmithOcompany. com的所有引用被更改为对应于接收者的代理地址,本示例中为From :ssmith. 123@company. com当该消息到达联系人的收件箱中时,消息看上去像是始发于地址ssmith. 123i company, com (重点在于 “· 123”),而非来自 ssmith@company. com。在该实例中,代理地址保持始发者身份的个性化,局部仍具有“ssmith”并且域仍为 "company, com”。在其他实施例中,代理地址可以容易地不保持来自始发者地址的可见出处。 例如,如123@company. com的地址可以指定为ssmithOcompany. com的代理地址。在再一个示 例中,如1230321. com的地址可以指定为ssmithOcompany. com的代理地址。通常每个代理地 址相对于其他代理地址是唯一的,以便每个代理地址可以与其他代理地址区分开。4.在将始发者地址的引用变更为代理地址之后,该消息如同未作任何处理的 e-mail消息一样被递交。如下是经由代理地址从外部联系人向始发者发回消息1.外部联系人将出站消息发送到代理地址,最终到达RMS。2. RMS安全性模块基于包含的地址的安全性状态确定消息的递交安排,地址的安 全性状态包括但不限于a.消息递交被拒绝,消息不向发送者提供任何追索。结束处理。b.消息递交被拒绝,消息向发送者提供新代理。结束处理。c.消息递交被接受,消息被标记为“可疑”。进行到步骤3。d.消息递交无保留地被接受。进行到步骤3。3.对于授权用于递交的消息,将入站消息的消息头和消息体中的代理地址的所有 引用更改为对应的始发者地址。接续本示例,至代理地址的消息To ssmith. 123@company. com当该消息到达联系人的收件箱中时,消息看上去像是已从外部联系人发送到始发 者的地址 ssmithicompany. com。以此方式,在最终递交时未暴露入站消息的代理地址,从而使访问控制协议的机 制对用户透明。用户可以禁用或限制使用一个安全性代码而不影响任何其他安全性代码。访问控制难以被绕开,这是因为驻留在e-mail地址本身上的安全性设置所致,因 此发送者说他们是谁或他们在消息中放置了什么都无关紧要,因为地址本身一旦被废弃将 不再有效。关于管理Web网站管理Web网站(“AWS”)提供对代理阵列、安全性设置和通信历史的完全控制、完 全公开界面。
AffS构建在三层体系结构上1. Java 服务器页面和 Servlets2.数据服务器 3.应用服务器服务器页面定义应用接口,从数据库服务器更新和请求数据,并构造供应用服务 器服务于用户浏览器的结果页面和表单。在服务器页面和servlet定义的界面内,有许多专用于应用的对象。用户 对整个AWS的访问要求用户证书的成功认证。在优选实施例中,AWS要求使用用 户ID和对应的密码来成功登录。对AWS内的每个页面加强了认证和证书要求。AffS中支持的有三个级别的用户,每个级别具有不同的访问特权1.超级管理员-完全访问且可以访问服务器配置和控制方法的唯一用户类型。对 整个通信历史细节和概要的访问。2.域组管理员(DGA)-对域组本身的完全访问,域组的用户,DGA指定的域组的通 信历史。3.用户-对用户自己选项、代理地址和个人历史的访问。
性模式=1.实施-当消息无法递交时向发送者发送拒绝和质询消息 2.标记-保证所有消息递交到接收者。在实施模式会被拒绝或质 询的消息被“标记”(即提供可见指示符,以指示该消息在实施模式 中不会被递交。)3.通过-至接收者的消息将完全跳过安全性模块 并直接递交。4.逆向-用于消除代理地址的相关性,表面上准备移 除本产品。卸下所有安全性,并且至代理地址的任何消息导致向发 送者发送请求消息,以请求基于原始地址向接收者再发送消息。对
_于发送到代理地址的消息,标记消息。_
注脚因为消息通过本产品,所以RMS将注脚附着于毎个消息的底部。有
三种类型的注脚可提供给毎个用户=1.标准注脚-包含连接到 Reflexion向导的单个链接。2.高级注脚-包含标准注脚中没有的
大量附加信息和链接。3.无注脚-注脚不是必需的;此类型将其关 __
消息存储自动豁免 保存被拒绝或质询的消息的副本的选项。当用户回复来自联系人的 _I被标记消息时自动豁免联系人的选项。_服务器服务器对象包含专用于本产品的全部安装的属性和方法。服务器对象仅可供具有 “超级管理员,,特权的用户使用。大多数属性与作为通用邮件服务器的本产品的属性相关。它们包括队列有效期的 设置、管理Web网站的IP地址、数据库备份时间表等。域组每个Reflexion安装可以支持任何数量的企业。在本产品上企业作为域组来管 理。域组可以具有任何数量受管理的域、任何数量具有地址在这些域的用户、以及任何数量 管理域组的域组管理员(DGA)。
