ホーム > 特許ランキング > ビッグローブ株式会社
知財求人 - 知財ポータルサイト「IP Force」
特許6095718ループメール検出システム、ループメール検出装置、ループメール検出方法、及び、プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6095718
(24)【登録日】2017年2月24日
(45)【発行日】2017年3月15日
(54)【発明の名称】ループメール検出システム、ループメール検出装置、ループメール検出方法、及び、プログラム
(51)【国際特許分類】
H04L 12/58 20060101AFI20170306BHJP
G06F 13/00 20060101ALI20170306BHJP
【FI】
H04L12/58 100F
G06F13/00 610D
【請求項の数】12
【全頁数】18
(21)【出願番号】特願2015-90758(P2015-90758)
(22)【出願日】2015年4月27日
(65)【公開番号】特開2016-208415(P2016-208415A)
(43)【公開日】2016年12月8日
【審査請求日】2016年6月7日
(73)【特許権者】
【識別番号】306029774
【氏名又は名称】ビッグローブ株式会社
(74)【代理人】
【識別番号】100123788
【弁理士】
【氏名又は名称】宮崎 昭夫
(74)【代理人】
【識別番号】100127454
【弁理士】
【氏名又は名称】緒方 雅昭
(74)【代理人】
【識別番号】100084250
【弁理士】
【氏名又は名称】丸山 隆夫
(72)【発明者】
【氏名】加藤 理人
(72)【発明者】
【氏名】目良 充
【審査官】
速水 雄太
(56)【参考文献】
【文献】
特開2005−269087(JP,A)
【文献】
特開2000−092112(JP,A)
【文献】
特開2009−182658(JP,A)
【文献】
特開2000−163338(JP,A)
【文献】
特開2002−208959(JP,A)
【文献】
特開2001−290735(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/58
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
電子メールを管理する管理装置とループメール検出装置とを有するループメール検出システムであって、
前記管理装置は、
電子メールを受信する受信手段と、
前記受信手段により受信した電子メールが、他の管理装置へネットワークを介して転送する転送メールとして転送設定されているか否かを判定する転送設定判定手段と、
前記転送設定判定手段により前記他の管理装置に転送する転送メールとして転送設定されていると判定された場合、前記受信手段により受信した電子メールから前記転送設定を基に転送メールを作成する転送メール作成手段と、を備え、
前記ループメール検出装置は、
過去に転送した電子メールの特徴を記憶する記憶手段と、
前記転送メール作成手段により作成された転送メールにファイルが添付されているか否かを判定する添付ファイル判定手段と、
前記添付ファイル判定手段によりファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶手段に予め記憶されている場合、当該転送メールをループメールと判定するループメール判定手段と、を備え、
前記管理装置は、前記ループメール判定手段によりループメールと判定された転送メールに対応する前記他の管理装置への転送設定を停止する転送設定停止手段を備えることを特徴とするループメール検出システム。
前記管理装置は、
電子メールを受信する受信手段と、
前記受信手段により受信した電子メールが、他の管理装置へネットワークを介して転送する転送メールとして転送設定されているか否かを判定する転送設定判定手段と、
前記転送設定判定手段により前記他の管理装置に転送する転送メールとして転送設定されていると判定された場合、前記受信手段により受信した電子メールから前記転送設定を基に転送メールを作成する転送メール作成手段と、を備え、
前記ループメール検出装置は、
過去に転送した電子メールの特徴を記憶する記憶手段と、
前記転送メール作成手段により作成された転送メールにファイルが添付されているか否かを判定する添付ファイル判定手段と、
前記添付ファイル判定手段によりファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶手段に予め記憶されている場合、当該転送メールをループメールと判定するループメール判定手段と、を備え、
前記管理装置は、前記ループメール判定手段によりループメールと判定された転送メールに対応する前記他の管理装置への転送設定を停止する転送設定停止手段を備えることを特徴とするループメール検出システム。
【請求項2】
前記ループメール検出装置は、前記添付ファイル判定手段によりファイルが添付されていると判定された転送メールが前記ループメール判定手段によりループメールと判定された場合、予め定められた宛先に電子メールのループが発生している旨の警告を送信する通信手段を備えることを特徴とする請求項1記載のループメール検出システム。
【請求項3】
前記ループメール検出装置は、前記ループメール判定手段によりループメールと判定されなかった転送メールの特徴を前記記憶手段に記憶することを特徴とする請求項1又は2記載のループメール検出システム。
【請求項4】
前記ループメール判定手段は、転送メールに含まれる宛先と本文との組と、同一の宛先と同一の本文との組が前記記憶手段に予め記憶されている場合、当該転送メールをループメールと判定することを特徴とする請求項1から3の何れか1項に記載のループメール検出システム。
【請求項5】
前記ループメール判定手段は、転送メールに含まれる宛先と当該電子メールに添付されているファイルとの組と、同一の宛先と同一の添付ファイルとの組が前記記憶手段に予め記憶されている場合、当該転送メールをループメールと判定することを特徴とする請求項1から4の何れか1項に記載のループメール検出システム。
【請求項6】
前記ループメール検出装置は、転送メールの本文のハッシュ値を計算するハッシュ値計算手段を備え、
前記ループメール判定手段は、転送メールに含まれる宛先と前記ハッシュ値計算手段により計算された当該転送メールの本文のハッシュ値との組と、同一の宛先と同一のハッシュ値である本文との組が前記記憶手段に予め記憶されているとき、当該転送メールをループメールと判定することを特徴とする請求項1から5の何れか1項に記載のループメール検出システム。
