DE102004054900A1 - Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded - Google Patents

Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded Download PDF

Info

Publication number
DE102004054900A1
DE102004054900A1 DE102004054900A DE102004054900A DE102004054900A1 DE 102004054900 A1 DE102004054900 A1 DE 102004054900A1 DE 102004054900 A DE102004054900 A DE 102004054900A DE 102004054900 A DE102004054900 A DE 102004054900A DE 102004054900 A1 DE102004054900 A1 DE 102004054900A1
Authority
DE
Germany
Prior art keywords
email
hops
found
spam
forwarded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102004054900A
Other languages
German (de)
Inventor
Andreas Dannenberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BDT-SOLUTIONS GmbH
BDT Solutions GmbH
Original Assignee
BDT-SOLUTIONS GmbH
BDT Solutions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BDT-SOLUTIONS GmbH, BDT Solutions GmbH filed Critical BDT-SOLUTIONS GmbH
Priority to DE102004054900A priority Critical patent/DE102004054900A1/en
Publication of DE102004054900A1 publication Critical patent/DE102004054900A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/214Monitoring or handling of messages using selective forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/48Message addressing, e.g. address format or anonymous messages, aliases

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

The method involves reading a delivered email in an area so that information about hops is acquired from a header, where hops are computers via which the email is forwarded. The hops are verified whether they are found in black list based on the read email. The email is identified as a spam-email if the hops are found in the list. Internet protocol (IP) address of mail servers of the email is verified whether it is found in the list. Independent claims are also included for the following: (A) a software for a computer for implementation of a method for analyzing electronic mails (emails) (B) a data carrier for a computer (C) a computer system with a device and arrangement that allows an operational flow of a method for analyzing emails.

Description

Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Filterung von Spam-Emails. In einer möglichen Ausführungsform betrifft die Erfindung eine Vorrichtung und ein Verfahren zur Bestimmung von Spam-Emails auf der Basis von Blacklists.The The invention relates to an apparatus and a method for filtering of spam emails. In a possible embodiment The invention relates to a device and a method for the determination of Spam emails based on blacklists.

Gebiet der Erfindung:Field of the invention:

Derartige Vorrichtungen dienen vorwiegend zur Analyse von E-Mails, die an einen Mail Server gerichtet sind. Die Vorrichtungen sind i.d.R. allein stehende Appliances, die vor dem eigentlichen Mail Server angeordnet sind, und den Datenverkehr entgegennehmen, um ihn dann kontrolliert an den Mail Server weiterzuleiten. Aufgrund der sich immer wieder verändernden Angriffsmuster der Spamer, reicht es nicht mehr aus, allein die Adresse des absendenden Mail Servers dahingehend zu überprüfen, ob sie auf einer Blacklist steht. Vielmehr bedarf es eingehender anderer Analysemethoden. So verwendeten z.B. viele Angreifer den Relay Server des Empfängers, sodass eine Überprüfung anhand von Black-Listen nicht mehr möglich ist.such Devices are mainly used to analyze e-mails sent to one Mail servers are addressed. The devices are i.d.R. alone standing appliances arranged in front of the actual mail server are, and receive the traffic to then control it to forward to the mail server. Because of himself again and again changing Attack pattern of the Spamer, it is no longer sufficient, only the Check the address of the sending mail server to see if she is on a blacklist. Rather, it requires more in-depth others Analysis. For example, e.g. many attackers use the relay server Recipient, so a check based from blacklists is no longer possible is.

Aufgabe der Erfindung:Object of the invention:

Aufgabe der Erfindung ist es, ein Verfahren bereitzustellen, das eine verbesserte Analyse von Emails erlaubt und somit einen großen Teil an Spam ausschaltet.task The invention is to provide a method which has an improved Analysis of emails allowed and thus a large part of spam turns off.

Lösung der Aufgabe:Solution of the task:

Diese Aufgabe wird durch die Erfindungen mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindungen sind in den Unteransprüchen gekennzeichnet.These The object is achieved by the inventions having the features of the independent claims. advantageous Further developments of the inventions are characterized in the subclaims.

