專利名稱:一種郵件的處理方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種郵件的處理方法、蜜罐客戶端、服務(wù)器及郵件處理系統(tǒng)。
背景技術(shù):
垃圾郵件(Spam)是描述未被請求的電子郵件的通用術(shù)語。黑名單技術(shù)的廣泛應(yīng)用,使得垃圾郵件發(fā)送者(Spammer)傾向于通過使用開放中繼(Open Relay)或開放代理(Open Proxy),來偽造垃圾郵件的發(fā)件人和隱藏垃圾郵件發(fā)送者真實(shí)的源IP地址信息,千方百計(jì)地改變垃圾郵件的特征,突破郵件過濾技術(shù)的攔截和逃避追蹤。開放中繼是無需對郵件發(fā)送者的信息進(jìn)行認(rèn)證,就可以進(jìn)行郵件中繼轉(zhuǎn)發(fā)的簡單郵件傳輸協(xié)議(Simple Mail Transfer Protocol,簡稱:SMTP)服務(wù)。垃圾郵件發(fā)送者可以通過開放中繼隨意的偽裝發(fā)件人和隱藏收件人信息,以達(dá)到迷惑郵件用戶、逃避追蹤的目的。開放代理是無需用戶認(rèn)證就可以進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的代理服務(wù),使用開放代理可以隱藏郵件的源IP地址信息。經(jīng)過分析發(fā)現(xiàn),通過開放中繼和開放代理發(fā)送的郵件基本都是垃圾郵件。理解垃圾郵件發(fā)送者的行為特征(Spammer behavior)是與垃圾郵件做長期斗爭的關(guān)鍵一步。如何收集大量的垃圾郵件,是研究垃圾郵件發(fā)送者行為的首要任務(wù)。傳統(tǒng)的垃圾郵件搜集方法擺脫不了防御技術(shù)所固有的被動(dòng)性缺陷,而郵件蜜罐技術(shù)以其主動(dòng)防御特性受到越來越多的關(guān)注。所謂蜜罐,是一種資源,它的價(jià)值是被攻擊或攻陷。郵件蜜罐技術(shù)是指設(shè)置郵件蜜罐,來誘使垃圾郵件發(fā)送者使用郵件蜜罐進(jìn)行垃圾郵件的轉(zhuǎn)發(fā),從而捕獲垃圾郵件的技術(shù)。使用郵件蜜罐的方法可以收集到最新的垃圾郵件樣本,記錄垃圾郵件發(fā)送者的行為特征,以及定位垃圾郵件發(fā)送者的源IP地址信息,同時(shí)還可以消耗垃圾郵件發(fā)送者的時(shí)間和資源。目前的垃圾郵件蜜罐都是基于單一的SMTP的垃圾郵件蜜罐,即開放中繼郵件蜜罐。開放中繼郵件蜜罐對垃圾郵件進(jìn)行獲取的方法主要包括:監(jiān)聽傳輸控制協(xié)議(Transmission Control Protocol,簡稱:TCP)的25端口,當(dāng)垃圾郵件發(fā)送者通過遠(yuǎn)端主機(jī)連接開放中繼郵件蜜罐時(shí),將垃圾郵件發(fā)送者發(fā)來的垃圾郵件保存在本地,并且,將所述垃圾郵件數(shù)據(jù)全部轉(zhuǎn)發(fā)或全部丟棄。但是,將垃圾郵件發(fā)送者通過遠(yuǎn)端主機(jī)發(fā)來的垃圾郵件全部丟棄,會(huì)造成開放中繼郵件蜜罐對垃圾郵件發(fā)送者的黏性降低;而如果將垃圾郵件全部轉(zhuǎn)發(fā),則會(huì)造成開放中繼郵件蜜罐被濫用。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例中提供了一種郵件的處理方法及裝置,能夠保證對垃圾郵件發(fā)送者的黏性,且防止郵件蜜罐被濫用。第一方面,本發(fā)明實(shí)施例提供一種郵件的處理方法,包括:
蜜罐客戶端在遠(yuǎn)端主機(jī)連接所述蜜罐客戶端的開放中繼端口,或者通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),所述蜜罐客戶端與所述遠(yuǎn)端主機(jī)之間建立連接;所述蜜罐客戶端接收所述遠(yuǎn)端主機(jī)通過所述連接發(fā)來的第一郵件數(shù)據(jù);對于第一郵件數(shù)據(jù)包含的每一封郵件,所述蜜罐客戶端判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,所述蜜罐客戶端將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;如果不是疑似測試郵件,所述蜜罐客戶端丟棄該封郵件。結(jié)合上述第一方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述蜜罐客戶端判斷該封郵件是否是疑似測試郵件包括:所述蜜罐客戶端判斷該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。結(jié)合上述第一方面,和/或,第一方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第二種可能的實(shí)現(xiàn)方式中,所述蜜罐客戶端判斷該封郵件是否是疑似測試郵件之前還包括:所述蜜罐客戶端判斷該封郵件是否滿足采樣條件;如果滿足采樣條件,所述蜜罐客戶端將該封郵件上報(bào)至服務(wù)器;如果不滿足采樣條件,所述蜜罐客戶端再執(zhí)行所述判斷該封郵件是否是疑似測試郵件的步驟。結(jié)合上述第一方面的第二種可能的實(shí)現(xiàn)方式,在第一方面的第三種可能的實(shí)現(xiàn)方式中,所述蜜罐客戶端判斷該封郵件是否滿足采樣條件包括:所述蜜罐客戶端判斷該封郵件是否是所述遠(yuǎn)端主機(jī)在本次連接中發(fā)送的第一封郵件,如果是,則滿足采樣條件;如果不是,所述蜜罐客戶端判斷該封郵件在本地連接中的序號(hào)是否滿足序號(hào)規(guī)貝1J,如果滿足,則滿足采樣條件,如果不滿足,則不滿足采樣條件。結(jié)合上述第一方面,和/或,第一方面的第一種可能的實(shí)現(xiàn)方式,和/或,第一方面的第二種可能的實(shí)現(xiàn)方式,和/或,第一方面的第三種可能的實(shí)現(xiàn)方式,在第一方面的第四種可能的實(shí)現(xiàn)方式中,還包括:所述蜜罐客戶端將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器;和/或,所述蜜罐客戶端將建立所述連接時(shí)使用的SMTP命令信息上報(bào)至服務(wù)器。結(jié)合上述第一方面,和/或,第一方面的第一種可能的實(shí)現(xiàn)方式,和/或,第一方面的第二種可能的實(shí)現(xiàn)方式,和/或,第一方面的第三種可能的實(shí)現(xiàn)方式,和/或,第一方面的第四種可能的實(shí)現(xiàn)方式,在第一方面的第五種可能的實(shí)現(xiàn)方式中,還包括:所述遠(yuǎn)端主機(jī)通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),所述蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件;滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī);不滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄。第二方面,本發(fā)明實(shí)施例提供一種郵件的處理方法,包括:
服務(wù)器接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件;對于第二郵件數(shù)據(jù)包含的每一封郵件,所述服務(wù)器判斷該封郵件的類型;如果判斷該封郵件為非測試郵件,所述服務(wù)器不轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為垃圾測試郵件,所述服務(wù)器按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為反垃圾測試郵件,所述服務(wù)器不轉(zhuǎn)發(fā)該封郵件。結(jié)合上述第二方面,在第二方面的第一種可能的實(shí)現(xiàn)方式中,所述服務(wù)器判斷該封郵件的類型包括:所述服務(wù)器判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件;如果包括垃圾測試郵件的關(guān)鍵字,所述服務(wù)器判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。結(jié)合上述第二方面的第一種可能的實(shí)現(xiàn)方式,在第二方面的第二種可能的實(shí)現(xiàn)方式中,如果所述第二郵件數(shù)據(jù)還包括采樣郵件;所述服務(wù)器判斷該封郵件的類型之前,還包括:所述服務(wù)器判斷該郵件的收件人信息是否滿足收件人條件,如果判斷結(jié)果為否,則該封郵件的類型為非測試郵件;如果判斷結(jié)果為是,所述服務(wù)器再執(zhí)行所述判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字的步驟。