前記ループメール判定手段は、転送メールに含まれる宛先と前記ハッシュ値計算手段により計算された当該転送メールの本文のハッシュ値との組と、同一の宛先と同一のハッシュ値である本文との組が前記記憶手段に予め記憶されているとき、当該転送メールをループメールと判定することを特徴とする請求項1から5の何れか1項に記載のループメール検出システム。
【請求項7】
前記ループメール検出装置は、転送メールに添付されているファイルのハッシュ値を計算するハッシュ値計算手段を備え、
前記ループメール判定手段は、転送メールに含まれる宛先と前記ハッシュ値計算手段により計算された当該転送メールに添付されているファイルのハッシュ値との組と、同一の宛先と同一のハッシュ値である添付ファイルとの組が前記記憶手段に予め記憶されているとき、当該転送メールをループメールと判定することを特徴とする請求項1から5の何れか1項に記載のループメール検出システム。
前記ループメール判定手段は、転送メールに含まれる宛先と前記ハッシュ値計算手段により計算された当該転送メールに添付されているファイルのハッシュ値との組と、同一の宛先と同一のハッシュ値である添付ファイルとの組が前記記憶手段に予め記憶されているとき、当該転送メールをループメールと判定することを特徴とする請求項1から5の何れか1項に記載のループメール検出システム。
【請求項8】
前記ループメール検出装置は、
予めループメールと判定された電子メールを管理するループメール管理装置から取得した2以上の電子メールのヘッダ情報の特徴量を抽出する特徴量抽出手段と、
前記特徴量抽出手段により抽出された前記2以上の電子メールのヘッダ情報の特徴量が入力された場合に、入力された特徴量の抽出元である抽出元電子メールがループメールであると判定するように学習する学習手段と、を備え、
前記ループメール判定手段は、転送メールのヘッダ情報に基づいて前記特徴量抽出手段により抽出された特徴量と、当該転送メールの受信前の所定時間以内に受信手段により受信して前記記憶手段に記憶された電子メールのヘッダ情報に基づいて前記特徴量抽出手段により抽出された特徴量との入力を受けた前記学習手段による学習結果に基づいて当該転送メールがループメールか否かを判定することを特徴とする請求項1から3の何れか1項に記載のループメール検出システム。
予めループメールと判定された電子メールを管理するループメール管理装置から取得した2以上の電子メールのヘッダ情報の特徴量を抽出する特徴量抽出手段と、
前記特徴量抽出手段により抽出された前記2以上の電子メールのヘッダ情報の特徴量が入力された場合に、入力された特徴量の抽出元である抽出元電子メールがループメールであると判定するように学習する学習手段と、を備え、
前記ループメール判定手段は、転送メールのヘッダ情報に基づいて前記特徴量抽出手段により抽出された特徴量と、当該転送メールの受信前の所定時間以内に受信手段により受信して前記記憶手段に記憶された電子メールのヘッダ情報に基づいて前記特徴量抽出手段により抽出された特徴量との入力を受けた前記学習手段による学習結果に基づいて当該転送メールがループメールか否かを判定することを特徴とする請求項1から3の何れか1項に記載のループメール検出システム。
【請求項9】
電子メールを管理する管理装置とネットワークを介して接続されたループメール検出装置であって、
過去に転送した電子メールの特徴を記憶する記憶手段と、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定する添付ファイル判定手段と、
前記添付ファイル判定手段によりファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶手段に予め記憶されている場合、当該転送メールをループメールと判定するループメール判定手段と、を備えることを特徴とするループメール検出装置。
過去に転送した電子メールの特徴を記憶する記憶手段と、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定する添付ファイル判定手段と、
前記添付ファイル判定手段によりファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶手段に予め記憶されている場合、当該転送メールをループメールと判定するループメール判定手段と、を備えることを特徴とするループメール検出装置。
【請求項10】
電子メールを管理する管理装置とループメール検出装置とを有するループメール検出システムのループメール検出方法であって、
前記管理装置は、
電子メールを受信するステップと、
受信した前記電子メールが、他の管理装置へネットワークを介して転送する転送メールとして転送設定されているか否かを判定するステップと、
前記他の管理装置に転送する転送メールとして転送設定されていると判定された場合、前記電子メールから前記転送設定を基に転送メールを作成するステップと、を含み、
前記ループメール検出装置は、
過去に転送した電子メールの特徴を記憶部に記憶するステップと、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定するステップと、
ファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶部に予め記憶されている場合、当該転送メールをループメールと判定するステップと、を含み、
前記管理装置は、ループメールと判定された転送メールに対応する前記他の管理装置への転送設定を停止するステップを含むことを特徴とするループメール検出方法。
前記管理装置は、
電子メールを受信するステップと、
受信した前記電子メールが、他の管理装置へネットワークを介して転送する転送メールとして転送設定されているか否かを判定するステップと、
前記他の管理装置に転送する転送メールとして転送設定されていると判定された場合、前記電子メールから前記転送設定を基に転送メールを作成するステップと、を含み、
前記ループメール検出装置は、
過去に転送した電子メールの特徴を記憶部に記憶するステップと、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定するステップと、
ファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶部に予め記憶されている場合、当該転送メールをループメールと判定するステップと、を含み、
前記管理装置は、ループメールと判定された転送メールに対応する前記他の管理装置への転送設定を停止するステップを含むことを特徴とするループメール検出方法。
【請求項11】