联系人Reflexion将向用户发送或从用户接收消息的所有外部联系人编目。联系人是具 有安全性设置的代理地址,也是该代理地址登记到的该联系人的安全性简介信息。属性描述联系人名称联系人的代理地址登记到的联系人的名称。从来自联系人的入站消息中分析联系人名称来。真实地址 联系人的e-mail地址(不要与指定给用户的代理地址混淆)。代理地址 由RMS指定给联系人的Reflexion代理地址。安全性状态每个代理地址具有如下安全性状态的其中之一1.公用-此代理可以被任何人使用和共享,并且发往它的消息将被递交。2.受保护一仅“适合”的联系人可以使用此代理地址,不适合的联系人将被质询(实施模式)或他们的消息将被标记(标记模式)。3.不共享-仅“适合”的联系人可以使用此代理地址,不适合的联系人将被拒绝(实施模式)或他们的消息将被标记(标记模式)。4.禁用_发往该代理地址的任何邮件将不会被递交(对于豁免发送者除外)。消息存储 保存被拒绝或质询的消息的副本的选项。自动豁免 当用户回复来自联系人的被标记消息时自动豁免联系人的选项。即时名称 如果被启用,则允许“即时地”定义新代理地址(即(NOTF)无需与本产品进行任何交互),该新代理地址是由此联系人的代理地址派生的。例如,如果此联系人的代理地址是proxyicompany. com以及NOTF已启用,则用户可以创造如下形式的任何新代理地址proxy, newicompany. com其中“new”是用户希望的任何内容。该NOTF代理将被指定给使用它的第一个联系人(参见图13)。有效期限 可以对代理地址赋予限定的有效期限。当代理“过期”时,将安全性状态设为禁用。豁免 Reflexion支持用于标识不应受安全性实施影响的发送者地址的数据项。 Reflexion的个人用户或企业用户可以设置四种显式豁免。包括e-mail的豁免,但是该技术可以应用于任何形式的电子通信1.豁免单个Reflexion用户的单个发送者标识符(e-mail地址)。2.豁免单个Reflexion用户的整个主机和域(例如“company, com”)。3.豁免企业内的所有用户的单个发送者标识(e-mail地址)。 4.豁免企业内的所有用户的整个主机和域(例如“company, com")。对于远程通信方发送或接收的每个消息(即,其地址对于受保护的企业不是本地 的发送者),只要与具有上文列出的四种对应豁免分类的任何一种的发送者地址匹配,则将 使该通信方作为“豁免”对待。豁免发送者不受Reflexion安全性影响,这意味着通过作为豁免,来自豁免发送 者的所有消息都将递交。发往豁免接收者的消息将禁止使用Reflexion地址。Reflexion中的显式豁免的主要用途是,使已经取决于原始地址的远程通信方无 需更改它们的行为或用于到达Ref Iexion用户的e-mail地址,尤其是当Ref Iexion用户开 始使用具有已存在垃圾邮件问题的应用程序时。如下是Reflexion用户停止已存在的垃圾邮件问题的过程1.提升原始e-mail地址的安全性,通常将安全性状态从“公共”提高到“受保护”。2.豁免已知e-mail地址和合法联系人的域,从而允许那些联系人未降低地继续 使用原始地址。3.将安全性实施设为“标记模式”以保证所有消息到达用户。4.用户将不在豁免列表上的合法联系人(即其消息以“已标记”方式到达)添加 到豁免列表。5.当Reflexion用户确信所有合法联系人在豁免列表上,且所有标记的消息都是 非期望的时,他们可以选择以将安全性实施更改为“实施模式”,在之后的时间将很少需要 将地址和主机和域添加到豁免列表。系统还允许用户取消豁免的联系人。作为选项,每个用户或企业可以指示 Reflexion向豁免联系人发送礼貌请求他们应该将他们发往该用户的e-mail地址更改为 唯一的代理地址,该操作由来自该豁免联系人的消息的到达被触发。当消息到达推荐的代 理地址时,对该联系人清除豁免状态。有Reflexion支持的隐含联系人。如果任何RefIexion用户发送到两个或两个以 上外部联系人的消息,其中这些联系人的至少其中一个是豁免的而这些联系人的其中一个 不是豁免的,则非豁免联系人将具有应用为他们的地址记录的仅隐含安全性豁免。该隐含 豁免允许非豁免用户绕开有关入站消息的安全性(但是将不禁止对发往他们的出站消息 使用唯一的代理地址)。有关应用程序中为什么和如何支持仅隐含安全性豁免的示例,参见 图6。历史本产品记录有关向企业内或企业外发送的每个消息的描述性信息。个体消息历史 项目被合并到一起以用于历史概要报告,并在保留在线可配置的时间长度之后被丢弃。参考图LReflexion邮件服务器采用2个e-mail队列,一个队列102用于入站业 务,消息驻留在其中直到安全性模块处理它们(“预处理的队列”)为止,而第二个队列106, 其中放置已处理消息和退回消息用于最终递交(“递交队列”)。
