[发明专利]一种伪造邮件检测的方法与系统

说明书

技术领域

本发明涉及电子邮件技术领域，尤其涉及一种伪造邮件检测的方法与系统。

背景技术

当今世界电子邮件已经成为最常用的网络交流方式之一，几乎每个网络用户有一个电子邮件账户，越来越多的公司和个人告别传统的邮件通信方式而使用电子邮件和及时通讯软件进行通信。

不幸的是尽管电子邮件在商业、个人领域的渗透力不断增强，但是电子邮件的威胁、脆弱性仍然没有引起人们足够的重视，大部分用户在接收邮件时仍然面临很大的安全风险，例如，若未对发件方的身份信息进行识别，当恶意用户通过假冒发件服务器的域名发送伪造电子邮件时，会对正常用户产生负面影响。

随着电子邮件被更多的企业使用，针对假冒发件方身份信息发送伪造电子邮件问题，已经成为亟待解决的问题。

发明内容

本发明实施例提供了一种伪造邮件检测的方法与系统，用于伪造邮件检测。

本发明实施例第一方面提供了一种伪造邮件检测的方法，可包括：

获取目标电子邮件的传输协议数据；

从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息；

检测所述发件方的身份信息是否存在伪造，若存在伪造，则确定所述目标电子邮件为伪造邮件。

结合第一方面，在第一方面的第一种可能的实现方式中，所述目标电子邮件的发件方的身份信息，包括：

所述目标电子邮件的发件服务器的域名，和/或所述目标电子邮件的发件人邮箱的顶级域名。

结合第一方面，第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述检测所述发件服务器的发件方的身份信息是否存在伪造，包括：

校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致，若不一致，则确定所述发件方的身份信息存在伪造。

结合第一方面，第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述检测所述发件服务器的域名是否存在伪造，包括：

根据所述目标电子邮件的发件服务器的域名解析所述发件服务器的第一IP；

从所述传输协议数据中识别所述发件服务器的第二IP，所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP；

校验所述第二IP是否与所述第一IP一致，若不一致，则确定所述发件方的身份信息存在伪造。

结合第一方面，第一方面的第一种可能的实现方式，第一方面的第二种可能的实现方式，第一方面的第三种可能的实现方式中任一种可能的实现方式，在第一方面的第四种可能的实现方式中，在确定所述目标电子邮件为伪造邮件之后，该方法还包括：

对所述目标电子邮件进行标记，以指示所述目标电子邮件为伪造邮件。

结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，在检测所述发件服务器的域名是否存在伪造之前，该方法还包括：

校验所述第二IP是否与恶意邮件信誉库中的任一恶意IP匹配，若存在匹配，则确定所述目标电子邮件为伪造邮件。

本发明实施例第二方面提供了一种伪造邮件检测系统，可包括：

邮件协议识别模块，用于获取目标电子邮件的传输协议数据；

邮件解析模块，用于从所述传输协议数据中识别所述目标电子邮件的发件方的身份信息；

邮件检测模块，用于检测所述发件服务器的发件方的身份信息是否存在伪造，若存在伪造，则确定所述目标电子邮件为伪造邮件。

结合第二方面，在第二方面的第一种可能的实现方式中，所述邮件检测模块，包括：

第一校验单元，用于校验所述发件人邮箱的顶级域名是否与所述发件服务器的域名一致，若不一致，则确定所述发件方的身份信息存在伪造。

结合第二方面，在第二方面的第二种可能的实现方式中，所述邮件检测模块，包括：

解析单元，用于根据所述目标电子邮件的发件服务器的域名解析所述发件服务器的第一IP；

第二识别单元，用于从所述传输协议数据中识别所述发件服务器的第二IP，所述第二IP为所述传输协议数据中记录的所述发件服务器的真实IP；

第二校验单元，用于校验所述第二IP是否与所述第一IP一致，若不一致，则确定所述发件方的身份信息存在伪造。

结合第二方面，第二方面的第一种可能的实现方式，第二方面的第二种可能的实现方式中任一种可能的实现方式，在第二方面的第三种可能的实现方式中，该系统还包括：

标记模块，用于对所述目标电子邮件进行标记，以指示所述目标电子邮件为伪造邮件。