專利名稱:郵件行為阻斷方法、裝置及網關的制作方法
技術領域:
本發(fā)明涉及計算機安全管理領域,具體涉及一種郵件行為阻斷方法、裝置及網關。
背景技術:
電子郵件作為日常交流的基本媒介,已成為應用內容安全的重點研究領域,其中包括了網絡資源應用行為的管理和控制。具體的,在實際應用中,出于工作原因,有時需要對用戶接收郵件或發(fā)送電子郵件的權限進行控制,比如有些用戶只允許發(fā)送郵件,而有些用戶只允許接收郵件。在實現(xiàn)對用戶接收郵件或發(fā)送電子郵件的權限進行控制時,目前一般所采用的方 式包括全代理模式或流模式。其中,全代理模式具體為通過中間設備分別模擬成客戶端和服務器,中間設備將用戶發(fā)送的郵件緩存并解析相關內容。如果發(fā)現(xiàn)需要被過濾的郵件地址,則將相關地址信息刪除,從而達到控制特定郵件地址接收或發(fā)送郵件的目的。由于全代理模式需要中間設備緩存相關信息,所以增加了中間設備的內存消耗。當有大量用戶發(fā)送有郵件時,由于中間設備的處理能力有限,所以有可能存在無法實現(xiàn)郵件過濾的情況。為了避免由于中間設備負載有限所造成的郵件過濾失敗的問題,還存在另一種對用戶接收郵件或發(fā)送電子郵件的權限進行控制方式,即,流模式。現(xiàn)有技術中的流模式通過檢測郵件行為,當郵件的發(fā)送或接收行為符合設定的阻斷規(guī)則時,斷開該郵件相應客戶端的TCP連接,以實現(xiàn)該郵件行為的阻斷。發(fā)明人經研究發(fā)現(xiàn),現(xiàn)有的流模式至少存在以下缺陷雖然斷開TCP連接可以阻斷郵件,但采用SMTP/P0P3協(xié)議的客戶端會在一小段時間后可以自動重新建立TCP連接,并不斷地嘗試繼續(xù)發(fā)送郵件,從而使得相關設備需要耗費不必要的資源,造成資源浪費。所以采用斷TCP連接的方式并不是一種好的阻斷方法。
發(fā)明內容
有鑒于此,本發(fā)明實施例提供郵件行為阻斷方法、裝置及網關,通過在郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端返回錯誤信息,以指示所述客戶端放棄被限制的郵件操作,進而在實現(xiàn)阻斷越權用戶的郵件操作的過程中減少了相關設備的資源消耗。本發(fā)明實施例的具體內容如下一種郵件行為阻斷方法,包括監(jiān)測客戶端用戶的郵件操作;獲取該用戶的客戶端所發(fā)送SMTP指令中的用戶標識;通過所述用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限;當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端返回錯誤信息,所述錯誤信息用于指示所述客戶端放棄被限制的郵件操作。此外,在本發(fā)明實施例中,還提供了一種郵件行為阻斷裝置,包括檢測模塊,用于監(jiān)測客戶端用戶的郵件操作;獲取該用戶的客戶端所發(fā)送SMTP指令中的用戶標識;權限判斷模塊,用于通過所述用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限;錯誤信息生成模塊,用于當所述郵件操作超出權限時,修改郵件響應信息或認證 密碼,以使郵件服務器向客戶端返回錯誤信息,所述錯誤信息用于指示所述客戶端放棄被限制的郵件操作。此外,在本發(fā)明實施例中,還提供了一種網關,包括郵件行為阻斷裝置;郵件行為阻斷裝置包括檢測模塊,用于監(jiān)測客戶端用戶的郵件操作;獲取該用戶的客戶端所發(fā)送SMTP指令中的用戶標識;權限判斷模塊,用于通過所述用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限;錯誤信息生成模塊,用于當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端返回錯誤信息,所述錯誤信息用于指示所述客戶端放棄被限制的郵件操作。綜上所述,本發(fā)明實施例通過在郵件操作超出權限時,修改郵件響應信息或認證密碼,使得郵件服務器向客戶端返回錯誤信息,以指示所述客戶端放棄被限制的郵件操作,由于本實施例中的方法不會中斷TCP,所以客戶端不會重復的建立連接,從而減少了相關設備的資源消耗。
