通过 EHLO名称和IP地址目标化对电子邮件发送方的集中验证制造技术

一种DNS服务器从接收电子邮件系统接收针对存储于DNS服务器的电子邮件域的DNS查询，该DNS查询包括电子邮件的发送方的识别信息。DNS服务器从DNS查询中提取电子邮件发送方的识别信息，并且根据该信息识别多个递送组织之一。DNS服务器确定所识别的递送组织是否被授权代表电子邮件域递送电子邮件。响应于确定所识别的递送组织被授权代表电子邮件域递送电子邮件，DNS服务器基于被授权的递送组织的身份和电子邮件域生成目标验证记录，该目标验证记录包括向接收电子邮件系统指示递送组织是否是针对电子邮件域的被授权的电子邮件发送方的一个或多个规则。

Centralized verification of e-mail sender by targeting the EHLO name and IP address

A DNS server receives the DNS query for the e-mail domain stored in the DNS server from the receiving e-mail system, which includes the identification information of the sender of the e-mail. The DNS server extracts the identification information of the e-mail sender from the DNS query and identifies one of the multiple delivery organizations based on the information. The DNS server determines whether the identified delivery organization is authorized to deliver e - mail on behalf of the e-mail domain. In response to the identified to determine the delivery by the authorized representative for delivering E-mail e-mail domain, DNS server and email domain to generate the target identity verification record delivery organization authorized based on the target validation records to receive e-mail delivery organization system indicates whether it is directed at one or more regular email domain authorized email sender the.

