Просто чтобы похвалить моих братьев, опубликовавших ранее:
Не зная контекста, в котором вы хотите проанализировать это, и, будучи очень общим, я бы предложил, чтобы ваш первый порт захода был SPF или DomainKeys, чтобы ограничить возможность приема электронной почты из мошеннического источника. Я бы также рекомендовал использовать только один SMTP-сервер с защитой SSL. Я делаю это и путешествуя по миру, я редко оказывался в ситуации, когда не мог отправить почту, и в этих случаях работала только веб-почта (без безопасного локального SMTP).
В дополнение к этому: если вы проверяете, что почта действительно исходит от вас, вы также можете использовать инструменты PGP для подписи своей почты при отправке, а затем фильтровать любую почту, у которой нет действительной подписи. Enigmail в Thunderbird — хороший источник автоматической подписи, также есть плагины для Outlook.
После этого, если вы действительно хотите провести более тщательную экспертизу электронного письма, вы можете использовать байесовский спам, чтобы сопоставить электронное письмо с базой данных предыдущих электронных писем. Вы должны создать базу данных маркеров на основе неуникальных данных (исключая такие записи, как «Кому:»), а затем оценить электронное письмо на предмет вероятности того, что оно похоже на предыдущие электронные письма. Теоретически вы должны получать очень высокие баллы за любую почту.
Очевидно, я не знаю вашей ситуации, но я думаю, что есть много методов, но иногда проще докопаться до корня проблемы, чем пытаться исправить ее в дальнейшем.
Обновить
В зависимости от предоставленного контекста:
Я бы подумал об использовании «Address Extensions», когда ваш пользователь может отправлять почту на адрес, который содержит ссылку с использованием адреса электронной почты: [email protected] GMail и многие другие серверы поддерживают доставку электронной почты с +extension@ через на правильный [email protected] без hi-jinx. Вы можете заставить пользователя доставлять почту с уникальным идентификатором в качестве расширения, и таким образом вы будете знать, что письмо пришло от него, и он будет чувствовать себя более особенным. Очевидно, что кто-то может украсть их уникальный код, прослушивая их исходящие или входящие сообщения, но это всегда возможно, и если кто-то может это сделать, он, вероятно, также может внедрить почту.
Если вы действительно просто хотите пойти по пути анализа, я бы предложил просто использовать обратное байесовское совпадение SpamAssassin для каждого пользователя. Где вы сравниваете каждое письмо с базой данных писем от отправителя (вместо традиционного сопоставления писем «с» учетной записью). Помните, что как только ваша база данных будет загрязнена ложным срабатыванием, вам придется удалить ложное срабатывание или рискнуть целостностью сопоставления для этого отправителя.
person
Bob Hannent
schedule
04.12.2009