接收入站消息(来自企业100的邮件服务器或外部联系人114的邮件服务器)并将其存储在入站队列102中。来自外部源114的入站消息受本产品的安全性影响。在使用SMTP协议112接收入站消息期间,发生安全性实施。一旦接收到传输封装 发送者和接收者地址,则SMTP协议处理程序向Reflexion安全性模块110发送请求以获取 该消息116的安全性安排。使该入站消息的余下部分的后续处理依据从Reflexion安全性 模块108返回的安全性响应118来判定。如果可以递交该消息,则将其存放在预处理队列102中。如果该消息无法递交,则 将延迟或拒绝120回送到发送服务器114。受延期影响的消息仅延迟某个时间(通常30至60分钟)。这是测试,检验发送服 务器114是否“行为良好”。发送垃圾邮件的许多服务器不处理被延期的消息,因此延迟的 消息将不会被此类消息源重发。使用典型的队列调度器,由本产品的消息转换模块104处理每个入站消息,以在 递交队列106中存放1.按消息“原样”,或2.具有添加、修改或其他转换级别的消息,下文将对此予以描述。递交队列106将入站消息递交到企业的内部e-mail基础设施100或外部目的地 114。递交队列可以使用标准目的地查询机制以解析递交位置(例如域名服务DNS)或将邮 件发送到已知内部域直到内部e-mail基础设施100和将每个邮件发送到因特网114的路
由选择表。参考图2,描述入站消息准备。当本产品处理邮件时,它利用新代理地址、容量统 计和历史跟踪更新数据库。图2详细描述优选实施例中接收入站消息期间所做的数据库准 备。入站消息准备在对给定消息返回安全性安排之前进行。通常,对入站消息检查的第一件事是接收者地址是否在Reflexion保护的域中 200。注意,到达Reflexion的消息必须发送到其域正被Reflexion保护的地址(“入 站”)或从此类地址发送(“出站”)。本地邮件应该以本地方式递交;因此Reflexion应该 从不查看在同一个域中的地址之间往返的e-mail。邮件要从一个企业发送到另一个企业且两个企业的域都寄放在一个Reflexion 安装上是可能的。在此情况中,首先将消息作为来自第一个企业的出站消息处理,然后将其 作为发往第二个企业的入站消息处理。如果Reflexion的此安装从未遇到过该发送者的地址202,则将其添加到“真实地 址”的数据库表中204。接下来,本产品搜索数据库以查看该接收者地址是否是已签发的代理地址206。如果不存在别名,则通过公知为“即时名称”(NOTF)的命名约定来创建地址210仍 是可能的,在此情况中应该基于从命名约定中提取的信息创建代理地址并将其登记到受保 护的用户212。如果对于未知的代理地址不允许N0TF,则拒绝该消息208 (有关NOTF的更 多信息,参见图13)。在这一点上,数据库中存在代理地址。启动跟踪历史系统的消息结果220。
为了发现代理替换的用户,在优选实施例中需要首先导航到用户的原始地址218, 再从这里到用户记录216。在其他实施例中,可以使用多个其他策略来实现此目的,但是必 须掌握有该用户的身份才能进行。如果未将代理地址登记到任何给定用户214,则将其登记到当前发送者222。该情 况可以因两个可能的情况而发生。第一,刚使用NOTF创建了代理地址,因此不被拥有。第 二,可以在使用之前以显式方式创建代理地址,在此情况中它在第一次使用之前是未被拥 有的,其中与刚刚NOTF代理一样它得以登记到第一个用户222。
然后检查224发送者的豁免状态以向Reflexion安全性模块以及还有地址转换模 块提供信息。豁免发送者不受访问控制的影响,往返于豁免联系人的所有邮件均在受保护 用户的原始内部地址下进行。参考图3,描述安全性实施。一旦完成入站消息准备,则Reflexion将确定该消息 的安全性安排。有两个活动安全性模式可供Reflexion用户使用实施模式和标记模式。图3详细描述对于发送到采用实施模式的用户的消息优选实施例安全性模型所 遵循的逻辑。通过定义,发往Reflexion保护的域的所有入站邮件都是代理标识符,即使接收 者地址与原始内部地址是不可区分的。每个原始内部地址具有含相同地址的代理地址,以 便允许对原始地址本身设置安全性。首先调查接收者地址的安全性状态。发往公共代理的消息如果接收者代理地址具有“公共”的安全性状态300,则检查发送者的豁免状态 302。如果发送者是豁免的,则绕开安全性,并将该消息传递到后续消息转换阶段并将其递 交 338。如果登记到发送者的代理地址与用作该消息的接收者地址的代理地址不同(在 附图中未明确地说明此情况,但是存在这种情况),则本产品将在允许递交之前检查发送者 的代理上设置的安全性。如果指定给发送者的代理是公共的312或是受保护的320,则允许该消息通过安 全性338。如果登记到发送者的代理是受保护的,则向发送者发送提示消息以便在将来使用 他们自己的代理地址322。如果发送者的代理是“不共享” 328,则不允许递交该消息。而是向发送者回送请 求,以请求发送者使用登记到该发送者的代理地址重发消息(与该消息中的接收者所用的 代理相反)。所以即使将消息发送到公共代理地址,发送者的代理地址的安全性状态仍可以更 改或禁止该消息的递交。发往受保护代理的消息如果接收者代理地址具有“受保护”的安全性状态304,则检查是否允许发送者向 该代理地址发送邮件。目前,有三种方式发送者可以被授权使用受保护代理。第一,如果发送者是豁免的 314,则绕开安全性,并将消息传递到后续消息转换阶段并将其递交338。其次,如果发送者是登记到代理地址的通信方324,则授权并完成递交338。最后,如果发送者来自与登记到 代理地址的联系人相同的域,且该域不是例如AOL、Tahoo、Hotmail等(可配置的列表)的 主要ISP的其中之一,并且该代理上启用允许域级共享的安全性属性332,则授权该消息递 交 338。向未获授权使用受保护代理的发送者发送如下请求向允许发送者使用的代理地 址重发消息316。该消息实质上告知“代理地址χ已经更改为发送者的代理地址y。请将您 的消息重发送到y”。