電子メールを管理する管理装置とネットワークを介して接続されたループメール検出装置のループメール検出方法であって、
過去に転送した電子メールの特徴を記憶部に記憶するステップと、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定するステップと、
ファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶部に予め記憶されている場合、当該転送メールをループメールと判定するステップと、を含むことを特徴とするループメール検出方法。
過去に転送した電子メールの特徴を記憶部に記憶するステップと、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定するステップと、
ファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶部に予め記憶されている場合、当該転送メールをループメールと判定するステップと、を含むことを特徴とするループメール検出方法。
【請求項12】
電子メールを管理する管理装置とネットワークを介して接続されたループメール検出装置に実行させるコンピュータ読み取り可能なプログラムであって、
過去に転送した電子メールの特徴を記憶部に記憶する処理と、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定する処理と、
ファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶部に予め記憶されている場合、当該転送メールをループメールと判定する処理と、を含むことを特徴とするプログラム。
過去に転送した電子メールの特徴を記憶部に記憶する処理と、
前記管理装置において作成された転送メールにファイルが添付されているか否かを判定する処理と、
ファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が前記記憶部に予め記憶されている場合、当該転送メールをループメールと判定する処理と、を含むことを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ループメール検出システム、ループメール検出装置、ループメール検出方法、及び、プログラムに関する。
【背景技術】
【0002】
従来から、複数の事業者それぞれが管理するメールシステムにおいて電子メールの自動転送設定が行われると、これらのシステム間で同一のメールが繰り返し転送されるという問題が知られている。メールの転送が無限に行われると、メールシステムに負荷がかかったり、メールを記憶する記憶容量が逼迫したりし、メールシステムの運用に支障が出るおそれがある。
【0003】
メールが無限に転送されることを防止するため、例えば特許文献1には、複数のメールサーバ100、200、300のうち少なくとも1つのメールサーバ100で電子メールの発信元アドレスと表題とファイル容量とに基いて同一の電子メールの繰り返し転送を検出し、この繰り返し転送の回数ciが予め設定された時間t内に予め設定された許容回数cに達するとメールサーバ100の電子メール自動転送機能101の作動を解除する技術や、発信元アドレスと表題とファイル容量とに基いて電子メールの同一性を判定することで、message−idの一意性が保障されていない場合、電子メールにmessage−idが付与されていない場合、あるいは、繰り返される転送サービスによってmessage−idが更新されているような場合であっても、電子メールの同一性を的確に判断できるようにする技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−269087号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、近年はメールシステムの性能や記憶容量が向上してきており、またテキストメールの容量が少ないこともあり、例えばメッセージ識別子を用いて、100回等の所定の数以上、同じ電子メールが転送されるループを防止してやればよい。
【0006】
ところが、近年は電子メールに例えば画像ファイル等が添付されることが行われており、テキストメールより容量の大きい画像ファイル等のファイルが添付された電子メールを、繰り返し転送する事態が発生した場合、テキストメールの場合よりも大きい負荷がシステムにかかり、システムにおける記憶容量に関してもテキストメールの場合よりも多くの記憶容量が必要となってしまう(図14参照)。
【0007】
本発明は、このような実情に鑑みてなされたものであって、ファイルが添付された電子メールが繰り返し転送されることを抑止することでシステムへの高負荷を抑止し、システムにおける記憶容量へのメール蓄積量を軽減するループメール検出装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記の課題を解決するため、本発明のループメール検出システムは、電子メールを管理する管理装置とループメール検出装置とを有するループメール検出システムであって、管理装置は、電子メールを受信する受信手段と、受信手段により受信した電子メールが、他の管理装置へネットワークを介して転送する転送メールとして転送設定されているか否かを判定する転送設定判定手段と、転送設定判定手段により他の管理装置に転送する転送メールとして転送設定されていると判定された場合、受信手段により受信した電子メールから転送設定を基に転送メールを作成する転送メール作成手段と、を備え、ループメール検出装置は、過去に転送した電子メールの特徴を記憶する記憶手段と、転送メール作成手段により作成された転送メールにファイルが添付されているか否かを判定する添付ファイル判定手段と、添付ファイル判定手段によりファイルが添付されていると判定された転送メールの特徴と、同一の電子メールの特徴が記憶手段に予め記憶されている場合、当該転送メールをループメールと判定するループメール判定手段と、を備え、管理装置は、ループメール判定手段によりループメールと判定された転送メールに対応する他の管理装置への転送設定を停止する転送設定停止手段を備えることを特徴とする。
【発明の効果】
【0009】
本発明によれば、ファイルが添付された電子メールが繰り返し転送されることを抑止することでシステムへの高負荷を抑止し、システムにおける記憶容量へのメール蓄積量を軽減することが可能となる。
【図面の簡単な説明】
【0010】
【図1】本発明の第1実施形態におけるループメール検出システムの概略イメージ図である。
【図2】本発明の第1実施形態におけるループメール検出システムの機能ブロック図である。
