一种邮箱防卫方法及其设备与流程

1.本技术实施例涉及邮件领域，具体涉及一种邮箱防卫方法及其设备。


背景技术：

2.钓鱼邮件利用特制的电邮，引导收件人连接到特制的网页，这些网页通常会伪装成真正的银行或理财网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等以盗取银行存款
3.钓鱼邮件往往暗藏着两重侵害方式，即便识破了假网银没有输入自己的网银账号和密码。但是，也难以保证不被其后招所伤。尤其值得注意的是，通常在这些假银行网站上暗藏了事先种下的木马程序或间谍程序。电脑防御能力弱的用户，只要点开了假网银的界面，电脑就会被植入木马或间谍程序。任意网银用户在该机上使用网银时就会被这些恶意程序监控到，并以数据包的形式传到不法分子预先设定的邮箱里。
4.简单而言当前技术方案以下存在缺陷：
5.钓鱼邮件防御集中在钓鱼邮件本身，而非邮箱地址。特征黑名单库中的邮箱地址均为已发现有攻击行为的邮箱，无法防御未被发现有攻击行为的邮箱。


技术实现要素：

6.本技术实施例提供了一种邮箱防卫方法及其设备，用于提高邮箱的安全性。
7.本技术实施例第一方面提供了一种邮箱防卫方法，包括：
8.接收第一邮件，判断第一邮件是否为钓鱼邮件；
9.若第一邮件为钓鱼邮件，则获取第一邮件的第一发件邮箱地址；
10.获取地址替换规则；
11.根据地址替换规则生成第一发件邮箱地址的第一模仿邮箱地址；
12.将第一发件邮箱地址和第一模仿邮箱地址添加到特征黑名单库；
13.接收第二邮件，判断第二邮件的第二发件邮箱地址是否属于特征黑名单库；
14.若第二发件邮箱地址属于特征黑名单库，对第二邮件采取防御措施。
15.基于本技术实施例第一方面，本技术实施例第一方面的第一种实现方式中，根据地址替换规则生成第一发件邮箱地址的第一模仿邮箱地址，具体包括：
16.获取字符替换表，字符替换表中包括变化字符，变化字符的变化前字符和变化后字符不相同；
17.判断第一发件邮箱地址是否存在变化字符；
18.若第一发件邮箱地址存在变化字符，则将第一发件邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第一模仿邮箱地址。
19.基于本技术实施例第一方面或第一方面的第一种实现方式，本技术实施例第一方面的第二种实现方式中，字符替换表包括
[0020][0021][0022]
基于本技术实施例第一方面、第一方面的第一种实现方式和第二种实现方式任一种，本技术实施例第一方面的第三种实现方式中，将第一发件邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第一模仿邮箱地址，具体包括：
[0023]
确定第一发件邮箱地址中的变化字符数量n；
[0024]
将n个变化字符进行组合c(n,m)，从n个变化字符中选择m个目标变化字符，m从1至n依次取值，得到(2^n-1)种目标组合；
[0025]
将(2^n-1)种目标组合下第一发件邮箱地址中的m个目标变化字符，由变化前字符替换为变化后字符，得到(2^n-1)个第一模仿邮箱地址；
[0026]
将第一发件邮箱地址和第一模仿邮箱地址添加到特征黑名单库，具体包括：
[0027]
将第一发件邮箱地址和(2^n-1)个第一模仿邮箱地址添加到特征黑名单库。
[0028]
基于本技术实施例第一方面、第一方面的第一种实现方式至第三种实现方式任一种，本技术实施例第一方面的第四种实现方式中，根据地址替换规则生成第一发件邮箱地址的第一模仿邮箱地址后，所述方法还包括：
[0029]
将第一发件邮箱地址的域名和第一模仿邮箱地址的域名添加到特征黑名单库；
[0030]
判断第二邮件的第二发件邮箱地址的域名是否属于特征黑名单库；
[0031]
若第二发件邮箱地址的域名属于特征黑名单库，对第二邮件采取防御措施。
[0032]