結(jié)合上述第二方面,和/或,第二方面的第一種可能的實(shí)現(xiàn)方式,和/或,第二方面的第二種可能的實(shí)現(xiàn)方式,在第二方面的第三種可能的實(shí)現(xiàn)方式中,還包括:所述服務(wù)器存儲(chǔ)蜜罐客戶端發(fā)來的郵件數(shù)據(jù);和/或,所述服務(wù)器接收并存儲(chǔ)蜜罐客戶端發(fā)來的SMTP命令信息;和/或,所述服務(wù)器接收并存儲(chǔ)蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息。第三方面,本發(fā)明實(shí)施例提供一種蜜罐客戶端,包括:連接建立單元,用于遠(yuǎn)端主機(jī)連接所述蜜罐客戶端的開放中繼端口,或者通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與所述遠(yuǎn)端主機(jī)之間建立連接;第一接收單元,用于接收所述遠(yuǎn)端主機(jī)通過所述連接建立單元建立的所述連接發(fā)來的第一郵件數(shù)據(jù);第一判斷單元,用于對于所述第一接收單元接收的第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是疑似測試郵件;上報(bào)單元,用于如果所述第一判斷單元判斷郵件是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;丟棄單元,用于如果所述第一判斷單元判斷郵件不是疑似測試郵件,丟棄該封郵件。結(jié)合上述第三方面,在第三方面的第一種可能的實(shí)現(xiàn)方式中,所述第一判斷單元具體用于:判斷該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。結(jié)合上述第三方面,和/或,第三方面的第一種可能的實(shí)現(xiàn)方式,在第三方面的第二種可能的實(shí)現(xiàn)方式中,所述第一判斷單元還用于:對于第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否滿足采樣條件;如果不滿足采樣條件,再執(zhí)行所述判斷該封郵件是否是疑似測試郵件的步驟;所述上報(bào)單元還用于:如果第一判斷單元判斷郵件滿足采樣條件,將該封郵件上報(bào)至服務(wù)器。結(jié)合上述第三方面的第二種可能的實(shí)現(xiàn)方式,在第三方面的第三種可能的實(shí)現(xiàn)方式中,所述第一判斷單元具體用于通過以下方式判斷該封郵件是否滿足采樣條件:判斷該封郵件是否是所述遠(yuǎn)端主機(jī)在本次連接中的第一封郵件,如果是,則滿足采樣條件;如果不是,判斷該封郵件在本地連接中的序號(hào)是否滿足序號(hào)規(guī)則,如果滿足,則滿足采樣條件,如果不滿足,則不滿足采樣條件。結(jié)合上述第三方面,和/或,第三方面的第一種可能的實(shí)現(xiàn)方式,和/或,第三方面的第二種可能的實(shí)現(xiàn)方式,和/或,第三方面的第三種可能的實(shí)現(xiàn)方式,在第三方面的第四種可能的實(shí)現(xiàn)方式中,所述上報(bào)單元還用于:將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器;和/或,將建立所述連接時(shí)使用的SMTP命令信息上報(bào)至服務(wù)器。結(jié)合上述第三方面,和/或,第三方面的第一種可能的實(shí)現(xiàn)方式,和/或,第三方面的第二種可能的實(shí)現(xiàn)方式,和/或,第三方面的第三種可能的實(shí)現(xiàn)方式,和/或,第三方面的第四種可能的實(shí)現(xiàn)方式中,在第三方面的第五種可能的實(shí)現(xiàn)方式中,所述第一判斷單元還用于:遠(yuǎn)端主機(jī)通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件;該蜜罐客戶端還包括:第一轉(zhuǎn)發(fā)單元,用于所述第一判斷單元判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī);所述丟棄單元還用于:所述第一判斷單元判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)不滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄。第四方面,本發(fā)明實(shí)施例提供一種服務(wù)器,包括:第二接收單元,用于接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件;第二判斷單元,用于對于所述第二接收單元接收的第二郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件的類型;郵件處理單元,用于如果所述第二判斷單元判斷該封郵件為非測試郵件,不轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為反垃圾測試郵件,不轉(zhuǎn)發(fā)該封郵件;第二轉(zhuǎn)發(fā)單元,用于如果所述第二判斷單元判斷該封郵件為垃圾測試郵件,按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件。結(jié)合上述第四方面,在第四方面的第一種可能的實(shí)現(xiàn)方式中,所述第二判斷單元具體用于:判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件;如果包括垃圾測試郵件的關(guān)鍵字,判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。結(jié)合上述第四方面的第一種可能的實(shí)現(xiàn)方式,在第四方面的第二種可能的實(shí)現(xiàn)方式中,如果所述第二郵件數(shù)據(jù)還包括采樣郵件;所述第二判斷單元還具體用于:判斷該郵件的收件人信息是否滿足收件人條件,如果判斷結(jié)果為否,則該封郵件的類型為非測試郵件;如果判斷結(jié)果為是,再判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字。結(jié)合上述第四方面,和/或,第四方面的第一種可能的實(shí)現(xiàn)方式,和/或,第四方面的第二種可能的實(shí)現(xiàn)方式,在第四方面的第三種可能的實(shí)現(xiàn)方式中,還包括:所述第二接收單元還用于:接收蜜罐客戶端發(fā)來的SMTP命令信息;和/或,接收蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息;存儲(chǔ)單元,用于存儲(chǔ)蜜罐客戶端發(fā)來的郵件數(shù)據(jù);和/或,存儲(chǔ)蜜罐客戶端發(fā)來的SMTP命令信息;和/或,存儲(chǔ)蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息。第五方面,本發(fā)明實(shí)施例提供一種郵件處理系統(tǒng),包括第三方面、或第三方面的任意一種可能的實(shí)現(xiàn)方式所述的蜜罐客戶端和所述第四方面、或第四方面的任意一種可能的實(shí)現(xiàn)方式所述的服務(wù)器。本發(fā)明實(shí)施例中,蜜罐客戶端在遠(yuǎn)端主機(jī)連接開放中繼端口,或者通過開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),蜜罐客戶端與遠(yuǎn)端主機(jī)之間建立連接,并通過所述連接接收遠(yuǎn)端主機(jī)發(fā)來的第一郵件數(shù)據(jù),對于第一郵件數(shù)據(jù)包含的每一封郵件,蜜罐客戶端判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;如果不是疑似測試郵件,蜜罐客戶端丟棄該封郵件;從而將第一郵件數(shù)據(jù)中的疑似測試郵件上報(bào)服務(wù)器,由服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件,保證了蜜罐客戶端對垃圾郵件發(fā)送者的黏性,同時(shí),將不是疑似測試郵件的郵件丟棄,防止蜜罐客戶端被濫用。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例垃圾郵件蜜罐系統(tǒng)結(jié)構(gòu)圖;圖2為本發(fā)明郵件處理方法第一實(shí)施例流程圖;圖3為本發(fā)明郵件處理方法第二實(shí)施例流程圖4為本發(fā)明郵件處理方法第三實(shí)施例流程圖;圖5為本發(fā)明郵件處理方法第四實(shí)施例流程圖;圖6為本發(fā)明郵件處理裝置第一實(shí)施例示意圖;圖6A為本發(fā)明郵件處理裝置第二實(shí)施例示意圖;圖7為本發(fā)明郵件處理裝置第三實(shí)施例示意圖;圖7A為本發(fā)明郵件處理裝置第四實(shí)施例示意圖;圖8為本發(fā)明實(shí)施例蜜罐客戶端結(jié)構(gòu)示意圖;圖9為本發(fā)明實(shí)施例服務(wù)器結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整的描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有付出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。