[go: up one dir, main page]

RU2789621C1 - E-mail processing method - Google Patents

E-mail processing method Download PDF

Info

Publication number
RU2789621C1
RU2789621C1 RU2022122799A RU2022122799A RU2789621C1 RU 2789621 C1 RU2789621 C1 RU 2789621C1 RU 2022122799 A RU2022122799 A RU 2022122799A RU 2022122799 A RU2022122799 A RU 2022122799A RU 2789621 C1 RU2789621 C1 RU 2789621C1
Authority
RU
Russia
Prior art keywords
clients
mail server
shall
messages
mail
Prior art date
Application number
RU2022122799A
Other languages
Russian (ru)
Inventor
Максим Иванович Травкин
Original Assignee
Максим Иванович Травкин
Filing date
Publication date
Application filed by Максим Иванович Травкин filed Critical Максим Иванович Травкин
Application granted granted Critical
Publication of RU2789621C1 publication Critical patent/RU2789621C1/en

Links

Images

Abstract

FIELD: computers, telecommunications and information security.
SUBSTANCE: invention relates to the field of computers, telecommunications and information security. E-mail processing method includes receiving e-mail messages from clients and placing them in the mail server queue, determining parameters of the received message, performing the mail server occupation dynamic evaluation, in which the percentage of the mail server queue occupation P is calculated, and the following shall be taken into account: if the mail server queue occupation P percentage is equal or greater than P1, then the system shall stop receiving messages from all clients and automatic message on the reasons of receiving blockage shall be generated and sent to all clients, if the mail server queue occupation P percentage is less than P1 but equal or greater than P2, then the clients whose messages resulted in the server occupation P increase, the automatic notification shall be created and sent to the clients, and the message processing shall be continued, if the mail server queue occupation P percentage is less than P2, the disconnected clients check shall be performed, if disconnected clients are detected, they shall be reconnected, automatic notification shall be created and sent to the clients, and the message processing shall be continued, and if no disconnected clients are detected, the message processing still shall be continued, P2 shall be calculated based on the clients activity statistics received in previous messages.
EFFECT: invention provides possibility to increase the mail server stability by reducing the probability of the "Denial of Service" occurrence caused by directing the information flow from customers exceeding the server's processing capacity.
1 cl, 1 dwg, tbl

Description

ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY

Изобретение относится к компьютерной области, области телекоммуникаций и информационной безопасности. Применяется на почтовых серверах при обработке информации имеющей криптографическую защиту, с целью снижения вероятности возникновения угрозы «Отказ в обслуживании».The invention relates to the computer field, the field of telecommunications and information security. It is used on mail servers when processing information that has cryptographic protection in order to reduce the likelihood of a Denial of Service threat.

УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION

В уровне техники известен способ восстановления в аварийных ситуациях и управления для системы электронной почты (RU 2395116, 20.07.2010) имеющей множество учетных записей пользователей, содержащий этапы, на которых: маршрутизируют сообщения электронной почты на один или несколько серверов, которые принимают, обрабатывают и передают сообщения электронной почты, направляемые на клиентскую систему электронной почты; обнаруживают отказ клиентской системы электронной почты; автоматически создают множество почтовых ящиков электронной почты, соответствующих упомянутому множеству учетных записей пользователей, в ответ на обнаружение отказа в клиентской системе электронной почты и маршрутизируют сообщения электронной почты, направляемые на клиентскую систему электронной почты, на упомянутые один или несколько почтовых ящиков электронной почты, пока не устранен отказ, причем созданное множество почтовых ящиков являются доступными для соответствующих учетных записей пользователей соответственно в течение отказа клиентской системы электронной почты. In the prior art, there is a method for disaster recovery and management for an e-mail system (RU 2395116, 20.07.2010) with a plurality of user accounts, containing the steps at which: route e-mail messages to one or more servers that receive, process and transmitting email messages directed to the client email system; detecting a client email system failure; automatically create a plurality of e-mail mailboxes corresponding to said plurality of user accounts in response to detection of a failure in the client e-mail system, and route e-mail messages directed to the client e-mail system to said one or more e-mail mailboxes until the outage has been resolved, with the multiple mailboxes created being available to the respective user accounts, respectively, for the duration of the client e-mail system failure.