受保护地址用于防止不具有有效返回地址的垃圾邮件,但是向合法联系人提供允 许递交消息的重发机制。发往非共享代理的消息如果接收者代理地址具有“非共享”的安全性状态306,则检查是否允许发送者向 该代理地址发送邮件。目前,有三种方式发送者可以被授权使用受保护代理。第一,如果发送者是豁免的 314,则绕开安全性,并将消息传递到后续消息转换阶段并将其递交338。其次,如果发送者 是登记到代理地址的通信方324,则授权并完成递交338。最后,如果发送者来自与登记到 代理地址的联系人相同的域,且该域不是例如AOL、Yahoo、Hotmail等(可配置的列表)的 主要ISP的其中之一,并且该代理上启用允许域级共享的安全性属性332,则授权该消息递 交 338。向未获授权使用受保护代理的发送者发送不提供重发该消息的任何追索的递交 消息的拒绝316。未获授权使用受保护地址与未获授权使用非共享地址之间的差异在于受 保护代理拒绝提供成功重发消息的方式,而非共享拒绝不提供。就非共享代理来说,成功发送e-mail消息的要求从仅知道接收者地址提升到要 同时知道接收者和对应的登记到代理的发送者地址。非共享代理为有安全性意识的机构提 供非常有效但是轻量级保护以防止公知的“目录获取攻击”。目录获取攻击是一种用于通过 向目标域中的大量不同地址发送消息来获取有用的e-mail地址的技术。无论如何,只要地 址不导致“无此用户”,即假定为有效的。就非共享代理来说,直接获取将不会成功,除非发送者知道每次尝试时假冒正确 发送者的地址。发往已禁用代理的消息如果接收者代理地址具有“禁用”的安全性状态308,则检查发送者是否是豁免的, 这是用户采用实施模式安全性的情况下发往禁用代理的消息可以被递交的唯一方式。参考图4,描述标记安全性。具体来说,详细描述优选实施例安全性模型用于将消 息发送到采取标记模式的用户所遵循的逻辑。标记模式确保所有入站消息将被递交到用户的收件箱。该逻辑几乎与图3描述的相同,唯一实质差异在于,在标记模式中,无论如何只要 确定发送者未获授权向接收者代理发送消息,并不向实施模式中那样发送拒绝或重试消 息,而是本产品将只利用前缀标记主题行,以指示该发送者未获授权将该消息发送到选定 的代理地址422/426。重点要注意的是,主题行标记仅在主机企业内是可见的;对标记的消息的回复在离开该企业的途中由Reflexion移除其中的标记。标记模式服务三个重要的产品要求1.为新用户提供平滑地迁移到使用Reflexion的操作模式,从而确保将不会因 Reflexion加重外部联系人的工作负荷(“过渡”)。在新用户的过渡期间,清除已存在的垃 圾邮件问题。
2.向很少或不容许合法但未预料的消息被阻挡的用户提供保证将所有邮件递交 到用户的收件箱。标志模式对于角色为销售、商业开发或主管位置的那些人来说是理想的, 这些人派发大量的名片,未预料的消息的价值和频率高。不更改或无法更改他们的e-mail行为的用户将永久以标记模式操作本产品。这 些用户(或他们的管理员)还可以禁止一起使用多个代理地址,从而使用户能够继续如常 地使用他们的一个且仅一个地址,仍接收垃圾邮件免除。停止已存在的垃圾邮件问题具有已存在的垃圾邮件且开始使用本产品的新用户能以如下方式结束正发送到 现有地址的垃圾邮件1.将整个安全性实施配置为标记模式。2.使用多种豁免方法的实施例的任何一种豁免所有已知的联系人。豁免联系人允 许已经与原始内部地址相关联的合法联系人继续不废弃地使用它。3.提高具有与原始内部地址相同地址的代理上的安全性。这将导致发送到该代理 的任何邮件被标记,除非该联系人在豁免列表上。这是非激进形式的“白名单”,这是在阻挡 垃圾邮件时非常有效的常用技术,但是有限制了尤其是公司之间的广泛采用的缺点。Reflexion仅采用这种白名单来停止已存在的垃圾邮件问题。如果新用户开始时 没有垃圾邮件问题,则并不一定需要白名单。参考图5,描述地址转换。一旦已成功清理入站消息以进行递交,则将对代理地址 的大多数引用转换成对应的原始内部地址。优选实施例中有一些安全性状态禁止转换代理 地址,尤其是即时名称代理(有关NOTF的更多信息,参见图13)。NOTF代理是由用户定义的,因此驻留在用户的名称空间中。NOTF代理地址在登录 序列中或以NOTF代理地址为关键字的其他过程中多次使用。通过禁止转换e-mail消息体 内的NOTF (与消息头相对,必须转换才能确保消息在现有e-mail基础设施内递交),指定使 用NOTF代理的确认消息会是准确的(即,转换会使信息不正确)。当考虑地址转换时,首先理解仅个体Reflexion安装保护的域中的代理地址是转 换的候选。而非受保护域中的地址从不转换。Reflexion在数据库内保存一个“真实”地址的目录。受保护域的外部地址和内 部原始地址都存储在该真实地址目录500中。通过搜索本身作为关键字的代理地址(例如 proxy. 123icompany. com)或搜索指定给外部联系人以使用对内部原始地址的替换的代理 来查找代理地址502。给定发送者和接收者的真实地址的情况下,可以在出站消息中检索对应的代理, 并在消息内替换为对原始内部地址的任何且所有引用。给定代理地址的情况下,可以在入站消息中检索对应的内部原始地址,并在消息 内替换为对代理地址的任何且所有引用。
