一种邮件管控方法、装置，网络安全设备及存储介质与流程

1.本技术涉及网络安全领域，具体而言，涉及一种邮件管控方法、装置，网络安全设备及存储介质。


背景技术：

2.随着网络技术的飞速发展，电子邮件已成为一种快捷、经济的通信技术手段。然而，电子邮件在为用户提供方便的同时，也成为垃圾邮件、病毒、恶意程序或敏感内容传播的重要载体，为整个网络系统的安全造成了严重的威胁。目前的网络系统中，无法对网络中传输的电子邮件进行有效地管控。


技术实现要素：

3.本技术实施例的目的在于提供一种邮件管控方法、装置，网络安全设备及存储介质，以实现对网络中传输的电子邮件进行有效地管控，提高网络安全。
4.本发明是这样实现的：
5.第一方面，本技术实施例提供一种邮件管控方法，应用于部署在网络安全设备上的amavisd模块；所述方法包括：在接收到邮件后，将所述邮件保存在本地；触发与所述amavisd模块对应的检测引擎对保存至本地的所述邮件进行解析，以使所述检测引擎在解析得到待检测类别的邮件数据后，将所述邮件数据发送至检测中心进行检测；在接收到所述检测引擎返回的检测结果时，基于所述检测结果对所述邮件进行管控。
6.在本技术实施例中，通过在网络安全设备上部署amavisd模块，使得网络安全设备能够基于amavisd模块实现邮件的检测(通过amavisd模块可以实现与检测引擎之间的交互)，并基于检测结果对邮件进行管控。由于邮件检测的过程被配置在了网络安全设备上，因此，用户可以根据需求对网络系统中的网络安全设备进行灵活配置，可满足企业对邮件安全性的要求，同时该方式与现有技术中在邮件服务器上配置检测功能相比，配置更加简单，更易于实现。
7.结合上述第一方面提供的技术方案，在一些可能的实现方式中，所述在触发与所述amavisd模块对应的检测引擎对所述邮件进行解析之前，所述方法还包括：根据预设的类别格式对所述邮件进行归一化处理。
8.在本技术实施例中，amavisd模块还用于在触发检测引擎对保存至本地的邮件进行解析之前，根据预设的类别格式对邮件进行归一化处理，以便于检测引擎可以直接在获取到待检测类别的邮件数据后，将其发送至检测中心进行检测。通过该方式可提高邮件的检测效率，并减小检测引擎的解析压力。
9.结合上述第一方面提供的技术方案，在一些可能的实现方式中，所述触发与所述amavisd模块对应的检测引擎对保存至本地的所述邮件进行解析，包括：确定所述邮件在本地的保存路径；通过本地socket通讯方式将所述保存路径发送至与所述amavisd模块对应的检测引擎，使得所述检测引擎读取所述保存路径内的信息进行解析。
10.在本技术实施例中，amavisd模块在确定邮件在本地的保存路径后，通过本地socket通讯方式以实现与对应的检测引擎之间的交互。通过该方式可实现在网络安全设备上对邮件的检测。
11.结合上述第一方面提供的技术方案，在一些可能的实现方式中，当所述检测结果表征所述邮件为安全邮件时，所述方法还包括：将所述安全邮件进行标记；将标记后的安全邮件转发至下一跳网关设备；其中，所述标记后的安全邮件表征无需再进行检测。
12.在本技术实施例中，当邮件的检测结果为安全时，则可以对该邮件进行标记，进而使得该邮件转发至的下一跳网络设备时，无需进行二次检测，由此，在保证邮件安全的情况下，可提高邮件传输效率。
13.结合上述第一方面提供的技术方案，在一些可能的实现方式中，所述在接收到邮件后，将所述邮件保存在本地，包括：在通过与所述amavisd模块对应的指定端口接收到所述邮件后，将所述邮件保存在本地。
14.在本技术实施例中，amavisd模块中配置有指定端口，使得网络安全设备仅对指定端口传输的邮件进行检测。可见，用户可以根据邮件检测需求对网络安全设备的端口进行灵活配置。
15.结合上述第一方面提供的技术方案，在一些可能的实现方式中，所述在接收到邮件后，将所述邮件保存在本地，包括：在接收到所述邮件，且确定所述邮件为预设邮件时，将所述邮件保存在本地。
16.在本技术实施例中，amavisd模块中配置预设邮件，进而使得网络安全设备仅对预设邮件进行检测。可见，用户可以根据邮件检测需求，配置网络安全设备为仅对特定的邮件进行检测，从而减小网络安全设备的压力。
