JP5147078B2 - Address list construction method, address list construction system, and program therefor - Google Patents
Address list construction method, address list construction system, and program therefor Download PDFInfo
- Publication number
- JP5147078B2 JP5147078B2 JP2009156578A JP2009156578A JP5147078B2 JP 5147078 B2 JP5147078 B2 JP 5147078B2 JP 2009156578 A JP2009156578 A JP 2009156578A JP 2009156578 A JP2009156578 A JP 2009156578A JP 5147078 B2 JP5147078 B2 JP 5147078B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- domain
- list
- tuple
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、電子メール送信ホストに対するアドレスリスト構築技術に関し、特に、拡張性や適用性に富みかつ即時性の高い電子メール送信ホストのアドレスをブラックリストまたはホワイトリストのいずれかに分類したアドレスリストを構築・出力するアドレスリスト構築方法およびアドレスリスト構築システム、ならびにそのためのプログラムに関する。 The present invention relates to an address list construction technique for an e-mail transmission host, and in particular, an address list obtained by classifying an e-mail transmission host address that is highly scalable and applicable and has high immediacy into either a black list or a white list. The present invention relates to an address list construction method, an address list construction system, and a program therefor.
近年、電子メールの利用普及に伴って、未承諾広告等のユーザが望まない電子メール(スパム)の配送が急増してきた。単位時間あたりに処理すべき電子メールの通数の増加により、電子メール受信サーバやシステムにかかる負荷の増加、および通常の電子メールへの影響が大きな問題となっている。 In recent years, with the widespread use of electronic mail, delivery of electronic mail (spam) such as unsolicited advertisements that the user does not want has increased rapidly. Due to the increase in the number of emails to be processed per unit time, an increase in the load on the email receiving server and system and the influence on ordinary emails have become major problems.
そこで、最近、メッセージの中身の分析結果に基づき、電子メールを不要なものと通常なものに分類する技術が提案され広く実用に供されるようになっているが、これらの技術は、メッセージの分析にあたっては、まず全てのメールを受信する必要があるため、処理負荷増大の問題を根本的に解決するものではない。 Therefore, recently, based on the analysis result of the contents of the message, a technique for classifying e-mails as unnecessary and normal has been proposed and widely used. In the analysis, since it is necessary to receive all mails first, it does not fundamentally solve the problem of increased processing load.
この問題を解決するために、ブラックリスト、あるいはホワイトリストを用い、電子メールのメッセージを受信する前に疑わしい、あるいは制御対象から外す通常の通信を分類する技術が提案されている。 In order to solve this problem, a technique has been proposed in which a black list or a white list is used to classify normal communications that are suspicious or excluded from the control target before receiving an e-mail message.
例えば、特表2007−511813号公報「ダイナミック・メッセージ・フィルタリング」(特許文献1)等に記載の方法では、ブラックリスト、ホワイトリストの構築にあたり、まず受信した電子メールメッセージに含まれる文字列を参照することによってメッセージの善し悪しを分類し、次に、前記メッセージを送信したホストのIPアドレスやドメインに対して、該メッセージの善し悪しの情報を元に動的にブラックリストあるいはホワイトリストを構築する手法を提案している。 For example, in the method described in Japanese Translation of PCT International Publication No. 2007-511183 “Dynamic Message Filtering” (Patent Document 1), a character string included in the received e-mail message is first referred to when a blacklist or whitelist is constructed. And classifying the quality of the message, and then dynamically building a blacklist or whitelist for the IP address or domain of the host that sent the message based on the quality information of the message. is suggesting.
          
しかしながら、前記の方法では電子メール送信ホストのアドレスをブラックリストやホワイトリストに分類する際の参照データが内部的に観測し得る情報に限られているため、他の情報源を用いることによるリストの拡張性や他ネットワークでの適用性、および分類の即時性に欠けるという問題があった。 However, in the above method, the reference data for classifying the address of the e-mail transmission host into a black list or a white list is limited to information that can be observed internally. There was a problem of lack of scalability, applicability in other networks, and immediacy of classification.
本発明は、上記の課題を鑑みてなされたものであり、電子メール送信ホストのアドレスをその種類(ブラックリストまたはホワイトリスト)により分類したアドレスリストを構築・出力するようにした、拡張性や適用性に富みかつ即時性の高いアドレスリスト構築方法およびアドレスリスト構築システム、ならびにそのためのプログラムを提供することを目的とする。 The present invention has been made in view of the above problems, and is applicable to expandability and application in which an address list in which addresses of e-mail transmission hosts are classified according to their types (black list or white list) is constructed and output. An object of the present invention is to provide an address list construction method and address list construction system that are rich in nature and high in immediacy, and a program therefor.
本発明は、上記目的を達成するために、メール配送システム内部で観測可能なデータに加えて、DNS(Domain Name System)に登録されている各種リソースレコードや他のブラックリストやホワイトリストなどの外部から得られる情報を参照して有効に統合し、電子メール送信ホストのアドレスをブラックリストあるいはホワイトリストに分類してアドレスリストを構築・出力するようにしたものである。 In order to achieve the above object, the present invention provides various resource records registered in the DNS (Domain Name System) and other black lists and white lists in addition to data observable inside the mail delivery system. The address list is constructed and output by classifying the addresses of the e-mail sending hosts into a black list or a white list.
           
