一种伪冒电子邮件的识别方法及装置与流程

1.本发明涉及信息处理技术领域，尤其涉及一种伪冒电子邮件的识别方法及装置。


背景技术：

2.电子邮件一直是互联上最重要的典型应用之一，并且是现代人生活和工作不可或缺的组成部分。
3.然而，现有电子邮件系统存在一些不可忽视的安全性问题。电子邮件接收方无法很好的筛选出恶意的攻击邮件，且很少对用户进行安全提醒。现有的邮件界面的提醒只有代发邮件提醒和钓鱼邮件提醒。并且现有的解决方案都不够全面，比较容易被攻击者绕过。
4.因此如何更好的识别为伪冒的电子邮件已经成为业界亟待解决的问题。


技术实现要素：

5.本发明提供及一种伪冒电子邮件的识别方法及装置，用以解决现有技术中无法很好识别伪冒电子邮件的问题。
6.本发明提供一种伪冒电子邮件的识别方法，包括：
7.通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；
8.在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；
9.其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
10.根据本发明提供的一种伪冒电子邮件的识别方法，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
11.对所述邮件数据包进行代发检测，所述代发检测为，将所述邮件数据包中的mime from与mail from进行一致性对比；
12.在所述代发检测结果未通过时，所述邮件数据包对应的检测结果为邮件异常。
13.根据本发明提供的一种伪冒电子邮件的识别方法，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
14.对所述邮件数据包进行来源检测，所述来源检测为，对所述邮件数据包进行发信者策略架构验证、域名密钥识别邮件标准验证和基于域的消息身份验证；同时将三种验证方法验证的身份实体与结果进行一致性比对；
15.在所述来源验证未通过时，所述邮件数据包对应的检测结果为邮件异常。
16.根据本发明提供的一种伪冒电子邮件的识别方法，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
17.对所述邮件数据包进行发件人检测，所述发件人检测为，对所述邮件数据包中的mime from字段进行特殊字符检测；
18.在所述代发检测结果未通过时，所述邮件数据包对应的检测结果为邮件异常。
19.根据本发明提供的一种伪冒电子邮件的识别方法，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
20.对所述邮件数据包进行高近似度域名检测，所述高近似度域名检测为，对所述邮件数据包中的from字段进行检测；
21.在所述邮件数据包中的from字段为国际化域名的情况下，所述邮件数据包对应的检测结果为邮件异常。
22.根据本发明提供的一种伪冒电子邮件的识别方法，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
23.对所述邮件数据包进行加密性检测，所述加密性检测为，检测所述邮件数据包是否进行安全传输层协议加密；
24.在检测到所述邮件数据部未进行安全传输层协议加密的情况下，所述邮件数据包对应的检测结果为邮件异常。
25.本发明还提供一种伪冒电子邮件的识别装置，包括：
26.分析模块，用于通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；
27.显示模块，用于在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；
28.其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
29.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述伪冒电子邮件的识别方法的步骤。
30.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述伪冒电子邮件的识别方法的步骤。
31.本发明提供的一种伪冒电子邮件的识别方法及装置，通过对邮件数据包从代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测等多个角度来进行检测，从而更准确的进行伪冒电子邮件的检测，在电子邮件的显示界面中同步显示伪冒电子邮件的检测结果，帮助用户识别伪冒的电子邮件，保证通信的安全性。
附图说明
32.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1是本发明实施例提供的伪冒电子邮件的识别方法的流程示意图；
34.图2为本发明提供的伪冒电子邮件的识别装置示意图；
35.图3为本发明提供的电子设备的实体结构示意图。
具体实施方式
36.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.图1是本发明实施例提供的伪冒电子邮件的识别方法的流程示意图，如图1所示，包括：
38.步骤s1，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；