【図3】本発明の第1実施形態におけるループメール検出処理手順を示すフローチャートである。
【図4】本発明の第1実施形態におけるループメール判定処理手順を示すフローチャートである。
【図5】本発明の第1実施形態におけるループメール判定処理手順(宛先及び本文を比較)を示すフローチャートである。
【図6】本発明の第1実施形態におけるループメール判定処理手順(宛先及び添付ファイルを比較)を示すフローチャートである。
【図8】本発明の第1実施形態におけるループメール判定処理手順(宛先と本文のハッシュ値を比較)を示すフローチャートである。
【図9】本発明の第1実施形態におけるループメール判定処理手順(宛先と添付ファイルのハッシュ値を比較)を示すフローチャートである。
【図10】本発明の第2実施形態におけるループメール検出システムの全体概略図である。
【図11】本発明の第2実施形態におけるループメール検出装置の機能ブロック図である。
【図12】本発明の第2実施形態におけるループメール学習処理手順を示すフローチャートである。
【図13】本発明の第2実施形態におけるループメール判定処理手順を示すフローチャートである。
【図14】従来の転送メールシステムにおいて発生する問題点について説明する模式図である。
【発明を実施するための形態】
【0011】
本発明の実施形態におけるループメール検出システムについて図を用いて以下説明する。なお、各図中、同一又は相当する部分には同一の符号を付しており、その重複説明は適宜に簡略化乃至省略する。
【0012】
初めに本実施形態におけるループメール検出システムの概略イメージについて図1を参照して説明する。本実施形態におけるループメール検出システムは、A社メールシステムのメールサーバ30とB社メールシステムのメールサーバ20とがインターネット等のネットワークに接続され、メールサーバ20とループメール検出装置10とがネットワークを介して接続されている。本実施形態では、メールサーバ30からメールサーバ20に転送されたメールと同一のメールの特徴が記憶されているときループメール検出装置10が当該メールをループメールと判定し、A社メールシステムのメールサーバ30に対する当該メールの転送を停止するようメールサーバ20に転送停止要求を送信する。これにより、メールサーバ20からメールサーバ30への同一メールの転送が停止されるため、同一メールのループを防止できるとともに、当該メールに例えば画像データ等の容量の大きいデータが添付されている場合にメールサーバ20への高負荷を抑止し、メールサーバ20におけるメール蓄積量の低減を図ることができる。なお、本実施形態では、B社メールシステムのメールサーバ20にループメール検出装置10が接続された例を図1に示しているが、これに限らずA社メールシステムのメールサーバ30にループメール検出装置10が接続される構成でも、両システムそれぞれにループメール検出装置10が設けられる構成であってもよい。
【0013】
上記のように、各メールシステムはインターネット等のネットワークに接続され、他のメールサーバとSMTP(Simple Mail Transfer Protocol)等の通信プロトコルを用いてメールを送受信する。各メールサーバとして例えばMTA(Message Transfer Agent)やMDA(Mail Delivery Agent)等が含まれる。なお、各メールシステムは、スパムメールを検出するSPAM検出装置や、受信したメールに含まれるウイルスを検出するウイルス検出装置等を備えてもよい。また、ここではメールサーバ20とループメール検出装置10はそれぞれ別装置として示しているが同一装置として構成されていてもよい。
【0014】
[第1実施形態]次に、本発明の第1実施形態におけるループメール検出システムの機能ブロック図について図2を参照して説明する。図2では図1同様にB社メールシステムのメールサーバ20にループメール検出装置10が接続された構成を例示的に示している。なお上述したようにメールサーバ20はインターネット等のネットワーク50に接続され、ネットワーク50を介してA社メールシステムのメールサーバ30と接続可能に構成されている。
【0015】
メールサーバ20(管理装置)は、受信手段21と、転送設定判定手段22と、送信手段23と、転送設定停止手段24と、転送メール作成手段25を備えている。例えば、メールサーバ20は、サーバ装置等のコンピュータを用いて実現され、上記の他に、メールサーバとして機能する上で必要な手段を備えていてもよい。ループメール検出装置10は、記憶手段12と、添付ファイル判定手段13と、ループメール判定手段14とを備えている。また、ループメール検出装置10は、必要に応じて、通信手段11と、制御手段15と、ハッシュ値計算手段16を備えていてもよい。例えば、ループメール検出装置10は、サーバ装置やパーソナルコンピュータ等のコンピュータにより実現され、上記の他に、コンピュータとして動作する上で必要な手段を備えていてもよい。
【0016】
受信手段21は、ネットワーク50を介してメールサーバ30等の他の管理装置(メールサーバ)から送信された電子メールを受信する。例えば、ネットワークインタフェースカード(NIC)により実現する。
【0017】
転送設定判定手段22は、受信手段21により受信した電子メールがネットワークを介して接続されたメールサーバ30等の他の管理装置(メールサーバ)へ転送する転送メールとして転送設定されているか否かを判定する。
【0018】
転送メール作成手段25は、転送設定判定手段22によりメールサーバ30に転送する転送メールとして設定されていると判定された電子メールから転送設定を基に、転送メールを作成する。
【0019】
送信手段23は、転送メール作成手段により作成された転送メールをループメール検出装置10に送信する。例えば、上記ネットワークインタフェースカード(NIC)により実現する。
【0020】
転送設定停止手段24は、後述するループメール検出装置10から送信された転送停止要求に基づいてループメール検出装置10においてループメールと判定された電子メールのメールサーバ30等の他の管理装置(メールサーバ)への転送設定を停止する。なお、上述した転送設定判定手段22と転送設定停止手段24と転送メール作成手段25の機能は、例えばハードディスク等にこれらの処理を規定したプログラムが格納され、これをRAM等へ展開し、CPU等の制御部が実行することで実現することができる。
【0021】
ループメール検出装置10の通信手段11はメールサーバ20から送信手段21を介して送信された電子メールを受信する。例えば、ネットワークインタフェースカード(NIC)により実現する。
【0022】