Недостатком данного способа является сложная структура перераспределения электронной почты в случае возникновения отказа в обслуживании. Также данный способ не обеспечивает возможности анализа предыдущих действий абонентов, который позволит определить потенциально возможное возникновение отказа в обслуживании сервера, вызванное его переполнением.The disadvantage of this method is the complex structure of e-mail redistribution in the event of a denial of service. Also, this method does not provide the ability to analyze the previous actions of subscribers, which will allow to determine the potential occurrence of a denial of service of the server caused by its overflow.

В уровне техники известен способ управления почтой на сервере приема почты (US20100235435A1, 02.09.2014), содержащем блок приема почты, сконфигурированный для выполнения обработки приема почты, первый почтовый ящик и второй почтовый ящик для хранения почты в соответствии с каждым почтовым адресом, а также пространство для хранения почты, которую нельзя хранить в первом почтовом ящике, причем способ включает этапы, на которых во время приема почты блоком приема почты определяют, существует ли свободная емкость, способная хранить полученную почту, в первом почтовом ящике, соответствующем почтовому адресу, указанному в пункте назначения для доставки принятой почты; сохранение почты как принятой почты с ошибкой в области хранения, когда на этапе определения определено, что первый почтовый ящик не имеет свободной емкости для хранения; извлечение информации заголовка и информации тела из принятого сообщения об ошибке, сохраненного в пространстве хранения, на этапе сохранения; создание сообщения с информационным уведомлением для сообщения информации, касающейся получения сообщения об ошибке, на почтовый адрес, описанный в доставленном адресате приема сообщения об ошибке, с использованием информации заголовка и информации тела, извлеченной блоком извлечения; а также сохранение почты с информационным уведомлением, сгенерированной на этапе управления почтой с информационным уведомлением, во втором почтовом ящике. In the prior art, a method is known for managing mail on a mail receiving server (US20100235435A1, 09/02/2014) containing a mail receiving unit configured to perform mail receiving processing, a first mailbox and a second mailbox for storing mail in accordance with each mailing address, and storage space for mail that cannot be stored in the first mailbox, the method comprising the steps of determining, at the time of receiving mail by the mail receiving unit, whether there is a free capacity capable of storing received mail in the first mailbox corresponding to the mailing address specified in destination for delivery of received mail; storing the mail as received mail with an error in the storage area when it is determined in the determination step that the first mailbox does not have free storage capacity; extracting header information and body information from the received error message stored in the storage space in the storage step; creating an information notification message for reporting information regarding the receipt of the error message to the mailing address described in the delivered destination of receiving the error message using header information and body information extracted by the extraction unit; and storing the information notification mail generated in the information notification mail management step in the second mailbox.

Недостатком данного способа является сложная структура перераспределения электронной почты в случае возникновения отказа в обслуживании. Также данный способ не обеспечивает возможности анализа предыдущих действий абонентов, который позволит определить потенциально возможное возникновение отказа в обслуживании сервера, вызванное его переполнением.The disadvantage of this method is the complex structure of e-mail redistribution in the event of a denial of service. Also, this method does not provide the ability to analyze the previous actions of subscribers, which will allow to determine the potential occurrence of a denial of service of the server caused by its overflow.

Ни в одном из перечисленных способов не применяется динамическая оценка состояния очереди сервера, основанная на результатах анализа, произведенного с использованием скрытых марковских моделей и/или искусственного интеллекта. Также известные в уровне техники решения применимы в глобальных сетях общего пользования, а для локального внутреннего почтового обмена являются избыточными и сложными.None of these methods uses dynamic evaluation of the state of the server queue, based on the results of the analysis made using hidden Markov models and/or artificial intelligence. Also, the solutions known in the prior art are applicable in global public networks, and for local internal mail exchange they are redundant and complex.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF THE INVENTION

Задачей, на решение которой направлено заявленное решение заключается в устранении недостатков, выявленных в предшествующем уровне техники.The task to be solved by the claimed solution is to eliminate the shortcomings identified in the prior art.