參見圖1,本發(fā)明提供的垃圾郵件蜜罐系統(tǒng)包括蜜罐客戶端110和服務(wù)器120兩部分,其中,蜜罐客戶端110中設(shè)置有開放中繼服務(wù),開放中繼服務(wù)所使用的端口可以為TCP協(xié)議的25端口,該端口為SMTP協(xié)議專用端口 ;可選的,蜜罐客戶端110中還可以設(shè)置開放代理服務(wù);開放代理服務(wù)所使用的端口可以為1080或者8080等端口。所述蜜罐客戶端110可以為至少一個(gè),若系統(tǒng)中有多個(gè)蜜罐客戶端110,則多個(gè)蜜罐客戶端110可以在不同的網(wǎng)絡(luò)地址空間分布式部署,通過將多個(gè)蜜罐客戶端110分布式部署,可以使得蜜罐客戶端110采樣到的數(shù)據(jù)更全面更具有代表性。而且,蜜罐客戶端110中設(shè)置有開放中繼和開放代理等多種可以隱藏發(fā)件人真實(shí)地址信息的服務(wù),并可以在不同網(wǎng)絡(luò)地址空間分布式部署,最大限度地提高了垃圾郵件發(fā)送者探測到垃圾郵件蜜罐系統(tǒng)的可能性。各個(gè)蜜罐客戶端110均與服務(wù)器120連接,蜜罐客戶端110與服務(wù)器120之間可以通過互聯(lián)網(wǎng)等方式實(shí)現(xiàn)通信。所述服務(wù)器120可以集中式部署,對至少一個(gè)蜜罐客戶端110發(fā)來的數(shù)據(jù)進(jìn)行集中存儲(chǔ),并且可以對蜜罐客戶端110發(fā)來的郵件中垃圾測試郵件進(jìn)行集中式轉(zhuǎn)發(fā)。將服務(wù)器120集中式部署,可以最大限度的降低針對轉(zhuǎn)發(fā)垃圾郵件發(fā)送者的測試郵件給垃圾郵件蜜罐系統(tǒng)帶來的各種風(fēng)險(xiǎn)。具體的,對上述場景下的郵件處理方法、蜜罐裝置及蜜罐系統(tǒng)進(jìn)行更為詳細(xì)的說明。參見圖2,為本發(fā)明郵件處理方法的第一實(shí)施例流程圖,該方法從蜜罐客戶端的角度進(jìn)行描述,包括:步驟201:遠(yuǎn)端主機(jī)連接蜜罐客戶端的開放中繼端口,或者通過蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),所述蜜罐客戶端與遠(yuǎn)端主機(jī)之間建立連接;其中,所述SMTP端口包括開放中繼所使用的端口,和不開放的中繼所使用的端口。連接不開放的中繼所使用的端口時(shí),該端口需要對用戶進(jìn)行認(rèn)證。步驟202:蜜罐客戶端接收遠(yuǎn)端主機(jī)通過所述連接發(fā)來的郵件數(shù)據(jù);
步驟203:對于郵件數(shù)據(jù)包含的每一封郵件,蜜罐客戶端判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,執(zhí)行步驟204:如果不是疑似測試郵件,也即不是測試郵件,執(zhí)行步驟205。其中,所述疑似測試郵件是指郵件是測試郵件的可能性較高的郵件;所述蜜罐客戶端具體如何判斷該封郵件是否是疑似測試郵件,將在后續(xù)附圖4的步驟407中進(jìn)行了說明,這里不贅述。步驟204:蜜罐客戶端將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件。步驟205:蜜罐客戶端丟棄該封郵件。本實(shí)施例中,遠(yuǎn)端主機(jī)連接開放中繼端口,或者通過開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),蜜罐客戶端與遠(yuǎn)端主機(jī)之間建立連接,并通過所述連接接收遠(yuǎn)端主機(jī)發(fā)來的第一郵件數(shù)據(jù),對于第一郵件數(shù)據(jù)包含的每一封郵件,蜜罐客戶端判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;如果不是疑似測試郵件,蜜罐客戶端丟棄該封郵件;從而將疑似測試郵件上報(bào)服務(wù)器,由服務(wù)器將滿足預(yù)設(shè)條件的郵件進(jìn)行轉(zhuǎn)發(fā),保證了蜜罐客戶端對垃圾郵件發(fā)送者的黏性,同時(shí),將不是疑似測試郵件的郵件丟棄,防止蜜罐客戶端被濫用。參見圖3,為本發(fā)明郵件處理方法的第二實(shí)施例流程圖,該方法從服務(wù)器的角度進(jìn)行描述,包括:步驟301:服務(wù)器接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件;步驟302:對于第二郵件數(shù)據(jù)包含的每一封郵件,服務(wù)器判斷該封郵件的類型;如果判斷該封郵件為非測試郵件或者測試郵件中的反垃圾測試郵件,執(zhí)行步驟303 ;如果判斷該封郵件為測試郵件中的垃圾測試郵件,執(zhí)行步驟304。本發(fā)明實(shí)施例中,將郵件的類型劃分為測試郵件和非測試郵件,而所述測試郵件又分為反垃圾測試郵件和垃圾測試郵件;具體的,所述垃圾測試郵件是指:垃圾郵件發(fā)送者發(fā)送的測試郵件,用于測試一個(gè)郵件服務(wù)提供者的開放中繼或開放代理是否能夠正確地轉(zhuǎn)發(fā)垃圾郵件發(fā)送者發(fā)送的垃圾郵件。如果郵件服務(wù)提供者能夠正確地轉(zhuǎn)發(fā),則垃圾郵件發(fā)送者后續(xù)會(huì)通過該郵件服務(wù)提供者發(fā)送大量垃圾郵件;如果郵件服務(wù)提供者不能正確地轉(zhuǎn)發(fā),則放棄通過該郵件提供者來發(fā)送垃圾郵件,轉(zhuǎn)而測試其他的郵件服務(wù)提供者。后續(xù)步驟304中,服務(wù)器轉(zhuǎn)發(fā)垃圾測試郵件,可以防止垃圾郵件發(fā)送者放棄本發(fā)明實(shí)施例的蜜罐客戶端和服務(wù)器來轉(zhuǎn)發(fā)大量的垃圾郵件,從而提高所述蜜罐客戶端和服務(wù)器對垃圾郵件發(fā)送者的黏性。所述反垃圾測試郵件是指:反垃圾郵件組織或者郵件服務(wù)商發(fā)送的測試郵件,用于測試提供開放代理服務(wù)或者開放中繼服務(wù)的郵件服務(wù)提供者是否轉(zhuǎn)發(fā)垃圾郵件,并根據(jù)測試結(jié)果將轉(zhuǎn)發(fā)垃圾郵件的郵件服務(wù)提供者對應(yīng)的IP地址列入黑名單中。后續(xù)步驟303中,不轉(zhuǎn)發(fā)反垃圾測試郵件,可以防止反垃圾郵件組織或者郵件服務(wù)商將本發(fā)明實(shí)施例的蜜罐客戶端和服務(wù)器所在的IP地址列入黑名單中。經(jīng)過分析發(fā)現(xiàn),通過開放中繼和開放代理發(fā)送的郵件基本都是垃圾郵件。因此,蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù),除了垃圾測試郵件和反垃圾測試郵件,其他郵件均為非測試郵件,而這些非測試郵件基本上都是垃圾郵件。后續(xù)步驟303中,不轉(zhuǎn)發(fā)非測試郵件,也即不轉(zhuǎn)發(fā)垃圾郵件,可以避免垃圾郵件發(fā)送者通過蜜罐客戶端和服務(wù)器轉(zhuǎn)發(fā)大量的垃圾郵件,防止蜜罐客戶端和服務(wù)器的郵件轉(zhuǎn)發(fā)資源被濫用。其中,本步驟中服務(wù)器判斷該封郵件的類型的判斷標(biāo)準(zhǔn),相對于步驟203中蜜罐客戶端判斷該封郵件是否是疑似測試郵件的判斷標(biāo)準(zhǔn)將更為嚴(yán)格。從作用上看,步驟203中蜜罐客戶端判斷該封郵件是否是疑似測試郵件僅是對郵件是否是測試郵件的粗略篩選,從而判斷出疑似測試郵件上報(bào)服務(wù)器;而服務(wù)器判斷郵件的類型則是對郵件類型的準(zhǔn)確判斷,從而準(zhǔn)確的確定出郵件中的非測試郵件、測試郵件中的垃圾測試郵件和反垃圾測試郵件,進(jìn)行相應(yīng)的處理。在一種可能的實(shí)現(xiàn)方式中,所述服務(wù)器判斷該封郵件的類型可以包括:服務(wù)器判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件;如果包括垃圾測試郵件的關(guān)鍵字,服務(wù)器判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。步驟303:服務(wù)器不轉(zhuǎn)發(fā)該封郵件;步驟304:服務(wù)器按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件。本實(shí)施例中,服務(wù)器判斷蜜罐客戶端發(fā)來的郵件的類型,只對測試郵件中的垃圾測試郵件進(jìn)行轉(zhuǎn)發(fā),從而保證對垃圾郵件發(fā)送者的黏性;對測試郵件中的反垃圾測試郵件也不進(jìn)行轉(zhuǎn)發(fā),從而防止被反垃圾郵件組織或郵件服務(wù)商列入黑名單;對非測試郵件不進(jìn)行轉(zhuǎn)發(fā),從而防止蜜罐客戶端被濫用。參見圖4,為本發(fā)明郵件處理方法第三實(shí)施例流程圖,該方法包括:步驟401:在蜜罐客戶端中設(shè)置至少一個(gè)開放中繼和至少一個(gè)開放代理。一般的,所述開放中繼所使用的端口為TCP協(xié)議的25端口 ;所述開放代理所使用的端口可以為1080端口或者8080端口等。