  以下、本発明の構成を具体的に述べる。
  本発明の第一のアドレスリスト構築方法においては、電子メールの受信時のSMTPコネクションを監視して、送信元電子メールアドレスのドメイン部(電子メールアドレスの“@”の右側の文字列)dと電子メールの送信元IPアドレスaからなるタプル(d,a)を構成し、該タプルの集合T1を収集する第1の手順(実施例のステップS1に対応、以下、同様)と、前記第1の手順(ステップS1)で得られたタプル(d,a)の集合の内、ドメイン部d が別途任意に指定可能なドメインリストD0に含まれているタプル集合T2を抽出する第2の手順(ステップS2)と、前記第2の手順(ステップS2)で抽出したタプルの集合T2に対し、各々のタプル(d,a)のIPアドレスaがドメイン部dのDNS SPFレコードによって認証されている(認証結果がPassである)IPアドレスを抽出し、前記IPアドレスの集合を出力する第3の手順(ステップS3)を講じることでアドレスリスト構築して出力する。
The configuration of the present invention will be specifically described below. 
 In the first address list construction method of the present invention, the SMTP connection at the time of receiving an e-mail is monitored, and the domain part of the source e-mail address (a character string on the right side of “@” of the e-mail address) d A first procedure (corresponding to step S1 in the embodiment, the same applies hereinafter) for constructing a tuple (d, a) composed of an email source IP address a and collecting the set T1 of the tuples, and the first The second procedure for extracting the tuple set T2 included in the domain list D0 in which the 
           
  本発明の第二のアドレスリスト構築方法は、第一のアドレスリスト構築方法に記載の第2の手順(ステップS2)に用いるドメインリストD0を構築する方法に関するものである。
  第二のアドレスリスト構築方法では、電子メールの配送を監視し、ドメイン部d毎に配送エラー回数e、greylisting等のフィルタリング技術でフィルターされた回数fを計数し、eあるいはfのいずれかが各々任意に指定可能な閾値を越えた場合、あるいは(e+f)が任意に指定可能な閾値を越えた場合、あるいは(e+f)/nが任意に指定可能な閾値を越えた場合に、該ドメイン部dをドメインリストD0に追加する(ただし、nはあるドメインが試みたSMTP通信の総数)。
The second address list construction method of the present invention relates to a method of constructing the domain list D0 used in the second procedure (step S2) described in the first address list construction method. 
 In the second address list construction method, the delivery of electronic mail is monitored, the number of delivery errors e for each domain part d, the number of times f filtered by a filtering technique such as greylisting, is counted, and either e or f is The domain part d when an arbitrarily specifiable threshold is exceeded, or when (e + f) exceeds an arbitrarily specifiable threshold, or when (e + f) / n exceeds an arbitrarily specifiable threshold. To the domain list D0 (where n is the total number of SMTP communications attempted by a domain).
        
本発明の第三のアドレスリスト構築方法においては、第一のアドレスリスト構築方法に記載の第2の手順(ステップS2)におけるドメインリストD0の構築において、電子メール配送を監視してドメイン部dを収集し、ドメイン部dの内、DNSのA(Address)レコード,DNSのMX(Mail Exchanger)レコードのいずれもが存在しないドメイン部dをドメインリストD0に追加する。 In the third address list construction method of the present invention, in the construction of the domain list D0 in the second procedure (step S2) described in the first address list construction method, the electronic mail delivery is monitored and the domain part d is set. The domain part d is collected, and the domain part d in which neither the DNS A (Address) record nor the DNS MX (Mail Exchanger) record exists is added to the domain list D0.
           
