垃圾邮件处理方法、装置、系统和计算机可读存储介质与流程

本公开涉及网络信息安全技术领域，特别涉及一种垃圾邮件处理方法、垃圾邮件处理装置、垃圾邮件处理系统和计算机可读存储介质。

背景技术：

随着互联网技术的发展，垃圾邮件已经成为一个严重问题。大量无用、甚至有害的邮件在网络传播，不仅消耗了大量的网络资源，而且还会威胁到邮件系统用户信息的安全。垃圾邮件对邮件服务器本身也提出了严峻的挑战。

相关技术通常在邮件接收端对垃圾邮件进行防御。

技术实现要素：

本公开的发明人发现上述相关技术中存在如下问题：相关技术需要在每个邮件接收服务器上单独设置相应的反垃圾邮件策略，导致处理垃圾邮件的成本高、效率低。针对上述问题，本公开提出了一种垃圾邮件处理技术方案，能够降低处理垃圾邮件的成本，提高处理效率。

根据本公开的一些实施例，提供了一种垃圾邮件处理方法，包括：截获发送端服务器发出的mx(mailexchanger，邮件交换)记录查询请求；解析所述mx记录查询请求，获取发送端服务器的ip地址；将所述发送端服务器的ip地址与黑名单数据库中的ip地址进行比较；响应于所述发送端服务器的ip地址在所述黑名单数据库中，将蜜罐服务器的ip地址作为所述mx记录查询请求的响应返回所述发送端服务器。

可选地，将所述mx记录查询请求转发给dns(domainnamesystem，域名系统)服务器，截获所述dns服务器返回的接收端服务器的ip地址。

可选地，响应于所述发送端服务器的ip地址不在所述黑名单数据库中，将所述接收端服务器的ip地址作为所述mx记录查询请求的响应返回所述发送端服务器。

可选地，所述蜜罐服务器对所述发送端服务器发来的邮件进行安全威胁分析。

根据本公开的另一些实施例，提供一种垃圾邮件处理装置，包括：查询请求截获模块，用于截获发送端服务器发出的mx记录查询请求；查询请求解析模块，用于解析所述mx记录查询请求，获取发送端服务器的ip地址；ip地址比较模块，用于将所述发送端服务器的ip地址与黑名单数据库中的ip地址进行比较；ip地址返回模块，用于响应于所述发送端服务器的ip地址在所述黑名单数据库中，将蜜罐服务器的ip地址作为所述mx记录查询请求的响应返回所述发送端服务器。

可选地，查询请求转发模块，用于将所述mx记录查询请求转发给dns服务器，截获所述dns服务器返回的接收端服务器的ip地址。

可选地，所述ip地址返回模块响应于所述发送端服务器的ip地址不在所述黑名单数据库中，将所述接收端服务器的ip地址作为所述mx记录查询请求的响应返回所述发送端服务器。

可选地，所述蜜罐服务器对所述发送端服务器发来的邮件进行安全威胁分析。

根据本公开的又一些实施例，提供一种垃圾邮件处理系统，包括：黑名单数据库，用于存储发送过垃圾邮件的服务器的ip地址；蜜罐服务器，用于接收垃圾邮件；和上述任一个实施例所述的垃圾邮件处理装置。

根据本公开的再一些实施例，提供一种垃圾邮件处理装置，包括：存储器；和耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器装置中的指令，执行上述任一个实施例所述的垃圾邮件处理方法。

根据本公开的再一些实施例，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一个实施例所述的垃圾邮件处理方法。

在上述实施例中，通过截获并解析邮件发送端服务器的mx记录查询请求，利用黑名单数据库识别垃圾邮件服务器，并结合蜜罐技术阻断或重新定向垃圾邮件。这样就可以在网络侧对垃圾邮件进行统一处理，从而降低了垃圾邮件的处理成本，提高了处理效率。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：

图1示出本公开的垃圾邮件处理方法的一些实施例的流程图；

图2示出本公开的垃圾邮件处理方法的另一些实施例的流程图；

图3示出本公开的垃圾邮件处理装置的一些实施例的框图；

图4示出本公开的垃圾邮件处理装置的另一些实施例的框图；

图5示出本公开的垃圾邮件处理装置的另一些实施例的框图；

图6示出本公开的垃圾邮件处理系统的一些实施例的框图；

图7示出本公开的垃圾邮件处理系统的数据交互过程的一些实施例的框图。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