蜜罐客戶端中可以僅設(shè)置開放中繼,也可以同時(shí)設(shè)置開放中繼和開放代理,因此,所述開放代理可選。步驟402:蜜罐客戶端監(jiān)控所述開放中繼端口和所述開放代理端口,當(dāng)監(jiān)控到遠(yuǎn)端主機(jī)連接開放中繼端口時(shí),執(zhí)行步驟404 ;當(dāng)監(jiān)控到遠(yuǎn)端主機(jī)連接開放代理端口時(shí),執(zhí)行步驟403。遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口時(shí)會(huì)發(fā)送遠(yuǎn)端主機(jī)的連接信息,遠(yuǎn)端主機(jī)的連接信息包括:遠(yuǎn)端主機(jī)的IP、連接的端口、目標(biāo)主機(jī)端口等。步驟402還可以包括:蜜罐客戶端將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器。從而服務(wù)器存儲(chǔ)所述連接信息,以便用于后續(xù)對于垃圾郵件的分析。步驟403:蜜罐客戶端判斷遠(yuǎn)端主機(jī)通過開放代理端口連接的目標(biāo)主機(jī)端口是否為SMTP端口,如果是,執(zhí)行步驟404 ;否則,執(zhí)行步驟410。步驟404:蜜罐客戶端根據(jù)遠(yuǎn)端主機(jī)發(fā)來的連接信息與遠(yuǎn)端主機(jī)之間建立連接。
其中,蜜罐客戶端與遠(yuǎn)端主機(jī)之間建立連接時(shí)可以使用SMTP協(xié)議,蜜罐客戶端與遠(yuǎn)端主機(jī)之間通過交互SMTP命令信息完成所述連接的建立,具體如何使用SMTP協(xié)議建立連接這里不贅述。 步驟404還可以包括:蜜罐客戶端將與遠(yuǎn)端主機(jī)建立連接所使用的SMTP命令信息上報(bào)至服務(wù)器,由服務(wù)器進(jìn)行集中存儲(chǔ),以便為后續(xù)對垃圾郵件的分析提供數(shù)據(jù)基礎(chǔ)。步驟405:蜜罐客戶端通過所述連接接收遠(yuǎn)端主機(jī)發(fā)來的第一郵件數(shù)據(jù)。步驟406:對于第一郵件數(shù)據(jù)包含的每一封郵件,蜜罐客戶端判斷該封郵件是否滿足采樣條件,如果滿足采樣條件,執(zhí)行步驟408 ;如果不滿足采樣條件,執(zhí)行步驟407。其中,蜜罐客戶端判斷郵件是否滿足采樣條件具體實(shí)現(xiàn)方法這里并不限制。例如,可以根據(jù)每封郵件在本次連接中的順序號(hào)等。在一種可能的實(shí)現(xiàn)方法中,蜜罐客戶端可以設(shè)置對每一郵件源IP地址在每次連接中的第一封郵件進(jìn)行采樣;或者,也可以對每一郵件源IP地址在每次連接中發(fā)來的郵件,按照一定的規(guī)則計(jì)算出順序號(hào),將計(jì)算出的順序號(hào)對應(yīng)的郵件進(jìn)行采樣。例如,所述規(guī)則可以為順序號(hào)=2m,m為不小于O的整數(shù),則順序號(hào)為2m的郵件將滿足采樣條件。步驟407:蜜罐客戶端判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,執(zhí)行步驟408 ;如果不是疑似測試郵件,執(zhí)行步驟409。其中,所述判斷該封郵件是否是疑似測試郵件可以包括:該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。其中,所述收件人條件可以在實(shí)際應(yīng)用中自主設(shè)定,這里不限制。在第一種實(shí)現(xiàn)方式中,所述收件人條件可以為:收件人個(gè)數(shù)小于預(yù)設(shè)個(gè)數(shù)閾值;在第二種實(shí)現(xiàn)方式中,可以預(yù)先設(shè)置收件人白名單,所述收件人白名單中存儲(chǔ)有測試郵件通常使用的收件人地址信息,所述收件人條件可以為:郵件的收件人中存在至少一個(gè)收件人位于所述收件人白名單中。所述第一種實(shí)現(xiàn)方式和第二種實(shí)現(xiàn)方式可以結(jié)合使用,具體實(shí)現(xiàn)不贅述。步驟408:蜜罐客戶端將該封郵件上報(bào)至服務(wù)器;當(dāng)前處理分支結(jié)束。蜜罐客戶端將采樣郵件以及疑似測試郵件上報(bào)服務(wù)器,由服務(wù)器進(jìn)行存儲(chǔ),從而可以為后續(xù)進(jìn)行垃圾郵件的分析提供數(shù)據(jù)基礎(chǔ)。而且,將疑似測試郵件和采樣郵件上報(bào)服務(wù)器,從而可以由服務(wù)器識(shí)別所述疑似測試郵件和采樣郵件是非測試郵件、測試郵件中的垃圾測試郵件或者測試郵件中的反垃圾測試郵件,由服務(wù)器轉(zhuǎn)發(fā)垃圾測試郵件,不轉(zhuǎn)發(fā)反垃圾測試郵件,丟棄非測試郵件,從而在保證對垃圾郵件發(fā)送者的黏性的同時(shí),防止反垃圾郵件組織或郵件服務(wù)商將蜜罐客戶端和服務(wù)器的IP地址列入黑名單。步驟409:蜜罐客戶端將該封郵件丟棄;當(dāng)前處理分支結(jié)束。步驟410:蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件,如果滿足轉(zhuǎn)發(fā)條件,執(zhí)行步驟411 ;如果不滿足轉(zhuǎn)發(fā)條件,執(zhí)行步驟412。其中,當(dāng)遠(yuǎn)端主機(jī)通過開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),則遠(yuǎn)端主機(jī)可能是希望通過蜜罐客戶端實(shí)現(xiàn)網(wǎng)絡(luò)連接或者其他非郵件數(shù)據(jù)的轉(zhuǎn)發(fā)等,相應(yīng)的,所述遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)可以為上網(wǎng)數(shù)據(jù)等非郵件數(shù)據(jù),這里不贅述。
其中,蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件具體如何實(shí)現(xiàn),這里并不限制。例如,可以根據(jù)遠(yuǎn)端主機(jī)的IP地址、最近一段時(shí)間內(nèi)連接次數(shù)、最近一段時(shí)間內(nèi)蜜罐客戶端為該遠(yuǎn)端主機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)總量等。在一種實(shí)現(xiàn)方式中,可以預(yù)先在蜜罐客戶端設(shè)置IP地址白名單,本步驟中蜜罐客戶端判斷遠(yuǎn)端主機(jī)的IP地址是否位于所述IP地址白名單中,如果位于,則蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件,如果不位于,則蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)不滿足轉(zhuǎn)發(fā)條件;在另一種實(shí)現(xiàn)方式中,可以預(yù)先在蜜罐客戶端中設(shè)置遠(yuǎn)端主機(jī)的連接次數(shù)閾值,并且蜜罐客戶端記錄最近一段時(shí)間內(nèi)與遠(yuǎn)端主機(jī)之間的連接次數(shù),本步驟中蜜罐客戶端判斷在最近一段時(shí)間內(nèi)與遠(yuǎn)端主機(jī)之間的連接次數(shù)是否超過所述連接次數(shù)閾值,如果超過,則蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件,如果不超過,則蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)不滿足轉(zhuǎn)發(fā)條件;在第三種實(shí)現(xiàn)方式中,可以預(yù)先在蜜罐客戶端中設(shè)置數(shù)據(jù)量閾值,并且蜜罐客戶端記錄最近一段時(shí)間內(nèi)為遠(yuǎn)端主機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)總量,本步驟中蜜罐客戶端判斷最近一段時(shí)間內(nèi)為遠(yuǎn)端主機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)總量與本次遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)量的總和,判斷所述總和是否超過所述數(shù)據(jù)量閾值,如果超過,則蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件,如果不超過,則蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)不滿足轉(zhuǎn)發(fā)條件。以上三種實(shí)現(xiàn)方式可以相互結(jié)合使用,具體實(shí)現(xiàn)不贅述。步驟411:蜜罐客戶端將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī);當(dāng)前處理分支結(jié)束。