从以上技术方案可以看出，本技术实施例具有以下优点：
[0033]
本技术实施例中，对被发现有攻击行为的第一发件邮箱地址，根据地址替换规则衍生出第一模仿邮箱地址。第一模仿邮箱地址与第一发件邮箱地址相似，由于恶意邮箱地址往往相似，因此第一模仿邮箱地址是可能的恶意邮箱地址。除了对第一发件邮箱地址进行防御外，还对未发现有攻击行为的第一模仿邮箱地址进行防御，提高了邮箱的安全性。
[0034]
本技术实施例第二方面提供了一种邮箱防卫方法，包括：
[0035]
获取邮箱地址库中的目标邮箱地址；
[0036]
获取地址替换规则；
[0037]
根据地址替换规则生成目标邮箱地址的第二模仿邮箱地址；
[0038]
将第二模仿邮箱地址添加到特征黑名单库；
[0039]
接收第三邮件，判断第三邮件的第三发件邮箱地址是否属于特征黑名单库；
[0040]
若第三发件邮箱地址属于特征黑名单库，对第三邮件采取防御措施。
[0041]
基于本技术实施例第二方面，本技术实施例第二方面的第一种实现方式中，根据地址替换规则生成目标邮箱地址的第二模仿邮箱地址，具体包括：
[0042]
获取字符替换表，字符替换表中包括变化字符，变化字符的变化前字符和变化后字符不相同；
[0043]
判断目标邮箱地址是否存在变化字符；
[0044]
若目标邮箱地址存在变化字符，则将目标邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第二模仿邮箱地址。
[0045]
基于本技术实施例第二方面或第二方面的第一种实现方式，本技术实施例第二方面的第二种实现方式中，字符替换表包括
[0046][0047][0048]
基于本技术实施例第二方面、第二方面的第一种实现方式和第二种实现方式任一种，本技术实施例第二方面的第三种实现方式中，将将目标邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第二模仿邮箱地址，具体包括：
[0049]
确定目标邮箱地址中的变化字符数量n；
[0050]
将n个变化字符进行组合c(n,m)，从n个变化字符中选择m个目标变化字符，m从1至n依次取值，得到(2^n-1)种目标组合；
[0051]
将(2^n-1)种目标组合下目标邮箱地址中的m个目标变化字符，由变化前字符替换
为变化后字符，得到(2^n-1)个第二模仿邮箱地址；
[0052]
将第二模仿邮箱地址添加到特征黑名单库，具体包括：
[0053]
将(2^n-1)个第二模仿邮箱地址添加到特征黑名单库。
[0054]
基于本技术实施例第二方面、第二方面的第一种实现方式至第三种实现方式任一种，本技术实施例第二方面的第四种实现方式中，根据地址替换规则生成目标邮箱地址的第二模仿邮箱地址后，所述方法还包括：
[0055]
将第二模仿邮箱地址的域名中与目标邮箱地址的域名不相同的目标域名，添加到特征黑名单库；
[0056]
判断第三邮件的第三发件邮箱地址的域名是否属于特征黑名单库；
[0057]
若第三发件邮箱地址的域名属于特征黑名单库，对第三邮件采取防御措施。
[0058]
从以上技术方案可以看出，本技术实施例具有以下优点：
[0059]
本技术实施例中，对邮箱地址库中的目标邮箱地址，根据地址替换规则衍生出第二模仿邮箱地址。目标邮箱地址是合法邮箱地址，第二模仿邮箱地址与目标邮箱地址相似，恶意邮箱地址往往与合法邮箱地址相似，因此第二模仿邮箱地址是可能的恶意邮箱地址。对未发现有攻击行为的第二模仿邮箱地址进行防御，提高了邮箱的安全性。
[0060]
本技术实施例第三方面提供了一种计算机设备，包括：
[0061]
中央处理器，存储器，输入输出接口，有线或无线网络接口以及电源；
[0062]
存储器为短暂存储存储器或持久存储存储器；
[0063]
中央处理器配置为与存储器通信，并执行存储器中的指令操作以执行第一方面或第二方面的方法。