記憶手段12は、過去に転送した電子メール(転送メール)の特徴を記憶する。記憶手段12による機能は、例えば、ハードディスク等の記憶装置により実現する。
【0023】
添付ファイル判定手段13は通信手段11により受信した電子メールにファイルが添付されているか否かを判定する。添付ファイルのサイズが既定サイズ以上であるか、添付ファイルのファイル形式が既定のファイル形式であるか等の少なくとも1以上の所定の条件を追加して判定してもよい。既定のファイル形式とは、例えば動画や写真画像等のテキストより容量の大きいデータのファイル形式を予め設定し、メディアタイプを記憶手段12に記憶しておくことで、受信した電子メールのヘッダ情報に記載のContent−Typeと比較することで、テキストファイルよりも容量の大きいファイル形式の添付ファイルを判定することできる。また、判定基準となる既定サイズを判定閾値として予め設定し、記憶手段12に記憶しておくことで容量の大きいファイルが添付されているか否かを判定することができる。ファイルが添付されている電子メールには、HTMLメールやリッチテキスト形式のメールのような画像等が埋め込み可能な形式の電子メールを含めても構わない。また、添付ファイルは、動画や写真画像データだけでなく、ワープロソフトや表計算ソフト等のデータファイルやアプリケーション等のプログラムファイル、圧縮ファイル等でも構わない。
【0024】
ループメール判定手段14は、添付ファイル判定手段13によりファイルが添付されていると判定された電子メールの特徴と同一の電子メールの特徴が記憶手段12に予め記憶されているとき、通信手段11により受信した電子メールをループメールと判定する。ファイルが添付されていると判定された電子メールと同一の電子メールの特徴については後述する。
【0025】
具体的には、ループメール判定手段14は、少なくとも、通信手段11により受信した電子メールに含まれる宛先と、通信手段11により受信した電子メールに含まれる本文との組と、同一の宛先と同一の本文との組が記憶手段12に予め記憶されているとき、通信手段11により受信した電子メールをループメールと判定するものとしてもよい。ただし、記憶手段12に記憶する電子メールの特徴は、宛先と本文との組ではなく、電子メールそのもので、記憶手段12に記憶された電子メールから宛先と本文との組を抽出した後、比較して判定するようにしてもよい。電子メールの本文には、エンコードされてテキスト化された添付ファイルを含めても構わない。また、宛先と本文の他に、送信元、題名などを判定の条件に追加してもよい。なお、本実施形態における同一メールの判定に係る宛先とは、電子メールのヘッダ情報に記述された宛先に限らず、少なくとも転送先として設定されている宛先であることが好ましい。
【0026】
また、ループメール判定手段14は、少なくとも通信手段11により受信した電子メールに含まれる宛先と、当該電子メールに添付されているファイルとの組と、同一の宛先と同一の添付ファイルとの組が記憶手段12に予め記憶されているとき、通信手段11により受信した電子メールをループメールと判定するものとしてもよい。ただし、記憶手段12に記憶する電子メールの特徴は、宛先と添付ファイルとの組ではなく、電子メールそのもので、記憶手段12に記憶された電子メールから宛先と添付ファイルとの組を抽出した後、比較して判定するようにしてもよい。また、宛先と添付ファイルの他に、送信元、題名などを判定の条件に追加してもよい。
【0027】
制御手段15はループメール判定手段14によりループメールと判定された電子メールのメールサーバ30等の他の管理装置(メールサーバ)への転送を停止する転送停止要求をメールサーバ20に送信するよう通信手段11を制御する。また、制御手段15は、通信手段11により受信した電子メールがループメール判定手段14によりループメールと判定されたとき、予め定められた宛先に電子メールのループが発生している旨の警告を送信するよう通信手段を制御することとしてもよい。予め定められた宛先とは、例えば本システムを管理する管理者のメールアドレスや、転送設定を行った利用者のメールアドレス等である。
【0028】
ハッシュ値計算手段16は、通信手段11により受信した電子メールの本文や当該電子メールに添付されているファイルのハッシュ値を計算する。
【0029】
さらに、ループメール判定手段14は、少なくとも通信手段11により受信した電子メールに含まれる宛先と、ハッシュ値計算手段16により計算された当該電子メールの本文のハッシュ値との組と、同一の宛先と同一のハッシュ値との組が記憶手段12に予め記憶されているとき、通信手段11により受信した電子メールをループメールと判定することとしてもよい。ただし、記憶手段12に記憶する電子メールの特徴は、宛先と本文のハッシュ値との組ではなく、電子メールそのもので、記憶手段12に記憶された電子メールから宛先と本文との組を抽出し、本文のハッシュ値を計算した後、比較して判定するようにしてもよい。電子メールの本文には、エンコードされてテキスト化された添付ファイルを含めても構わない。また、宛先と本文のハッシュ値の他に、送信元、題名などを判定の条件に追加してもよい。
【0030】
さらに、ループメール判定手段14は、少なくとも通信手段11により受信した電子メールに含まれる宛先と、ハッシュ値計算手段16により計算された当該電子メールに添付されているファイルのハッシュ値との組と、同一の宛先と同一のハッシュ値との組が記憶手段12に予め記憶されているとき、通信手段11により受信した電子メールをループメールと判定することとしてもよい。ただし、記憶手段12に記憶する電子メールの特徴は、宛先と添付ファイルのハッシュ値との組ではなく、電子メールそのもので、記憶手段12に記憶された電子メールから宛先と添付ファイルの組を抽出し、添付ファイルのハッシュ値を計算した後、比較して判定するようにしてもよい。また、宛先と添付ファイルのハッシュ値の他に、送信元、題名などを判定の条件に追加してもよい。なお、記憶手段12に予め記憶される電子メール本文又は添付ファイルのハッシュ値は例えばキーバリュー方式で記憶されるようにしてもよい。
【0031】
次に、本発明の第1実施形態におけるループメール検出処理の概略手順について図3を参照して説明する。ここでは、大量のメールが流れる受信メールでなく受信メールのおよそ10%程度である転送メールを用いてループメールの状態を効率よく検出することが好ましい。メールサーバ20は、メールを受信すると、メールの宛先に従い、該当するメールボックスにメールを記憶する。また、メールサーバ20は、受信したメールが、設定部に記憶された転送設定(利用者が予め設定してある)に設定されたメールか否かを判定する(ステップS5)。