17.结合上述第一方面提供的技术方案，在一些可能的实现方式中，当所述检测结果表征所述邮件为风险邮件时，所述方法还包括：确定所述风险邮件的目的邮箱服务器；向所述目的邮箱服务器提示是否接收所述风险邮件的提示信息。
18.在本技术实施例中，在确定邮件为风险邮件时，可及时的通知目标邮箱服务器，以实现风险提醒。
19.第二方面，本技术实施例提供一种邮件管控装置，配置于网络安全设备，所述装置包括：
20.amavisd模块，用于在接收到邮件后，将所述邮件保存在本地；触发与所述amavisd模块对应的检测引擎对保存至本地的所述邮件进行解析，以使所述检测引擎在解析得到待检测类别的邮件数据后，将所述邮件数据发送至检测中心进行检测；在接收到所述检测引擎返回的检测结果时，基于所述检测结果对所述邮件进行管控。
21.第三方面，本技术实施例提供一种网络安全设备，包括：处理器和存储器，所述处理器和所述存储器连接；所述存储器用于存储程序；所述处理器用于调用存储在所述存储器中的程序，执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
22.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
circuit，asic)、分立门或晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。此外，通用处理器可以是微处理器或者任何常规处理器等。
38.存储器120可以是，但不限于，随机存取存储器(random access memory，ram)、只读存储器(read only memory，rom)、可编程只读存储器(programmable read-only memory，prom)、可擦可编程序只读存储器(erasable programmable read-only memory，eprom)，以及电可擦编程只读存储器(electric erasable programmable read-only memory，eeprom)。存储器120用于存储程序，处理器110在接收到执行指令后，执行该程序。
39.需要说明的是，图2所示的结构仅为示意，本技术实施例提供的网络安全设备100还可以具有比图2更少或更多的组件，或是具有与图2所示不同的配置。此外，图2所示的各组件可以通过软件、硬件或其组合实现。
40.上述的客户邮箱服务器、目的邮箱服务器可以是但不限于网络服务器、数据库服务器、云服务器或由多个子服务器构成的服务器集成等。当然，上述列举的设备仅用于便于理解本技术实施例，其不应作为对本实施例的限定。
41.请参阅图3，图3为本技术实施例提供的邮件管控方法的步骤流程图，该方法应用于部署在图1所示的网络安全设备100上的amavisd模块。需要说明的是，本技术实施例提供的邮件管控方法不以图3及以下所示的顺序为限制，该方法包括：步骤s101-步骤s103。
42.步骤s101：在接收到邮件后，将邮件保存在本地。
43.首先，用户可以在网络安全设备上部署amavisd模块。于本技术实施例中，amavisd模块用于作为一个介于mta(mail transfer agent，邮件传输代理)和内容过滤软件之间的桥梁。通过在网络安全设备上部署的amavisd模块可以实现在网络安全设备上对邮件进行安全检测。当然，部署有amavisd模块的网络安全设备本身也可以看做一个中继mta，进而使得网络安全设备在接收到邮件后，可以将邮件直接保存在本地。
44.作为一种实施方式，用户可以采用wedui(website user interface，网络产品界面设计)的方式修改amavisd模块的配置文件，以实现期望的功能。
45.一实施例中，amavisd模块的配置文件中包括指定端口，指定端口表征经该端口接收的邮件需要进行检测。指定端口可以是但不限于端口25、端口110、端口143。其中，端口25为smtp(simple mail transfer protocol，简单邮件传输协议)服务所开放的端口。端口110为pop3(post office protocol version 3，邮局协议3)服务开放的端口。端口143为imap(internet message access protocol，因特网消息访问协议)服务开放的端口。