[0064]
本技术实施例的第四方面提供了一种计算机可读存储介质，计算机可读存储介质包括指令，当指令在计算机上运行时，使得计算机执行第一方面或第二方面的方法。
[0065]
本技术实施例的第五方面提供了一种包含指令的计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行第一方面或第二方面的方法。
[0066]
本技术实施例的第六方面提供了一种芯片系统，芯片系统包括至少一个处理器和通信接口，通信接口和至少一个处理器通过线路互联，至少一个处理器用于运行计算机程序或指令，以执行第一方面或第二方面的方法。
附图说明
[0067]
图1至图8是本技术实施例邮箱防卫方法的多种流程图；
[0068]
图9是本技术实施例的计算机设备的架构示意图。
具体实施方式
[0069]
本技术针对目前反钓鱼邮件对邮箱本身的变化发现能力不足，提出新的特征黑名单库构建思路，从而防止黑客生造钓鱼邮箱进行攻击。
[0070]
如图1所示，本技术实施例提供了一种邮箱防卫方法，包括步骤a101至步骤a109：
[0071]
a101、接收第一邮件。第一邮件被发送到邮箱，邮箱接收第一邮件。
[0072]
a102、判断第一邮件是否为钓鱼邮件；钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会
伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。
[0073]
钓鱼邮件的主要特点：以某管理机构的身份，使用正式的语气，邮件内容涉及到账号和口令。可以通过判断第一邮件中是否存在非法链接、敏感信息或木马文件等来确定第一邮件是否为钓鱼邮件。例如，如果第一邮件中存在非法链接、敏感信息或木马文件等，则确定第一邮件为钓鱼邮件。
[0074]
a103、若第一邮件为钓鱼邮件，则获取第一邮件的第一发件邮箱地址；确定第一邮件是钓鱼邮件，则根据第一邮件确定发出第一邮件的第一发件邮箱地址。
[0075]
a104、获取地址替换规则；地址替换规则规定了如何对邮箱地址中的字符进行替换。常见的，发送钓鱼邮件的恶意邮箱是模仿合法邮箱生成的，例如通过对合法邮箱地址中的部分字符进行替换得到一个新的邮箱地址，并利用这个新的邮箱地址发送钓鱼邮件，这个新的邮箱地址属于恶意邮箱。为了欺骗收件人，对合法邮箱地址中的部分字符进行替换得到一个新的邮箱地址时，往往将形状相似的字符进行替换，这样能够让收件人在未仔细检查邮箱地址时，将恶意邮箱误认为合法邮箱。
[0076]
地址替换规则模仿恶意邮箱地址的生成方法，生成一个或多个可能的恶意邮箱地址。例如，地址替换规则也将形状相似的字符进行替换，生成的新的邮箱地址就是可能的恶意邮箱地址。
[0077]
a105、根据地址替换规则生成第一发件邮箱地址的第一模仿邮箱地址；由于生成恶意邮箱地址时，往往是批量生成的，且不同恶意邮箱均是对合法邮箱的模仿，因而不同恶意邮箱之间往往也十分相似。第一发件邮箱地址是恶意邮箱地址，第一模仿邮箱地址是根据地址替换规则对第一发件邮箱地址进行模仿得到的，第一模仿邮箱地址是可能的恶意邮箱地址。
[0078]
a106、将第一发件邮箱地址和第一模仿邮箱地址添加到特征黑名单库；由于第一邮件是钓鱼邮件，因此第一发件邮箱是恶意邮箱，为了防止再次受到第一发件邮箱的攻击或骚扰，需要对第一发件邮箱进行屏蔽。第一模仿邮箱地址则是可能的恶意邮箱地址，因而也需要对第一模仿邮箱地址进行屏蔽。因此，将第一发件邮箱地址和第一模仿邮箱地址添加到特征黑名单库。
[0079]
a107、接收第二邮件。第二邮件被发送到邮箱，邮箱接收第二邮件。
[0080]
a108、判断第二邮件的第二发件邮箱地址是否属于特征黑名单库；根据第二邮件确定发送第二邮件的第二发件邮箱地址，将第二发件邮箱地址与特征黑名单库中的邮箱地址进行比对，判断第二发件邮箱地址是否属于恶意邮箱或可能的恶意邮箱。
