基于前沿邮服数据的邮件发送路径和发件IP提取方法与流程

基于前沿邮服数据的邮件发送路径和发件ip提取方法
技术领域
1.本发明涉及邮件分析领域，尤其涉及一种基于前沿邮服数据的邮件发送路径和发件ip提取方法。


背景技术：

2.邮件系统是现代企业信息技术发展产生的重要通讯手段之一。企业可通过搭建邮件服务器构建自己的邮件系统，给内部员工和外部客户提供电子邮件通讯服务。电子邮件可以传输多种信息，包括文本、图片、html、音频等。并且可以通过邮件客户端代理发送电子邮件。电子邮件的一个特点就是发送行为与接收行为是彼此独立的。因此，即使收件人离线，电子邮件依旧可以发送到收件人电子邮件服务器中被缓存，等待收件人从中读取信件，而网络攻击行为中，钓鱼邮件等更是主流的攻击手段，对邮件的各项内容、关键字段等进行伪造修改的手段层出不穷，这无疑增加了邮件类型的网络攻击行为的分析难度。


技术实现要素：

3.本发明的目的就在于为了解决上述问题设计了一种基于前沿邮服数据的邮件发送路径和发件ip提取方法。
4.本发明通过以下技术方案来实现上述目的：
5.基于前沿邮服数据的邮件发送路径和发件ip提取方法，包括：
6.s1、获取待测邮件的邮件头；
7.s2、检测邮件头的起源ip字段和received字段；
8.s3、分析起源ip字段和received字段是否存在，若均存在进入s4；若仅起源ip字段存在，则进入s5；若仅received字段存在，则进入s6；若均不存在则发送路径和发件ip均为空；
9.s4、分析起源ip字段和received字段的关系，确定发送路径和发件ip；
10.s5、分析起源ip字段的相关信息，确定发送路径和发件ip；
11.s6、发送路径为received字段向上组合形成的路径，发件ip为第一个非局域网ip。
12.本发明的有益效果在于：本方法能从邮件中发现并提取出真实的邮件发送路径及发件ip，为邮件攻击行为溯源提供可靠的数据支撑；识别出攻击邮件真实的邮件发送路径及发件ip，解决攻击者伪造邮件发送信息的问题。
附图说明
13.图1是本发明基于前沿邮服数据的邮件发送路径和发件ip提取方法的流程示意图。
具体实施方式
14.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例
中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
15.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
16.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
17.在本发明的描述中，需要理解的是，术语“上”、“下”、“内”、“外”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，或者是本领域技术人员惯常理解的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
18.此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
19.在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，“设置”、“连接”等术语应做广义理解，例如，“连接”可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接连接，也可以通过中间媒介间接连接，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
20.下面结合附图，对本发明的具体实施方式进行详细说明。
21.如图1所示，基于前沿邮服数据的邮件发送路径和发件ip提取方法，包括：
22.s1、获取待测邮件的邮件头。
23.s2、检测邮件头的起源ip字段和received字段，检测received字段时，received字段为邮件头最下边一个received向上组合，fromby中有ip的，展示解析ip，没有ip的，展示邮箱地址或服务器地址。
24.s3、分析起源ip字段和received字段是否存在，若均存在进入s4；若仅起源ip字段存在，则进入s5；若仅received字段存在，则进入s6；若均不存在则发送路径和发件ip均为空。
25.s4、分析起源ip字段和received字段的关系，确定发送路径和发件ip；具体为：
26.s41、分析起源ip字段是否存在于received字段中，若存在，则发送路径为received字段向上组合形成的路径，则进入s42，反之则发送路径为received字段向上组合加上起源ip接入到第一个组合后的公网ip前，并进入s44；
27.s42、分析起源ip是否为公网ip，若是，则进入s43，反之则发件ip为发送路径中第一个公网ip；
28.s43、分析起源ip是否为单ip，若是，则发件ip等于起源ip；反之则发件ip为第一个起源ip；
29.s44、分析起源ip是否为公网ip，若是，则进入s45，反之则发件ip为邮件地址中的
第一个公网ip；
30.s45、分析起源ip是否为单ip，若是，则发件ip为起源ip；反之则发件ip为第一个起源ip。
31.s5、分析起源ip字段的相关信息，确定发送路径和发件ip；具体为：
32.s51、分析起源ip字段的相关信息具体为分析起源ip是否为公网ip，若是，则进入s52；反之则发件ip为空，发送路径为起源ip；
33.s52、分析起源ip是否为单ip，若是，则发件ip为起源ip，发送路径为起源ip；反之则发件ip为第一个起源ip，发送路径为第一个起源ip-》第二个起源ip。
34.s6、发送路径为received字段向上组合形成的路径，发件ip为第一个非局域网ip。
35.received字段向上组合形成路径时，按ip1-》ip2的顺序展现所有的起源ip。起源ip的字段包括x-originating-ip、x-sender-ip、x-senderip、x-sentip、senderip、x-emdg-original-ip。
36.本方法能从邮件中发现并提取出真实的邮件发送路径及发件ip，为邮件攻击行为溯源提供可靠的数据支撑；识别出攻击邮件真实的邮件发送路径及发件ip，解决攻击者伪造邮件发送信息的问题。
37.本发明的技术方案不限于上述具体实施例的限制，凡是根据本发明的技术方案做出的技术变形，均落入本发明的保护范围之内。