46.即，步骤s101在接收到邮件后，将邮件保存在本地，可以具体包括：在通过与amavisd模块对应的指定端口接收到邮件后，将邮件保存在本地。
47.示例性的，amavisd模块内部配置有指定端口，当amavisd模块监测到网络安全设备通过指定端口接收到邮件后，将该邮件保存在本地。通过将邮件保存在本地，以便于后续进行检测。而其他端口接收到的邮件则直接进行转发。
48.可见，通过在amavisd模块中配置有指定端口，进而使得网络安全设备仅对指定端口传输的邮件进行检测。也即，用户可以根据邮件检测需求对网络安全设备的端口进行灵活配置。
49.一实施例中，amavisd模块的配置文件中包括预设邮件。需要说明的是，预设邮件
可以配置为预设目的邮件服务器的邮件、预设邮件主题的邮件或预设邮件发件人的邮件。也即，预设邮件配置为确定的目的邮件服务器、确定的邮件主题、或确定的邮件发件人。此处，邮件发件人为发件人的邮件。
50.相应的，步骤s101在接收到邮件后，将邮件保存在本地，包括：在接收到邮件，且确定邮件为预设邮件时，将邮件保存在本地。
51.示例性的，网络安全设备在接收到邮件后，amavisd模块可以对接收到的邮件进行匹配，若该邮件与配置文件中的预设目的邮件服务器相同时，则确定该邮件为预设邮件，并将该邮件保存在本地。通过将邮件保存在本地，以便于后续进行检测。而其他端口接收到的邮件则直接进行转发。若该邮件与配置文件中的预设目的邮件服务器不相同，则直接将该邮件进行转发。
52.示例性的，网络安全设备在接收到邮件后，amavisd模块可以对接收到的邮件进行匹配，若该邮件与配置文件中的预设邮件主题相同时，则确定该邮件为预设邮件，并将该邮件保存在本地。通过将邮件保存在本地，以便于后续进行检测。而其他端口接收到的邮件则直接进行转发。若该邮件与配置文件中的预设邮件主题不相同，则直接将该邮件进行转发。
53.可见，通过在amavisd模块中配置预设邮件，使得网络安全设备仅对预设邮件进行检测。也即，用户可以根据邮件检测需求，配置网络安全设备为仅对特定的邮件进行检测，从而减小网络安全设备的压力。
54.步骤s102：触发与amavisd模块对应的检测引擎对保存至本地的邮件进行解析，以使检测引擎在解析得到待检测类别的邮件数据后，将邮件数据发送至检测中心进行检测。
55.需要说明的是，网络安全设备中还配置有检测引擎，检测引擎用于对邮件进行解析。检测引擎在解析得到待检测类别的邮件数据后，将邮件数据发送至检测中心进行检测。上述的待检测类别可以是但不限于邮件主题、邮件正文、邮件附件等等。
56.相应的，配置amavisd模块的配置文件中可以配置有指定的检查引擎，进而通过amavisd模块实现与检测引擎之间的交互。当然，amavisd模块还可以根据不同端口接收的邮件或不同的预设邮件触发不同的检测引擎进行解析。
57.于本技术实施例中，amavisd模块可以通过本地socket(套接字)通讯方式与检测引擎之前建立通信。相应的，上述amavisd模块触发与amavisd模块对应的检测引擎对保存至本地的邮件进行解析可以具体包括：确定邮件在本地的保存路径；通过本地socket通讯方式将保存路径发送至与amavisd模块对应的检测引擎，使得检测引擎读取保存路径内的信息进行解析。
58.一实施例中，amavisd模块中的配置文件中可以包括指定的保存路径。当网络安全设备在接收到邮件后，amavisd模块将该邮件保存在指定的保存路径中，然后通过本地socket通讯方式通知检测引擎读取指定的保存路径中的文件内容，并对该文件内容进行解析。检测引擎在解析得到待检测类别的邮件数据后，将邮件数据发送至检测中心进行检测。
59.另一实施例中，amavisd模块在接收到邮件后进行保存时，可以一并生成保存路径，并在本地同时保存该邮件及该邮件的保存路径。此时，amavisd模块通过本地socket通讯方式通知检测引擎读取保存路径中的文件内容，并对该文件内容进行解析。检测引擎在解析得到待检测类别的邮件数据后，将邮件数据发送至检测中心进行检测。