[0081]
a109、若第二发件邮箱地址属于特征黑名单库，对第二邮件采取防御措施。如果第二发件邮箱地址与特征黑名单库中的邮箱地址匹配相同，则说明第二发件邮箱地址属于恶意邮箱或可能的恶意邮箱，因而需要对第二邮件采取防御措施，以减少或消除第二邮件带来的风险。对第二邮件采取的防御措施可以是拦截第二邮件、删除第二邮件、将第二邮件丢入垃圾桶、对第二邮件进行标记等。对第二邮件的标记可以是“钓鱼邮件”“疑似钓鱼邮件”“危险邮件”“诈骗邮件”“垃圾邮件”等。
[0082]
如图2所示，本技术实施例的一种实现方式中，根据地址替换规则生成第一发件邮箱地址的第一模仿邮箱地址，具体包括步骤a201至步骤a203：
[0083]
a201、获取字符替换表，字符替换表中包括变化字符，变化字符的变化前字符和变化后字符不相同；字符可以是字母或数字等。字母可以区分大小写，也可以不区分大小写。
[0084]
字母替换包还可以包括不变字符，不变字符的变化前字符和变化后字符相同。需要说明的是不变字符可以隐藏，将所有不是变化字符的字符，均默认为不变字符。
[0085]
a202、判断第一发件邮箱地址是否存在变化字符；将第一发件邮箱地址中的各个字符和字符替换表进行比对，寻找第一发件邮箱地址中的变化字符。
[0086]
a203、若第一发件邮箱地址存在变化字符，则将第一发件邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第一模仿邮箱地址。寻找到第一发件邮箱地址中的变化字符后，
[0087]
若第一发件邮箱地址不存在变化字符，则不使用第一发件邮箱地址生成第一模仿邮箱地址。
[0088]
本技术实施例的一种实现方式中，字符替换表包括
[0089]
[0090][0091]
本技术实施例提供的变化字符的变化前字符和变化后字符具有相似的字形，在实际的使用中，上述字符替换表是对黑客常用的恶意邮箱地址生成方法的总结。字符替换表还可以是其他内容，可以根据黑客的恶意邮箱地址生成方法的更新而更新，此处不做限制。
[0092]
如图3所示，本技术实施例的一种实现方式中，将第一发件邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第一模仿邮箱地址，具体包括步骤a301至步骤a303：
[0093]
a301、确定第一发件邮箱地址中的变化字符数量n；n是大于0的整数。
[0094]
a302、将n个变化字符进行组合c(n,m)，从n个变化字符中选择m个目标变化字符，m从1至n依次取值，得到(2^n-1)种目标组合；使用组合这一数学方法，数学上，从n个不同的元素中，任取m(m≤n)个元素为一组，叫作从n个不同元素中取出m个元素的一个组合，组合总数为2^n。本技术实施例中，从n个变化字符中，任取m个目标变化字符形成目标组合，m从1至n依次取值，1≤m≤n，以穷尽n个变化字符所有的组合方式，得到(2^n-1)种目标组合。由于m不等于0，因此目标组合的总数为(2^n-1)。
[0095]
例如，第一发件邮箱地址中的变化字符数量n＝5。
[0096]
m取值为1，从5个变化字符中任取1个目标变化字符作为组合，共有5种目标组合。
[0097]
m取值为2，从5个变化字符中任取2个目标变化字符作为组合，共有10种目标组合。
[0098]
m取值为3，从5个变化字符中任取3个目标变化字符作为组合，共有10种目标组合。
[0099]
m取值为4，从5个变化字符中任取4个目标变化字符作为组合，共有5种目标组合。
[0100]
m取值为5，从5个变化字符中任取5个目标变化字符作为组合，共有1种目标组合。
[0101]
5 10 10 5 1＝31＝(2^5-1)，总计31种目标组合。
[0102]