Техническим результатом заявленного изобретения, является повышение стабильности работы почтового сервера, за счет снижение вероятности реализации угрозы «Отказ в обслуживании» вызванной направлением информационного потока от клиентов превышающий возможности почтового сервера по его обработке.The technical result of the claimed invention is to increase the stability of the mail server by reducing the likelihood of a "Denial of Service" threat caused by the direction of the information flow from clients exceeding the capabilities of the mail server to process it.

Заявленный технический результат достигается благодаря тому, что способ обработки электронной почты включающий, получение электронных сообщений от клиентов и размещение их в очереди почтового сервера, определение параметров полученного сообщения, проведение динамической оценки заполняемости почтового сервера, в которой, вычисляют процент заполняемости очереди почтового сервера P, при этом: The claimed technical result is achieved due to the fact that the method of processing e-mail includes receiving electronic messages from clients and placing them in the mail server queue, determining the parameters of the received message, conducting a dynamic assessment of the occupancy of the mail server, in which the percentage of occupancy of the mail server queue P is calculated, wherein:

а) если процент заполняемости очереди почтового сервера P равен или больше Р1, то прием сообщений от всех клиентов прекращается и формируется автоматическое сообщение всем клиентам о причинах блокировки приема,a) if the percentage of occupancy of the mail server queue P is equal to or greater than Р 1 , then the reception of messages from all clients is stopped and an automatic message is generated to all clients about the reasons for blocking reception,

б) если процент заполняемости очереди почтового сервера P меньше Р1, но равна или выше заданного значение Р2, то производится отключение конкретных клиентов, чьи сообщения привели к повышению процента заполняемости почтового сервера Р, формируется и направляется автоматическое уведомление, а обработка сообщений продолжается,b) if the percentage of occupancy of the mail server queue P is less than P 1 , but equal to or higher than the specified value P 2 , then specific clients are disconnected, whose messages led to an increase in the percentage of occupancy of the mail server P, an automatic notification is generated and sent, and message processing continues,

в) если процент заполняемости очереди почтового сервера P меньше заданного значения P2, то производится проверка на наличие отключённых клиентов, при их наличии они включаются на прием, им отправляются автоматические сообщения о возобновлении приема, обработка сообщений продолжается,c) if the percentage of occupancy of the mail server queue P is less than the specified value P 2 , then a check is made for the presence of disconnected clients, if there are any, they are included in the reception, they are sent automatic messages about the resumption of reception, message processing continues,

при этом при отсутствии отключенных клиентов обработка сообщений продолжается, при этомat the same time, in the absence of disconnected clients, message processing continues, while

P2 определяется на основании статистических данных об активности клиентов, полученных на предыдущих сообщениях.P 2 is determined on the basis of statistical data on the activity of clients received on previous messages.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

На фигуре представлена блок-схема способа обработки электронной почты.The figure shows a flowchart of a method for processing e-mail.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ.IMPLEMENTATION OF THE INVENTION.

Заявленный способ применим для систем, которые представляют собой строго определенное количество почтовых серверов, в строго заданных условиях применения, у каждого почтового сервера может быть не более 300 клиентов. Способ применяется в условиях применения электронной почты, основанной на различных протоколах (POP3, SMTP, IMAP, X.400 и т.п.) и где тело письма и его вложения не подлежат анализу по причине криптографических преобразований, которыми они подверглись при отправке. В заявленном способе рассматривается только локальное состояние сервера, без учета состояний клиентов и других северов. Так же условием является наличие всех пользователей сети в качестве доверенных, что подтверждается электронной подписью. The claimed method is applicable to systems that represent a strictly defined number of mail servers, in strictly defined conditions of use, each mail server can have no more than 300 clients. The method is used in the conditions of using e-mail based on various protocols (POP3, SMTP, IMAP, X.400, etc.) and where the body of the letter and its attachments are not subject to analysis due to the cryptographic transformations that they underwent when sending. In the claimed method, only the local state of the server is considered, without taking into account the states of clients and other servers. Also, the condition is the presence of all network users as trusted, which is confirmed by an electronic signature.