60.可见，amavisd模块在确定邮件在本地的保存路径后，通过本地socket通讯方式以
实现与对应的检测引擎之间的交互。通过该方式实现了在网络安全设备上对邮件的检测。
61.在本技术实施例中，检测引擎可以具体用于通过邮件的报文协议特征，解析出待检测类别的完整邮件数据，然后将该数据发送至检测中心进行检测。
62.于本技术实施例中，检测中心部署在网络安全设备上，检测中心的检测策略可以根据需求进行配置，比如敏感数据检测策略、病毒数据检测策略、黑名单用户匹配策略等等，本技术不作限定。此外，检测中心可以配置有不同的送检接口，进而从不同的送检接口接收邮件数据后执行不同的检测策略。
63.检测中心在基于邮件数据进行检测后，可以根据不同的响应动作生成检测结果。示例性的，响应动作为检测出敏感词，则生成的检测结果为邮件为风险邮件，且检测结果中可以标记出邮件中敏感词的位置。检测中心在生成检测结果后，将检测结果发送至检测引擎。
64.于本技术实施例中，检测引擎可以通过icap(internet content adaptation protocol，一种执行远程过程调用的轻量级的协议)协议将该数据发送至检测中心进行检测。
65.此外，检测引擎在配置时，也可以配置为具备基础的检测功能，如敏感词识别等，对此，本技术不作限定。
66.可选地，amavisd模块在触发与amavisd模块对应的检测引擎对邮件进行解析之前，所述方法还包括：根据预设的类别格式对邮件进行归一化处理。
67.需要说明的是，此处的归一化处理为将邮件根据预设的类别格式件划分。预设的类别格式可以包括：信封、主题、正文、附件个数、附件列表。示例性的，amavisd模块可以在保存邮件时，将邮件按照信封、主题、正文、附件个数、附件列表的形式进行划分。然后，amavisd模块在触发与amavisd模块对应的检测引擎对邮件进行解析，检测引擎便可以直接提取待检测类别的邮件数据。比如，检测引擎需要提取邮件正文数据，则，检测引擎无需自身对完整的邮件进行解析，而只需要在根据预设的类别格式进行归一化处理后的邮件中提取出邮件正文数据，并确认邮件正文数据的完整性即可。
68.可见，在本技术实施例中，amavisd模块还用于在触发检测引擎对保存至本地的邮件进行解析之前，根据预设的类别格式对邮件进行归一化处理，以便于检测引擎可以直接获取到待检测类别的邮件数据后，将其发送至检测中心进行检测。通过该方式可提高邮件的检测效率，并减小检测引擎的解析压力。
69.步骤s103：在接收到检测引擎返回的检测结果时，基于检测结果对邮件进行管控。
70.当检测引擎接收到检测中心返回的检测结果后，将该检测结果发送至amavisd模块。在接收到检测引擎返回的检测结果时，基于检测结果对邮件进行管控。
71.一实施例中，当检测结果表征邮件为安全邮件时，amavisd模块可以直接将该邮件进行转发。
72.一实施例中，当检测结果表征邮件为安全邮件时，该方法还包括：将安全邮件进行标记；将标记后的安全邮件转发至下一跳网关设备；其中，标记后的安全邮件表征无需再进行检测。
73.也即，用户可以同时在多个网关设备设备部署amavisd模块。而为了避免在一台网关设备已经识别出邮件为安全邮件后，其余的网关设备再次对邮件进行检测，则可以采用
标记的方式，以提示其余的网关设备该邮件已经检测过，且检测结果为安全。其余的网关设备在识别到标记后，直接对该邮件进行转发。
74.可见，在本技术实施例中，当邮件的检测结果为安全时，则可以对该邮件进行标记，进而使得该邮件转发至的下一跳网络设备时无需进行二次检测，由此，在保证邮件安全的情况下，可提高邮件传输效率。
75.一实施例中，当检测结果表征邮件为风险邮件时，该方法还包括：确定风险邮件的目的邮箱服务器；向目的邮箱服务器提示是否接收风险邮件的提示信息。
76.可见，在本技术实施例中，在确定邮件为风险邮件时，可及时的通知目标邮箱服务器，以实现风险提醒。
77.一实施例中，amavisd模块中的配置文件中还可以包括预设字符，当检测结果包括邮件中存在敏感词时，该方法还包括：将检测出的敏感词替换为预设字符。