圖I為本發(fā)明實施例中的郵件行為阻斷方法的流程示意圖;圖2為本發(fā)明實施例中發(fā)送外發(fā)郵件的流程示意圖;圖3為本發(fā)明實施例中接收到達郵件的流程示意圖;圖4為本發(fā)明實施例中的郵件行為阻斷裝置的結構示意圖。
具體實施例方式本發(fā)明實施例中提供了郵件行為阻斷方法、裝置及網關,下面結合實施例進行說明。在本實施例中,所提及的用戶特指通過使用郵件協(xié)議,即,SMTP/P0P3協(xié)議接收和發(fā)送的電子郵件,并不包括通過網頁發(fā)送的電子郵件。參照圖1,本發(fā)明實施例提供了一種郵件行為阻斷方法,包括S11、監(jiān)測連接郵件服務器的用戶的郵件行為;
本實施例基于郵件的基本流程來實現(xiàn)過濾功能,即,需要監(jiān)測與郵件服務器連接的客戶端用戶的郵件操作,這樣,才能對用戶的郵件操作進行分析和判斷。在實際應用中,可以通過網關來實現(xiàn)監(jiān)測連接郵件服務器的用戶的郵件操作。在檢測過程中,具體可以通過獲取用戶的客戶端向服務器發(fā)送的SMTP指令中所包括的用戶標識,以識別用戶。典型的包含有用戶標識的SMTP指令包括MAIL FROM指令和PASS指令。S12、通過用戶標識和預設的用戶對應權限判斷郵件操作是否超出權限;為了限制特定用戶的郵件操作,可以為用戶設置權限,比如用戶的用戶標識,也就是用戶名為aaa,該用戶的權限被設定為限制發(fā)送郵件;而用戶bbb,該用戶則的權限被設定為限制接收郵件。通過從SMTP指令中獲取的用戶標識,根據(jù)預設的用戶權限,即可以判斷用戶的郵件操作是否超出其對應的權限。S13、當郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向 客戶端返回錯誤信息,錯誤信息用于指示所述客戶端放棄被限制的郵件操作。郵件操作超出權限,一般包括超出發(fā)送權限或超出接收權限,即,限制用戶發(fā)送郵件或限制用戶接收郵件。具體的,當郵件操作超出權限為超出發(fā)送權限時,也就是當發(fā)送郵件的用戶屬于限制發(fā)送郵件的用戶時,可以通過修改郵件服務器為客戶端的MAIL FROM指令而反饋的響應碼,以使郵件服務器向客戶端返回響應失敗信息。這樣,客戶端會因為接收到表示服務器處理過程出錯的響應碼,從而不再繼續(xù)執(zhí)行后續(xù)的發(fā)送郵件操作。參考圖2,本發(fā)明實施例中,通過用戶的客戶端發(fā)送外發(fā)郵件的具體過程可以按照以下步驟進行S21、客戶端按照TCP協(xié)議發(fā)送外發(fā)郵件時,首先要與郵件服務器完成握手,郵件服務器的發(fā)送響應碼220表示服務器的郵件服務已準備運作,握手完成。S22、當客戶端接收到郵件服務器的響應碼220后,客戶端通過HELO指令通知郵件服務器該客戶端的主機名。例如,HELO指令可以為HELOaaa. com,表示該客戶端的主機名為aaa. com。S23、當郵件服務器在確認該主機名號后,返回響應碼250以表示系統(tǒng)指令處理正確。雙方已經建立好連接,郵件服務器已經做好接收外發(fā)郵件的準備。S24、當客戶端接收到郵件服務器的響應碼250后,客戶端通過MAILFR0M指令來通知郵件服務器此次發(fā)送外發(fā)郵件的用戶。例如,MAIL FROM指令可以為MAIL a@aaa. com,表示此次發(fā)送外發(fā)郵件的用戶為a@aaa. com。S25、郵件服務器在收到MAIL FROM指令后,如果發(fā)送外發(fā)郵件的用戶的郵件地址正確,會返回表示系統(tǒng)指令處理正確的響應碼250,以表示系統(tǒng)指令處理正確。