步驟412:蜜罐客戶端將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄;當(dāng)前處理分支結(jié)束。步驟41(Γ步驟412中,對于遠(yuǎn)端主機(jī)發(fā)來的目標(biāo)主機(jī)端口不是SMTP端口的數(shù)據(jù),一般為上網(wǎng)數(shù)據(jù)等非郵件數(shù)據(jù),蜜罐 客戶端按照轉(zhuǎn)發(fā)條件進(jìn)行轉(zhuǎn)發(fā),從而防止了對于蜜罐客戶端的非郵件數(shù)據(jù)轉(zhuǎn)發(fā)資源的濫用。本實(shí)施例中,蜜罐客戶端將遠(yuǎn)端主機(jī)的連接信息、SMTP命令信息、疑似測試郵件、采樣郵件均發(fā)送至服務(wù)器,以便服務(wù)器進(jìn)行集中存儲(chǔ),為后續(xù)進(jìn)行垃圾郵件發(fā)送者行為分析提供基礎(chǔ)數(shù)據(jù);另外,蜜罐客戶端對于遠(yuǎn)端主機(jī)發(fā)來的目標(biāo)主機(jī)端口不是SMTP端口的數(shù)據(jù),按照轉(zhuǎn)發(fā)條件進(jìn)行轉(zhuǎn)發(fā),防止遠(yuǎn)端主機(jī)對蜜罐客戶端的非郵件數(shù)據(jù)轉(zhuǎn)發(fā)資源的濫用。參見圖5,為本發(fā)明實(shí)施例郵件處理方法第四實(shí)施例流程圖,該方法包括:步驟501:服務(wù)器接收并存儲(chǔ)蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息、SMTP命令信息以及第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括:采樣郵件和疑似測試郵件。其中,所述連接信息以及SMTP命令信息為可選信息,與蜜罐客戶端中是否發(fā)送這些信息有關(guān)。服務(wù)器接受并存儲(chǔ)遠(yuǎn)端主機(jī)的連接信息、SMTP命令信息以及郵件數(shù)據(jù),從而為后續(xù)對垃圾郵件發(fā)送者行為進(jìn)行分析提供了重要依據(jù)。步驟502:對于第二郵件數(shù)據(jù)包含的每一封郵件,服務(wù)器判斷該郵件是否是疑似測試郵件,如果判斷結(jié)果為是,執(zhí)行步驟503 ;如果判斷結(jié)果為否,執(zhí)行步驟505。其中,本步驟的具體實(shí)現(xiàn)方法可以參見步驟407中的相關(guān)描述,這里不贅述。其中,在第二郵件數(shù)據(jù)中包括采樣郵件,而采樣郵件同樣有可能是測試郵件,因此,本發(fā)明實(shí)施例中首先對郵件是否是疑似測試郵件進(jìn)行判斷,從而從第二郵件數(shù)據(jù)中篩選出蜜罐客戶端上報(bào)的疑似測試郵件的同時(shí),還可以從第二郵件數(shù)據(jù)的采樣郵件中篩選出疑似測試郵件。優(yōu)選地,蜜罐客戶端上報(bào)的疑似測試郵件可以進(jìn)行特殊的標(biāo)識(shí),則本步驟中服務(wù)器在判斷郵件是否是疑似測試郵件時(shí),可以先判斷該郵件是否具有所述特殊的標(biāo)識(shí),如果具有所述特殊的標(biāo)識(shí),則表明該郵件是蜜罐客戶端上報(bào)的疑似測試郵件,如果不具有所述特殊的標(biāo)識(shí),則表明該郵件是蜜罐客戶端上報(bào)的采樣郵件,則可以參照步驟407中判斷郵件是否是疑似測試郵件,這里不贅述。步驟503:服務(wù)器判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果包括,執(zhí)行步驟504 ;如果不包括,執(zhí)行步驟505。其中,垃圾測試郵件的關(guān)鍵字可以包括:蜜罐客戶端的IP地址、relay、test等。在實(shí)際應(yīng)用中,可以在服務(wù)器中預(yù)先設(shè)置垃圾測試郵件的關(guān)鍵字集合,當(dāng)執(zhí)行本步驟時(shí),服務(wù)器依次搜索該封郵件中是否包含所述垃圾測試郵件的關(guān)鍵字集合中的各個(gè)關(guān)鍵字即可。步驟504:服務(wù)器判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果包括,執(zhí)行步驟505 ;如果不包括,執(zhí)行步驟506。其中,反垃圾測試郵件的關(guān)鍵字可以包括:dnsbl、ordb、sorbs等。在實(shí)際應(yīng)用中,可以在服務(wù)器中預(yù)先設(shè)置反垃圾測試郵件的關(guān)鍵字集合,當(dāng)執(zhí)行本步驟時(shí),服務(wù)器依次搜索該封郵件中是否包含所述反垃圾測試郵件的關(guān)鍵字集合中的各個(gè)關(guān)鍵字即可。步驟505:服務(wù)器不轉(zhuǎn)發(fā)該封郵件;當(dāng)前處理分支結(jié)束。步驟506:服務(wù)器按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件;當(dāng)前處理分支技術(shù)。本實(shí)施例中,服務(wù)器判斷各個(gè)郵件是非測試郵件、測試郵件中的垃圾測試郵件還是測試郵件中的反垃圾測試郵件,對于非測試郵件,不進(jìn)行轉(zhuǎn)發(fā),以防止蜜罐客戶端和服務(wù)器的郵件轉(zhuǎn)發(fā)資源被濫用;對于測試郵件中的反垃圾測試郵件,不進(jìn)行轉(zhuǎn)發(fā),從而防止反垃圾郵件組織將蜜罐客戶端和服務(wù)器的IP地址列入黑名單;對于測試郵件中的垃圾測試郵件,按照郵件的地址信息進(jìn)行轉(zhuǎn)發(fā),從而保證對垃圾郵件發(fā)送者的黏性。與上述方法相對應(yīng)的,本發(fā)明實(shí)施例還提供一種郵件的處理裝置。參見圖6,為本發(fā)明實(shí)施例郵件處理裝置第一實(shí)施例示意圖,該郵件處理裝置600可以設(shè)置于蜜罐客戶端中,該裝置包括:連接建立單元610,用于遠(yuǎn)端主機(jī)連接所述蜜罐客戶端的開放中繼端口,或者通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與所述遠(yuǎn)端主機(jī)之間建立連接;第一接收單元620,用于接收所述遠(yuǎn)端主機(jī)通過所述連接建立單元610建立的所述連接發(fā)來的第一郵件數(shù)據(jù);當(dāng)遠(yuǎn)端主機(jī)直接連接所述蜜罐客戶端的開放中繼端口時(shí),遠(yuǎn)端主機(jī)發(fā)送至連接建立單元610的SMTP命令信息和發(fā)送至第一接收單元620的郵件數(shù)據(jù)是通過開放中繼透傳至連接建立單元610或第一接收單元620的;連接建立單元610發(fā)送至遠(yuǎn)端主機(jī)的SMTP命令信息也是由開放中繼透傳至遠(yuǎn)端主機(jī)的。當(dāng)遠(yuǎn)端主機(jī)通過所述蜜罐客戶端的開放代理端口連接目標(biāo)主機(jī)的端口為SMTP端口時(shí),遠(yuǎn)端主機(jī)發(fā)送至連接建立單元610的SMTP命令信息和發(fā)送至第一接收單元620的郵件數(shù)據(jù)是由遠(yuǎn)端主機(jī)先通過開放代理端口發(fā)送至開放代理,再由開放代理通過開放中繼端口發(fā)送至開放中繼,進(jìn)而由該開放中繼透傳至連接建立單元610或第一接收單元620的。連接建立單元610發(fā)送至遠(yuǎn)端主機(jī)的SMTP命令信息是由開放中繼通過開放中繼端口透傳至開放代理,再由開放代理通過開放代理端口轉(zhuǎn)發(fā)至遠(yuǎn)端主機(jī)的。第一判斷單元630,用于對于所述第一接收單元620接收的第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是疑似測試郵件;上報(bào)單元640,用于如果所述第一判斷單元630判斷郵件是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;丟棄單元650,用于如果所述第一判斷單元630判斷郵件不是疑似測試郵件,丟棄該封郵件。優(yōu)選地,所述第一判斷單元630具體可以用于:判斷該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。優(yōu)選地,第一判斷單元630還可以用于:對于第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否滿足采樣條件;如果不滿足采樣條件,再執(zhí)行所述判斷該封郵件是否是疑似測試郵件的步驟;相應(yīng)的,所述上報(bào)單元630還可以用于:如果第一判斷單元630判斷郵件滿足采樣條件,將該封郵件上報(bào)至服務(wù)器。優(yōu)選地,所述第一判斷單元630具體可以用于通過以下方式判斷該封郵件是否滿足采樣條件:判斷該封郵件是否是所述遠(yuǎn)端主機(jī)在本次連接中的第一封郵件,如果是,則滿足采樣條件;如果不是,判斷該封郵件在本地連接中的序號(hào)是否滿足序號(hào)規(guī)則,如果滿足,則滿足采樣條件,如果不滿足,則不滿足采樣條件。