一种网络邮件业务监视方法技术

一种网络邮件业务监视方法，通过在出口交换机上设置网络监视服务器对通过出口交换机的邮件进行监视，并将邮件的发件人，收件人，主题，邮件正文及附件还原至镜像服务器。本发明专利技术与现有技术相比，可以有效的监控企业所有的邮件内容，本发明专利技术使用pf_ring，性能较传统技术提高50％以上，效率较高；响应时间较短，无需较高的服务器配置成本且能够进行标准与非标准的协议扩展。

【技术实现步骤摘要】

本专利技术涉及计算机网络安全领域，具体涉及一种网络邮件业务监视方法。
技术介绍
企业或个人之间的很多业务往来都是通过电子邮件的方式进行，但是在邮件交互过程中，往往会携带企业重要或保密文件，可能会损害企业的根本利益。而现有的网络邮件业务监视方法效率较低，响应时间较长，需要较高的服务器配置成本且无法进行协议扩展。
技术实现思路
本专利技术的目的在于提供一种网络邮件业务监视方法，该网络邮件业务监视方法可以有效的监控企业所有的邮件内容，效率较高，响应时间较短，无需较高的服务器配置成本且能够进行标准与非标准的协议扩展。为实现上述目的本专利技术提供了一种网络邮件业务监视方法，通过在出口交换机上设置网络监视服务器对通过出口交换机的邮件进行监视，并将邮件的发件人，收件人，主题，邮件正文及附件还原至镜像服务器。所述网络邮件业务监视方法包括步骤：镜像数据、数据采集、过滤数据、TCP流重组、数据识别、邮件还原、数据储存。所述的镜像数据具体为获取通过出口交换机的数据；所述的数据采集具体为使用PF_RING驱动将数据采集至网络监视服务器。所述的过滤数据具体为将非邮件数据抛弃；所述的TCP流重组具体为处理TCP乱序重传，对TCP数据进行重新排序。所述的数据识别具体为对数据进行分析，确定协议ID，为后续业务还原提供依据；所述的邮件还原具体为根据协议ID，对邮件还原，提取邮件的发件人，收件人，主题，邮件正文及附件等重要信息；所述的数据储存具体为把还原的邮件信息进行存储到镜像服务器上。所述的根据协议ID，对邮件还原，提取邮件的发件人，收件人，主题，邮件正文及附件等重要信息，当邮件端口为25时，步骤为：a)通过协议ID，加载smtp动态库；b)初始化smtp数据，主要上行数据和下行数据；c)判断此数据是否compress压缩，如果压缩则解压，并把解压后的数据和前面未压缩的数据合并，生成新的上行数据，并删除原有的上行数据；d)解析用户名和密码，当上行数据出现AUTHLOGIN时，后面即可认为是用户名和密码，数据采用base64解码，即可得到用户名和密码信息；e)解析所有收件人，特征字RCPTTO:；f)解析内嵌邮件，凡出现特征字Content-Type:message/rfc822均认为内嵌邮件，具体流程：g)解析邮件中所有特征字Content-Type:application/的附件，内部判断是否都含有附件名称，有则处理，没有则丢弃，此外还需判断附件名称和特征字是否在同一个mime片段内，如果不是则丢弃，可能含有附件名分段情况，需特殊处理；h)解析邮件中所有特征字Content-Type:image/的附件，内部判断是否都含有附件名称，有则处理，没有则丢弃，此外还需判断附件名称和特征字是否在同一个mime片段内，如果不是则丢弃，可能含有附件名分段情况，需特殊处理；i)解析邮件中所有特征字Content-Type:text/的附件，内部判断是否都含有附件名称，有则处理，没有则丢弃，此外还需判断附件名称和特征字是否在同一个mime片段内，如果不是则丢弃，可能含有附件名分段情况，需特殊处理；j)解析邮件时间；k)解析邮件发件人；l)解析邮件收件人，可能含有多个，根据客户端不同，解析有细节变化；m)解析邮件抄送人，可能含有多个，根据客户端不同，解析有细节变化；n)解析邮件密送人；o)解析邮件主题，可能含有主题分段情况，需特殊处理；p)解析客户端版本；q)解析邮件正文，先识别html格式的正文，如果没有则把text/plain作为正文；r)如果发件人为空，则丢弃则邮件；s)结束。