a303、将(2^n-1)种目标组合下第一发件邮箱地址中的m个目标变化字符，由变化前字符替换为变化后字符，得到(2^n-1)个第一模仿邮箱地址；
[0103]
得到了(2^n-1)种目标组合后，将每中目标组合种的m个目标变化字符由变化前字符替换为变化后字符，生成(2^n-1)个第一模仿邮箱地址。
[0104]
例如，第一发件邮箱地址为qinfang@xxx.com，其中变化字符有3个，分别是“q”“i”“g”，即n＝3。
[0105]
m取值为1，从3个变化字符中任取1个目标变化字符作为组合，共有3种目标组合
(q)(i)(g)，对应的3个第一模仿邮箱地址为9infang@xxx.com、q1nfang@xxx.com、qinfan9@xxx.com。
[0106]
m取值为2，从3个变化字符中任取2个目标变化字符作为组合，共有3种目标组合(q，i)(i，g)(g，q)，对应的3个第一模仿邮箱地址为91nfang@xxx.com、q1nfan9@xxx.com、9infan9@xxx.com。
[0107]
m取值为3，从3个变化字符中任取3个目标变化字符作为组合，共有1种目标组合(q，i，g)，对应的1个第一模仿邮箱地址为91nfan9@xxx.com。
[0108]
3 3 1＝7＝(2^3-1)，总计7种目标组合，对应7种目标组合有7个第一模仿邮箱地址。
[0109]
将第一发件邮箱地址和第一模仿邮箱地址添加到特征黑名单库，具体包括：
[0110]
将第一发件邮箱地址和(2^n-1)个第一模仿邮箱地址添加到特征黑名单库。由于第一邮件是钓鱼邮件，因此第一发件邮箱是恶意邮箱，为了防止再次受到第一发件邮箱的攻击或骚扰，需要对第一发件邮箱进行屏蔽。(2^n-1)个第一模仿邮箱地址则是可能的恶意邮箱地址，因而也需要对(2^n-1)个第一模仿邮箱地址进行屏蔽。因此，将第一发件邮箱地址和(2^n-1)个第一模仿邮箱地址添加到特征黑名单库。
[0111]
需要说明的是，也可以不将(2^n-1)个第一模仿邮箱地址全部添加到特征黑名单库中，可以根据实际的需要从(2^n-1)个第一模仿邮箱地址中选择若干个第一模仿邮箱地址添加到特征黑名单库。
[0112]
如图4所示，本技术实施例的一种实现方式中，根据地址替换规则生成第一发件邮箱地址的第一模仿邮箱地址后，所述方法还包括步骤a401至步骤a403：
[0113]
a401、将第一发件邮箱地址的域名和第一模仿邮箱地址的域名添加到特征黑名单库；一般而言，恶意邮箱的域名是非法域名或恶意域名，因此可以专门针对非法域名进行防御。
[0114]
由于生成恶意邮箱的域名时，往往是批量生成的，且不同恶意邮箱均是对合法邮箱的模仿，因而不同恶意邮箱的域名之间往往也十分相似。第一发件邮箱地址的域名是恶意邮箱地址的域名，第一模仿邮箱地址的域名是根据地址替换规则对第一发件邮箱地址的域名进行模仿得到的，第一模仿邮箱地址的域名是可能的恶意邮箱地址的域名。
[0115]
由于第一邮件是钓鱼邮件，因此第一发件邮箱地址的域名是恶意域名，为了防止再次受到来自第一发件邮箱地址的域名的攻击或骚扰，需要对第一发件邮箱地址的域名进行屏蔽。第一模仿邮箱地址的域名则是可能的恶意域名，因而也需要对第一模仿邮箱地址的域名进行屏蔽。因此，将第一发件邮箱地址的域名和第一模仿邮箱地址的域名添加到特征黑名单库。
[0116]
a402、判断第二邮件的第二发件邮箱地址的域名是否属于特征黑名单库；接收到第二邮件后，根据第二邮件确定发送第二邮件的第二发件邮箱地址，并将第二发件邮箱地址的域名与特征黑名单库中的域名进行对比，判断第二发件邮箱地址的域名是否为特征黑名单库中的恶意域名。
[0117]
a403、若第二发件邮箱地址的域名属于特征黑名单库，对第二邮件采取防御措施。如果第二发件邮箱地址的域名与特征黑名单库中的域名匹配相同，则说明第二发件邮箱地址的域名属于恶意域名或可能的恶意域名，因而需要对第二邮件采取防御措施，以减少或