Способ обработки электронной почты включает, получение электронных сообщений от клиентов и размещение их в очереди почтового сервера, определение параметров полученного сообщения, проведение динамической оценки заполняемости почтового сервера, в которой, вычисляют процент заполняемости очереди почтового сервера P и сравнивают с параметрами Р1 и Р2. Процент заполняемости очереди почтового сервера Р рассчитывается после каждого сообщения поступающего в очередь, то есть по факту свершившегося события.The method for processing e-mail includes receiving electronic messages from clients and placing them in a mail server queue, determining the parameters of the received message, performing a dynamic evaluation of the mail server occupancy, in which the percentage of occupancy of the mail server queue P is calculated and compared with the parameters P 1 and P 2 . The percentage of fullness of the queue of the mail server P is calculated after each message entering the queue, that is, upon the fact of the event.

Если процент заполняемости очереди почтового сервера P равен или больше Р1, то прием сообщений от всех клиентов прекращается и формируется автоматическое сообщение всем клиентам о причинах блокировки приема. Если процент заполняемости очереди почтового сервера P меньше Р1, но равна или выше заданного значение Р2, то производится отключение конкретных клиентов, чьи сообщения привели к повышению процента заполняемости почтового сервера Р, формируется и направляется автоматическое уведомление, а обработка сообщений продолжается. Если процент заполняемости очереди почтового сервера P меньше заданного значения P2, то производится проверка на наличие отключённых клиентов, при их наличии они включаются на прием, им отправляются автоматические сообщения о возобновлении приема, обработка сообщений продолжается. If the percentage of occupancy of the mail server queue P is equal to or greater than P 1 , then receiving messages from all clients is stopped and an automatic message is generated to all clients about the reasons for blocking reception. If the occupancy percentage of the mail server queue P is less than P 1 , but equal to or higher than the specified value P 2 , then specific clients whose messages led to an increase in the occupancy percentage of the mail server P are disconnected, an automatic notification is generated and sent, and message processing continues. If the occupancy percentage of the mail server queue P is less than the specified value P 2 , then a check is made for the presence of disconnected clients, if there are any, they are included in the reception, they are sent automatic messages about the resumption of reception, message processing continues.

При отсутствии отключенных клиентов обработка сообщений продолжается.If there are no disconnected clients, message processing continues.

P1 является фиксированным и определяется искусственным интеллектом на основе статистических данных за год, при этом он может корректироваться человеком.P 1 is fixed and determined by artificial intelligence based on statistical data for the year, while it can be corrected by a person.

Пример:Example:

Максимальный размер одного сообщения от клиента 1, 2 и 3 составляет 40 Мбайт (41943040 байт), следовательно, при единовременной отправке сообщений они создадут нагрузку в 3х41943040 байт=125829120 байт.The maximum size of a single message from client 1, 2 and 3 is 40 MB (41943040 bytes), therefore, when sending messages at once, they will create a load of 3x41943040 bytes = 125829120 bytes.

Максимальный размер одного сообщения от клиента 4, и 5 составляет 20 Мбайт (20971520 байт), следовательно, при единовременной отправке сообщений они создадут нагрузку в 2х 20971520 байт= 41943040 байт.The maximum size of a single message from client 4, and 5 is 20 MB (20971520 bytes), therefore, when sending messages at a time, they will create a load of 2x 20971520 bytes = 41943040 bytes.

