专利 一种邮件攻击溯源方法及系统

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111341526.2 (22)申请日 2021.11.12 (71)申请人北京中睿天下信息技术有限公司地址 100085 北京市海淀区农大南路1号院 8号楼2层201号10 01 (72)发明人刘庆林　安恩庆　兰怀领　张乃亮　魏海宇　刘海洋　李微著　马伟利　吴小勇　李小琼　 (74)专利代理机构北京知呱呱知识产权代理有限公司 1 1577 代理人丁彦峰 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/42(2022.01) (54)发明名称一种邮件攻击溯源方法及系统 (57)摘要本申请公开了一种邮件攻击溯源方法及系统，首先MTA在目标邮件投递的链路中，获取需要经由此MTA转发的目标邮件，并在其中植入定位代码然后投递给目标地址，目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件； MTA将植入定位代码的目标邮件进行投递；客户端获取到目标邮件，当邮件被打开时，定位代码将自动执行，搜集必要的信息发送给指定检测服务器；检测服务器根据接收到的信息判断目标邮件是否正常接收。可以看出，本发明在邮件中植入信息探测代码，当邮件在互联网环境下被打开时，自动向检测服务器发送IP 等必要信息，实现对电子邮件的追踪检测以及对非法查看邮件用户进行反追踪。权利要求书2页说明书7页附图2页 CN 113938311 A 2022.01.14 CN 113938311 A 1.一种邮件攻击溯源方法，其特征在于，所述方法包括： MTA获取目标邮件并植入定位代码，所述目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件； MTA将植入定位代码的目标邮件进行投递；邮件的接收端至少通过电子邮件协议来获取目标邮件，所述电子邮件协议至少包括 IMAP\POP3协议；当接收端打开所述植入定位代码的目标邮件时，在所述接收端执行所述定位代码搜集接收端信息，并将所述接收端信息发送至检测服务器；检测服务器根据所述接收端信息判断所述目标邮件是否正常接收。 2.根据权利要求1所述的方法，其特征在于，所述检测服务器根据所述接收端信息判断所述目标邮件是否正常接收，包括：检测服务器根据接收端IP信息判断所述目标邮件是否正常接收，当所述接收端IP信息为指定网络地址，则所述目标邮件正常接收。 3.根据权利要求2所述的方法，其特征在于，当所述接收端IP信息为异常网络地址，则所述目标邮件被非法接收，则根据所述目标邮件和所述接收端IP信息对异常行为进行分析。 4.根据权利要求3所述的方法，其特征在于，所述根据所述目标邮件和所述接收端IP信息对异常行为进行分析，包括：在单个账号邮件泄漏的情况下，分析结果为用户账号泄漏；在同一网段邮件泄漏的情况下，分析结果为数据被监听，收件服务器被攻击；在所有邮件数据泄漏的情况下，分析结果为发件服务器被劫持；在单一收件人邮件，但多个接收端IP阅读邮件的情况下，分析结果为账号泄漏；在多个未知接收端IP阅读邮件的情况下，分析结果为服务器被劫持，信息泄漏。 5.根据权利要求1所述的方法，其特征在于，所述定位代码根据MIM E格式进行编写。 6.根据权利要求1所述的方法，其特征在于，所述当接收端打开所述植入定位代码的目标邮件时，包括：接收端通过邮件客户端或浏览器等应用软件打开植入定位代码的目标邮件。 7.根据权利要求1所述的方法，其特征在于，在所述接收端执行所述定位代码得到接收端信息，包括：所述接收端执行所述定位代码得到接收端设备信息，至少包括浏览器信息、 CPU信息以及IP地址其中一种。 8.一种邮件攻击溯源系统，其特征在于，所述系统包括： MTA，用于获取目标邮件并植入定位代码，所述目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件；并将植入定位代码的目标邮件进行投递；检测服务器，用于当接收端打开所述植入定位代码的目标邮件时，接收所述接收端执行所述定位代码得到接收端信息；并根据所述接收端信息判断所述目标邮件是否正常接收。 9.根据权利要求8所述的系统，其特征在于，所述检测服务器还包括：根据接收端IP信息判断所述目标邮件是否正常接收，当所述接收端IP信息为指定网络地址，则所述目标邮权　利　要　求　书 1/2 页 2 CN 113938311 A 2件正常接收。 10.根据权利要求9所述的系统，其特征在于，当所述接收端IP信息为异常网络地址，则所述目标邮件被非法接收，所述检测服务器则根据所述目标邮件和所述接收端IP信息对异常行为进行分析。权　利　要　求　书 2/2 页 3 CN 113938311 A 3

专利 一种邮件攻击溯源方法及系统

专利一种邮件攻击溯源方法及系统