【技术实现步骤摘要】
【国外来华专利技术】通过EHLO名称和IP地址目标化对电子邮件发送方的集中验证相关申请的交叉引用本申请要求于2015年2月14号提交的第62/116,409号美国临时申请的优先权，其全部内容通过引用而合并于此。
本公开内容一般涉及电子消息领域，具体地，涉及通过EHLO名称和IP地址目标化(targeting)对电子邮件发送方的集中验证。
技术介绍
在如电子邮件的分发式消息系统中，可以针对消息的所声称的身份对消息的实际发起者进行验证，以消除欺诈性消息。这样的欺诈性消息的示例可以包括“钓鱼(phishing)”电子邮件，其声称来自特定发送者但实际上具有伪造的发送方地址，并且是从可能想要对接收方进行某些欺诈活动(例如，盗取个人信息)的恶意实体发送的。一种针对该验证问题的方法是使得发送身份的所有者能够创建定义哪些计算机被允许将电子邮件中继到接收方的电子邮件服务器的一组规则。发送方策略框架(SPF)是针对电子邮件的该方法的标准实现方式。发送身份通过域名系统(DNS)公布这些SPF规则，以使得接收电子邮件服务器能够访问它们以验证接收到的消息的发送方的身份。尽管这种方法会是有效的，但是由于有效媒介(例如，邮件列表、“终身”电子邮件账户)的使用，该方法对接收系统造成了很大负担，并且引起了挑战。例如，可以要求邮件列表服务器转发来自原始发送方的消息，然而，邮件列表服务器并未被原始发送方识别为有效发送方。接收系统在验证消息时检验超过几个这样的规则根本是不可行的，但是完整的规则集可能需要数百或者甚至数千条规则。SPF还包括对允许的域名系统(DNS)查找的次数的严格限制，以限制接收系统上的负担，但是这以无法验证一些合法消息为代价。如发送方重写方案(SRS)的其他技术以可以用更严格的规则集验证的中间身份来替换原始发送方。尽管这最小化了接收系统上的负担，但其不会针对发起者的身份对消息进行验证。因此，所缺乏的是允许定义用于发送方身份验证的任意大且复杂的规则集而不会使接收系统负担过度、并且与现有框架兼容且能共同操作的能力。
技术实现思路
在一些实施例中，系统和方法可包括：重新定义(reframe)围绕从网络或IP层级到发送组织层级的电子邮件的认证问题；利用现有的发送方策略框架(SPF)协议的能力来将从SMTP连接可用的网络信息编码到目标域名中；以及将其与由将该网络信息映射到已知组织的列表的数据库支持的客户DNS系统结合。在一些实施例中，系统和方法允许域管理者定义能够代表其自身发送电子邮件而无需任何附加工作(例如，针对被授权的组织的SPF记录的手动查找、对针对域的DNSTXT记录的修改等)的一组组织。还允许域管理者对任意数量的发送组织进行授权，并且使得域管理者无需追踪被授权的发送方的SPF配置的改变。在一些实施例中，系统和方法可包括发送方策略框架(SPF)，其可以是域的所有者可以在DNSTXT记录中定义指定哪些邮件服务器可以递送源自该域的电子邮件的一组规则(已知为指示符(directive))所依据的协议。接收邮件服务器评估这些规则，并且基于递送服务器的IP地址来确定所讨论的消息是否是被允许源自该域。在一些实施例中，系统和方法可以利用SPF的两个特征。第一个是‘include(包括)’机制，其中，SPF记录可以参考定义了附加DNSSPF记录的目标域，并且将在该参考记录中定义的规则包括到所评估的规则集中。第二个是宏系统，其中，请求特定值(例如，与SMTP连接相关联的IP地址和EHLO名称)可以插入目标域中。在一些实施例中，当配置域时，可以针对域而构建包括‘include’指示符的SPF记录，其中该‘include’指示符使用SPF宏来将电子邮件正被授权的域的名称以及SMTP连接的EHLO名称和/或IP地址编码为目标域名。目标域名可以被构建为位于由目标SPFDNS解析器管理的DNS区域中，DNS系统负责将网络信息映射到已知组织的列表。在另外的实施例中，目标SPFDNS解析器可以负责对针对目标域的DNS查询作出响应。其还可以负责维持网络信息至已知组织的准确且最新的映射，这可以涉及组合公开信息(例如，域注册记录、公开DNS条目以及策划信息)。在另外的实施例中，用于加强发送方策略框架(SPF)的系统和方法可以通过降低整体复杂性和域管理者所经受的维护负担并且消除用于提供类似认证的现有技术系统的状态的现有限制，来促进对电子邮件进行认证的领域的发展。另外，这些方法可以不需要对接收电子邮件的系统进行任何改变，并且可以与现有的且广泛的安装软件的基础兼容。附图说明所公开的实施例具有根据详细描述、所附权利要求以及附图(或图)更加显而易见的优点和特征。下面是对附图的简要介绍。图1示出了根据实施例的能够经由媒介、通过EHLO名称和IP地址目标化来验证电子邮件发送方的示例性系统。图2是示出了根据一个实施例的用于创建供第三方递送组织使用的电子邮件域验证记录的示例性处理的交互图和流程图。图3是示出了根据一个实施例的用于使用DNS来解析电子邮件域验证记录的示例性处理的交互图和流程图。图4是示出了能够从机器可读介质读取指令且在处理器(或控制器)中执行这些指令的示例性机器的部件的框图。具体实施方式附图和以下描述仅通过说明的方式涉及优选实施例。应该注意的是，根据下面的讨论，本文公开的结构和方法的替选实施例容易被认为是在不背离所要求保护的原理的情况下可以采用的可行的替选实施方式。现在将详细地参考多个实施例，其示例在附图中示出。应注意的是，在可实践的情况下，相似或类似的附图标记可用在附图中，并且可表示相似或类似的功能。仅出于说明目的，附图描绘所公开的系统(或方法)的实施例。本领域的技术人员从下面的描述中容易认识到可在不背离本文所描述的原理的情况下采用本文所示的结构和方法的替选实施例。配置概述通过示例性实施例的方式公开了能够经由媒介、通过EHLO名称和IP地址目标化来验证电子邮件发送方的系统和处理。在实施例中，DNS服务器从接收电子邮件系统接收针对存储于DNS服务器的电子邮件域的DNS查询，该DNS查询包括电子邮件发送方的识别信息，并且电子邮件将自身标识为来自电子邮件域。DNS服务器从DNS查询中提取电子邮件发送方的识别信息，并且根据识别信息识别多个递送组织之一。DNS服务器确定所识别的递送组织是否被授权代表电子邮件域递送电子邮件。响应于确定所识别的递送组织被授权代表电子邮件域递送电子邮件，DNS服务器基于被授权的递送组织的身份和电子邮件域生成目标验证记录，并且响应于DNS查询而将目标验证记录发送到接收电子邮件系统，该目标验证记录包括向接收电子邮件系统指示递送组织是针对电子邮件域的被授权的电子邮件发送方的一个或多个规则。在一个实施例中，发送电子邮件系统被配置成创建电子邮件域验证记录以包括在电子邮件域的DNS记录中，该电子邮件域验证记录由接收电子邮件系统在从目标域接收电子邮件时分析，并且向接收电子邮件系统指示电子邮件发送方是否是针对电子邮件域的被授权的发送方。为了创建电子邮件域验证记录，发送电子邮件系统将电子邮件域验证记录构成为包括目标域，从而使得接收电子邮件系统在分析电子邮件域验证记录时向目标域提交对于验证记录的第二请求，该目标域是与电子邮件域不同的域。发送电子邮件系统还将电子邮件域验证记录构本文档来自技高网...

【技术保护点】
一种非暂态计算机可读存储介质，其被配置成存储指令，所述指令在由处理器执行时使得所述处理器执行以下操作：生成电子邮件域验证记录以包括在电子邮件域的域名系统(DNS)记录中，所述电子邮件域验证记录要由接收电子邮件系统在从目标域接收电子邮件时分析，并且向所述接收电子邮件系统指示电子邮件的发送方是否是针对所述电子邮件域的被授权的发送方，所述电子邮件域验证记录的生成包括在由处理器执行时使得所述处理器执行以下操作的指令：生成所述电子邮件域验证记录以包括目标域，从而使得所述接收电子邮件系统在分析所述电子邮件域验证记录时向所述目标域提交对于验证记录的第二请求，所述目标域是与所述电子邮件域不同的域；以及生成所述电子邮件域验证记录以包括指定识别信息的一个或多个发送方策略框架(SPF)宏语句，所述宏语句使得所述接收电子邮件系统在分析所述电子邮件域验证记录时将所述电子邮件的发送方的扩展HELO(EHLO)名称和互联网协议(IP)地址作为识别信息包括在所述第二请求中；以及将创建的电子邮件域验证记录作为所述电子邮件域的DNS记录进行公布。