消除第二邮件带来的风险。对第二邮件采取的防御措施可以是拦截第二邮件、删除第二邮件、将第二邮件丢入垃圾桶、对第二邮件进行标记等。对第二邮件的标记可以是“钓鱼邮件”“疑似钓鱼邮件”“危险邮件”“诈骗邮件”“垃圾邮件”等。
[0118]
如图5所示，本技术实施例提供了一种邮箱防卫方法，包括步骤b101至步骤b107：
[0119]
b101、获取邮箱地址库中的目标邮箱地址；邮箱地址库中包括通讯录中的邮箱地址或往来邮件中的邮箱地址等。从邮箱地址库中获取邮箱地址，并却定为目标邮箱地址。目标邮箱地址可以是一个邮箱地址，也可以是多个邮箱地址。可选的，可以将邮箱地址库中的所有邮箱地址确定为目标邮箱地址。
[0120]
b102、获取地址替换规则；
[0121]
步骤b102与步骤a104类似，此处不再赘述。
[0122]
b103、根据地址替换规则生成目标邮箱地址的第二模仿邮箱地址；目标邮箱地址属于合法邮箱。黑客很可能会窃取邮箱地址库中的邮箱地址，并对邮箱地址库中的邮箱地址进行模仿变形，生成恶意邮箱地址，以迷惑和欺骗收件人。为了预防这些与合法邮箱相似的恶意邮箱的入侵，使用黑客可能使用的方法生成第二模仿邮箱地址，并对第二模仿邮箱地址进行防御。
[0123]
b104、将第二模仿邮箱地址添加到特征黑名单库；第二模仿邮箱地址是对目标邮箱地址进行模仿变形得到的，是可能的恶意邮箱地址，因此将第二模仿邮箱地址添加到特征黑名单库。
[0124]
b105、接收第三邮件。
[0125]
b106、判断第三邮件的第三发件邮箱地址是否属于特征黑名单库；
[0126]
b107、若第三发件邮箱地址属于特征黑名单库，对第三邮件采取防御措施。
[0127]
步骤b105至步骤b107与步骤a107至a109类似，此处不再赘述。
[0128]
如图6所示，本技术实施例的一种实现方式中，根据地址替换规则生成目标邮箱地址的第二模仿邮箱地址，具体包括步骤b201至步骤b203：
[0129]
b201、获取字符替换表，字符替换表中包括变化字符，变化字符的变化前字符和变化后字符不相同；
[0130]
b202、判断目标邮箱地址是否存在变化字符；
[0131]
b203、若目标邮箱地址存在变化字符，则将目标邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第二模仿邮箱地址。
[0132]
步骤b201至步骤b203与步骤a201至步骤a203类似，此处不作赘述。
[0133]
本技术实施例的一种实现方式中，字符替换表包括
[0134][0135][0136]
本技术实施例提供的变化字符的变化前字符和变化后字符具有相似的字形，在实际的使用中，上述字符替换表是对黑客常用的恶意邮箱地址生成方法的总结。字符替换表还可以是其他内容，可以根据黑客的恶意邮箱地址生成方法的更新而更新，此处不做限制。
[0137]
如图7所示，本技术实施例的一种实现方式中，将将目标邮箱地址中的变化字符由变化前字符替换为变化后字符，得到第二模仿邮箱地址，具体包括步骤b301至步骤b303：
[0138]
b301、确定目标邮箱地址中的变化字符数量n；
[0139]
b302、将n个变化字符进行组合c(n,m)，从n个变化字符中选择m个目标变化字符，m
从1至n依次取值，得到(2^n-1)种目标组合；
[0140]
b303、将(2^n-1)种目标组合下目标邮箱地址中的m个目标变化字符，由变化前字符替换为变化后字符，得到(2^n-1)个第二模仿邮箱地址；
[0141]
步骤b301至步骤b303与步骤a301至步骤a303类似，此处不作赘述。
[0142]
将第二模仿邮箱地址添加到特征黑名单库，具体包括：
[0143]
将(2^n-1)个第二模仿邮箱地址添加到特征黑名单库。(2^n-1)个第二模仿邮箱地址是对目标邮箱地址进行模仿变形得到的，是可能的恶意邮箱地址，因此将(2^n-1)个第二模仿邮箱地址添加到特征黑名单库。