所述的根据协议ID，对邮件还原，提取邮件的发件人，收件人，主题，邮件正文及附件等重要信息，当邮件端口为80时，步骤为：a)通过协议ID，加载http动态库；b)http识别后，进行http协议解析，解析出http的主要信息，包括Mail-Upload-size等邮件上传附件等关键信息，用于判断此附件内容是否完整，此种格式为“非mime格式”；c)通过http具体应用配置文件，识别出webmail的数据，进而调用webmail入口，进行webmail的解析；d)进行用户名和id的分析，对符合条件的加入到hash表中；e)分析类mime格式附件是否完整，完整则继续；否则缓存该附件，退出；此时必须在模板中配置相应的内容，UPLOADSIZE；f)判断非mime格式附件是否完整，完整则继续；否则缓存该附件，退出；无需配置，自动识别；g)解析邮件的其他基本信息，如收件人，抄送人等；h)识别附件id(包括上传附件，和发送邮件)，可以优先配置id在较小区域内查找，此处解析均得到附件id的数组(多个)；i)根据附件id的个数，逐个进行判断；j)通过id查找用户缓存，找到对应的附件名称和附件内容，从而添加到webmail结构中；k)解析邮件正文，区分类mime格式和非mime格式，进行不同的处理；l)解析邮件附件内容跟随邮件正文一起发送的特殊格式，循环处理；m)判断如果行为为用户上传或者删除时，清空webmail对象内存，退出；n)判断邮箱为163和126时，则会把用户空间缓存的所有附件一并输出；o)去掉to、cc、bcc最后的“；”号；p)使http的pGeneralInfo指向webmail对象，退出；q)使http的m_nAppID置为webmail的协议ID；r)如果在webmail识别过程中发现非webmail，则返回false，则会继续对此http进行解析；s)解析http的POST或GET的数据；t)将此http的解析的信息拷贝到http入口的参数中；u)关闭http解码对象；v)检查用户hash表超时；w)结束。所述的解析内嵌邮件，凡出现特征字Content-Type:message/rfc822均认为内嵌邮件，步骤为：a)由于内嵌邮件可能大于一个，所以此为一个循坏；b)此邮件的主题作为附件名，正文作为附件内容；c)判断此邮件是否mime格式，如果是，则使用此邮件的内容分隔符作为分隔符，否则把外面大邮件的mime的内容分隔符作为此邮件的分隔符；d)优先识别html格式的正文，如果没有则把text/plain作为正文；e)后识别此内嵌邮件的其他附件，同大邮件的附件识别相同；f)由于有些限制，目前只能支持一级嵌套邮件的处理；g)把此内嵌邮件清空，即在大邮件中清除此内嵌邮件的所有内容。所述的根据附件id的个数，逐个进行判断，具体为：如果为上传附件行为，则把id和对应的附件内容及附件名称添加到用户缓存中；如果为删除附件行为，则通过id删除此附件在用户空间中的存储；如果为发送邮件行为，则优先识别id中是否“％2C”，有则把此id拆分为不同的id，没有则把此id作为单独id。本专利技术与现有技术相比，可以有效的监控企业所有的邮件内容，本专利技术使用pf_ring，性能较传统技术提高50％以上，效率较高；响应时间较短，无需较高的服务器配置成本且能够进行标准与非标准的协议扩展。附图说明图1是本专利技术实施例1的流程图。具体实施方式以下是本专利技术的具体实施例，对本专利技术的技术方案做进一步的描述，但是本专利技术的保护范围并不限于这些实施例。凡是不背离本专利技术构思的改变或等同替代均包括在本专利技术的保护范围本文档来自技高网...