  本発明の第四のアドレスリスト構築方法においては、第一のアドレスリスト構築方法に記載の第2の手順(ステップS2)におけるドメインリストD0の構築において、インターネット等のデータベースで取得が可能なドメインブラックリストあるいはドメインホワイトリスト等の特定のドメインリストを利用すること、ならびに前記取得したドメインリストに対して請求項2または請求項3のいずれかあるいは全てのアドレスリスト構築方法で得たドメインリストを追加する。
  In the fourth address list construction method of the present invention, in the construction of the domain list D0 in the second procedure (step S2) described in the first address list construction method, a domain black that can be obtained from a database such as the Internet Use a specific domain list such as a list or a domain white list, and add the domain list obtained by any one of 
本発明の第五のアドレスリスト構築方法においては、第一のアドレスリスト構築方法に記載の第3の手順(ステップS3)において、第2の手順(ステップS2)で抽出したタプルの集合T2に対し、各々のタプル(d,a)のドメイン部dに対してSPFレコードを参照し、SPFで送信を認証しているIPアドレス・プレフィックス集合P1を抽出し、タプル集合T1の内IPアドレスaが前記P1に包含されるタプル集合T3を抽出する。 In the fifth address list construction method of the present invention, the tuple set T2 extracted in the second procedure (step S2) in the third procedure (step S3) described in the first address list construction method is used. , Refer to the SPF record for the domain part d of each tuple (d, a), extract the IP address / prefix set P1 authenticated for transmission by the SPF, and the IP address a in the tuple set T1 is A tuple set T3 included in P1 is extracted.
次に、タプル集合T3とタプル集合T2の差分のタプル集合に対して、上記と同様に、ドメイン部のSPFレコードを参照し、認証されているIPアドレス・プレフィックス集合P2を抽出し、タプル集合T1の内アドレスaが前記P2に含まれるタプル集合T4を抽出する。 Next, with respect to the tuple set which is the difference between the tuple set T3 and the tuple set T2, the IPF / prefix set P2 which has been authenticated is extracted by referring to the SPF record in the domain part in the same manner as described above. The tuple set T4 in which the address a is included in the P2 is extracted.
上記処理を、新たなタプル集合の差分が存在しなくなるまで繰り返し、最終的に得た全てのIPアドレス・プレフィックスリスト集合P1,P2,… の重複のないアドレス空間を出力する。 The above processing is repeated until there is no difference between the new tuple sets, and an address space in which all IP address / prefix list sets P1, P2,.
本発明の第六のアドレスリスト構築方法においては、第一のアドレスリスト構築方法で出力したIPアドレスの集合または第五のアドレスリスト構築方法で出力したIPアドレス・プレフィックス集合に加えて、インターネット等のデータベースで取得が可能なIPアドレスのブラックリストあるいはホワイトリストを追加する。あるいはネットワーク管理者が自らのポリシーによって収集・作成したIPアドレスリストも追加することも可能である。 In the sixth address list construction method of the present invention, in addition to the set of IP addresses output by the first address list construction method or the IP address prefix set output by the fifth address list construction method, Add a blacklist or whitelist of IP addresses that can be acquired in the database. Alternatively, it is also possible to add an IP address list collected and created by the network administrator according to his own policy.
本発明の第七のアドレスリスト構築方法においては、第一のアドレスリスト構築方法で出力したIPアドレスの集合または第五のアドレスリスト構築方法で出力したIPアドレス・プレフィックス集合に加えて、第一のアドレスリスト構築方法に記載のタプル集合T2においてドメイン部dのDNSのAレコードで指定されたIPアドレス、あるいは該ドメイン部dのDNSのMXレコードに対するAレコードで指定されたIPアドレス 追加する。 In the seventh address list construction method of the present invention, in addition to the set of IP addresses output by the first address list construction method or the IP address prefix set output by the fifth address list construction method, In the tuple set T2 described in the address list construction method, the IP address designated by the DNS A record of the domain part d or the IP address designated by the A record for the DNS MX record of the domain part d is added.
本発明の第八のアドレスリスト構築方法においては、第一あるいは第五のアドレスリストの構築方法に記載のSPFレコードの参照において、SPFレコードで指定されたIPアドレス・プレフィクスの内、無効な値やbogonアドレス、その他任意に指定が可能なIPアドレス・プレフィックスを除去する。 In the eighth address list construction method of the present invention, when referring to the SPF record described in the first or fifth address list construction method, an invalid value among the IP address prefixes specified in the SPF record. IP address prefix that can be specified arbitrarily is removed.
本発明のプログラムは、コンピュータに、上記第一から第八のいずれかに記載のアドレスリスト構築方法における各手順を実行させるためのプログラムである。 The program of the present invention is a program for causing a computer to execute each procedure in the address list construction method according to any one of the first to eighth aspects.
本発明の第一のアドレスリスト構築システムは、電子メールの受信時のSMTP(Simple Mail Transfer Protocol)コネクションを監視して、送信元電子メールアドレスのドメイン部dと電子メールの送信元IP(Internet Protocol)アドレスaからなるタプル(d,a)を構成し、該タプルの集合T1を収集する第1の手段と、前記第1の手段で得られたタプル(d,a)の集合から、ドメイン部d が別途指定可能なドメインの集合D0に含まれているタプルの集合T2を抽出する第2の手段と、前記第2の手段で抽出したタプルの集合T2に対し、各々のタプル(d,a)のIPアドレスaがドメイン部dのDNS(Domain Name System)のSPF(Sender Policy Framework)レコードによって認証されている(認証結果がPassである)IPアドレスを抽出し、前記IPアドレスの集合を出力する第3の手段(ステップS3)を有している。 The first address list construction system of the present invention monitors an SMTP (Simple Mail Transfer Protocol) connection at the time of receiving an e-mail, and sends the domain part d of the source e-mail address and the source IP (Internet Protocol) of the e-mail. ) A tuple (d, a) consisting of an address a, a first means for collecting the tuple set T1, and a set of tuples (d, a) obtained by the first means a second means for extracting a set of tuples T2 included in a set of domains D0 for which d can be separately designated, and a set of tuples (d, a) for the set of tuples T2 extracted by the second means. ) IP address a is authenticated by the DNS (Domain Name System) SPF (Sender Policy Framework) record of the domain part d (the authentication result is Pass), and the IP address is extracted. Third means (step S3) for outputting the set of IP addresses is provided.
本発明によれば、ドメインリストD0で指定したアドレスと同様の性質(ブラックリストであるかあるいはホワイトリストであるか)を有するIPアドレスリストを電子メール受信ログから得られる情報を元に収集してアドレスリストを構築して出力するようにしたので、拡張性や適用性に富みかつ即時性の高いアドレスリスト構築方法およびアドレスリスト構築システム、ならびにそのためのプログラムを実現できる。 According to the present invention, an IP address list having the same property (whether it is a black list or a white list) as the address specified in the domain list D0 is collected based on information obtained from the email reception log. Since the address list is constructed and output, it is possible to realize an address list construction method and address list construction system, and a program therefor, which are highly extensible and adaptable and have high immediacy.
        