【0032】
そして、受信したメールが、転送の対象となっている場合は、転送メール作成手段25は、設定部に記憶された転送設定に従い、メールの宛先を転送設定に設定された宛先にする等処理を行い、受信メールから転送メールを作成する(ステップS10)。送信手段23は、その作成された転送メールをループメール検出装置10に送信する。
【0033】
ループメール検出装置10は、通信手段11を介してメールサーバ20から転送メールを受信する。次に、ループメール検出装置10の添付ファイル判定手段13は、受信した転送メールにファイルが添付されているか否か判定する(ステップS20)。添付ファイル判定手段13により、受信した転送メールにファイルが添付されていると判定されると、ループメール判定手段14は転送メールがループメールか否かを判定する(ステップS30)。なお、添付ファイル判定手段13により、受信した転送メールにファイルが添付されていないと判定された場合は(ステップS20)、制御手段15がその転送メールをメールサーバ20に返すように、通信手段11を制御する。転送メールがループメール検出装置10から返された場合、メールサーバ20は転送メールの宛先に当該メールを転送する。
【0034】
そして、ループメール判定手段14により上記転送メールがループメールであると判定されたとき、制御手段15はメールサーバ20に当該転送メールのメールサーバ30への転送を一時停止する転送停止要求を送信するように通信手段11を制御したり、又は、予め定められた宛先に電子メールのループが発生している旨の警告を送信するよう通信手段を制御したりする(ステップS40)。なお、転送の一時停止は、ループメールと判定された転送メールに関する転送設定のみでもよい。また、警告には転送メールそのものを添付して送信しても、宛先や送信元のメールアドレス、件名、受信日時、添付ファイル名、メッセージ識別子など転送メールの一部を転送メール情報として含めて送信してもよい。これにより、メールサーバ20の管理者は、その転送メールが本当にループメールか否かを確認することができる。また、利用者は、その転送メールに対する転送設定が間違いであることに気づくことができる。また、メールサーバ20がWebメールに対応していれば、メールサーバ20は、ループメールと判定された転送メールの転送設定を設定した利用者がウェブブラウザを用いてメールサーバ20のWebメールのURL等にアクセスし、ログインした場合に、警告画面を表示することとしてもよい。
【0035】
ループメール判定手段14による上記転送メールがループメールであるとの判定は、当該転送メールの特徴と同一のメールの特徴が記憶手段12に記憶されているか否かにより判定される。ループメール判定手段14により、同一のメールの特徴が記憶手段12に記憶されていると判定された場合、過去に当該転送メールを転送処理していることがわかる。
【0036】
他方、ループメール判定手段14により、当該転送メールと同一のメールの特徴が記憶手段12に記憶されていない場合、転送メールの特徴(転送メール自身のコピーでもよい)を記憶手段12に記憶し、メールサーバ20に対して、当該転送メールを転送先に転送するために、判定結果後の転送メールを送信することとしてもよい。なお、メールサーバ20が、受信したメールが転送の対象となっている際に(ステップS5)、そのメールを転送先に転送し、そのメール(転送メール)のコピーをループメール検出装置10に送信する場合は、ループメール判定手段14は、メールサーバ20に対して、判定結果後の転送メールを送信しなくてもよい。
【0037】
メールサーバ20は、転送停止要求を受信すると、ループメールと判定された転送メールの(該当する利用者が設定した)転送設定を一時停止する。転送設定を一時停止するため、ループメールと判定された転送メールも、メールサーバ20に返し、転送メールの宛先に送信させても構わない。仮に、もう一度、メールサーバ20が当該転送メールを受信しても、転送設定が一時停止されているので、転送の対象となっておらず、次回から転送されることはない。
【0038】
次に、ループメール判定手段14による図3に示したステップS30に係るループメールの判定手順について図4を参照して説明する。ループメール判定手段14は、メールサーバ20から受信した転送メールと同一のメールの特徴が記憶手段12に記憶されているか否かを判定する(ステップS31)。そして、ループメール判定手段14は、転送メールと同一のメールの特徴が記憶手段12に記憶されていると判定したとき(ステップS31、YES)、当該転送メールをループメールと判定する(ステップS32)。他方、ループメール判定手段14は、転送メールと同一のメールの特徴が記憶手段12に記憶されていないと判定したとき(ステップS31、NO)、当該転送メールを記憶手段12に記憶する(ステップS33)。
【0039】
次に、ループメール判定手段14による図4に示したループメールの判定手順の一例について図5を参照して説明する。なお、図4に示した手順と同様の手順についての説明は省略する。ここでは、ループメール判定手段14は、転送メールから少なくとも、転送先のメールアドレス(以下「宛先」と呼ぶ)とメールメッセージのボディ(本文)とを抽出し、抽出した宛先と本文との組と、記憶手段12に記憶された少なくとも、宛先とメールメッセージのボディとの組とを比較して、同一の宛先と同一の本文との組が記憶手段12に記憶されているかを判定する(ステップS311)。ここで、宛先と本文の他に、送信元、題名などを判定の条件に追加してもよい(以下の判定手順の他例でも同様)。また、メールのボディ(本文)には、エンコードされてテキスト化された添付ファイルを含めても構わない(以下の判定手順の他例でも同様)。そして、ループメール判定手段14は、転送メールの宛先と本文の組と、同一の宛先と同一の本文との組が記憶手段12に記憶されていれば(ステップS311、YES)、過去に同じ転送メールを送信したとし、当該転送メールがループメールであると判定する(ステップS32)。他方、転送メールの宛先と本文との組と、同一の宛先と同一の本文との組が記憶手段12に記憶されていない場合(ステップS311、NO)、転送メールから少なくとも、宛先とメールメッセージのボディ(本文)とを抽出し、宛先とメールメッセージのボディとを組として対応付けて、記憶手段12に記憶する(ステップS331)。
【0040】