技术特征：
1.基于前沿邮服数据的邮件发送路径和发件ip提取方法，其特征在于，包括：s1、获取待测邮件的邮件头；s2、检测邮件头的起源ip字段和received字段；s3、分析起源ip字段和received字段是否存在，若均存在进入s4；若仅起源ip字段存在，则进入s5；若仅received字段存在，则进入s6；若均不存在则发送路径和发件ip均为空；s4、分析起源ip字段和received字段的关系，确定发送路径和发件ip；s5、分析起源ip字段的相关信息，确定发送路径和发件ip；s6、发送路径为received字段向上组合形成的路径，发件ip为第一个非局域网ip。2.根据权利要求1所述的基于前沿邮服数据的邮件发送路径和发件ip提取方法，其特征在于，检测received字段时，received字段为邮件头最下边一个received向上组合，from by中有ip的，展示解析ip，没有ip的，展示邮箱地址或服务器地址。3.根据权利要求1所述的基于前沿邮服数据的邮件发送路径和发件ip提取方法，其特征在于，在s4中包括：s41、分析起源ip字段是否存在于received字段中，若存在，则发送路径为received字段向上组合形成的路径，则进入s42，反之则发送路径为received字段向上组合加上起源ip接入到第一个组合后的公网ip前，并进入s44；s42、分析起源ip是否为公网ip，若是，则进入s43，反之则发件ip为发送路径中第一个公网ip；s43、分析起源ip是否为单ip，若是，则发件ip等于起源ip；反之则发件ip为第一个起源ip；s44、分析起源ip是否为公网ip，若是，则进入s45，反之则发件ip为邮件地址中的第一个公网ip；s45、分析起源ip是否为单ip，若是，则发件ip为起源ip；反之则发件ip为第一个起源ip。4.根据权利要求1所述的基于前沿邮服数据的邮件发送路径和发件ip提取方法，其特征在于，在s5中包括：s51、分析起源ip字段的相关信息具体为分析起源ip是否为公网ip，若是，则进入s52；反之则发件ip为空，发送路径为起源ip；s52、分析起源ip是否为单ip，若是，则发件ip为起源ip，发送路径为起源ip；反之则发件ip为第一个起源ip，发送路径为第一个起源ip->第二个起源ip。

技术总结
本发明公开了基于前沿邮服数据的邮件发送路径和发件IP提取方法，涉及邮件分析领域，包括S1获取待测邮件的邮件头；S2检测邮件头的起源IP字段和Received字段；S3分析起源IP字段和Received字段是否存在，若均存在进S4；若仅起源IP字段存在，进S5；若仅Received字段存在，进S6；若均不存在则发送路径和发件IP均为空；S4分析起源IP字段和Received字段的关系，确定发送路径和发件IP；S5分析起源IP字段的相关信息，确定发送路径和发件IP，S6发送路径为Received字段向上组合形成的路径，发件IP为第一个非局域网IP；能从邮件中发现并提取出发送路径及发件IP，为邮件攻击行为溯源提供可靠的数据支撑；识别出攻击邮件真实的邮件发送路径及发件IP，解决攻击者伪造邮件发送信息的问题。题。题。


技术研发人员：邓金详 代先勇 俞祥基 许贤龙 余泳洁 罗贤明 李闯 刘宗洋 蒋至涛
受保护的技术使用者：成都锋卫科技有限公司
技术研发日：2023.06.25
技术公布日：2023/8/24