優(yōu)選地,上報(bào)單元630還可以用于:將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器;和/或,將建立所述連接時(shí)使用的SMTP命令信息上報(bào)至服務(wù)器。優(yōu)選地,第一判斷單元630還可以用于:遠(yuǎn)端主機(jī)通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件;優(yōu)選地,參見圖6A所示,該裝置還可以包括:第一轉(zhuǎn)發(fā)單元660,用于所述第一判斷單元630判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī);相應(yīng)的,所述丟棄單元650還用于:所述第一判斷單元630判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)不滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄。本實(shí)施例中,遠(yuǎn)端主機(jī)連接開放中繼端口,或者通過開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與遠(yuǎn)端主機(jī)之間建立連接,并通過所述連接接收遠(yuǎn)端主機(jī)發(fā)來的郵件數(shù)據(jù),對于郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是測試郵件;如果是測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器確定是否轉(zhuǎn)發(fā)該封郵件;如果不是測試郵件,丟棄該封郵件;從而將測試郵件上報(bào)服務(wù)器,由服務(wù)器確定是否轉(zhuǎn)發(fā),保證了蜜罐客戶端對垃圾郵件發(fā)送者的黏性,同時(shí),將不是測試郵件的郵件丟棄,防止蜜罐客戶端被濫用。參見圖7,為本發(fā)明實(shí)施例郵件的處理裝置第二實(shí)施例示意圖,該裝置可以設(shè)置于服務(wù)器中,該裝置700包括:第二接收單元710,用于接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件;第二判斷單元720,用于對于所述第二接收單元710接收的第二郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件的類型;郵件處理單元730,用于如果所述第二判斷單元720判斷該封郵件為非測試郵件,不轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為測試郵件中的反垃圾測試郵件,不轉(zhuǎn)發(fā)該封郵件;第二轉(zhuǎn)發(fā)單元740,用于如果所述第二判斷單元720判斷該封郵件為測試郵件中的垃圾測試郵件,按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件。優(yōu)選地,所述第二判斷單元720具體可以用于:判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件;
如果包括垃圾測試郵件的關(guān)鍵字,判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。優(yōu)選地,如果所述第二郵件數(shù)據(jù)還包括采樣郵件;所述第二判斷單元720還可以具體用于:判斷該封郵件是否是疑似測試郵件,例如,判斷該郵件的收件人信息是否滿足收件人條件,如果判斷結(jié)果為否,則該封郵件的類型為非測試郵件;如果判斷結(jié)果為是,再判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字。優(yōu)選地,所述第二接收單元710還可以用于:接收蜜罐客戶端發(fā)來的SMTP命令信息;和/或,接收蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息,參見圖7A所示,該裝置700還可以包括:存儲(chǔ)單元750,用于存儲(chǔ)蜜罐客戶端發(fā)來的郵件數(shù)據(jù);和/或,存儲(chǔ)蜜罐客戶端發(fā)來的SMTP命令信息;和/或,存儲(chǔ)蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息。本實(shí)施例中,判斷蜜罐客戶端發(fā)來的郵件的類型,只對垃圾測試郵件進(jìn)行轉(zhuǎn)發(fā),從而保證對垃圾郵件發(fā)送者的黏性;對反垃圾測試郵件也不進(jìn)行轉(zhuǎn)發(fā),從而防止被反垃圾郵件組織或郵件服務(wù)商列入黑名單;對非測試郵件不進(jìn)行轉(zhuǎn)發(fā),從而防止蜜罐客戶端被濫用。參見圖8所示,本發(fā)明實(shí)施例還提供一種蜜罐客戶端,所示蜜罐客戶端800可以包括:第一處理器810、第一存儲(chǔ)器820、第一收發(fā)器830和第一總線840 ;第一處理器810、第一存儲(chǔ)器820、第一收發(fā)器830通過第一總線840相互連接 ’第一總線840可以是ISA總線、PCI總線或EISA總線等。所述第一總線840可以分為地址總線、數(shù)據(jù)總線、控制總線等。為便于表示,圖8中僅用一條粗線表示,但并不表示僅有一根總線或一種類型的總線。第一存儲(chǔ)器820,用于存放程序。具體地,程序可以包括程序代碼,所述程序代碼包括計(jì)算機(jī)操作指令。第一存儲(chǔ)器820可能包含高速RAM存儲(chǔ)器,也可能還包括非易失性存儲(chǔ)器(non-volatile memory),例如至少一個(gè)磁盤存儲(chǔ)器。所述第一處理器810讀取并執(zhí)行第一存儲(chǔ)器820中存儲(chǔ)的所述程序代碼,用于對于第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是疑似測試郵件;如果不是疑似測試郵件,丟棄該封郵件。第一收發(fā)器830用于連接其他設(shè)備,如服務(wù)器和遠(yuǎn)端主機(jī)等,并與其他設(shè)備進(jìn)行通信。具體的,第一收發(fā)器830,用于遠(yuǎn)端主機(jī)連接開放中繼端口,或者通過開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與遠(yuǎn)端主機(jī)之間建立連接;接收遠(yuǎn)端主機(jī)通過所述連接發(fā)來的第一郵件數(shù)據(jù);還用于如果第一處理器810判斷郵件是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件。優(yōu)選地,第一處理器810具體可以用于:判斷該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。優(yōu)選地,第一處理器810具體可以用于:判斷該封郵件是否是疑似測試郵件之前,判斷該封郵件是否滿足采樣條件;如果不滿足采樣條件,再執(zhí)行所述判斷該封郵件是否是疑似測試郵件的步驟。 第一收發(fā)器830具體可以用于:如果第一處理器810判斷郵件滿足采樣條件,將該封郵件上報(bào)至服務(wù)器。優(yōu)選地,第一處理器810具體可以用于:判斷該封郵件是否是源IP地址在本次連接中的第一封郵件,如果是,則滿足采樣條件;如果不是,判斷該封郵件在本地連接中的序號(hào)是否滿足序號(hào)規(guī)則,如果滿足,則滿足采樣條件,如果不滿足,則不滿足采樣條件。優(yōu)選地,第一收發(fā)器830具體可以用于:將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器;和/或,將建立所述連接時(shí)使用的SMTP命令信息上報(bào)至服務(wù)器。優(yōu)選地,第一處理器810具體可以用于:遠(yuǎn)端主機(jī)通過開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件;不滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄;第一收發(fā)器830具體可以用于:第一處理器810判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī)。 本實(shí)施例中,遠(yuǎn)端主機(jī)連接開放中繼端口,或者通過開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),蜜罐客戶端與遠(yuǎn)端主機(jī)之間建立連接,并通過所述連接接收遠(yuǎn)端主機(jī)發(fā)來的第一郵件數(shù)據(jù),對于第一郵件數(shù)據(jù)包含的每一封郵件,蜜罐客戶端判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;如果不是疑似測試郵件,蜜罐客戶端丟棄該封郵件;從而將疑似測試郵件上報(bào)服務(wù)器,由服務(wù)器將滿足預(yù)設(shè)條件的郵件進(jìn)行轉(zhuǎn)發(fā),保證了蜜罐客戶端對垃圾郵件發(fā)送者的黏性,同時(shí),將不是疑似測試郵件的郵件丟棄,防止蜜罐客戶端被濫用。