当本产品还同时为入站和出站消息转换可能存在或可能不存在但是如果需要会创建的同事的代理地址时,地址转换可能变得更复杂。豁免状态添加了另一个级别的复杂性,因为往返于豁免联系人的e-mail导致禁 止地址转换。此外,一些外部联系人与第三方代理相关,所以发往这些联系人的消息应该接着 使用预期的代理(即在从用户发往该联系人的所有消息中对相同的联系人提供相同的代理)。为了理解图5,满足语法是有所帮助的。将504解读为“取某个地址‘a’并返回它的正确转换的转换方法”。将506解读为“返回外部联系人想要看到的代理地址的方法”,这不总是与指定给 该联系人的代理地址相同。参考图13,描述“即时名称”。具体来说,即时名称(NOTF)是一种允许创建新的且 唯一的代理e-mail地址而不使用任何启用设备或软件应用程序的命名技术。就NOTF而言, Reflexion用户可以仅遵循预定的命名方案来创建代理地址。通常,命名机制包括当将消息发送到受Reflexion保护的域中的地址而发现 尚未在应用程序中创建该地址时,则该未知地址的某些特征可以解析为一个且仅一个 Reflexion用户。如果该地址未解析为一个且仅一个Reflexion用户,且该用户允许创建 NOTF地址,则Reflexion将创建此前未知的代理地址,并将其置于应用程序的管理之下,将 它作为代理地址指定给用户,并且根据符合安全性安排的情况递交或拒绝消息。例如,Reflexion未在已知代理地址的表中发现702发送到代理地址jsmith. helloicompany. com的消息700。在将该消息作为发送到不存在的用户来处理708之前, Reflexion (在本示例中)将本地部分“jsmith”隔离706,并搜索拥有代理地址jsmithO. company, com的用户712。如果发现,则查看用户712是否允许创建NOTF代理地址(这能以 多种方式实现,下文示例中是优选方法)714。如果允许,则创建新代理地址jsmith. helloi company, com 720,并如同发送到现有代理722 —样继续处理该消息,否则作为发送到不存 在用户来处理该消息716。 在主题、用于NOTF地址引用的消息的SMTP头和体中抑制Reflexion地址转换(其 中将对代理地址的引用转换成用户的原始地址)。由于两个原因,Reflexion抑制NOTF地 址。第一,NOTF地址最可能是由用户定义的,因此在发送到NOTF地址的消息中是已知且预 期的。其次,NOTF地址的公开可以用于登录和密码序列,所以如果将这些类型的序列通过 e-mail报告给用户(例如“我忘记密码”类型消息),则保留准确的地址是重要的。参考图14和15,描述往消息中添加和从消息中移除注脚。具体来说,附带于每个 入站消息底部的是注脚,注脚包含用作与Reflexion的安全性模型交互并控制它的主用户 界面的有效控件(“注脚”)。对于入站消息1400,当Reflexion处理该消息时收集有关该消息的信息1402。该 信息包括传输封装地址、日期和时间、主题、大小、附件和安全性通过的分辨率(允许、不允 许、标记等)。在构造注脚1404时根据情况提供并使用所有这些信息。有多种可能的呈示方式 可用于实现。在一个实施例中,为有利于用户的目的,注脚可以呈示或给出最相关的操作。例如,如果正在标记消息,则对于用户来说最相关的操作是停止标记消息,使得该操作比其 他可能性更突出。在其他实施例中,可以呈示更宽范围的选项,或许与标准注脚结构相符或 向用户提供最大选择度和便利。无论注脚是如何构建的,注脚中所含的有效控件支持的操作从它所附的消息中提 取上下文。Reflexion构造注脚并将其附于消息1406,之后才将其递交。可以将注脚附于文 档中任何位置,或它可以是文档中至例如浏览器或其他应用程序的外部查看器的链接。 在一个实施例中,Reflexion构造注脚的文本和HTML版本,其中使用HTML注脚 是企业或用户的选项。Reflexion将入站消息从它们包含的任何原始形式转换成适合的 MIME(多目的因特网邮件扩充,参见 http://www. ietf. org/rfc/rfc2045. txt ? number = 2045)格式,以便可以根据所选的选项查看注脚的文本或HTML版本。对于出站消息1500,Reflexion首先标识任何和所有注脚的位置1502,并从消息 1504中移除它们。