次に、ループメール判定手段14による図4に示したループメールの判定手順の他例について図6を参照して説明する。なお、図4を用いて説明した手順と重複する手順についての説明は省略する。ここでは、ループメール判定手段14は、転送メールから少なくとも、転送先の宛先と添付されているファイルとを抽出し、抽出した宛先と添付ファイルとの組と、記憶手段12に記憶された少なくとも、宛先と添付ファイルとの組とを比較して、同一の宛先と同一の添付ファイルの組が記憶手段12に記憶されているか否かを判定する(ステップS312)。そして、ループメール判定手段14は、転送メールの宛先と、当該転送メールに添付されたファイルとの組と、同一の宛先と同一の添付ファイルとの組が記憶手段12に記憶されていれば(ステップS312、YES)、過去に同じ転送メールを送信したとし、当該転送メールがループメールであると判定する(ステップS32)。他方、転送メールの宛先と当該転送メールに添付されたファイルとの組と、同一の宛先と同一の添付ファイルとの組が記憶手段12に記憶されていない場合は(ステップS312、NO)、転送メールから少なくとも、宛先と添付ファイルとを抽出し、宛先と添付ファイルとを組として対応付けて、記憶手段12に記憶する(ステップS332)。なお、添付ファイルそのものを記憶手段12に記憶しておかずに、ファイルデータの一部、例えば最初の既定数のバイト分を記憶するようにしてもよい。
【0041】
次に、ループメール判定手段14による図4に示したループメールの判定手順の他例についてさらに図7を参照して説明する。ここでは、ループメール判定手段14は、図2を参照して説明したハッシュ値計算手段16によって計算されたハッシュ値を用いて転送メールがループメールであるか否かを判定する。なお、上述した図6までの手順と重複する手順については説明を省略する。ループメール判定手段14は、ハッシュ値計算手段16により計算された転送メールのハッシュ値と同一のハッシュ値であるメールが記憶手段12に記憶されているか否かを判定する(ステップS313)。ループメール判定手段14により、転送メールのハッシュ値と同一のハッシュ値であるメールが記憶手段12に記憶されていると判定された場合(ステップS313、YES)、当該転送メールをループメールと判定する(ステップS32)。他方、転送メールのハッシュ値と同一のハッシュ値であるメールが記憶手段12に記憶されていないと判定された場合(ステップS313、NO)、ハッシュ値計算手段16は転送メールのハッシュ値を計算し(ステップS333)、計算されたハッシュ値が記憶手段12に記憶される(ステップS334)。
【0042】
次に、ループメール判定手段14による図7に示したループメールの判定手順の具体例についてさらに図8を参照して説明する。ループメール判定手段14は、転送メールと記憶手段12に記憶されたメールとの比較の際に、ハッシュ値計算手段16により、メールメッセージのボディ(本文)のハッシュ値を計算して、転送メールの宛先とメールメッセージのボディのハッシュ値との組と、記憶手段12に記憶されているメールの宛先とメールメッセージのボディのハッシュ値との組を用いて比較して同じメールか否かを判定する(ステップS3131)。ループメール判定手段14により、転送メールの宛先と、転送メールのボディのハッシュ値との組と、同一の宛先と同一のボディのハッシュ値との組が記憶手段12に記憶されていると判定された場合(ステップS3131、YES)、当該転送メールをループメールと判定する(ステップS32)。他方、転送メールの宛先と、転送メールのボディのハッシュ値との組と、同一の宛先と同一のボディのハッシュ値との組が記憶手段12に記憶されていないと判定された場合(ステップS3131、NO)、転送メールから宛先とメールメッセージのボディとを抽出し、ハッシュ値計算手段16により、メールメッセージのボディのハッシュ値を計算し(ステップS3331)、算出したハッシュ値を宛先との組として対応付けて、記憶手段12に記憶しておく(ステップS3341)。なお、宛先の文字列は、短いので、ハッシュ値にしなくてもよいが、ハッシュ値にしてもよい。また、メールメッセージのボディのデータすべてをハッシュ値にせずに、メールメッセージのボディのデータの一部(例:最初の既定数のバイト分)をハッシュ値にしてもよく、メールメッセージのボディのデータすべてをハッシュ値にしてから、ハッシュ値の一部(例:最初の既定数のバイト分)を用いて、比較や記憶するようにしてもよい。さらに、宛先とメールメッセージのボディをひとまとまりにしてハッシュ値にして、そのハッシュ値を記憶しておき比較してもよい。
【0043】
次に、ループメール判定手段14による図7に示したループメールの判定手順の具体例についてさらに図9を参照して説明する。ここでは、図8と異なる手順について説明し、図8と共通する手順については説明を省略する。ここでは、ループメール判定手段14は、転送メールと記憶手段12に記憶されたメールとの比較の際に、ハッシュ値計算手段16により、添付ファイルのハッシュ値を計算して、転送メールの宛先と添付ファイルのハッシュ値との組と、記憶手段12に記憶されているメールの宛先と添付ファイルのハッシュ値との組を用いて比較して同じメールか否かを判定する(ステップS3132)。ループメール判定手段14により、転送メールの宛先と、転送メールの添付ファイルのハッシュ値との組と、同一の宛先と同一の添付ファイルのハッシュ値との組が記憶手段12に記憶されていると判定された場合(ステップS3132、YES)、当該転送メールをループメールと判定する(ステップS32)。他方、同一のメールの宛先と同一の添付ファイルのハッシュ値との組が記憶手段12に記憶されていない場合(ステップS3132、NO)、転送メールから宛先と添付ファイルとを抽出し、ハッシュ値計算手段16により、添付ファイルのハッシュ値を計算し(ステップS3332)、算出したハッシュ値を宛先との組として対応付けて、記憶手段12に記憶する(ステップS3333)。添付ファイルすべてをハッシュ値にせずに、添付ファイルの一部(例:最初の既定数のバイト分)をハッシュ値にしてもよく、添付ファイルすべてをハッシュ値にしてから、ハッシュ値の一部(例:最初の既定数のバイト分)を用いて、比較や記憶するようにしてもよい。さらに、宛先と添付ファイルをひとまとまりにしてハッシュ値にして、そのハッシュ値を記憶しておき比較してもよい。
【0044】
なお、転送メールのコピーを記憶手段12に記憶する際に、日時情報(例:受信日時、記憶日時など)と対応付けて記憶し、日時情報から既定時間(例:5分間)経過した転送メールのコピーは、記憶手段12から削除することとしてもよい。さらに、宛先と本文との組、宛先と添付ファイルとの組や宛先とボディのハッシュ値との組、または、宛先と添付ファイルのハッシュ値との組を記憶する場合も同様に、日時情報と対応付けて記憶し、既定時間経過したら削除するようにしてもよい。
【0045】