         
(発明の概要)
  本発明は、メール配送システム内部で観測可能なデータに加えて、DNS(Domain Name System)に登録されている各種リソースレコードや他のブラックリストやホワイトリストなどの外部から得られる情報を参照して有効に統合し、電子メール送信ホストのアドレスをブラックリストあるいはホワイトリストに分類して出力するようにしたものである。
(Summary of Invention) 
 The present invention refers to information obtained from outside such as various resource records registered in DNS (Domain Name System) and other black lists and white lists in addition to data observable inside the mail delivery system. It integrates effectively, and the addresses of e-mail sending hosts are classified into a black list or a white list and output.
      
         
(実施例)
  以下に図面を用いて本発明の実施例を説明する。
  図1は本発明に係るアドレスリスト構築システムを説明するための図である。
  本発明におけるアドレスリスト構築システムは、同図に示すように、メール送信ホスト20および30(図1では2個だけ示しているが一般には多数である)と、メール受信サーバ10と、外部ドメインリスト40と、外部IPアドレスリスト50を有している。
(Example) 
 Embodiments of the present invention will be described below with reference to the drawings. 
 FIG. 1 is a diagram for explaining an address list construction system according to the present invention. 
 As shown in the figure, the address list construction system according to the present invention includes mail sending 
         
  アドレスリスト構築部11は、メール受信サーバ10に内蔵されていても外付け形態により外部実装でもよい。図1では内蔵の例を示している。アドレスリスト構築部11は、外部ドメインリスト40および外部IPアドレスリスト50を任意に指定して参照することが可能である。
  The address 
         
  アドレスリスト構築部11は、同図に示すように、タプル集合T1収集手段111、タプル集合T2の抽出手段112、SPF認証されたIPアドレス抽出手段113、アドレスリスト出力手段114から構成されている。
  As shown in the figure, the address 
         
  なお、アドレスリスト構築部11におけるタプル集合T1収集手段111、タプル集合T2の抽出手段112、SPF認証されたIPアドレス抽出手段113、アドレスリスト出力手段114の各手段は、メール受信サーバ10を構成するコンピュータのCPUやメモリなどのハードウェアにより各手段に対応するプログラムを実行することにより実現される。なお、アドレスリスト構築部11が外付け形態の場合、外付けアドレスリスト構築部を具備する外付けコンピュータのCPUやメモリなどのハードウェアにより各手段に対応するプログラムを実行することにより実現される。
  The tuple set T1 collecting means 111, the tuple set T2 extracting means 112, the SPF-authenticated IP address extracting means 113, and the address list output means 114 in the address 
次に、本発明に係るアドレスリスト構築方法を、図2−Aのフローチャート、図3〜図9を参照しながら説明する。 Next, an address list construction method according to the present invention will be described with reference to the flowchart of FIG. 2-A and FIGS.
本発明の第一のアドレスリスト構築方法では、電子メールの受信時のSMTPコネクションを監視し、送信元電子メールアドレスのドメイン部(電子メールアドレスの“@”の右側の文字列)dと電子メールの送信元IPアドレスaからなるタプル(d,a)を構成し、該タプルを収集し、タプル集合をT1とする。本実施例では、図3に示したタプル集合T1を観測したものとする(第1の手順、図2のステップS1)。 In the first address list construction method of the present invention, the SMTP connection at the time of receiving an e-mail is monitored, the domain part of the source e-mail address (a character string on the right side of “@” of the e-mail address) d and the e-mail A tuple (d, a) consisting of the source IP address a is collected, the tuple is collected, and the tuple set is T1. In this embodiment, it is assumed that the tuple set T1 shown in FIG. 3 is observed (first procedure, step S1 in FIG. 2).
         
  図4は外部ドメインリスト40に格納されているドメインリストD0の一例を示す図である。第1の手順(ステップS1)で得られたタプル(d,a)の集合T1とドメインリストD0を比較し、タプル集合T1の内、ドメインリストD0に含まれているタプル集合T2を抽出する(第2の手順、図2のステップS2)。
  FIG. 4 is a diagram showing an example of the domain list D0 stored in the 
さらに、第2の手順(ステップS2)で抽出したタプル集合T2における各々のタプルのドメインに対してSPFレコードを参照し、各々のタプル(d,a)のIPアドレスaがドメイン部dのDNS SPFレコードによって認証されている(認証結果がPassである)IPアドレスを出力する(第3の手順(ステップS3;ステップS3a〜ステップS3e参照)。 Further, the SPF record is referred to for each tuple domain in the tuple set T2 extracted in the second procedure (step S2), and the IP address a of each tuple (d, a) is the DNS SPF of the domain part d. The IP address authenticated by the record (the authentication result is Pass) is output (third procedure (step S3; see steps S3a to S3e).
ここで各々のドメインに対してSPFで登録されているIPアドレスが図5で示されたものであるとすれば、最終的に出力されるIPアドレスは図6のタプル集合T2のIPアドレス 「192.168.1.3」と「172.16.2.44」となる。 If the IP addresses registered in the SPF for each domain are those shown in FIG. 5, the IP address finally output is the IP address “192” of the tuple set T2 in FIG. .168.1.3 "and" 172.16.2.44 ".
第二〜第四のアドレスリスト構築方法は、第一のアドレスリスト構築方法の第2の手順(ステップS2)におけるドメインリストD0の構築についてのものである。 The second to fourth address list construction methods are for construction of the domain list D0 in the second procedure (step S2) of the first address list construction method.
         