Im Einzelnen handelt es sich um ein Verfahren zur automatischen Analyse einer Email, nach dem entsprechend RFC für Internet Emails, das die folgenden Schritte umfasst:

  • – Lesen einer übermittelten Email in mindestens dem Umfang, dass Informationen über die Hops aus dem Header erlangt werden;
  • – Überprüfung der Hops dahingehend, ob sie auf Blacklists zu finden sind, falls die Hops auf einer Blacklist zu finden sind, Kennzeichnen der Email als SPAM-Email.
Specifically, it is a method for automatically analyzing an email, according to RFC for Internet Emails, which includes the following steps:
  • - reading a submitted email to the extent that information about the hops is obtained from the header;
  • - Checking the hops for whether they can be found on blacklists, if the hops can be found on a blacklist, marking the email as spam email.

Die Hops sind dabei die Rechner, über die die Email weitergeleitet wurde. Da sich Spamer oftmals hinter diesen Hops bzw. Relays verstecken und die IP-Adresse des Spamrechners ändern, kann die IP-Adresse der Hops eine zuverlässige Aussage über die Qualität der Email machen.The Hops are doing the calculator, about the email was forwarded. Because Spamer often behind can hide these hops or relays and change the IP address of the spam machine the IP address of the hops a reliable statement about the quality to do the email.

In einer weiteren Ausführungsform wird zusätzlich die Adresse des absendenden Mail Servers der Email überprüft, ob diese in einer Blacklist zu finden ist. Dieser Ansatz ist ein bekannter Ansatz, der jedoch in Kombination mit der Erfindung zu noch besseren Ergebnissen führen kann.In a further embodiment will be added the address of the sending mail server of the email verifies that this can be found in a blacklist. This approach is a known one Approach, however, in combination with the invention to even better Results can.

Im Gegensatz zu den bekannten Verfahren, bei denen schon zum Zeitpunkt des Verbindungsaufbaus erkannt werden kann, ob die IP-Adresse des Versenders auf einer belegten Liste steht, bedarf es bei der vorliegenden Erfindung eines weiteren Schrittes. Dieser weitere Schritte umfasst zumindest das Lesen des Headers der Email, indem die einzelnen Hops aufgelistet sind. In einer weiteren Ausführungsform wird die gesamte Email gelesen, um noch weitere Schritte einzuleiten, aus denen dann geschlossen werden kann, ob es sich bei der Email um Spam handelt.in the Unlike the known methods, which already at the time of the connection establishment can be detected, whether the IP address of the sender is on a proven list, it requires in the present invention another step. This further steps includes at least Reading the header of the email by listing the individual hops are. In a further embodiment the entire email is read to take further steps from which it can be concluded, whether it is the email is about spam.

Die Überprüfung, ob es sich um eine Spam-Email handelt oder nicht, wird anhand von Blacklists geführt, die online als Public-Listen zur Verfügung gestellt werden oder die als private Blacklisten ausgebildet sein können.Checking if it is a spam email or not, it is based on blacklists guided, which are made available online as public lists or the can be trained as private blacklists.

Der Einsatz von Whitelisten kann auch in Kombination mit der Erfindung zum Erfolg führen. In diesen zumeist lokal gehaltenen Listen, stehen IP Adressen, mit denen ein regulärer Email-Verkehr zustande kommt. Somit können Emails, die bereits als Spam gekennzeichnet wurden, wieder als Nicht-Spam Emails gekennzeichnet werden, um diese dann weiterzuleiten.Of the Use of whitelists can also be combined with the invention lead to success. These mostly local lists contain IP addresses which a regular Email traffic comes about. Thus, emails can already be considered spam labeled as non-spam emails again and then forward it.

In noch einer weiteren Ausführungsform wird vor der Weiterleitung überprüft, ob eine Empfangsfähigkeit der Absenderadresse geben ist. Sollte hinter dem Sender kein Empfänger stehen, so ist von einer Spam-Mail auszugehen.In yet another embodiment is checked before forwarding, if a receptivity the sender address is. If there is no receiver behind the transmitter, it is assumed that a spam mail.