邮件客户端在发送电子邮件时，首先要发送到发送端服务器。发送端服务器通过mx记录，并根据目的邮箱的地址(如地址后缀)查询dns服务器中的mx记录，从而得到收件人的接收端服务器ip地址或主机名。如果mx记录中记录的是接收端服务器ip地址，发送端服务器将邮件直接发送到对应ip的接收端服务器。如果mx记录中记录的是接收端服务器的主机名，发送端服务器进一步查询dns系统的a记录(主机记录，用于记录域名和ip地址的对应关系)，得到接收端服务器的ip地址后再发送邮件。

因此，本公开的发明人发现可以通过截获发送端服务器的mx记录查询请求获取发送端服务器的ip地址，从而判断该发送端服务器是否为垃圾邮件发送服务器。这样就无需在每个邮件接收端设置垃圾邮件处理策略，在网络侧就可以统一对垃圾邮件进行相应处理，从而提高处理效率、降低处理成本。具体可以通过图1中流程处理垃圾邮件。

图1示出本公开的垃圾邮件处理方法的一些实施例的流程图。

如图1所示，该方法包括：步骤110，截获mx记录查询请求；步骤120，获取发送端服务器的ip地址；步骤130，与黑名单数据库进行比较；步骤140，返回mx记录查询请求响应。

在步骤110中，截获发送端服务器发出的mx记录查询请求。例如，可以截获发送端服务器发给dns服务器的所有报文。如果该报文是mx记录查询请求，则对其进行解析；如果该报文不是mx记录查询请求，则将其转发给dns服务器

在步骤120中，解析mx记录查询请求，获取发送端服务器的ip地址。例如，可以从截获的mx记录查询请求中提取报文源ip从而获取发送端服务器的ip地址。

在步骤130中，将发送端服务器的ip地址与黑名单数据库中的ip地址进行比较。黑名单数据库可以根据国内外垃圾邮件库收集的信息建立。

在步骤140中，响应于发送端服务器的ip地址在黑名单数据库中，将蜜罐服务器的ip地址作为mx记录查询请求的响应返回发送端服务器。蜜罐服务器是蜜罐技术的重要组成部分，蜜罐服务器可以是布置在网络侧的作为诱饵的主机，诱使攻击方对其实施攻击。然后蜜罐服务器就可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机。这种蜜罐技术能够让防御方清晰地了解面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

在一些实施例中，可以根据发送端服务器的ip地址是否在黑名单数据库中，针对mx记录查询请求生成不同的响应。具体可以通过图2中的流程实现。

图2示出本公开的垃圾邮件处理方法的另一些实施例的流程图。

如图2所示，通过上面实施例中的步骤110-步骤130可以判断发送端服务器的ip地址是否在黑名单数据库中(即将发送端服务器的ip地址与黑名单数据库中的ip地址进行比较)。

如果发送端服务器的ip地址在黑名单数据库中，则构造mx查询请求的响应报文，并将响应报文中接收端服务器的ip地址设置为蜜罐服务器的ip地址(步骤1401)。

如果发送端服务器的ip地址不在黑名单数据库中，则执行步骤131。

在步骤131中，将mx记录查询请求转发给dns服务器。例如，dns服务器对mx记录查询请求进行域名解析生成响应报文，响应报文中包含接收端服务器的ip地址。

在步骤132中，截获dns服务器返回的接收端服务器的ip地址。

在步骤1402中，将dns服务器生成的响应报文(包含接收端服务器的ip地址)返回发送端服务器。

通过步骤131和步骤132可以在发送端服务器和dns服务器之间形成一个域名解析代理，即发送端服务器和dns服务器之间不进行直接数据交互，而是通过域名解析代理进行数据交互。这样就可以根据发送端服务器是否为垃圾邮件发送服务器，来确定是否将接收端服务器的ip地址返回发送端服务器，从而来防御垃圾邮件。

在另一些实施例中，也可以在步骤130之前执行步骤131-132获取接收端服务器的ip地址，然后根据步骤130的判断结果决定是否将接收端服务器的ip地址返回发送端服务器。例如，如果发送端服务器的ip地址在黑名单数据库中，则可以将截获的响应报文中接收端服务器的ip地址设置为蜜罐服务器的ip地址(步骤1401)。否则，可以将dns服务器返回的报文响应直接转发给发送端服务器(步骤1402)。这样既保证了正常邮件的发送，又处理了垃圾邮件。

上述实施例中，通过截获并解析邮件发送端服务器的mx记录查询请求，利用黑名单数据库识别垃圾邮件服务器，并结合蜜罐技术阻断或重新定向垃圾邮件。这样就可以在网络侧对垃圾邮件进行统一处理，从而降低了垃圾邮件的处理成本，提高了处理效率。