39.具体地，本技术首先接收端服务器启动smtp服务，并监听25端口，与发送方服务器建立tcp连接，并接收smtp数据包。将smtp数据包发送给处理邮件模块。
40.本技术中所描述的邮件数据包是接收发送端服务器发来的简单邮件传输协议(simple mail transfer protocol；smtp)邮件数据包，本技术中对邮件数据包进行分析，具体就是随smtp邮件数据包进行安全性检测。
41.本技术中所描述的邮件数据包，包含信封和信件两个部分。其中信封部分包含helo、mail from、rcpt to等smtp命令，信件部分包含传递给收件人的邮件头信息(如from、to、subject、date等字段)和全部的邮件正文信息以及可能存在的邮件附件。关于邮件的相关协议内容在request for comments(rfc)中有明确的要求。
42.表1为ui提醒内容与检测到的邮件异常行为表，如下表1所示，表1ui提醒内容与检测到的邮件异常行为
[0043][0044]
步骤s2，在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；
[0045]
其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
[0046]
本技术中所描述的邮件数据包的显示界面，具体可以是指显示电子邮件的网页端界面，或者显示电子邮件的客户端界面。
[0047]
本技术中若邮件的检测结果显示邮件有安全问题，则将邮件检测结果以ui提醒的方式呈现给用户。
[0048]
预设邮件安全监测算法针对不同的邮件异常行为会输出五类不同的ui提醒内容：1.邮件由他人代发2.邮件来源不可信3.邮件发件人不可信4.请小心高度近似的域名5.邮件内容未加密不安全。检测算法将检测邮件，并将检测结果(ui提醒内容)发送给处理邮件模块。
[0049]
本技术通过对邮件数据包从代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测等多个角度来进行检测，从而更准确的进行伪冒电子邮件的检测，在电子邮件的显示界面中同步显示伪冒电子邮件的检测结果，帮助用户识别伪冒的电子邮件，保证通信的安全性。
[0050]
基于上述任一实施例，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
[0051]
对所述邮件数据包进行代发检测，所述代发检测为，将所述邮件数据包中的mime from与mail from进行一致性对比；
[0052]
在所述代发检测结果未通过时，所述邮件数据包对应的检测结果为邮件异常。
[0053]
具体的，现有的代发检测做的并不明确，如果邮件有多重mime from字段有几率绕过已有的代发检测，但根据rfc7489和rfc5322的描述邮件接收方应该拒绝在邮件信中有多重from字段的邮件。本技术实施例中提出如果mime from字段和mail from不一致，ui提醒邮件由他人代发。
[0054]
本技术通过对邮件数据包进行代发检测，从而实现更完善和准确的伪冒电子邮件检测。
[0055]
基于上述任一实施例，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
[0056]
对所述邮件数据包进行来源检测，所述来源检测为，对所述邮件数据包进行发信者策略架构验证、域名密钥识别邮件标准验证和基于域的消息身份验证；
[0057]
在所述来源验证未通过时，所述邮件数据包对应的检测结果为邮件异常。
[0058]
具体地，sender policy framework(spf)发信者策略架构、domainkeys identified mail(dkim)域名密钥识别邮件标准、domain
‑
based message authentication(dmarc)是三种用来保护邮件安全的协议。三种协议可以在很大程度上保护邮件安全。但在spf/dkim/dmarc协议校验未通过的情况下，邮件厂商并未告知用户，且邮件有几率进入收件箱。本发明中提出如果spf/dkim/dmarc校验未通过，或三个协议验证通过，但是验证的身份实体不同时，应该添加ui提醒邮件来源不可信。
[0059]
本技术中通过对所述邮件数据包进行来源检测，从而实现更完善和准确的伪冒电子邮件检测。
[0060]
基于上述任一实施例，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
[0061]
对所述邮件数据包进行发件人检测，所述发件人检测为，对所述邮件数据包中的
mime from字段进行特殊字符检测；
[0062]
在所述代发检测结果未通过时，所述邮件数据包对应的检测结果为邮件异常。
[0063]
具体地，尽管rfc并未明确规定在mime from字段中不可以使用特殊字符以及unicode逆序等字符，但包含这些字符的邮件可以被攻击者利用发送逼真的伪造邮件。本技术提出如果mime from字段包含特殊字符(包含“\x81
‑
\xff,\t\n”等字符、unicode控制字符\u202e等)，ui提醒邮件发件人不可信。
[0064]
本技术中通过对所述邮件数据包进行发件人检测，从而实现更完善和准确的伪冒电子邮件检测。