參見圖9所示,本發(fā)明實(shí)施例還提供一種服務(wù)器,所示服務(wù)器900可以包括:第二處理器910、第二存儲(chǔ)器920、第二收發(fā)器930、第二總線940 ;第二處理器910、第二存儲(chǔ)器920、第二收發(fā)器930通過第二總線940相互連接 ’第二總線840可以是ISA總線、PCI總線或EISA總線等。所述第二總線940可以分為地址總線、數(shù)據(jù)總線、控制總線等。為便于表示,圖9中僅用一條粗線表示,但并不表示僅有一根總線或一種類型的總線。第二存儲(chǔ)器920,用于存放程序。具體地,程序可以包括程序代碼,所述程序代碼包括計(jì)算機(jī)操作指令。第二存儲(chǔ)器920可能包含高速RAM存儲(chǔ)器,也可能還包括非易失性存儲(chǔ)器(non-vo latile memory ),例如至少一個(gè)磁盤存儲(chǔ)器。所述第二處理器910讀取并執(zhí)行第二存儲(chǔ)器920中存儲(chǔ)的所述程序代碼,用于對于第二郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件的類型;第二收發(fā)器930用于連接其他設(shè)備,如服務(wù)器和遠(yuǎn)端主機(jī)等,并與其他設(shè)備進(jìn)行通信。具體的,第二收發(fā)器930,用于接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件;還用于如果第二處理器910判斷郵件為垃圾測試郵件,按照郵件的地址信息轉(zhuǎn)發(fā)該郵件;如果第二處理器910判斷郵件為非測試郵件,不轉(zhuǎn)發(fā)該郵件;如果第二處理器910判斷郵件為反垃圾測試郵件,不轉(zhuǎn)發(fā)該郵件。優(yōu)選地,所述第二處理器910具體可以用于:判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件;如果包括垃圾測試郵件的關(guān)鍵字,判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。優(yōu)選地,所述第二郵件數(shù)據(jù)還可以包括采樣郵件;所述第二處理器910還可以具體用于:判斷該郵件的收件人信息是否滿足收件人條件,如果判斷結(jié)果為否,則該封郵件的類型為非測試郵件;如果判斷結(jié)果為是,再判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字。優(yōu)選地,第二收發(fā)器930用于接收蜜罐客戶端發(fā)來的SMTP命令信息;和/或,接收蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息。第二存儲(chǔ)器920還可以用于:存放蜜罐客戶端上報(bào)的郵件數(shù)據(jù);還可以用于存放蜜罐客戶端上報(bào)的遠(yuǎn)端主機(jī)的連接信息、SMTP命令信息等。本實(shí)施例中,服務(wù)器判斷蜜罐客戶端發(fā)來的郵件的類型,只對垃圾測試郵件進(jìn)行轉(zhuǎn)發(fā),從而保證對垃圾郵件發(fā)送者的黏性;對反垃圾測試郵件也不進(jìn)行轉(zhuǎn)發(fā),從而防止被反垃圾郵件組織或郵件服務(wù)商列入黑名單;對非測試郵件不進(jìn)行轉(zhuǎn)發(fā),從而防止蜜罐客戶端被濫用。本發(fā)明實(shí)施例還提供了一種郵件處理系統(tǒng),該郵件處理系統(tǒng)包括附圖7或附圖9所示的服務(wù)器,以及至少一個(gè)附圖6或附圖8所示的蜜罐客戶端,該系統(tǒng)的結(jié)構(gòu)圖如附圖1所示。其中,郵件處理系統(tǒng)中的蜜罐客戶端用于在遠(yuǎn)端主機(jī)連接所述蜜罐客戶端的開放中繼端口,或者通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與所述遠(yuǎn)端主機(jī)之間建立連接;接收所述遠(yuǎn)端主機(jī)通過所述連接發(fā)來的第一郵件數(shù)據(jù);對于第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;如果不是疑似測試郵件,丟棄該封郵件;其中,郵件處理系統(tǒng)中的服務(wù)器用于接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件;對于第二郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件的類型;如果判斷該封郵件為非測試郵件,不轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為垃圾測試郵件,按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為反垃圾測試郵件,不轉(zhuǎn)發(fā)該封郵件。郵件處理系統(tǒng)中的蜜罐客戶端和服務(wù)器的詳細(xì)工作流程請參照前面各實(shí)施例中的描述,在這里不再重復(fù)。本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明實(shí)施例中的技術(shù)可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明實(shí)施例中的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如R0M/RAM、磁碟、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其,對于系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所述的本發(fā)明實(shí)施方式,并不構(gòu)成對本發(fā)明保護(hù)范圍的限定。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種郵件的處理方法,其特征在于,包括: 蜜罐客戶端在遠(yuǎn)端主機(jī)連接所述蜜罐客戶端的開放中繼端口,或者通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),所述蜜罐客戶端與所述遠(yuǎn)端主機(jī)之間建立連接; 所述蜜罐客戶端接收所述遠(yuǎn)端主機(jī)通過所述連接發(fā)來的第一郵件數(shù)據(jù); 對于第一郵件數(shù)據(jù)包含的每一封郵件,所述蜜罐客戶端判斷該封郵件是否是疑似測試郵件; 如果是疑似測試郵件,所述蜜罐客戶端將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件; 如果不是疑似測試郵件,所述蜜罐客戶端丟棄該封郵件。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述蜜罐客戶端判斷該封郵件是否是疑似測試郵件包括: 所述蜜罐客戶端判斷該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述蜜罐客戶端判斷該封郵件是否是疑似測試郵件之前還包括: 所述蜜罐客戶端判斷該封郵件是否滿足采樣條件; 如果滿足采樣條件,所述蜜罐客戶端將該封郵件上報(bào)至服務(wù)器; 如果不滿足采樣條件,所述蜜罐客戶端再執(zhí)行所述判斷該封郵件是否是疑似測試郵件的步驟。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述蜜罐客戶端判斷該封郵件是否滿足采樣條件包括: 所述蜜罐客戶端判斷該封郵件是否是所述遠(yuǎn)端主機(jī)在本次連接中發(fā)送的第一封郵件,如果是,則滿足采樣條件; 如果不是,所述蜜罐客戶端判斷該封郵件在本地連接中的序號(hào)是否滿足序號(hào)規(guī)則,如果滿足,則滿足采樣條件,如果不滿足,則不滿足采樣條件。
5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法,其特征在于,還包括: 所述蜜罐客戶端將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器;和/或, 所述蜜罐客戶端將建立所述連接時(shí)使用的SMTP命令信息上報(bào)至服務(wù)器。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法,其特征在于,還包括: 所述遠(yuǎn)端主機(jī)通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),所述蜜罐客戶端判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件; 滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī); 不滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄。