图3示出本公开的垃圾邮件处理装置的一些实施例的框图。

如图3所示，垃圾邮件处理装置3包括查询请求截获模块31、查询请求解析模块32、ip地址比较模块33和ip地址返回模块34。

查询请求截获模块31截获发送端服务器发出的mx记录查询请求。查询请求解析模块32解析mx记录查询请求，获取发送端服务器的ip地址。ip地址比较模块33将发送端服务器的ip地址与黑名单数据库中的ip地址进行比较。ip地址返回模块34响应于发送端服务器的ip地址在黑名单数据库中，将蜜罐服务器的ip地址作为mx记录查询请求的响应返回发送端服务器。蜜罐服务器可以对发送端服务器发来的邮件进行安全威胁分析。

在一些实施例中，垃圾邮件处理装置还可以包括查询请求转发模块，具体如图4所示。

图4示出本公开的垃圾邮件处理装置的另一些实施例的框图。

如图4所示，垃圾邮件处理装置4包括查询请求截获模块31、查询请求解析模块32、ip地址比较模块33、ip地址返回模块34和查询请求转发模块45。

查询请求转发模块45将mx记录查询请求转发给dns服务器，截获dns服务器返回的接收端服务器的ip地址。

ip地址返回模块34响应于发送端服务器的ip地址不在黑名单数据库中，将接收端服务器的ip地址作为mx记录查询请求的响应返回所述发送端服务器。

上述实施例中，通过截获并解析邮件发送端服务器的mx记录查询请求，利用黑名单数据库识别垃圾邮件服务器，并结合蜜罐技术阻断或重新定向垃圾邮件。这样就可以在网络侧对垃圾邮件进行统一处理，从而降低了垃圾邮件的处理成本，提高了处理效率。

图5示出本公开的垃圾邮件处理装置的另一些实施例的框图。

如图5所示，该实施例的垃圾邮件处理装置5包括：存储器51和耦接至该存储器51的处理器52，处理器52被配置为基于存储在存储器51中的指令，执行本公开中任意一些实施例中的垃圾邮件处理方法。

存储器51例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(bootloader)、数据库以及其他程序等。

图6示出本公开的垃圾邮件处理系统的一些实施例的框图。

如图6所示，垃圾邮件处理系统6包括黑名单数据库61、蜜罐服务器62和垃圾邮件处理装置63。

黑名单数据库61存储发送过垃圾邮件的服务器的ip地址。蜜罐服务器62接收垃圾邮件。垃圾邮件处理装置63为上述任一个实施例中的垃圾邮件处理装置。

图7示出本公开的垃圾邮件处理系统的数据交互过程的一些实施例的框图。

如图7所示，邮件客户端71通过发送端服务器72向dns服务器75发起mx记录查询请求。垃圾邮件处理装置73截获mx记录查询请求，同时将mx记录查询请求转发给dns服务器75。dns服务器75通过域名解析获取接收端服务器77的ip地址或主机名，并生成mx记录查询请求的响应报文。垃圾邮件处理装置73截获响应报文，从mx记录查询请求中提取发送端服务器72的ip地址，并判断发送端服务器72的ip地址是否在黑名单数据库74中。

如果ip地址在黑名单数据库74中，则垃圾邮件处理装置73将响应报文中的接收端服务器77的ip地址或主机名设置为蜜罐服务器76的ip地址或主机名，并将该响应报文返回发送端服务器72。发送端服务器72根据响应报文将邮件发送到蜜罐服务器76。蜜罐服务器76对接收来的邮件进行分析。

如果ip地址不在黑名单数据库74中，则垃圾邮件处理装置73将响应报文直接返回发送端服务器72。发送端服务器72根据响应报文将邮件发送给接收端服务器77，接收端服务器77将邮件发送给邮件客户端78，从而完成邮件传输。

上述实施例中，通过截获并解析邮件发送端服务器的mx记录查询请求，利用黑名单数据库识别垃圾邮件服务器，并结合蜜罐技术阻断或重新定向垃圾邮件。这样就可以在网络侧对垃圾邮件进行统一处理，从而降低了垃圾邮件的处理成本，提高了处理效率。

本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

至此，已经详细描述了根据本公开的垃圾邮件处理方法、装置、系统和计算机可读存储介质。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

可能以许多方式来实现本公开的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。

虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改。本公开的范围由所附权利要求来限定。