【技术保护点】
一种网络邮件业务监视方法，其特征在于，通过在出口交换机上设置网络监视服务器对通过出口交换机的邮件进行监视，并将邮件的发件人，收件人，主题，邮件正文及附件还原至镜像服务器。

【技术特征摘要】
1.一种网络邮件业务监视方法，其特征在于，通过在出口交换机上设置网络监视服务器对通过出口交换机的邮件进行监视，并将邮件的发件人，收件人，主题，邮件正文及附件还原至镜像服务器。2.根据权利要求1所述的网络邮件业务监视方法，其特征在于，步骤为：镜像数据、数据采集、过滤数据、TCP流重组、数据识别、邮件还原、数据储存。3.根据权利要求2所述的网络邮件业务监视方法，其特征在于：所述的镜像数据具体为获取通过出口交换机的数据；所述的数据采集具体为使用PF_RING驱动将数据采集至网络监视服务器。4.根据权利要求2所述的网络邮件业务监视方法，其特征在于：所述的过滤数据具体为将非邮件数据抛弃；所述的TCP流重组具体为处理TCP乱序重传，对TCP数据进行重新排序。5.根据权利要求2所述的网络邮件业务监视方法，其特征在于：所述的数据识别具体为对数据进行分析，确定协议ID，为后续业务还原提供依据；所述的邮件还原具体为根据协议ID，对邮件还原，提取邮件的发件人，收件人，主题，邮件正文及附件等重要信息；所述的数据储存具体为把还原的邮件信息进行存储到镜像服务器上。6.根据权利要求5所述的网络邮件业务监视方法，其特征在于，所述的根据协议ID，对邮件还原，提取邮件的发件人，收件人，主题，邮件正文及附件等重要信息，当邮件端口为25时，步骤为：a)通过协议ID，加载smtp动态库；b)初始化smtp数据，主要上行数据和下行数据；c)判断此数据是否compress压缩，如果压缩则解压，并把解压后的数据和前面未压缩的数据合并，生成新的上行数据，并删除原有的上行数据；d)解析用户名和密码，当上行数据出现AUTHLOGIN时，后面即可认为是用户名和密码，数据采用base64解码，即可得到用户名和密码信息；e)解析所有收件人，特征字RCPTTO:；f)解析内嵌邮件，凡出现特征字Content-Type:message/rfc822均认为内嵌邮件，具体流程：g)解析邮件中所有特征字Content-Type:application/的附件，内部判断是否都含有附件名称，有则处理，没有则丢弃，此外还需判断附件名称和特征字是否在同一个mime片段内，如果不是则丢弃，可能含有附件名分段情况，需特殊处理；h)解析邮件中所有特征字Content-Type:image/的附件，内部判断是否都含有附件名称，有则处理，没有则丢弃，此外还需判断附件名称和特征字是否在同一个mime片段内，如果不是则丢弃，可能含有附件名分段情况，需特殊处理；i)解析邮件中所有特征字Content-Type:text/的附件，内部判断是否都含有附件名称，有则处理，没有则丢弃，此外还需判断附件名称和特征字是否在同一个mime片段内，如果不是则丢弃，可能含有附件名分段情况，需特殊处理；j)解析邮件时间；k)解析邮件发件人；l)解析邮件收件人，可能含有多个，根据客户端不同，解析有细节变化；m)解析邮件抄送人，可能含有多个，根据客户端不同，解析有细节变化；n)解析邮件密送人；o)解析邮件主题，可能含有主题分段情况，需特殊处理；p)解析客户端版本；q)解析邮件正文，先识别html格式的正文，如果没有则把text/plain作为正文；r)如果发件人为空，则丢弃则邮件；s)结束。7.根据权利要求5所述的网...

【专利技术属性】
技术研发人员：张睿超，吴进波，
申请(专利权)人：杭州华途软件有限公司，
类型：发明
国别省市：浙江;33