移除注脚并非必需的,但是这是本优选实施例中处理消息的方式。参考图16,描述有关接收消息的安全性实施。具体来说,在最快可能的时间实施安 全性。对于e-mail通信,安全性实施在接收消息的途中发生,通常使用SMTP(简单邮件传 输协议,参见 http//www. ietf. org/rfc/rfc0821. txt ? number = 821)协议。在消息的SMTP递交开始时1600,在实际的消息本身之前递交传输封装。 Reflexion从传输封装收集发送者和接收者e-mail地址1602,并立即解析该地址的安全性 安排,之后才接收消息本身的任何部分(参见图1以查看系统体系结构的更多信息)。有三 种可能的安全性安排1606,使消息能够递交,阻止消息被递交(参见图3)或将消息作为可 疑消息来处理。如果消息被拒绝1614,则可以根据环境向发送者发送消息不可递交的通知、应该 将消息重发到新Reflexion地址的通知或完全不发送通知。如果允许消息1610,则Reflexion将接受用于递交的消息并完成SMTP对话。如果消息的安全性安排为“标记的”,则怀疑该消息为非期望的。不会自动标记和 递交可疑的消息。相反,Reflexion通过将可疑邮件延迟某个时间来测试发送者的邮件服 务器(即邮件传输代理)的行为。第一次接收到新可疑消息时,Reflexion开始跟踪递交尝试次数和自第一次尝试 起递交的总时间1620。每次尝试递交可疑消息时,Reflexion检查以查看是否满足或超过 测试阈值1622。如果满足阈值,则接受、标记和递交该消息1624,否则通知发送者稍后再试 1626。该延迟策略测试可疑(即“标记的”)消息的发送者的邮件服务器(邮件传输代 理)是否行为良好。许多垃圾邮件发送者不重试被延迟的消息,因此增加了 Reflexion的 性能并节省已标记消息的递交。参考图17,描述有关冷联系人防病毒保护的安全性实施。一般来说,“冷联系人” 是一种针对潜在的新e-mail (或其他电子通信媒介)携带的病毒的简单但有效的早期警报 系统。签发多个代理地址的Reflexion范例使冷联系人成为可能。主机企业设置的任何代 理地址处于不活动状态一段时间1704,则将视为“冷联系人”,其中一个或多个保护性行为 在此判断之后被触发,例如可能将原始消息隔离以“安全的”替代项替换1706。
冷联系人帮助抵御从合法联系人的地址发送到正确Reflexion代理地址而含有 病毒扫描器无法检测到的病毒。参考图18,描述针对病毒和基于容量的攻击的禁闭防范(lockdown defense)。一 般来说,“禁闭”是企业中抵御基于容量的攻击和利用假冒发送者地址散布的e-mail携带的 病毒的另一种简单但有效的防御。禁闭是企业范围的及安全性上的临时实施,并具有可由 Reflexion识别的条件自动触发或由系统管理员以显式方式触发的可选行为。当入站消息到达以进行处理1800时,Reflexion如常地检索有关接收者代理地 址的安全性状态1802。对于具有“公共”安全性状态的地址,检查禁闭是否处于生效状态 1804。如果禁闭被启用,则临时将该代理地址上的安全性从“公共”提高到禁闭特征中设置 的安全性状态选项,“受保护”或“非共享” 1806。使用临时提高的安全性状态并拒绝或允许 消息的递交1808。用于禁闭的一些选项是对“公共”代理实施的临时安全性状态,抑制回送到发送者 的不可递交或质询响应消息的选项,以及以图17描述的相同方式对冷联系人和含有潜在 病毒附件或脚本的消息的隔离的选项。上文已描述一些实现。然而将理解到可以实施多种修改。因此,其他实现属于所 附权利要求的范围内。
权利要求
一种用于选择性地允许或拒绝由耦合到电子通信网络的其它用户对耦合到所述电子通信网络的用户的通信访问的方法,包括通过所述电子通信网络从发送者接收入站消息,其中所述入站消息包含与发送者关联的标识符和与接收者关联的标识符;确定与所述入站消息关联的至少三个安全性状态的其中之一,其中第一安全性状态指示允许将所述入站消息递交到所述用户,第二安全性状态指示拒绝将所述入站消息递交到所述用户,第三安全性状态指示有条件地允许将所述消息递交到所述用户,所述至少三个安全性状态的每一个与所述入站消息中包含的所述发送者标识符和所述接收者标识符关联;以及如果允许递交,则向所述入站消息添加用户界面,其中所述用户界面配置为允许所述用户控制对所述用户的所述通信访问。
2.如权利要求1所述的方法,其特征在于,所述用户界面包括所述入站消息中所含的 fn息ο
3.如权利要求1所述的方法,其特征在于,所述用户界面包括表示与所述入站消息关 联的安全性状态的信息。
4.如权利要求1所述的方法,其特征在于,所述用户界面是可调整的,用于更新所述用 户界面表示的信息。
5.如权利要求1所述的方法,其特征在于,所述用户界面的内容由所述用户调整。
6.如权利要求1所述的方法,其特征在于,基于所确定的安全性状态,延迟所述入站消 息的递交。
7.如权利要求1所述的方法,还包括确定与所述接收者关联的标识符是否是由用户先前生成的以及是否是与所述接收者 关联的多个代理标识符中所没有的。