78.示例性的，上述的敏感词可以包括但不限于企业内部敏感信息(如项目名称、员工薪资)、带有政治倾向、不健康色彩的词汇等等。上述的预设字符可以是“**”或者是“##”，也可以是数字，比如数字2、数字1，又或者是英文字母，如字母c、字母q。对此，本技术不作限定。
79.可见，通过将检测出的敏感词替换为预设字符，以满足邮件的安全管控要求。
80.综上，在本技术实施例中，通过在网络安全设备上部署amavisd模块，使得网络安全设备能够基于amavisd模块实现邮件的检测(通过amavisd模块可以实现与检测引擎之间的交互)，并基于检测结果对邮件进行管控。由于邮件检测的过程被配置在了网络安全设备上，因此，用户可以根据需求对网络系统中的网络安全设备进行灵活配置，可满足企业对邮件安全性的要求，同时该方式与现有技术中在邮件服务器上配置检测功能相比，配置更加简单，更易于实现。
81.请参阅图4，基于同一发明构思，本技术实施例还提供一种邮件管控装置400，该装置400包括：amavisd模块410及检测引擎420。
82.amavisd模块410，用于在接收到邮件后，将所述邮件保存在本地；触发与所述amavisd模块对应的检测引擎对保存至本地的所述邮件进行解析，以使所述检测引擎420在解析得到待检测类别的邮件数据后，将所述邮件数据发送至检测中心进行检测；以及在接收到所述检测引擎420返回的检测结果时，基于所述检测结果对所述邮件进行管控。
83.检测引擎420，用于对保存至本地的邮件进行解析，在解析得到待检测类别的邮件数据后，将邮件数据发送至检测中心进行检测，以及在接收到检测中心的检测结果后，将检测结果发送至amavisd模块410。
84.可选地，amavisd模块410还用于在在触发与所述amavisd模块对应的检测引擎对所述邮件进行解析之前，根据预设的类别格式对所述邮件进行归一化处理。
85.可选地，amavisd模块410还具体用于确定所述邮件在本地的保存路径；通过本地socket通讯方式将所述保存路径发送至与所述amavisd模块对应的检测引擎，使得所述检测引擎读取所述保存路径内的信息进行解析。
86.可选地，amavisd模块410还用于当所述检测结果表征所述邮件为安全邮件时，将所述安全邮件进行标记；将标记后的安全邮件转发至下一跳网关设备；其中，所述标记后的安全邮件表征无需再进行检测。
87.可选地，amavisd模块410还用于在通过与所述amavisd模块对应的指定端口接收到所述邮件后，将所述邮件保存在本地。
88.可选地，amavisd模块410还用于在接收到所述邮件，且确定所述邮件为预设邮件时，将所述邮件保存在本地。
89.可选地，amavisd模块410还用于当所述检测结果表征所述邮件为风险邮件时，确定所述风险邮件的目的邮箱服务器；向所述目的邮箱服务器提示是否接收所述风险邮件的提示信息。
90.需要说明的是，由于所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
91.基于同一发明构思，本技术实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序在被运行时执行上述实施例中提供的方法。
92.该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如软盘、硬盘、磁带)、光介质(例如dvd)、或者半导体介质(例如固态硬盘solid state disk(ssd))等。
93.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
94.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
95.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
96.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
97.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。