  第二のアドレスリスト構築方法では、図7に示したように、メール受信サーバ10で観測したドメイン部d毎に試みたSMTP通信の総数n、配送エラー回数e、greylisting 等のフィルタリング技術でフィルターされた回数fを計数する。図7は、メール受信サーバ10で観測した結果を示す図である。なお、図7には、((e+f)/n)の計算値も示している。
  In the second address list construction method, as shown in FIG. 7, it is filtered by a filtering technique such as the total number n of SMTP communications attempted for each domain part d observed by the 
このような観測値に対し、eあるいはfのいずれかが各々任意に指定可能な閾値を越えた場合、あるいはe+fが任意に指定可能な閾値を越えた場合、あるいは(e+f)/nが任意に指定可能な閾値を越えた場合にドメイン部dをドメインリストD0に追加する。ここでは(e+f)/nが0.9以上であったドメインを抽出すると、図7の内、example_bad.jp,example_bad.org,example_spammer.com の3つがドメインリストD0に追加される。 For such an observed value, when either e or f exceeds a threshold that can be arbitrarily specified, or when e + f exceeds a threshold that can be arbitrarily specified, or (e + f) / n is arbitrarily When the specifiable threshold value is exceeded, the domain part d is added to the domain list D0. Here, when a domain having (e + f) / n of 0.9 or more is extracted, three of example_bad.jp, example_bad.org, and example_spammer.com in FIG. 7 are added to the domain list D0.
第三のアドレスリスト構築方法では、受信サーバで観測したドメイン毎のDNS AレコードあるいはMXレコードを参照し、どちらも存在しないドメインをドメインリストD0とする。図8の例では example_fake.org がこれに該当する。 In the third address list construction method, the DNS A record or MX record for each domain observed by the receiving server is referred to, and a domain in which neither exists is set as the domain list D0. In the example of FIG. 8, example_fake.org corresponds to this.
         
  第四のアドレスリスト構築方法では、例えば
http://spamlinks.net/filter-bl.htm#domain 
http://www.joewein.de/sw/blacklist.htm
http://meta.wikimedia.org/wiki/Spam_blacklist 
等で公開されているドメインホワイトリストやドメインブラックリストあるいはネットワーク管理者が自らのポリシーによって収集・作成したドメインリストをD0とする。これに第二、第三の方法で得たドメインを追加することも可能である。
In the fourth address list construction method, for example, 
 http://spamlinks.net/filter-bl.htm#domain 
 http://www.joewein.de/sw/blacklist.htm 
 http://meta.wikimedia.org/wiki/Spam_blacklist 
 A domain whitelist or domain blacklist disclosed in the above, or a domain list collected and created by a network administrator according to his / her own policy is defined as D0. It is also possible to add the domain obtained by the second and third methods to this.
      
第五のアドレスリスト構築方法では、第一のアドレスリスト構築方法における第3の手順において、タプル集合T2のドメイン部dを参照し、その中からSPFで登録されているIPアドレス・プレフィックスリストをP1として抽出する(図2−BのステップS30aの手順)。図5は、本例の場合のIPアドレス・プレフィックスリストP1の例である。 In the fifth address list construction method, in the third procedure in the first address list construction method, the domain part d of the tuple set T2 is referred to, and the IP address / prefix list registered in the SPF is designated as P1. (Step S30a in FIG. 2-B). FIG. 5 is an example of the IP address / prefix list P1 in this example.
次に、タプル集合T1を参照し、IPアドレスがIPアドレス・プレフィックスリストP1に含まれるタプル集合T3を抽出する(同ステップS30bの手順)。図9は、このようにして得られたIPアドレス・プレフィックスリストP1を示す図である。 Next, referring to the tuple set T1, the tuple set T3 whose IP address is included in the IP address / prefix list P1 is extracted (procedure of step S30b). FIG. 9 is a diagram showing the IP address / prefix list P1 thus obtained.
次に、タプル集合T2とタプル集合T3の差分の有無を判定する(同ステップS30cの手順)。タプル集合T2とタプル集合T3に差分があった場合(ステップS30c:Y)、そのドメイン部dのSPFレコードを参照して、認証されているIPアドレス・プレフィックスリストの集合P2として抽出する(ステップS30dの手順)。 Next, it is determined whether or not there is a difference between the tuple set T2 and the tuple set T3 (step S30c). If there is a difference between the tuple set T2 and the tuple set T3 (step S30c: Y), the SPF record of the domain part d is referred to and extracted as a set P2 of authenticated IP address / prefix list (step S30d). Procedure).
以下、図2−AのステップS30e〜ステップS30kとして示した手順の如く、同様の処理を繰り返し、IPアドレス・プレフィックスリストP2,P3,・・・を重複のないアドレス空間として抽出し、これらのIPアドレス・プレフィックスリストP2,P3,・・・を本発明により構築されたアドレスリストとして出力する(ステップS30lの手順)。 Thereafter, similar processing is repeated as shown in steps S30e to S30k in FIG. 2-A, and the IP address / prefix lists P2, P3,... Are extracted as non-overlapping address spaces, and these IPs are extracted. The address / prefix lists P2, P3,... Are output as the address list constructed according to the present invention (step S301).
なお、図示した本例の場合は、タプル集合T2とタプル集合T3に差分は、(example_bad.org,「172.16.3.11」)であり、example_bad.org のSPFレコードを参照した場合に「172.30.0.1/24」であったと仮定すると、タプル集合T1にはP2に含まれるIPアドレスが存在しないのでここで打ち切りとし、最終的にはIPアドレス・プレフィックスリストP1のみを出力する。 In the case of the illustrated example, the difference between the tuple set T2 and the tuple set T3 is (example_bad.org, “172.16.3.11”), and the SPF record of example_bad.org is referred to. Assuming that it is “172.30.0.1/24”, there is no IP address included in P2 in the tuple set T1, so it is terminated here, and finally only the IP address / prefix list P1 is output. To do.
なお、図2−BのステップS30a、ステップS30d、ステップS30g、ステップS30jにおいて、SPF認証されているアドレスが存在しない場合には、処理を打ち切りにしてそれ以前に得られたIPアドレス・プレフィックスリストを出力する。 In step S30a, step S30d, step S30g, and step S30j in FIG. 2-B, if there is no SPF-authenticated address, the processing is terminated and the IP address / prefix list obtained before that is used. Output.
         