[第2実施形態]次に、本発明の第2実施形態におけるループメール検出システムの概略イメージについて図10を参照して説明する。第2実施形態では、第1実施形態の構成に加えてループメールを管理するループメール管理装置500を備えている。ここでは、ループメール管理装置500には過去にループメールと判定された転送メールが予め蓄積されているものとする。そして、ループメール検出手段100はメールサーバ200から受信した転送メールがループメールか否かを判定するために、ループメール管理装置500に蓄積されたループメールを用いる。
【0046】
第2実施形態におけるループメール検出システムの機能ブロックについて図11を参照して説明する。なお、第1実施形態と重複する構成についての説明は省略する。第2実施形態では、特徴量抽出手段130及び学習手段170を備えている点が第1実施形態の構成と異なっている。また、それに伴って、ループメール判定手段140の処理内容も第1実施形態におけるループメール判定手段14と異なっている。
【0047】
特徴量抽出手段130は、予めループメールと判定された電子メールを管理するループメール管理装置500から取得した2以上の電子メールを構文解析して取り出したヘッダ情報に基づいて2以上の電子メールのヘッダ情報の特徴量を抽出する。ヘッダ情報の具体例としては、例えば発信者、受信者、タイトル、メール識別番号等である。
【0048】
学習手段170は、特徴量抽出手段130により抽出された2以上の電子メールのヘッダ情報の特徴量と略同一の特徴量が入力された場合に、入力された特徴量の抽出元である抽出元電子メールがループメールであると判定するように例えば機械学習等により学習する。言い換えれば、学習手段170は、抽出した各メールの特徴量が入力され、それらの特徴量の中に、略同一の特徴量があった場合は、ループメールと判定ように機械学習アルゴリズムでトレーニングする。
【0049】
そして、ループメール判定手段140は、通信手段11により受信した転送メールのヘッダ情報を特徴量抽出手段130により抽出された特徴量と、当該転送メールの受信前の所定時間以内に受信して記憶手段12に記憶された電子メールのヘッダ情報を特徴量抽出手段130により抽出された特徴量とを、学習手段170に入力し、通信手段11により受信した電子メールがループメールか否かを判定する。
【0050】
次に、第2実施形態における学習処理手順について図12を参照して説明する。まず、予めループメールと判定された複数のメールをループメール管理装置500からループメール検出装置100に入力する(ステップS51)。
【0051】
次に、特徴量抽出手段130は、入力されたループメールを構文解析し、各メールのヘッダ情報を取り出す(ステップS52)。さらに、特徴量抽出手段130は、ループメールの各メールのヘッダ情報の特徴量を抽出する(ステップS53)。
【0052】
学習手段170は、抽出した各メールの特徴量が入力され、それらの特徴量の中に、略同一の特徴量があった場合は、ループメールと判定ように機械学習アルゴリズムでトレーニングする(ステップS54)。
【0053】
次に、第2実施形態におけるループメール判定処理手順について図13を参照して説明する。まず、通信手段11はメールサーバ200から転送メールを受信する(ステップS61)。
【0054】
次に、特徴量抽出手段130が、受信した転送メールに、ファイルが添付されているか否か判定する。(S62)。ここで、転送メールにファイルが添付されていない場合、判定後の転送メールをメールサーバ200に送信する。
【0055】
さらに、特徴量抽出手段130は、ファイルが添付されている転送メールを構文解析し、ヘッダ情報を取り出す(ステップS63)。ヘッダ情報の具体例としては例えば発信者、受信者、タイトル、メール識別番号等である。
【0056】
特徴量抽出手段130は、転送メールのヘッダ情報の特徴量を抽出する(S64)。特徴量はメール受信日時情報に対応させて、記憶手段12に記憶される。記憶手段12に記憶された特徴量は、受信後または記憶後の既定時間(例:30秒)後に削除する。また、過去既定時間(例:30秒)以内に複数の転送メールを受信している場合は、記憶手段12から複数の特徴量を取得する。
【0057】
ループメール判定手段140は、トレーニングした機械学習アルゴリズムに各特徴量を入力し、ループメールか否かを判定する(S65)。ループメールと判定されない場合、判定後の転送メールをメールサーバ200に送信する。ここで、メールサーバ200が、受信したメールが転送の対象となっている際に、そのメールを転送先に転送し、そのメール(転送メール)のコピーをループメール検出装置100に送信する場合は、ループメール判定手段140は、メールサーバ200に対して、判定結果後の転送メールを送信しなくてもよい。制御手段15による処理手順(ステップS66)については第1実施形態と同様であるため説明を省略する。
【0058】
以上、上述した本発明の各実施形態におけるループメール検出システムによれば、ファイルが添付された電子メールが繰り返し転送されることを抑止することでシステムへの高負荷を抑止し、システムにおける記憶容量へのメール蓄積量を軽減することが可能となる。さらに、本発明の各実施形態によれば、例えば、コンピュータセキュリティの脆弱性をついてループメールを発生させるコンピュータウィルスによるメールサーバへの攻撃に対する抑止力とすることが可能である。
【0059】
なお、上述する各実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々変更実施が可能である。例えば、上述した本実施形態における各処理を、ハードウェア、又は、ソフトウェア、あるいは、両者の複合構成を用いて実行することも可能である。
【0060】
なお、ソフトウェアを用いて処理を実行する場合には、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれているコンピュータ内のメモリにインストールして実行させることが可能である。あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
【符号の説明】
【0061】
10、100 ループメール検出装置11 通信手段
12 記憶手段
13 添付ファイル判定手段
14、140 ループメール判定手段
15 制御手段
16 ハッシュ値計算手段
20 B社メールサーバ
21 受信手段
22 転送設定判定手段
23 送信手段
24 転送設定停止手段
25 転送メール作成手段
30 A社メールサーバ
50 ネットワーク
130 特徴量抽出手段
170 学習手段
200 メールサーバ
500 ループメール管理装置