Eine Inhaltsanalyse der Gesamtemail auf SPAM-Hinweise erfolgt in einer weiteren Ausführungsform. Hierbei wird vorzugsweise nach dem Bayesverfahren vorgegangen. Entsprechende Literatur ist im Internet zu finden.A Content analysis of the entire email on SPAM hints is done in one another embodiment. In this case, the procedure is preferably according to the Bayesverfahren. Appropriate Literature can be found on the internet.

Ein weiterer Bestandteil der Erfindung ist ein Computersystem, das durch eine Einrichtung und eine Ausstattung gekennzeichnet ist, die den Ablauf eines Verfahrens nach einem oder mehreren der Verfahrensansprüche erlaubt. Hierbei handelt es sich in einer möglichen Ausführungsform um einen Computer, der mit einem Windows® oder Unix (LINUX, BSD) Betriebssystem ausgestattet ist, mit einem Speichersystem und Netzwerkkarten. Die weiteren Merkmale werden durch eine Softwareeinrichtung erreicht.Another aspect of the invention is a computer system characterized by means and equipment that permits the operation of a method according to one or more of the method claims. In one possible embodiment, this is a computer equipped with a Windows® or Unix (LINUX, BSD) operating system, with a storage system and network cards. The further features are achieved by a software device.

Im Folgenden wird die Erfindung anhand von Ausführungsbeispielen näher erläutert, die in den Figuren schematisch dargestellt sind. Gleiche Bezugsziffern in den einzelnen Figuren bezeichnen dabei gleiche Elemente. Im Einzelnen zeigt:in the The invention will be explained in more detail below with reference to exemplary embodiments which are shown schematically in the figures. Same reference numbers in the individual figures designate the same elements. In detail shows:

1 eine Datenflussdarstellung der vorliegenden Erfindung; 1 a data flow diagram of the present invention;

2 den Aufbau eines Mail-Headers, bei dem der Versender und die Hops aufgeführt sind. 2 the structure of a mail header, where the sender and the hops are listed.

Die 1 zeigt den Informationsfluss zum Filter und den Informationsfluss vom Filter. Eingehende Mails werden durch mehrere Filter geführt. Der C-Filter umfasst einen Public-BL-Filter, der eine oder mehrere Public Blacklists überprüft.The 1 shows the flow of information to the filter and the flow of information from the filter. Incoming mails are guided through several filters. The C filter includes a public BL filter that checks one or more public blacklists.

Der Ext.-Bl-Filter übernimmt die Analyse der Hops, wie sie in 2 und in den Ansprüchen beschrieben wurden, auf der Basis von privaten und öffentlichen Blacklists.The Ext.-Bl filter handles the analysis of the hops as they are in 2 and in the claims, based on private and public blacklists.

Der SRCheck-Filter prüft die Receive-Fähigkeit der Absenderadressen.Of the SRCheck filter checks the receive ability the sender addresses.

Die P-Filter können vorhergehende Filter übersteuern. Wenn ein Absender auf der Friendly-List steht, wird er ggf. trotz Spam-Detektion zugestellt.The P-filters can Override previous filters. If a sender is on the friendly list, he will eventually despite Delivered spam detection.

2 zeigt einen Mail-Header Auszug einer Email. Details können dem RFC 822 entnommen werden. Jeder Transport Service, der die Nachricht weiterleitet, fügt ein Hop Feld ein. Im Beispiel ist das die IP 212.227.126.206 und 217.236.200.221. Die Information in dem Feld kann verwendet werden, um Transportprobleme zu verfolgen. Die Namen des sendenden und empfangenden Hosts und entsprechende Zeiten können vermerkt werden. Der "via" Parameter kann verwendet werden, um den physikalischen Mechanismus über den die Nachricht gesendet wurde anzugeben, wie z.B. Arpanet, Phonenet, und der "with" Parameter kann verwendet werden, um den the mail-, das Connection- oder level protocol, das verwendet wurde, wie z.B. SMTP mail protocol, or X.25 transport protocol, zu bestimmen. 2 shows a mail header extract an email. Details can be found in the RFC 822. Each transport service that forwards the message inserts a hop field. In the example this is the IP 212.227.126.206 and 217.236.200.221. The information in the field can be used to track transport problems. The names of the sending and receiving hosts and their respective times can be noted. The "via" parameter can be used to specify the physical mechanism over which the message was sent, such as Arpanet, Phonenet, and the "with" parameter can be used to specify the mail, connection or level protocol, that was used, such as SMTP mail protocol, or X.25 transport protocol, to determine.

