[发明专利]一种邮件的处理方法、装置和系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种邮件的处理方法、蜜罐客户端、服务器及邮件处理系统。

背景技术

垃圾邮件（Spam）是描述未被请求的电子邮件的通用术语。黑名单技术的广泛应用，使得垃圾邮件发送者（Spammer）倾向于通过使用开放中继（Open Relay）或开放代理（Open Proxy），来伪造垃圾邮件的发件人和隐藏垃圾邮件发送者真实的源IP地址信息，千方百计地改变垃圾邮件的特征，突破邮件过滤技术的拦截和逃避追踪。

开放中继是无需对邮件发送者的信息进行认证，就可以进行邮件中继转发的简单邮件传输协议（Simple Mail Transfer Protocol，简称：SMTP）服务。垃圾邮件发送者可以通过开放中继随意的伪装发件人和隐藏收件人信息，以达到迷惑邮件用户、逃避追踪的目的。开放代理是无需用户认证就可以进行数据转发的代理服务，使用开放代理可以隐藏邮件的源IP地址信息。经过分析发现，通过开放中继和开放代理发送的邮件基本都是垃圾邮件。

理解垃圾邮件发送者的行为特征（Spammer behavior）是与垃圾邮件做长期斗争的关键一步。如何收集大量的垃圾邮件，是研究垃圾邮件发送者行为的首要任务。传统的垃圾邮件搜集方法摆脱不了防御技术所固有的被动性缺陷，而邮件蜜罐技术以其主动防御特性受到越来越多的关注。所谓蜜罐，是一种资源，它的价值是被攻击或攻陷。邮件蜜罐技术是指设置邮件蜜罐，来诱使垃圾邮件发送者使用邮件蜜罐进行垃圾邮件的转发，从而捕获垃圾邮件的技术。使用邮件蜜罐的方法可以收集到最新的垃圾邮件样本，记录垃圾邮件发送者的行为特征，以及定位垃圾邮件发送者的源IP地址信息，同时还可以消耗垃圾邮件发送者的时间和资源。

目前的垃圾邮件蜜罐都是基于单一的SMTP的垃圾邮件蜜罐，即开放中继邮件蜜罐。开放中继邮件蜜罐对垃圾邮件进行获取的方法主要包括：监听传输控制协议（Transmission Control Protocol，简称：TCP）的25端口，当垃圾邮件发送者通过远端主机连接开放中继邮件蜜罐时，将垃圾邮件发送者发来的垃圾邮件保存在本地，并且，将所述垃圾邮件数据全部转发或全部丢弃。

但是，将垃圾邮件发送者通过远端主机发来的垃圾邮件全部丢弃，会造成开放中继邮件蜜罐对垃圾邮件发送者的黏性降低；而如果将垃圾邮件全部转发，则会造成开放中继邮件蜜罐被滥用。

发明内容

本发明实施例中提供了一种邮件的处理方法及装置，能够保证对垃圾邮件发送者的黏性，且防止邮件蜜罐被滥用。

第一方面，本发明实施例提供一种邮件的处理方法，包括：

蜜罐客户端在远端主机连接所述蜜罐客户端的开放中继端口，或者通过所述蜜罐客户端的开放代理端口连接的目标主机端口是SMTP端口时，所述蜜罐客户端与所述远端主机之间建立连接；

所述蜜罐客户端接收所述远端主机通过所述连接发来的第一邮件数据；

对于第一邮件数据包含的每一封邮件，所述蜜罐客户端判断该封邮件是否是疑似测试邮件；

如果是疑似测试邮件，所述蜜罐客户端将该封邮件上报至服务器，以便服务器在满足预设条件的情况下转发该邮件；

如果不是疑似测试邮件，所述蜜罐客户端丢弃该封邮件。

结合上述第一方面，在第一方面的第一种可能的实现方式中，所述蜜罐客户端判断该封邮件是否是疑似测试邮件包括：

所述蜜罐客户端判断该邮件的收件人信息是否满足收件人条件，判断结果为是时，该封邮件是疑似测试邮件；否则，该封邮件不是疑似测试邮件。

结合上述第一方面，和/或，第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述蜜罐客户端判断该封邮件是否是疑似测试邮件之前还包括：

所述蜜罐客户端判断该封邮件是否满足采样条件；

如果满足采样条件，所述蜜罐客户端将该封邮件上报至服务器；

如果不满足采样条件，所述蜜罐客户端再执行所述判断该封邮件是否是疑似测试邮件的步骤。

结合上述第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述蜜罐客户端判断该封邮件是否满足采样条件包括：

所述蜜罐客户端判断该封邮件是否是所述远端主机在本次连接中发送的第一封邮件，如果是，则满足采样条件；

如果不是，所述蜜罐客户端判断该封邮件在本地连接中的序号是否满足序号规则，如果满足，则满足采样条件，如果不满足，则不满足采样条件。