  第六のアドレスリスト構築方法では、例えば、下記URL
  http://www.au.sorbs.net/
  http://www.dnswl.org/
等で公開されているホワイトリストやブラックリスト、あるいはネットワーク管理者が自らのポリシーによって収集・作成したIPアドレスリストを第5の方法の出力結果に加える。
In the sixth address list construction method, for example, the following URL 
 http://www.au.sorbs.net/ 
 http://www.dnswl.org/ 
 The white list and black list released by the company or the like, or the IP address list collected and created by the network administrator according to their own policy is added to the output result of the fifth method.
      
第七のアドレスリスト構築方法では例えば図9に記載されたIPアドレスを出力結果に追加する。 In the seventh address list construction method, for example, the IP address described in FIG. 9 is added to the output result.
         
  第八のアドレスリスト構築方法では、例えばあるドメインexample.jp のSPFレコードに指定されたIPアドレスが、「192.168.3.72/690」(プレフィックス長の値が無効)、「11.33.209.300」(4オクテット目の数字が255よりも大きいので無効)のように、無効な値であった場合そのようなアドレスやプレフィックスを除去する。あるいは
  http://www.cymru.com/Documents/bogon-list.html 
から取得可能なbogon リストにマッチしたIPアドレスを除去する。
In the eighth address list construction method, for example, the IP address specified in the SPF record of a domain example.jp is “192.168.3.72/690” (prefix length value is invalid), “11.33 If the value is invalid, such as “.209.300” (invalid because the number in the fourth octet is greater than 255), such an address or prefix is removed. Or 
 http://www.cymru.com/Documents/bogon-list.html 
 IP addresses that match the bogon list that can be obtained from are removed.
      
第一のアドレスリスト構築システムは、図1に示したシステムであり、各構成要素は上記アドレスリスト構築方法で説明した処理機能を備えるものである。 The first address list construction system is the system shown in FIG. 1, and each component has the processing function described in the address list construction method.
         
  なお、上記で説明したアドレスリスト構築部11において行われる各手順(第1の手順〜第3の手順)は、メール受信サーバ10を構成するコンピュータのCPUやメモリなどのハードウェアにより各手段に対応するプログラムを実行することにより行われる。また、各手段に対応するプログラムはインターネットなどのネットワークなどのネットワークやCD−ROM、DVD、FDなどの記録媒体を介して市場に流通させることができる。
  Each procedure (first procedure to third procedure) performed in the address 
         