Im Rahmen der Erfindung sind zahlreiche Abwandlungen und Weiterbildungen der beschriebenen Ausführungsbeispiele verwirklichbar, die Beschreibung stellt keine Limitierung der Ansprüche dar.in the The scope of the invention are numerous modifications and developments the described embodiments realizable, the description does not represent a limitation of the claims.

Claims (13)

Verfahren zur automatischen Analyse einer Email mit einem Header auf das Vorliegen einer SPAM-Email umfassend folgende Schritte: – Lesen einer übermittelten Email in mindestens dem Umfang, dass Informationen über die Hops aus dem Header erlangt werden; – Überprüfung der Hops dahingehend, ob sie auf Blacklists zu finden sind, falls die Hops auf einer Blacklist zu finden sind, Kennzeichnen der Email als SPAM-Email.Method for automatic analysis of an email with a header for the presence of a spam email comprising the following Steps: - Read one submitted Email in at least the extent that information about the Hops are obtained from the header; - Checking the hops if they are on blacklists, if the hops are on a blacklist can be found, identifying the email as spam email. Verfahren nach dem vorhergehenden Anspruch, wobei zusätzlich die Adresse des absendenden Mails Servers der Email überprüft wird, ob diese in einer Blacklist zu finden ist.A method according to the preceding claim, wherein additionally the address of the sending mail server of the email is checked, whether this is to be found in a blacklist. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei nach dem Lesen des Headers der Email die Überprüfung der Hops stattfindet.Method according to one or more of the preceding Claims, wherein after reading the header of the email, the check of the hops takes place. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Emails vollständig zwischengespeichert werden, bevor die Überprüfung der Hops erfolgt.Method according to one or more of the preceding Claims, where the emails are complete cached before the hops are checked. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei online, public oder private Blacklisten zum Einsatz kommen.Method according to one or more of the preceding Claims, using online, public or private blacklists. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei Whitelisten zum Einsatz kommen.Method according to one or more of the preceding Claims, Whitelists are used. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei eine Überprüfung der Empfangsfähigkeit der Absenderadressen erfolgt.Method according to one or more of the preceding Claims, being a review of the receptivity the sender address takes place. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei eine Inhaltsanalyse der Gesamtemail erfolgt.Method according to one or more of the preceding Claims, whereby a content analysis of the total enamel takes place. Verfahren nach dem vorhergehenden Anspruch, wobei die Inhaltanalyse nach dem Bayesverfahren erfolgt.A method according to the preceding claim, wherein the content analysis is done according to the Bayes procedure. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei eine Inhaltsanalyse nach Viren erfolgt.Method according to one or more of the preceding Claims, wherein a content analysis for viruses. Software für einen Computer, dadurch gekennzeichnet, dass ein Verfahren nach einem oder mehreren der vorhergehenden Ansprüche implementiert ist.Software for a computer, characterized in that a method according to one or more of the preceding claims is implemented. Datenträger für einen Computer, gekennzeichnet durch die Speicherung einer Software nach dem vorhergehenden Softwareanspruch.disk for one Computer, characterized by the storage of software after the previous software claim. Computersystem, gekennzeichnet durch eine Einrichtung und Ausstattung, die den Ablauf eines Verfahrens nach einem oder mehreren der vorhergehenden Verfahrensansprüche erlaubt.Computer system characterized by a device and equipment that controls the course of a Method according to one or more of the preceding method claims allowed.
DE102004054900A 2004-11-12 2004-11-12 Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded Ceased DE102004054900A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102004054900A DE102004054900A1 (en) 2004-11-12 2004-11-12 Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004054900A DE102004054900A1 (en) 2004-11-12 2004-11-12 Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded

Publications (1)

Publication Number Publication Date
DE102004054900A1 true DE102004054900A1 (en) 2006-05-24

Family

ID=36313609

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004054900A Ceased DE102004054900A1 (en) 2004-11-12 2004-11-12 Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded

Country Status (1)

Country Link
DE (1) DE102004054900A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005046377B3 (en) * 2005-09-28 2007-05-10 Siemens Ag Preventing reception of unwanted messages in Internet Protocol communications network involves storing signaling data in list related to signaling route of communications connection between trusted first subscriber and second subscriber

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040068542A1 (en) * 2002-10-07 2004-04-08 Chris Lalonde Method and apparatus for authenticating electronic mail

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040068542A1 (en) * 2002-10-07 2004-04-08 Chris Lalonde Method and apparatus for authenticating electronic mail

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005046377B3 (en) * 2005-09-28 2007-05-10 Siemens Ag Preventing reception of unwanted messages in Internet Protocol communications network involves storing signaling data in list related to signaling route of communications connection between trusted first subscriber and second subscriber

Similar Documents

Publication Publication Date Title
DE60220004T2 (en) System and method for preventing unsolicited electronic mail
Taylor Sender Reputation in a Large Webmail Service.
DE60130685T2 (en) SYSTEM AND METHOD FOR CONTROLLING AND ORGANIZING EMAIL
DE112013001964B4 (en) Message exchange security management
US20180027086A1 (en) Methods, Systems, and Products for Spam Messages
EP1994677B1 (en) Method for transmitting the identity of a multicast message, method and device for transmitting a multicast message and device for receiving a multicast message
WO2004088942B1 (en) Method for immediately transmitting electronic messages to telecommunication terminals
CN103078753A (en) Method, device and system for processing mails
DE602005000121T2 (en) Method and apparatus for reducing e-mail spam and spreading viruses in a communication network by authenticating the origin of e-mail messages
EP1246100A2 (en) Method, device and e-mail server for recognizing unwanted e-mails
DE10243243B4 (en) Method for the receiver-side automatic treatment of unwanted electronic mail in communication networks
DE102006012439B4 (en) Methods and apparatus for avoiding erroneous classification of wanted messages as spam over Internet telephony messages, abbreviated SPIT messages, in a communication network
DE102004054900A1 (en) Electronic mail analyzing method, involves verifying whether hops are found on black lists based on read email, and identifying email as spam-email if hops are found on black list, where hops are computers via which email is forwarded
DE112006001552T5 (en) Method and server for authenticating the sender of e-mails and communication of exchange information
DE102004012490B4 (en) Method and device for the prevention of unwanted e-mail
EP1673907B1 (en) Distribution of messages containing addressee specific message parts to at least two addressees
DE102007043765A1 (en) Method for sending electronic mail using postal address, involves testing whether sender of electronic mail address has determined limit, and forwarding digital message using electronic mail address, when sender has determined limit
DE102008046713B4 (en) Method for group communication between subscribers of various intelligence services, communication terminal and computer program product
DE102010020621A1 (en) Automatic unwanted email i.e. spam mail, processing method for telecommunications network, involves communicating authorized electronic mail addresses or electronic mail sender domains between sender and receiver
EP2037643A1 (en) Method for transmitting an electronic message in a transport network
DE102007047281A1 (en) Method for transmitting messages by means of Multimedia Message Service (MMS)
DE10361112A1 (en) The SpamKiss system
DE102005029900A1 (en) Electronic mail sender identifying method, involves verifying unique and distinct identifying information of electronic mail with database, and classifying mail received by addressee based on verification result and marked correspondingly
EP1668850A1 (en) Method for transmitting messages in a network
WO2021008639A1 (en) Method for checking emails

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection
OSZAR »