Максимальный размер одного сообщения от клиента 6, 7 и 8 составляет 90 Мбайт (94371840 байт), следовательно, при единовременной отправке сообщений они создадут нагрузку в 3х 94371840 байт= 283115520 байт.The maximum size of a single message from client 6, 7 and 8 is 90 MB (94371840 bytes), therefore, when sending messages at once, they will create a load of 3x 94371840 bytes = 283115520 bytes.

Максимальный размер одного сообщения от клиентов 9-18 составляет 95 Мбайт (99614720 байт), следовательно, при единовременной отправке сообщений они создадут нагрузку в 10х 99614720 байт= 996147200 байт.The maximum size of a single message from clients 9-18 is 95 MB (99614720 bytes), therefore, when sending messages at once, they will create a load of 10x 99614720 bytes = 996147200 bytes.

Максимальный размер одного сообщения от клиента 19-58 составляет 55 Мбайт (57671680 байт), следовательно, при единовременной отправке сообщений они создадут нагрузку в 40х 57671680 байт= 2306867200 байт.The maximum size of a single message from client 19-58 is 55 MB (57671680 bytes), therefore, if they send messages at once, they will create a load of 40x 57671680 bytes = 2306867200 bytes.

При одновременной отправке, по одному сообщению, от всех абонентов свободного пространства в очереди останется (4624616384 байт (размер очереди сервера) – 3753902080 байт (суммарный объем направленных сообщений) = 870714304 или 81,2% состояния заполняемости очереди. Исходя из этого делаем предположение что вероятность перехода сервера в состояние реализации угрозы отказ в обслуживании составляет 0,812 (состояние очереди в процентах делёное на 100).When sending one message at a time, from all subscribers there will be free space in the queue (4624616384 bytes (server queue size) - 3753902080 bytes (total volume of sent messages) = 870714304 or 81.2% of the queue fullness status. Based on this, we make the assumption that the probability of the server transitioning to a denial of service threat state is 0.812 (queue state in percent divided by 100).

P2 определяется на основании статистических данных об активности клиентов полученной на предыдущих сообщениях (статистика по направляемым сообщениям).P 2 is determined on the basis of statistical data on the activity of clients received on previous messages (statistics on sent messages).

Клиенты отправляют различные почтовые сообщения с разными исходными значениями (разное количество адресов получателя, так как многоадресные сообщения не являются исключением и различный объем вложений)Clients send different mail messages with different initial values (different number of recipient addresses, since multicast messages are no exception and different amount of attachments)

После обработки сообщений, накопившихся в очереди, производится анализ заблокированных запросов от клиентов на приём сообщений, при их наличии сообщения этих клиентов обрабатываются в первую очередь, при отсутствии таковых продолжается прием сообщений. Анализ производится следующим образом – в соответствии с записями в системных журналах – выявляются клиенты, которые в указанный период запрашивали сервер на приём почты. Сообщения, содержащие в себе адрес отправителя или получателя, получают наивысший приоритет при обработке в очереди сервера. After processing messages that have accumulated in the queue, blocked requests from clients for receiving messages are analyzed; if there are any, messages from these clients are processed first, and if there are none, messages are received. The analysis is performed in the following way - in accordance with entries in the system logs - clients are identified who, during the specified period, requested the server to receive mail. Messages containing the address of the sender or recipient receive the highest priority when processed in the server's queue.

В таблице 1 представлены все коэффициенты получены из статистической информации предоставленной системными журналами сервера.Table 1 presents all the coefficients obtained from the statistical information provided by the server system logs.

Vобщ - объем в байтах всех сообщений в очереди в указанный период времени;V total - the volume in bytes of all messages in the queue in the specified period of time;

λ - интенсивность потока сообщений, это отношение Vобщ к объему очереди почтового сервера (величина фиксированная и задается при установки программного обеспечения)λ is the intensity of the message flow, this is the ratio of V total to the volume of the mail server queue (the value is fixed and is set when installing the software)

Vmax - максимальный объём одного сообщения зафиксированный в указанный период времени, в байтах; в таблице 1 указан пример за часовой период, он и используется по умолчанию, в случае необходимости корректируется.V max - the maximum volume of one message recorded in the specified period of time, in bytes; Table 1 shows an example for an hourly period, and it is used by default, if necessary, corrected.