7.一種郵件的處理方法,其特征在于,包括: 服務(wù)器接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件; 對于第二郵件數(shù)據(jù)包含的每一封郵件,所述服務(wù)器判斷該封郵件的類型; 如果判斷該封郵件為非測試郵件,所述服務(wù)器不轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為垃圾測試郵件,所述服務(wù)器按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件; 如果判斷該封郵件為反垃圾測試郵件,所述服務(wù)器不轉(zhuǎn)發(fā)該封郵件。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述服務(wù)器判斷該封郵件的類型包括: 所述服務(wù)器判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件; 如果包括垃圾測試郵件的關(guān)鍵字,所述服務(wù)器判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,如果所述第二郵件數(shù)據(jù)還包括采樣郵件;所述服務(wù)器判斷該封郵件的類型之前,還包括: 所述服務(wù)器判斷該郵件的收件人信息是否滿足收件人條件,如果判斷結(jié)果為否,則該封郵件的類型為非測試郵件; 如果判斷結(jié)果為是,所述服務(wù)器再執(zhí)行所述判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字的步驟。
10.根據(jù)權(quán)利要求7至9任一項(xiàng)所述的方法,其特征在于,還包括: 所述服務(wù)器存儲(chǔ)蜜罐客戶端發(fā)來的郵件數(shù)據(jù);和/或, 所述服務(wù)器接收并存儲(chǔ)蜜罐客戶端發(fā)來的SMTP命令信息;和/或, 所述服務(wù)器接收并存儲(chǔ)蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息。
11.一種蜜罐客戶端,其特征在于,包括: 連接建立單元,用于遠(yuǎn)端主機(jī)連接所述蜜罐客戶端的開放中繼端口,或者通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與所述遠(yuǎn)端主機(jī)之間建立連接; 第一接收單元,用于接收所述遠(yuǎn)端主機(jī)通過所述連接建立單元建立的所述連接發(fā)來的第一郵件數(shù)據(jù); 第一判斷單元,用于對于所述第一接收單元接收的第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是疑似測試郵件; 上報(bào)單元,用于如果所述第一判斷單元判斷郵件是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件; 丟棄單元,用于如果所述第一判斷單元判斷郵件不是疑似測試郵件,丟棄該封郵件。
12.根據(jù)權(quán)利要求11所述的蜜罐客戶端,其特征在于,所述第一判斷單元具體用于: 判斷該郵件的收件人信息是否滿足收件人條件,判斷結(jié)果為是時(shí),該封郵件是疑似測試郵件;否則,該封郵件不是疑似測試郵件。
13.根據(jù)權(quán)利要求11或12所述的蜜罐客戶端,其特征在于,所述第一判斷單元還用于:對于第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否滿足采樣條件;如果不滿足采樣條件,再執(zhí)行所述判斷該封郵件是否是疑似測試郵件的步驟; 所述上報(bào)單元還用于:如果第一判斷單元判斷郵件滿足采樣條件,將該封郵件上報(bào)至服務(wù)器。
14.根據(jù)權(quán)利要求13所述的蜜罐客戶端,其特征在于,所述第一判斷單元具體用于通過以下方式判斷該封郵件是否滿足采樣條件:判斷該封郵件是否是所述遠(yuǎn)端主機(jī)在本次連接中的第一封郵件,如果是,則滿足采樣條件;如果不是,判斷該封郵件在本地連接中的序號(hào)是否滿足序號(hào)規(guī)則,如果滿足,則滿足采樣條件,如果不滿足,則不滿足采樣條件。
15.根據(jù)權(quán)利要求11至14任一項(xiàng)所述的蜜罐客戶端,其特征在于,所述上報(bào)單元還用于: 將遠(yuǎn)端主機(jī)連接開放中繼端口或者開放代理端口的連接信息上報(bào)至服務(wù)器;和/或, 將建立所述連接時(shí)使用的SMTP命令信息上報(bào)至服務(wù)器。
16.根據(jù)權(quán)利要求11至15任一項(xiàng)所述的蜜罐客戶端,其特征在于,所述第一判斷單元還用于: 遠(yuǎn)端主機(jī)通過所述蜜罐客戶端的開放代理端口連接的目標(biāo)主機(jī)端口不是SMTP端口時(shí),判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)是否滿足轉(zhuǎn)發(fā)條件; 該蜜罐客戶端還包括: 第一轉(zhuǎn)發(fā)單元,用于所述第一判斷單元判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)轉(zhuǎn)發(fā)至目標(biāo)主機(jī); 所述丟棄單元還用于:所述第一判斷單元判斷遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)不滿足轉(zhuǎn)發(fā)條件時(shí),將遠(yuǎn)端主機(jī)發(fā)來的數(shù)據(jù)丟棄。
17.一種服務(wù)器,其特征在于 ,包括: 第二接收單元,用于接收蜜罐客戶端發(fā)來的第二郵件數(shù)據(jù);所述第二郵件數(shù)據(jù)包括疑似測試郵件; 第二判斷單元,用于對于所述第二接收單元接收的第二郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件的類型; 郵件處理單元,用于如果所述第二判斷單元判斷該封郵件為非測試郵件,不轉(zhuǎn)發(fā)該封郵件;如果判斷該封郵件為反垃圾測試郵件,不轉(zhuǎn)發(fā)該封郵件; 第二轉(zhuǎn)發(fā)單元,用于如果所述第二判斷單元判斷該封郵件為垃圾測試郵件,按照該封郵件的地址信息轉(zhuǎn)發(fā)該封郵件。
18.根據(jù)權(quán)利要求17所述的服務(wù)器,其特征在于,所述第二判斷單元具體用于: 判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字,如果不包括垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為非測試郵件; 如果包括垃圾測試郵件的關(guān)鍵字,判斷該封郵件中是否包括反垃圾測試郵件的關(guān)鍵字,如果不包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為垃圾測試郵件;如果包括反垃圾測試郵件的關(guān)鍵字,則該封郵件的類型為反垃圾測試郵件。
19.根據(jù)權(quán)利要求18所述的服務(wù)器,其特征在于,如果所述第二郵件數(shù)據(jù)還包括采樣郵件;所述第二判斷單元還具體用于: 判斷該郵件的收件人信息是否滿足收件人條件,如果判斷結(jié)果為否,則該封郵件的類型為非測試郵件; 如果判斷結(jié)果為是,再判斷該封郵件中是否包括垃圾測試郵件的關(guān)鍵字。
20.根據(jù)權(quán)利要求17至19任一項(xiàng)所述的服務(wù)器,其特征在于,還包括: 所述第二接收單元還用于:接收蜜罐客戶端發(fā)來的SMTP命令信息;和/或,接收蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息;存儲(chǔ)單元,用于存儲(chǔ)蜜罐客戶端發(fā)來的郵件數(shù)據(jù);和/或,存儲(chǔ)蜜罐客戶端發(fā)來的SMTP命令信息;和/或,存儲(chǔ)蜜罐客戶端發(fā)來的遠(yuǎn)端主機(jī)的連接信息。
21.一種郵件處理系統(tǒng),其特征在于,包括如權(quán)利要求11至16任一所述的蜜罐客戶端和如權(quán)利要求17至20任一所述的服務(wù)器。
全文摘要
本發(fā)明實(shí)施例公開了一種郵件的處理方法及裝置,該方法包括遠(yuǎn)端主機(jī)連接開放中繼端口,或者通過開放代理端口連接的目標(biāo)主機(jī)端口是SMTP端口時(shí),與遠(yuǎn)端主機(jī)之間建立連接;接收遠(yuǎn)端主機(jī)通過所述連接發(fā)來的第一郵件數(shù)據(jù);對于第一郵件數(shù)據(jù)包含的每一封郵件,判斷該封郵件是否是疑似測試郵件;如果是疑似測試郵件,將該封郵件上報(bào)至服務(wù)器,以便服務(wù)器在滿足預(yù)設(shè)條件的情況下轉(zhuǎn)發(fā)該郵件;如果不是疑似測試郵件,丟棄該封郵件。本發(fā)明能夠保證對垃圾郵件發(fā)送者的黏性,且防止郵件蜜罐被濫用。
文檔編號(hào)H04L29/06GK103078753SQ20121058043
公開日2013年5月1日 申請日期2012年12月27日 優(yōu)先權(quán)日2012年12月27日
發(fā)明者孫靈峰, 諸葛建偉, 郭軍權(quán) 申請人:華為技術(shù)有限公司