[发明专利]一种伪造邮件检测的方法与系统

权利要求书

1.一种伪造邮件检测的方法，其特征在于，包括：

获取目标电子邮件的传输协议数据；

从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息；

检测所述发件方的身份信息是否存在伪造，若存在伪造，则确定所述目标电子邮件为伪造邮件。

2.根据权利要求1所述的方法，其特征在于，所述目标电子邮件的发件方的身份信息，包括：

所述目标电子邮件的发件服务器的域名，和/或所述目标电子邮件的发件人邮箱的顶级域名。

3.根据权利要求2所述的方法，其特征在于，所述检测所述发件方的身份信息是否存在伪造，包括：

校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致，若不一致，则确定所述发件方的身份信息存在伪造。

4.根据权利要求2所述的方法，其特征在于，所述检测所述发件方的身份信息是否存在伪造，包括：

根据所述目标电子邮件的发件服务器的域名解析得到对应服务器的第一IP；

从所述传输协议数据中识别所述发件服务器的第二IP，所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP；

校验所述第二IP是否与所述第一IP一致，若不一致，则确定所述发件方的身份信息存在伪造。

5.根据权利要求1至4中任一项所述的方法，其特征在于，在确定所述目标电子邮件为伪造邮件之后，还包括：

对所述目标电子邮件进行标记，以指示所述目标电子邮件为伪造邮件。

6.根据权利要求5所述的方法，其特征在于，在检测所述发件服务器的域名是否存在伪造之前，还包括：

校验所述第二IP是否与恶意邮件信誉库中的任一恶意IP匹配，若存在匹配，则确定所述目标电子邮件为伪造邮件。

7.一种伪造邮件检测系统，其特征在于，包括：

邮件协议识别模块，用于获取目标电子邮件的传输协议数据；

邮件解析模块，用于从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息；

邮件检测模块，用于检测所述发件方的身份信息是否存在伪造，若存在伪造，则确定所述目标电子邮件为伪造邮件。

8.根据权利要求7所述的系统，其特征在于，所述邮件检测模块，包括：

第一校验单元，用于校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致，若不一致，则确定所述发件方的身份信息存在伪造。

9.根据权利要求7所述的系统，其特征在于，所述邮件检测模块，包括：

解析单元，用于根据所述目标电子邮件的发件服务器的域名解析所述发件服务器的第一IP；

第二识别单元，用于从所述传输协议数据中识别所述发件服务器的第二IP，所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP；

第二校验单元，用于校验所述第二IP是否与所述第一IP一致，若不一致，则确定所述发件方的身份信息存在伪造。

10.根据权利要求7至9中任一项所述的系统，其特征在于，还包括：

标记模块，用于对所述目标电子邮件进行标记，以指示所述目标电子邮件为伪造邮件。

11.根据权利要求10所述的系统，其特征在于，还包括：

恶意邮件信誉库，用于记录恶意IP；

校验模块，用于校验所述第二IP是否与所述恶意邮件信誉库中的任一恶意IP匹配，若存在匹配，则确定所述目标电子邮件为伪造邮件。