具體的,例如,在網關檢測到用戶aaa@aaa. com發(fā)送外發(fā)郵件,而該用戶的權限為限制發(fā)送時,在這種情況下,網關在轉發(fā)郵件服務器向客戶端返回的MAIL FROM指令的響應碼時,將本來表示系統(tǒng)指令處理正確的響應碼250修改為表示系統(tǒng)指令處理錯誤的響應碼451。這樣,該響應碼表示服務器處理過程出錯。從而客戶端就不會再繼續(xù)執(zhí)行后續(xù)操作,該用戶的外發(fā)郵件內容也不會被發(fā)送出去,而此時TCP連接也不會被中斷,客戶端也不會重復建立連接。在本發(fā)明實施例中,當郵件操作超出權限為超出接收權限時,也就是當發(fā)送郵件的用戶屬于限制接收郵件的用戶時,可以修改客戶端發(fā)送給郵件服務器的認證碼,以使所述郵件服務器向所述客戶端返回認證失敗信息。具體的,可以通過修改所述接收到達郵件的用戶的PASS指令中包含的認證密碼,以使郵件服務器向客戶端返回認證失敗的響應,從而使客戶端與郵件服務器的TCP連接斷開,進而阻斷了用戶接收郵件。參考圖3,本發(fā)明實施例中,通過用戶的客戶端接收到達郵件的具體流程可以按照以下步驟進行S31、在客戶端接收到達郵件,首先要通過與郵件服務器完成握手來建立TCP連接。S32、接著,客戶端通過AUTH這一 Out I ook客戶端擴展指令來詢問郵件服務器是否 支持SSL加密的郵件傳輸。S33、郵件服務器返回響應ERR來表示不支持。S34、接著,客戶端通過USER指令來進行認證,通知郵件服務器與之連接的客戶端的用戶名。如,郵件地址aaaObbb. com的用戶名為aaa。S35、郵件服務器認證用戶名成功后,向客戶端返回響應OK useraccepted。S36、客戶端在認證用戶名成功后,通過PASS指令來向郵件服務器發(fā)送與用戶名相應的密碼。由于可以通過為限用戶預設用戶權限,從而可以判定用戶是否有權限接收郵件。由于在本發(fā)明實施例中,可以通過網關來實現(xiàn)監(jiān)測連接郵件服務器的用戶的郵件操作,所以可以通過步驟S34中的USER指令檢測到接收郵件的用戶名。這樣,將當接收郵件的用戶為限制發(fā)送用戶時,可以通過修改PASS指令中的密碼,將本來向郵件服務器發(fā)送的正確的用戶名密碼修改為錯誤的用戶名密碼。具體的,例如,當限制發(fā)送用戶列表中包括了用戶bbb@aaa. com時,在網關檢測到該用戶接收郵件時,網關在轉發(fā)客戶端向郵件服務器發(fā)送PASS指令時,將PASS指令中本來正確的用戶名密碼修改為錯誤的用戶名密碼。S37、限制發(fā)送用戶所在的客戶端將會收到郵件服務器認證失敗的響應-ERRinvalid username。S38、客戶端與郵件服務器的TCP連接斷開,從而阻斷了用戶接收郵件。本發(fā)明實施例通過檢測連接郵件服務器的用戶的郵件操作,在獲取SMTP指令中的用戶標識后,判定接收郵件的用戶是否為預設的限制接收用戶,當該用戶為限制接收用戶時,通過修改PASS指令中的密碼,將本來向郵件服務器發(fā)送的正確的用戶名密碼修改為錯誤的用戶名密碼。從而使得郵件服務器向限制接收用戶所在的客戶端發(fā)送認證失敗的響應,進而使得客戶端與郵件服務器的TCP連接斷開,由此阻斷了用戶接收郵件。此外,本發(fā)明實施例還提供了一種郵件行為阻斷裝置,如圖4所示,包括檢測模塊
11、權限判斷模塊12和錯誤信息生成模塊13 ;檢測模塊11用于監(jiān)測客戶端3用戶的郵件操作;獲取該用戶的客戶端3所發(fā)送SMTP指令中的用戶標識;本實施例基于郵件的基本流程來實現(xiàn)過濾功能,即,需要監(jiān)測與郵件服務器2連接的客戶端3用戶的郵件操作,這樣,才能對用戶的郵件操作進行分析和判斷。在實際應用中,可以通過網關I來實現(xiàn)監(jiān)測連接郵件服務器2的用戶的郵件操作。在檢測過程中,具體可以通過獲取用戶的客戶端3向郵件服務2器發(fā)送的SMTP指令中所包括的用戶標識,以識別用戶。