    10:メール受信サーバ
    11:アドレスリスト構築部
    20,30:メール送信ホスト
    40:外部ドメインリスト
    50:外部IPアドレスリスト
10: Mail receiving server 11: Address 
Claims (10)
前記第1の手順で得られたタプル(d,a)の集合から、ドメイン部d が別途指定可能なドメインの集合D0に含まれているタプルの集合T2を抽出する第2の手順と、
前記第2の手順で抽出したタプルの集合T2に対し、各々のタプル(d,a)のIPアドレスaがドメイン部dのDNS(Domain Name System)のSPF(Sender Policy Framework)レコードによって認証されている(認証結果がPassである)IPアドレスを抽出し、前記IPアドレスの集合を出力する第3の手順
を有すること
を特徴とするアドレスリスト構築方法。 The SMTP (Simple Mail Transfer Protocol) connection at the time of receiving the e-mail is monitored, and a tuple (d, a) consisting of the domain part d of the source e-mail address and the source IP (Internet Protocol) address a of the e-mail is obtained. Configuring and collecting a set T1 of the tuples;
A second procedure for extracting a set of tuples T2 included in a set of domains D0 that can be separately specified by the domain part d from the set of tuples (d, a) obtained in the first procedure;
For the tuple set T2 extracted in the second procedure, the IP address a of each tuple (d, a) is authenticated by the DNS (Domain Name System) SPF (Sender Policy Framework) record of the domain part d. A method for constructing an address list, comprising: a third step of extracting an IP address (authentication result is Pass) and outputting the set of IP addresses.
を特徴とするアドレスリスト構築方法。 In the construction of the domain list D0 in the second procedure according to claim 1, the delivery of electronic mail is monitored, the number of delivery errors e for each domain part d, and the number of times f filtered by a filtering technique based on the graylisting method are counted. , E or f exceeds a threshold that can be arbitrarily specified, or (e + f) exceeds a threshold that can be arbitrarily specified, or (e + f) / n is a threshold that can be arbitrarily specified. An address list construction method characterized by adding a domain part d to the domain list D0 when n exceeds (where n is the total number of SMTP communications attempted by a certain domain).
を特徴とするアドレスリスト構築方法。 In the construction of the domain list D0 in the second procedure according to claim 1, the electronic mail delivery is monitored and the domain part d is collected, and the DNS part A record and the DNS MX record are both included in the domain part d. A method of constructing an address list, wherein a domain part d in which no exists is added to the domain list D0.
を特徴とするアドレスリストの構築方法。 In the construction of the domain list D0 in the second procedure according to claim 1, using a specific domain list including a domain black list or a domain white list that can be acquired on the Internet, and for the acquired domain list A method for constructing an address list, comprising: adding a domain list acquired by any one or all of the methods according to claim 2 or claim 3.
を特徴とするアドレスリスト構築方法。 The SPF (Sender Policy Framework) record is referred to for the domain part d of each tuple (d, a) for the set T2 of tuples extracted in the second procedure in the third procedure according to claim 1. Then, a set P1 of IP addresses and prefixes whose transmission is authenticated by SPF (Sender Policy Framework) is extracted, and a tuple set T3 in which the IP address a of the tuple set T1 is included in the P1 is extracted. Similarly, referring to the SPF record in the domain part for the tuple set of the difference between T3 and T2, the authenticated IP address / prefix set P2 is extracted, and the tuple set in which the inner address a of the tuple T1 is included in the P2 T4 is extracted and the above procedure is repeated until there is no difference between the new tuple sets. Strike set P1, P2, address list construction method, characterized in that the output of the non-overlapping address space of ....
を特徴とするアドレスリスト構築方法。 In addition to the set of IP addresses output in claim 1 or the set of IP address prefixes output in claim 5, a blacklist or whitelist of IP addresses that can be obtained from a database on the Internet is added, or a network An address list construction method comprising adding an IP address list collected and created by an administrator according to his own policy.
を特徴とするアドレスリスト構築方法。 In addition to the IP address set output in claim 1 or the IP address prefix set output in claim 5, the IP address specified in the DNS A record of the domain part d in the tuple set T2 according to claim 1 Or an address list construction method characterized by adding an IP address designated by an A record to a DNS MX (Mail Exchanger) record of the domain part d.
前記第1の手順で得られたタプル(d,a)の集合から、ドメイン部d が別途指定可能なドメインの集合D0に含まれているタプルの集合T2を抽出する第2の手段と、
前記第2の手順で抽出したタプルの集合T2に対し、各々のタプル(d,a)のIPアドレスaがドメイン部dのDNS(Domain Name System)のSPF(Sender Policy Framework)レコードによって認証されている(認証結果がPassである)IPアドレスを抽出し、前記IPアドレスの集合を出力する第3の手段
を有すること
を特徴とするアドレスリスト構築システム。 The SMTP (Simple Mail Transfer Protocol) connection at the time of receiving the e-mail is monitored, and a tuple (d, a) consisting of the domain part d of the source e-mail address and the source IP (Internet Protocol) address a of the e-mail is obtained. A first means for configuring and collecting the set of tuples T1;
A second means for extracting a set of tuples T2 included in the set of domains D0 that can be separately specified by the domain part d from the set of tuples (d, a) obtained in the first procedure;
For the tuple set T2 extracted in the second procedure, the IP address a of each tuple (d, a) is authenticated by the DNS (Domain Name System) SPF (Sender Policy Framework) record of the domain part d. An address list construction system comprising: a third means for extracting an IP address having an authentication result of Pass and outputting the set of IP addresses.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title | 
|---|---|---|---|
| JP2009156578A JP5147078B2 (en) | 2009-07-01 | 2009-07-01 | Address list construction method, address list construction system, and program therefor | 
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title | 
|---|---|---|---|
| JP2009156578A JP5147078B2 (en) | 2009-07-01 | 2009-07-01 | Address list construction method, address list construction system, and program therefor | 
Publications (2)
| Publication Number | Publication Date | 
|---|---|
| JP2011013873A JP2011013873A (en) | 2011-01-20 | 
| JP5147078B2 true JP5147078B2 (en) | 2013-02-20 | 
Family
ID=43592699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date | 
|---|---|---|---|
| JP2009156578A Expired - Fee Related JP5147078B2 (en) | 2009-07-01 | 2009-07-01 | Address list construction method, address list construction system, and program therefor | 
Country Status (1)
| Country | Link | 
|---|---|
| JP (1) | JP5147078B2 (en) | 
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| JP6053421B2 (en) * | 2012-09-21 | 2016-12-27 | Kddi株式会社 | Spam mail detection device, method and program | 
| JP6329458B2 (en) * | 2014-08-06 | 2018-05-23 | Kddi株式会社 | Mail judging device, mail judging method and computer program | 
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| JP2004523012A (en) * | 1999-09-01 | 2004-07-29 | ピーター, エル. カツィカス, | A system to filter out unauthorized email | 
| JP4829223B2 (en) * | 2004-05-25 | 2011-12-07 | グーグル インコーポレイテッド | Electronic message source reputation information system | 
| JP4447479B2 (en) * | 2005-01-26 | 2010-04-07 | 株式会社エヌ・ティ・ティ・データ | Data processing device | 
| WO2006122055A2 (en) * | 2005-05-05 | 2006-11-16 | Ironport Systems, Inc. | Method of determining network addresses of senders of electronic mail messages | 
| JP4659096B2 (en) * | 2005-08-09 | 2011-03-30 | メッセージ レベル エルエルシー | System and method for preventing unsolicited electronic message delivery by key generation and comparison | 
| JP2007317113A (en) * | 2006-05-29 | 2007-12-06 | Oki Electric Ind Co Ltd | Receiving device, and method, system and program for detecting junk electronic messages | 
| JP5366504B2 (en) * | 2008-11-05 | 2013-12-11 | Kddi株式会社 | Mail receiving server, spam mail receiving method and program | 
- 
        2009
        - 2009-07-01 JP JP2009156578A patent/JP5147078B2/en not_active Expired - Fee Related
 
