[发明专利]仿冒邮件检测方法、装置及设备

说明书

本发明提供了一种仿冒邮件检测方法、装置及设备，属于信息安全技术领域。本发明实施例提供的仿冒邮件检测方法、装置及设备，通过提取待接收邮件的发件人信息，然后查找邮件别名信息库中是否存在与发件人信息匹配的邮件别名信息条目，如果存在，则可以认为该待接收邮件为安全邮件，接收待接收邮件，如果不存在，根据比对结果发出相应的告警信息，提示用户着重判断该待接收邮件的安全性，并警惕该待接收邮件是否为仿冒邮件，从而保证快速、准确的识别仿冒邮件，保护企业及政府敏感信息和敏感文件，提高邮箱使用的安全性。

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种仿冒邮件检测方法、装置及设备。

背景技术

众所周知邮件系统在日常办公中有着不可或缺的地位，尽管出现了微信、OA等其他的沟通交流方式，但是依然取代不了个人、企业、政府等用户将邮箱系统作为通讯、传输文件工具的重要地位。

邮箱别名可以允许将多个名字映射到同一个邮箱用户名，一同使用。如：您的邮箱名字是ABC@xxx.com，如果需要针对不同客户，使用不同的别名发邮件，则可以将别名设置为ABC001@xxx.com、ABC002@xxx.com等，发件人使用任何一个邮箱别名发送邮件，收件人均可以收到，收件人也会看到发件人是用哪个别名发送邮件的。

由于邮箱系统保存着政府、党政机关、各企事业单位的大量敏感信息，对于一些涉密部门，更是经常成为被攻击的目标，通过攻陷邮箱系统来获取企业、政府敏感信息，以及敏感文件，特别是邮箱跨站、挂马、欺骗等已经成为邮箱攻击的最常使用的手段。

发明内容

针对上述现有技术中存在的问题，本发明提供了一种仿冒邮件检测方法、装置及设备，可以快速、准确的识别仿冒邮件，保护企业及政府敏感信息和敏感文件，提高邮箱使用的安全性。

第一方面，本发明实施例提供了一种仿冒邮件检测方法，其中，包括：

提取待接收邮件的发件人信息；

查找邮件别名信息库中是否存在与所述发件人信息匹配的邮件别名信息条目；

如果是，则接收所述待接收邮件；

如果否，则根据比对结果发出相应的告警信息。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述提取待接收邮件的发件人信息的步骤之前，所述方法还包括：

配置所述待接收邮件包含的服务器信息；其中，所述服务器信息包括服务器IP和服务端口；

根据流量镜像，获取经由所述服务器信息的流量信息；

根据所述流量信息，确定所述待接收邮件的发件人信息。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述查找邮件别名信息库中是否存在与所述发件人信息匹配的邮件别名信息条目的步骤，包括：

从所述发件人信息中提取邮件发件人和邮件别名；

从所述邮件别名信息库中查找所述邮件发件人和所述邮件别名；其中，所述邮件别名信息库中的每条邮件别名信息条目至少包括邮件发件人和邮件别名；

如果所述邮件发件人和邮件别名与所述邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和邮件别名均对应，则所述邮件别名信息库中存在与所述发件人信息匹配的邮件别名信息条目；

如果所述邮件发件人和邮件别名与所述邮件别名信息库中的任意一条邮件别名信息条目中的邮件发件人和/或邮件别名不对应，则所述邮件别名信息库中不存在与所述发件人信息匹配的邮件别名信息条目。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述方法还包括：