采用SMTP/P0P3協(xié)議的郵件系統(tǒng)中,典型的包含有用戶標識的SMTP指令包括MAILFROM指令和PASS指令。權限判斷模塊12用于通過所述用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限;為了限制特定用戶的郵件操作,可以為用戶設置權限,比如用戶的用戶標識,也就是用戶名為aaa,該用戶的權限被設定為限制發(fā)送郵件;而用戶bbb,該用戶則的權限被設定為限制接收郵件。錯誤信息生成模塊13用于當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端3返回錯誤信息,所述錯誤信息用于指示客戶端3放棄被 限制的郵件操作。通過從SMTP指令中獲取的用戶標識,根據(jù)預設的用戶權限,即可以判斷用戶的郵件操作是否超出其對應的權限。在實際應用中,郵件操作超出權限,一般包括超出發(fā)送權限或超出接收權限,SP,限制用戶發(fā)送郵件或限制用戶接收郵件。為此,在本發(fā)明實施例中,錯誤信息生成模塊可以包括響應碼修改單元和認證碼修改單元。具體的,響應碼修改單元用于當郵件操作超出權限為超出發(fā)送權限時,也就是當發(fā)送郵件的用戶屬于限制發(fā)送郵件的用戶時,可以通過修改郵件服務器為客戶端3的MAILFROM指令而反饋的響應碼,以使郵件服務器2向客戶端3返回響應失敗信息。這樣,客戶端3會因為接收到表示郵件服務器2處理過程出錯的響應碼,從而不再繼續(xù)執(zhí)行后續(xù)的發(fā)送郵件操作。例如,在網關檢測到用戶aaa@aaa. com發(fā)送外發(fā)郵件,而該用戶的權限為限制發(fā)送時,在這種情況下,網關在轉發(fā)郵件服務器向客戶端返回的MAIL FROM指令的響應碼時,將本來表示系統(tǒng)指令處理正確的響應碼250修改為表示系統(tǒng)指令處理錯誤的響應碼451。這樣,該響應碼表示服務器處理過程出錯。從而客戶端就不會再繼續(xù)執(zhí)行后續(xù)操作,該用戶的外發(fā)郵件內容也不會被發(fā)送出去,而此時TCP連接也不會被中斷,客戶端也不會重復建立連接。在本發(fā)明實施例中,認證碼修改單元用于當郵件操作超出權限為超出接收權限時,也就是當發(fā)送郵件的用戶屬于限制接收郵件的用戶時,可以修改客戶端3發(fā)送給郵件服務器2的認證碼,以使郵件服務器2向客戶端3返回認證失敗信息。具體的,可以通過修改接收到達郵件的用戶的PASS指令中包含的認證密碼,以使郵件服務器2向客戶端3返回認證失敗的響應,從而使客戶端3與郵件服務器2的TCP連接斷開,進而阻斷了用戶接收郵件。例如,當限制發(fā)送用戶列表中包括了用戶bbb@aaa. com時,在網關檢測到該用戶接收郵件時,網關在轉發(fā)客戶端向郵件服務器發(fā)送PASS指令時,將PASS指令中本來正確的用戶名密碼修改為錯誤的用戶名密碼。此外,本發(fā)明實施例還提供了一種網關,網關包括了與圖4所對應實施例中的郵件行為阻斷裝置,由于在本發(fā)明實施例中,郵件行為阻斷裝置的結構和原理與圖4所對應的實施例中郵件行為阻斷裝置相似,其起到的作用也一樣,在此就不再贅述。最后應說明的是以上實施例僅用以說明本發(fā)明實施例的技術方案,而非對其限制;盡管參照前述實施例對本發(fā)明實施例進行了詳細的說明,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征 進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發(fā)明實施例各實施例技術方案的精神和范圍。
權利要求
1.一種郵件行為阻斷方法,其特征在于,包括 監(jiān)測客戶端用戶的郵件操作;獲取該用戶的客戶端所發(fā)送SMTP指令中的用戶標識; 通過所述用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限; 當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端返回錯誤信息,所述錯誤信息用于指示所述客戶端放棄被限制的郵件操作。