Also Published As
| Publication number | Publication date | 
|---|---|
| JP2011013873A (en) | 2011-01-20 | 
Similar Documents
| Publication | Publication Date | Title | 
|---|---|---|
| CN102804213B (en) | Real-time spam seeking system | |
| US7962558B2 (en) | Program product and system for performing multiple hierarchical tests to verify identity of sender of an e-mail message and assigning the highest confidence value | |
| CN104106094B (en) | Cloud Email Message Scanning Using Local Policy Application in a Network Environment | |
| TWI353146B (en) | Origination/destination features and lists for spa | |
| US20060004896A1 (en) | Managing unwanted/unsolicited e-mail protection using sender identity | |
| US10178060B2 (en) | Mitigating email SPAM attacks | |
| US20110119342A1 (en) | Message filtering method | |
| CN101030972A (en) | Electronic information and data tracking system | |
| JP2008547067A5 (en) | ||
| Banday | Techniques and Tools for Forensic Investigation of E-mail | |
| EP2080324A1 (en) | Reputation-based method and system for determining a likelihood that a message is undesired | |
| US20080177843A1 (en) | Inferring email action based on user input | |
| US8458264B1 (en) | Email proxy server with first respondent binding | |
| JP5147078B2 (en) | Address list construction method, address list construction system, and program therefor | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| Van Wanrooij et al. | Filtering spam from bad neighborhoods | |
| JP2011130358A (en) | Electronic mail system and unsolicited mail discriminating method in the electronic mail system | |
| US8312119B2 (en) | IP block activity feedback system | |
| JP2018098689A (en) | Mail server device, mail service method, and program | |
| Chiou et al. | Blocking spam sessions with greylisting and block listing based on client behavior | |
| Saraubon et al. | Fast effective botnet spam detection | |
| JP2016071728A (en) | Mail information extraction device, mail determination list creation device, mail information extraction method, mail determination list creation method, and computer program | |
| Kokkodis et al. | Spamming botnets: Are we losing the war | |
| CN110392129A (en) | IPv6 client computer and method for communication between IPv6 client computer and server | |
| Allman | E-mail Authentication: What, Why, How? Perhaps we should have figured out what was going to happen when Usenet started to go bad. | 
Legal Events
| Date | Code | Title | Description | 
|---|---|---|---|
| A521 | Written amendment | Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110620 | |
| RD02 | Notification of acceptance of power of attorney | Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110620 | |
| RD04 | Notification of resignation of power of attorney | Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110623 | |
| A521 | Written amendment | Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110620 | |
| A621 | Written request for application examination | Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110926 | |
| A521 | Written amendment | Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110926 | |
| A977 | Report on retrieval | Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121025 | |
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) | Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121113 | |
| A61 | First payment of annual fees (during grant procedure) | Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121122 | |
| R150 | Certificate of patent or registration of utility model | Free format text: JAPANESE INTERMEDIATE CODE: R150 | |
| FPAY | Renewal fee payment (event date is renewal date of database) | Free format text: PAYMENT UNTIL: 20151207 Year of fee payment: 3 | |
| S531 | Written request for registration of change of domicile | Free format text: JAPANESE INTERMEDIATE CODE: R313531 | |
| R350 | Written notification of registration of transfer | Free format text: JAPANESE INTERMEDIATE CODE: R350 | |
| LAPS | Cancellation because of no payment of annual fees |