【技术特征摘要】
【国外来华专利技术】2015.02.14 US 62/116,4091.一种非暂态计算机可读存储介质，其被配置成存储指令，所述指令在由处理器执行时使得所述处理器执行以下操作：生成电子邮件域验证记录以包括在电子邮件域的域名系统(DNS)记录中，所述电子邮件域验证记录要由接收电子邮件系统在从目标域接收电子邮件时分析，并且向所述接收电子邮件系统指示电子邮件的发送方是否是针对所述电子邮件域的被授权的发送方，所述电子邮件域验证记录的生成包括在由处理器执行时使得所述处理器执行以下操作的指令：生成所述电子邮件域验证记录以包括目标域，从而使得所述接收电子邮件系统在分析所述电子邮件域验证记录时向所述目标域提交对于验证记录的第二请求，所述目标域是与所述电子邮件域不同的域；以及生成所述电子邮件域验证记录以包括指定识别信息的一个或多个发送方策略框架(SPF)宏语句，所述宏语句使得所述接收电子邮件系统在分析所述电子邮件域验证记录时将所述电子邮件的发送方的扩展HELO(EHLO)名称和互联网协议(IP)地址作为识别信息包括在所述第二请求中；以及将创建的电子邮件域验证记录作为所述电子邮件域的DNS记录进行公布。2.根据权利要求1所述的计算机可读存储介质，其中，所述电子邮件域验证记录是发送方策略框架(SPF)记录。3.根据权利要求1所述的计算机可读存储介质，其中，所述电子邮件域验证记录中的所述宏语句和所述目标域是通过在形成主机名时不允许的分隔符来分隔的。4.根据权利要求1所述的计算机可读存储介质，其中，所述DNS记录还被隐藏在一个或多个DNS规范名称记录(CNAME)条目之后。5.一种计算机实现的处理，包括：在域名系统(DNS)服务器从接收电子邮件系统接收针对存储于所述DNS服务器的电子邮件域的DNS查询，所述DNS查询包括电子邮件的发送方的识别信息，并且所述电子邮件被识别为来自所述电子邮件域；从所述DNS查询中提取所述电子邮件的发送方的识别信息，以识别多个递送组织之一；确定所识别的递送组织是否被授权代表所述电子邮件域递送电子邮件；响应于确定所识别的递送组织被授权代表所述电子邮件域递送电子邮件，基于被授权的递送组织的身份和所述电子邮件域而生成目标验证记录，所述目标验证记录包括一个或多个规则，所述一个或多个规则向所述接收电子邮件系统指示所述递送组织是针对所述电子邮件域的被授权的电子邮件发送方；以及响应于所述DNS查询，将所述目标验证记录传送到所述接收电子邮件系统。6.根据权利要求5所述的处理，其中，所述识别信息包括扩展HELO(EHLO)名称和(互联网协议)IP地址，并且根据所述识别信息识别多个递送组织之一还包括：访问将EHLO名称和IP地址与递送组织相关联的数据库，以确定被给予所述识别信息中指示的所述EHLO名称和IP地址的递送组织。7.根据权利要求6所述的处理，其中，所述数据库通过以下步骤来创建：访问在统计上数量相当大的经认证的并递送的电子邮件的标题信息；在所述数据库中生成多个唯一条目，所述数据库中的每个条目均包括从所述电子邮件的标题信息中分析的EHLO名称、IP地址以及递送组织名称。8.根据权利要求6所述的处理，其中，所述数据库通过以下步骤来创建：访问在统计上数量相当大的电子邮件域的域注册信息；在所述数据库中生成多个唯一条目，所述数据库中的每个条目均包括从所述电子邮件域的域注册信息中分析的域名、IP地址和递送组织名称。9.根据权利要求5所述的处理，还包括：确定所识别的递送组织在已知的递送组织列表中。10.根据权利要求5所述的处理，其中，确定所识别的递送组织被授权代表所述电子邮件域递送电子邮件还包括：访问将一个或多个被授权的递送组织与电子邮件域相关联的数据库，以确定所述递送组织是否被授权代表所述电子邮件域发送电子邮件。11.根据权利要求10所述的处理，其中，所述识别信息包括所述电子邮件的返回路径地址的局部，并且其中，所述数据库还针对每个电子邮件域而将所述返回路径地址的一个或多个局部进行关联，所述一个或多个递送组织被...

【专利技术属性】
技术研发人员：彼得·马丁·戈尔茨坦，
申请(专利权)人：瓦利梅尔公司，
类型：发明
国别省市：美国,US