8.如权利要求7所述的方法,还包括将与所述接收者关联的标识符添加到所述多个代理标识符。
9.如权利要求7所述的方法,其特征在于,确定所述接收者标识是由用户先前生成的 步骤包括将所述接收者标识符的一部分分离,以确定所述多个代理标识符中是否包含此部 分。
10.如权利要求7所述的方法,还包括如果所述第一安全性状态与所述入站消息关联,则从所述入站消息中移除所述接收者 标识符。
11.如权利要求1所述的方法,还包括确定所述入站消息是否豁免于所述安全性状态;以及 如果豁免,则基于所述安全性豁免递交所述入站消息。
12.如权利要求11所述的方法,其特征在于,所述安全性豁免基于与所述发送者关联 的所述标识符。
13.如权利要求11所述的方法,其特征在于,所述安全性豁免基于与所述接收者标识 符关联的域。
14.如权利要求11所述的方法,其特征在于,所述安全性豁免基于包括相似域的所述 接收者标识符和所述发送者标识符。
15.如权利要求11所述的方法,其特征在于,所述安全性豁免基于所述入站消息,所述 入站消息是对发送到豁免和非豁免接收者的第二消息的回复消息。
16.如权利要求11所述的方法,其特征在于,所述安全性豁免在一段时间间隔内有效。
17.如权利要求11所述的方法,还包括存储表示所述入站消息的递交的数据。
18.如权利要求1所述的方法,其中确定所述安全性状态的步骤包括确定何时接收到 包含与所述发送者关联的标识符和与所述接收者关联的标识符的先前消息。
19.如权利要求18所述的方法,还包括在所述入站消息与所述先前消息的接收之间的时间间隔小于预定义的时间的情况下 递交所述入站消息。
20.如权利要求1所述的方法,还包括确定是否已提升与所述入站消息关联的安全性 状态。
21.如权利要求20所述的方法,还包括如果提升所述安全性状态且所述入站消息与所述第一安全性状态关联,则将所述第二 安全性状态与所述入站消息关联以取代所述第一安全性状态。
22.如权利要求20所述的方法,还包括如果提升所述安全性状态且所述入站消息与所述第一安全性状态关联,则将所述第三 安全性状态与所述入站消息关联以取代所述第一安全性状态。
23.如权利要求20所述的方法,其特征在于,所述安全性状态提升是在预定义的时间 间隔内进行。
24.如权利要求20所述的方法,其特征在于,确定是否已提升所述安全性状态的步骤 包括检测预定义的条件。
25.如权利要求20所述的方法,其特征在于,确定是否已提升所述安全性状态的步骤 包括从系统管理员处接收指令。
26.一种用于选择性地允许或拒绝由耦合到电子通信网络的其它用户对耦合到所述电 子通信网络的用户的通信访问的系统,包括接收器,配置为通过所述电子通信网络从发送者接收入站消息,其中所述入站消息包 含与发送者关联的标识符和与接收者关联的标识符;以及处理器,配置为确定与所述入站消息关联的至少三个安全性状态的其中之一,其中第 一安全性状态指示允许将所述入站消息递交到所述用户,第二安全性状态指示拒绝将所述 入站消息递交到所述用户,第三安全性状态指示有条件地允许将所述消息递交到所述用 户,所述至少三个安全性状态的每一个与所述入站消息中包含的所述发送者标识符和所述 接收者标识符关联,其中如果允许递交,则所述处理器还配置为向所述入站消息添加用户界面,其中所述 用户界面配置为允许所述用户控制对所述用户的通信访问。
27.如权利要求26所述的系统,其特征在于,所述用户界面包含所述入站消息中所含 的信息。
28.如权利要求26所述的系统,其特征在于,所述用户界面包含表示与所述入站消息 关联的安全性状态的信息。
29.如权利要求26所述的系统,其特征在于,所述处理器还配置为调整所述用户界面, 用于更新所述用户界面表示的信息。
30.如权利要求26所述的系统,其特征在于,所述处理器还配置为调整所述用户界面, 用于更新所述用户界面表示的信息,其中所述用户启动所述调整。
31.如权利要求26所述的系统,其特征在于,基于所确定的安全性状态,所述处理器还 配置为延迟所述入站消息的递交。
32.如权利要求26所述的系统,其中所述处理器还配置为确定与所述接收者关联的标 识符是否是由用户先前生成的以及是否是与所述接收者关联的多个代理标识符中所没有 的。
33.如权利要求32所述的系统,其特征在于,所述处理器还配置为将与所述接收者关 联的标识符添加到所述多个代理标识符中。
34.如权利要求32所述的系统,其特征在于,确定所述接收者标识符是由用户先前生 成的步骤包括将所述接收者标识符的一部分分离,以确定所述多个代理标识符中是否包含 此部分。
35.如权利要求32所述的系统,其特征在于,如果所述第一安全性状态与所述入站消 息关联,则所述处理器还配置为从所述入站消息中移除所述接收者标识符。
36.如权利要求26所述的系统,其中所述处理器还配置为确定所述入站消息是否豁免 于所述安全性状态并基于安全性豁免递交所述入站消息。
37.如权利要求26所述的系统,其中确定所述安全性状态的步骤包括确定何时接收到 包含与所述发送者关联的标识符和与所述接收者关联的标识符的先前消息。