[0144]
需要说明的是，也可以不将(2^n-1)个第二模仿邮箱地址全部添加到特征黑名单库中，可以根据实际的需要从(2^n-1)个第二模仿邮箱地址中选择若干个第二模仿邮箱地址添加到特征黑名单库。
[0145]
如图8所示，本技术实施例的一种实现方式中，根据地址替换规则生成目标邮箱地址的第二模仿邮箱地址后，所述方法还包括步骤b401至步骤b403：
[0146]
b401、将第二模仿邮箱地址的域名中与目标邮箱地址的域名不相同的目标域名，添加到特征黑名单库；
[0147]
目标邮箱地址属于合法邮箱，目标邮箱地址的域名属于合法域名。黑客很可能会窃取邮箱地址库中的邮箱地址，并对邮箱地址库中的邮箱地址的域名进行模仿变形，生成恶意域名，以迷惑和欺骗收件人。为了预防这些与合法域名相似的恶意域名的入侵，使用黑客可能使用的方法生成第二模仿邮箱地址的域名，并对第二模仿邮箱地址的域名中与目标邮箱地址的域名不相同的目标域名进行防御。
[0148]
目标域名是对目标邮箱地址的域名进行模仿变形得到的，是可能的恶意域名，因此将目标域名添加到特征黑名单库。
[0149]
例如，目标邮箱地址为yyy@vent.com，目标邮箱地址的域名为vent.com，第二模仿邮箱地址的域名中与目标邮箱地址的域名不相同的目标域名为uent.com。对所有来自目标域名uent.com的邮件进行防御。
[0150]
b402、判断第三邮件的第三发件邮箱地址的域名是否属于特征黑名单库；
[0151]
b403、若第三发件邮箱地址的域名属于特征黑名单库，对第三邮件采取防御措施。
[0152]
步骤b402至步骤b403与步骤a402至步骤a403类似，此处不作赘述。
[0153]
如图9所示，本技术实施例还提供了一种计算机设备900，包括：
[0154]
中央处理器901，存储器905，输入输出接口904，有线或无线网络接口903以及电源902；
[0155]
存储器905为短暂存储存储器或持久存储存储器；
[0156]
中央处理器901配置为与存储器905通信，并执行存储器905中的指令操作以执行如图1至图8所示实施例中的方法。
[0157]
本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质包括指令，当指令在计算机上运行时，使得计算机执行如图1至图8所示实施例中的方法。
[0158]
本技术实施例还提供了一种包含指令的计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行如图1至图8所示实施例中的方法。
[0159]
本技术实施例还提供了一种芯片系统，芯片系统包括至少一个处理器和通信接
口，通信接口和至少一个处理器通过线路互联，至少一个处理器用于运行计算机程序或指令，以执行如图1至图8所示实施例中的方法。
[0160]
应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0161]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0162]
本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
[0163]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0164]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0165]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0166]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。