2.如權利要求I所述郵件行為阻斷方法,其特征在于,所述當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使所述客戶端接收到錯誤信息,包括 當所述郵件操作超出權限為超出發(fā)送權限時,修改所述郵件服務器為客戶端的MAILFROM指令而反饋的響應碼,以使所述郵件服務器向所述客戶端返回響應失敗信息。
3.如權利要求I所述郵件行為阻斷方法,其特征在于,所述當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使所述客戶端接收到錯誤信息,包括 當所述郵件操作超出權限為超出接收權限時,修改客戶端發(fā)送給郵件服務器的認證碼,以使所述郵件服務器向所述客戶端返回認證失敗信息。
4.如權利要求2所述郵件行為阻斷方法,其特征在于,所述修改郵件服務器返回的郵件響應碼,包括 修改郵件服務器返回的SMTP響應碼為451。
5.如權利要求3所述郵件行為阻斷方法,其特征在于,所述修改客戶端發(fā)送給郵件服務器的認證碼,包括 修改客戶端發(fā)送的PASS指令中包含的認證密碼。
6.一種郵件行為阻斷裝置,其特征在于,包括 檢測模塊,用于監(jiān)測客戶端用戶的郵件操作;獲取該用戶的客戶端所發(fā)送SMTP指令中的用戶標識; 權限判斷模塊,用于通過所述用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限; 錯誤信息生成模塊,用于當所述郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端返回錯誤信息,所述錯誤信息用于指示所述客戶端放棄被限制的郵件操作。
7.如權利要求6所述郵件行為阻斷裝置,其特征在于,所述錯誤信息生成模塊,包括 郵件響應碼修改単元,用于當發(fā)送郵件操作被限制時,修改郵件服務器返回的郵件響應碼,以使所述郵件服務器向所述客戶端返回響應失敗信息; 認證碼修改単元,用于當接收郵件操作被限制時,修改客戶端發(fā)送給郵件服務器的認證碼,以使所述郵件服務器向所述客戶端返回認證失敗信息。
8.如權利要求7所述郵件行為阻斷裝置,其特征在于,所述發(fā)送阻斷模塊包括 響應碼修改単元,用于當所述郵件操作超出權限為超出發(fā)送權限時,修改所述郵件服務器為客戶端的MAIL FROM指令而反饋的響應碼,以使所述郵件服務器向所述客戶端返回響應失敗信息; 認證碼修改単元,用于當所述郵件操作超出權限為超出接收權限時,修改客戶端發(fā)送給郵件服務器的認證碼,以使所述郵件服務器向所述客戶端返回認證失敗信息。
9.如權利要求8所述郵件行為阻斷裝置,其特征在于,所述修改所述郵件服務器為客戶端的MAIL FROM指令而反饋的響應碼包括 將所述響應碼修改為451。
10.一種網關,其特征在于,包括如權利要求6至9中任一所述郵件行為阻斷裝置。
全文摘要
本發(fā)明公開了郵件行為阻斷方法、裝置及網關,其中郵件行為阻斷方法包括監(jiān)測客戶端用戶的郵件操作;獲取該用戶的客戶端所發(fā)送SMTP指令中的用戶標識;通過用戶標識和預設的用戶對應權限判斷所述郵件操作是否超出權限;當郵件操作超出權限時,修改郵件響應信息或認證密碼,以使郵件服務器向客戶端返回錯誤信息,錯誤信息用于指示客戶端放棄被限制的郵件操作。本實施例通過向客戶端返回錯誤信息來指示客戶端放棄被限制的郵件操作,從而阻斷受限用戶發(fā)送郵件,由于本實施例中的方法不會中斷TCP,所以客戶端不會重復的建立連接,進而節(jié)約了設備的消耗。
文檔編號H04L12/58GK102801644SQ201210037249
公開日2012年11月28日 申請日期2012年2月17日 優(yōu)先權日2011年12月31日
發(fā)明者薛智慧, 蔣武, 李世光, 吳功偉 申請人:成都市華為賽門鐵克科技有限公司