38.如权利要求37所述的系统,其特征在于,所述处理器还配置为在所述入站消息与 所述先前消息的接收之间的时间间隔小于预定义的时间的情况下递交所述入站消息。
39.如权利要求26所述的系统,其中所述处理器还配置为确定是否已提升与所述入站 消息关联的安全性状态。
40.如权利要求39所述的系统,其特征在于,如果提升所述安全性状态且所述入站消 息与所述第一安全性状态关联,则所述处理器还配置为将所述第二安全性状态与所述入站 消息关联以取代所述第一安全性状态。
41.如权利要求39所述的系统,其特征在于,如果提升所述安全性状态且所述入站消 息与所述第一安全性状态关联,则所述处理器还配置为将所述第三安全性状态与所述入站 消息关联以取代所述第一安全性状态。
42.如权利要求39所述的系统,其特征在于,所述安全性状态提升是在预定义的时间 间隔内进行。
43.如权利要求39所述的系统,其特征在于,确定是否已提升所述安全性状态的步骤 包括检测预定义的条件。
44.如权利要求39所述的系统,其特征在于,确定是否已提升所述安全性状态的步骤 包括从系统管理员处接收指令。
45.一种存储在计算机可读媒体上的计算机程序产品,所述计算机可读媒体具有存储在其上的多个指令,当所述指令被处理器执行时,使所述处理器执行如下操作通过电子通信网络从发送者接收入站消息,其中所述入站消息包含与发送者关联的标 识符和与接收者关联的标识符;确定与所述入站消息关联的至少三个安全性状态的其中之一,其中第一安全性状态指 示允许将所述入站消息递交到所述用户,第二安全性状态指示拒绝将所述入站消息递交到 所述用户,第三安全性状态指示有条件地允许将所述消息递交到所述用户,所述至少三个 安全性状态的每一个与所述入站消息中包含的所述发送者标识符和所述接收者标识符关 联;以及如果允许递交,则向所述入站消息添加用户界面,其中所述用户界面配置为允许所述 用户控制对所述用户的通信访问。
46.如权利要求45所述的计算机程序产品,其特征在于,所述用户界面包括所述入站 消息中所含的信息。
47.如权利要求45所述的计算机程序产品,还包括指令用于确定与所述接收者关联的标识符是否是由用户先前生成的以及是否是与所述接收者 关联的多个代理标识符中所没有的。
48.如权利要求45所述的计算机程序产品,还包括用于执行如下操作的指令 将与所述接收者关联的标识符添加到所述多个代理标识符。
49.如权利要求45所述的计算机程序产品,还包括指令用于 确定所述入站消息是否豁免于所述安全性状态;以及 基于所述安全性豁免递交所述入站消息。
50.如权利要求49所述的计算机程序产品,其特征在于,所述安全性豁免基于与所述 发送者关联的标识符。
51.如权利要求45所述的计算机程序产品,还包括指令用于确定所述安全性状态的 步骤包括确定何时接收到包含与所述发送者关联的标识符和与所述接收者关联的标识符 的先前消息。
52.如权利要求51所述的计算机程序产品,还包括用于执行如下操作的指令 在所述入站消息与所述先前消息的接收之间的时间间隔小于预定义的时间的情况下递交所述入站消息。
53.如权利要求45所述的计算机程序产品,还包括指令用于 确定是否已提升与所述入站消息关联的安全性状态。
54.如权利要求53所述的计算机程序产品,还包括用于执行如下操作的指令如果提升所述安全性状态且所述入站消息与所述第一安全性状态关联,则将所述第二 安全性状态与所述入站消息关联以取代所述第一安全性状态。
55.如权利要求1所述的方法,其中所述用户界面是所述入站消息中的注脚。
56.如权利要求1所述的方法,其中所述用户界面配置为允许所述用户控制所述至少 三个安全性状态。
57.如权利要求1所述的方法,其中所述用户界面包括到外部用户界面的链接,所述外 部用户界面配置为允许用户控制对所述用户的通信访问。
58.如权利要求57所述的方法,其中所述外部用户界面配置为允许所述用户控制至所述少三个安全性状态。
59.如权利要求1所述的方法,其中所述用户界面包括与所述入站消息相关联的信息。
60.如权利要求1所述的方法,其中所述入站消息包括电子邮件消息。
全文摘要
本发明提供了一种用于控制对电子消息接收者的访问的系统和方法。用于选择性地允许或拒绝对耦合到电子通信网络的用户的访问,包括通过电子通信网络从发送者接收入站消息的接收器。入站消息包括与发送者关联的标识符和与接收者关联的标识符。该系统还包括处理器,处理器用于确定与接收者关联的标识符是否是由用户先前生成的,以及是否是与接收者关联的多个代理标识符中所没有的。处理器还确定与入站消息关联的至少三个安全性状态的其中之一。第一安全性状态指示允许将入站消息递交至用户。第二安全性状态指示拒绝将入站消息递交至用户。第三安全性状态指示有条件地允许将该消息递交至用户。这三个安全性状态的每一个状态与入站消息中所含的发送者标识和接收者标识符关联。
文档编号H04L12/58GK101841489SQ20091020892
公开日2010年9月22日 申请日期2005年5月25日 优先权日2004年5月25日
发明者B·塔塔斯基, J·麦伊萨克, M·达哈洛夫, R·瓦莱特 申请人:反射网络公司