[发明专利]广域网中垃圾邮件主机检测的方法和系统

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种在广域网中检测垃圾邮件主机的方法和系统。

背景技术

垃圾邮件一般指的是大量未经用户许可，但却被强行塞入用户邮箱的电子邮件。垃圾邮件的常见内容包括：赚钱信息、成人广告、商业或个人网站广告、电子杂志、连环信等。垃圾邮件一般具有以下特性：同一内容多次重复发送；同一发件人特定时间段非正常通讯；不合法的地址；来自国际公开RBL列表的IP请求。日益泛滥的垃圾邮件不仅会给电子邮件用户带来许多困扰，还会极大占用带宽服务器资源，给社会经济带来巨大损失。

目前反垃圾邮件技术研究主要分为三个大方向：一是修改现有的SMTP协议，制定一个新的安全可靠邮件协议，让垃圾邮件没有“生存的环境”；二是使垃圾邮件发送者承受“巨大的成本”，以使通过电子邮件渠道来大量发送广告信息在经济利益上不合算，来减少垃圾邮件；三是是根据邮件的格式，发送时间，文件大小，内容以及其它特性，来识别该邮件是否为垃圾邮件，如果是，则把垃圾邮件过滤掉。由于前两种方法应用较为复杂，实施难度大，而第三种方法相对简单易行，所以目前反垃圾邮件技术大都属于第三种检测过滤方法。

黑/白名单方法是一个简单有效最常用的检测过滤方法。黑名单(Black List)和白名单(White List)分别是已知的垃圾邮件发送者和可信任的发送者的IP地址、邮件地址或域名。“黑名单”的方法立足于排除，服务器拒绝来自黑名单地址的邮件。“白名单”的方法是包含，它主要用来确认合法的电子邮件来源减少黑名单排除失误的情况。目前在黑名单技术上最流行的是实时黑名单(Real-time Blackhole List，简称RBL)技术。它通过检查所有收到邮件的IP地址，与在RBL中的IP地址核对来阻断与垃圾邮件的连接。

黑/白名单过滤技术简单，系统资源消耗小，易于实施，但是RBL的维护需要耗费相当大的时间和精力，而且由于垃圾邮件发送者在不断更换他的域名和地址，为了让该技术实时有效，RBL也得不断的更新升级，这就又给RBL的管理增加了很大的难度。

发明内容

为此本发明要解决的一个技术问题是提供一种在广域网中检测垃圾邮件发送主机，并能够不断升级垃圾邮件发送主机列表的方法和系统。

为解决上述问题，本发明提供了一种在广域网中，通过统计DNS MX查询记录，检测垃圾邮件主机，并不断升级垃圾邮件发送主机列表的方法和系统。DNS MX记录是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。本发明提供的广域网内垃圾邮件主机检测方法具体处理步骤如下：

1监测网内主机所进行的DNS MX查询，获得如下信息：查询时间，查询主机IP，查询域名，是否返回NXDOMAIN(所查询域名不存在)；

2对查询记录进行统计分析，获得如下信息：查询主机IP，查询域名数，返回NXDOMAIN的次数。

3对查询域名数大于等于2的主机(称为目标主机)进行排查。发送DNS MX查询多个域名的机器可以分为下几种：

类1：DNS服务器

类2：SMTP服务器。

类3：使用多个E-mail账户的正常用户

类4：异常垃圾邮件主机

具体排查流程参见附图1。

1)向目标主机发送DNS查询请求，检查其响应情况，判断其是否为一台DNS服务器。若为DNS服务器，在目标主机列表中，将其标识为DNS服务器。否则，进行下一步判断。

2)探测目标主机是否开启SMTP服务。若开启了SMTP服务，在目标主机列表中，将其标识为SMTP服务器，否则标识为可疑主机。

3)对于可疑主机，按照返回NXDOMAIN的次数(可疑度)降序排序。排名越高，其作为垃圾邮件主机的概率越大。

附图说明

图1为本发明提供垃圾邮件主机检测方法的流程示意图；

图2为本发明实施例中垃圾邮件主机检测系统的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步地详细描述。

本发明广域网垃圾邮件主机检测的方法和系统包含若干DNS MX监测点和一个垃圾邮件主机排查子系统。