[0065]
基于上述任一实施例，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
[0066]
对所述邮件数据包进行高近似度域名检测，所述高近似度域名检测为，对所述邮件数据包中的from字段进行检测；
[0067]
在所述邮件数据包中的from字段为国际化域名的情况下，所述邮件数据包对应的检测结果为邮件异常。
[0068]
具体地，随着idn域名的国际化，邮件领域也开始引入idn域名。然而，在前端显示时，攻击者可以通过此类技术发起邮件伪造效果。本技术提出如果邮件中的from字段为idn域名，则可能存在使用高度近似域名的钓鱼行为，会在ui上提醒用户小心高度近似的域名。
[0069]
本技术中通过对所述邮件数据包进行高近似度域名检测，从而实现更完善和准确的伪冒电子邮件检测。
[0070]
基于上述任一实施例，通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果的步骤，包括：
[0071]
对所述邮件数据包进行加密性检测，所述加密性检测为，检测所述邮件数据包是否进行安全传输层协议加密；
[0072]
在检测到所述邮件数据部未进行安全传输层协议加密的情况下，所述邮件数据包对应的检测结果为邮件异常。
[0073]
具体地，如果邮件在传输过程中为明文传输未做加密，则可被攻击者通过中间人攻击的方式进行利用。本技术提出如果邮件未tls加密、可能被中间人攻击，ui提醒邮件内容未加密不安全。
[0074]
本技术中通过对所述邮件数据包进行加密性检测，从而实现更完善和准确的伪冒电子邮件检测。
[0075]
在本技术的另一实施例中，首先接收从接收邮件模块发来的smtp邮件数据包。将邮件数据包载入邮件安全检测算法，将检测结果和smtp数据包发送给处理邮件模块，将smtp数据包处理为eml文件，将eml文件和邮件检测结果发给网页端、客户端接收处理邮件模块传来的eml文件以及邮件检测结果，将eml文件以前端显示的方式展示给用户，若邮件检测结果显示邮件有安全问题，则将邮件检测结果以ui提醒的方式呈现给用户。
[0076]
本技术中通过对邮件数据包从代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测等多个角度来进行检测，从而更准确的进行伪冒电子邮件的检测，在电子邮件的显示界面中同步显示伪冒电子邮件的检测结果，帮助用户识别伪冒的电子邮件，保证通信的安全性。
[0077]
图2为本发明提供的伪冒电子邮件的识别装置示意图，如图2所示，包括：分析模块210和显示模块220；其中，分析模块210用于通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；其中，显示模块220用于在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
[0078]
本技术通过对邮件数据包从代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测等多个角度来进行检测，从而更准确的进行伪冒电子邮件的检测，在电子邮件的显示界面中同步显示伪冒电子邮件的检测结果，帮助用户识别伪冒的电子邮件，保证通信的安全性。
[0079]
图3为本发明提供的电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communications interface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行伪冒电子邮件的识别方法，该方法包括：通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
[0080]
此外，上述的存储器330中的逻辑指令可以通过软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0081]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的伪冒电子邮件的识别方法，该方法包括：通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
[0082]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的伪冒电子邮件的识别方法，该方法包括：通过预设邮件安全监测算法对邮件数据包进行分析，得到所述邮件数据包的检测结果；在所述邮件数据包的显示界面，同时显示所述邮件数据包对应的检测结果；其中，所述预设邮件安全检测算法包括代发检测、来源检测、发件人检测、高近似度域名检测、加密性检测中的至少一项。
[0083]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可
以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0084]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0085]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。