Vmin - минимальный объём одного сообщения зафиксированный в указанный период времени, в байтах;V min - the minimum volume of one message recorded in the specified period of time, in bytes;

Vсред - средний объём одного сообщения зафиксированный в указанный период времени, в байтах;V Wednesday - the average volume of one message recorded in the specified period of time, in bytes;

n сообщений равного объема, это количество сообщений одинакового объема зафиксированное в указанный период времени;n messages of equal volume, this is the number of messages of the same volume recorded in the specified period of time;

Nобщ - общее количество сообщений зафиксированное в указанный период времени;N total - the total number of messages recorded in the specified period of time;

Nошибок - количество сообщений, адрес получателя которого, отсутствует в списках почтового сервера, зафиксированное в указанный период времени;N errors - the number of messages, the recipient's address of which is not in the lists of the mail server, fixed in the specified period of time;

Nвн - количество сообщений, предназначенных для внутренней доменной зоны зафиксированное в указанный период времени;N ext - the number of messages intended for the internal domain zone fixed in the specified period of time;

Nвнеш - количество сообщений, предназначенных для внешней доменной зоны зафиксированное в указанный период времени;N ext - the number of messages intended for the external domain zone fixed in the specified period of time;

Nвн/Nобщ - зарезервированоNin/Ntotal - reserved

Nвнеш/Nобщ - зарезервированоNext/Ntotal - reserved

Nошиб/Nобщ - соответствующие отношения зафиксированное в указанный период времени; зарезервировано – соответствующее показателям в таблицеNerror/Ntotal - the corresponding relationship fixed in the specified period of time; reserved - corresponding to the indicators in the table

% заполняемости очереди сервера – количество информации находящейся в очереди почтового сервера, в процентах.Server Queue Fill % - the amount of information in the mail server queue, in percent.

Figure 00000001
Figure 00000001

Пример для искусственного интеллекта (ИИ).An example for artificial intelligence (AI).

Параметры сигнализирующие ИИ о возникновении угрозы отказ в обслуживании:Parameters signaling AI about the occurrence of a denial of service threat:

Следующее изменение показателей системы в совокупности характерной только для реализации угрозы отказ в обслуживании:The following change in the indicators of the system in the aggregate is characteristic only for the implementation of the threat of denial of service:

λ – стремиться к 0;λ - tend to 0;

Vобщ – стремиться к ∞;V total - tend to ∞;

V max – не изменяется; Vmax - does not change;

n сообщений равного объема – стремиться к ∞;n messages of equal volume - tend to ∞;

N общ – стремиться к ∞;N total - tend to ∞;

N ош – стремиться к ∞ при условии, что сервер не может определить получателя сообщений, в противном случае не изменяется;N osh - tend to ∞ provided that the server cannot determine the recipient of messages, otherwise it does not change;

N вн – не изменяется;N vn - does not change;

N внеш – стремиться к ∞.N external - tend to ∞.

Вероятность возникновения угрозы отказ в обслуживании равна 1 при условии заполняемости очереди сервера равной 100% или Vобщ объем равно или объёма очереди сервера, т.е. если очередь сервера заполнилась полностью, то какая-либо обработка на нём становиться невозможна, и он переходит в состояние реализованной угрозы отказ в обслуживании. The probability of a denial of service threat is equal to 1, provided that the server queue is 100% occupied or Vtotal volume is equal to or the volume of the server queue, i.e. if the server's queue is full, then any processing on it becomes impossible, and it goes into the state of a realized denial of service threat.

Например, объем очереди сервера равен 4624616384 байт.For example, the server queue size is 4624616384 bytes.

То при заполняемости очереди на 4224616384 байт Then when the queue is full at 4224616384 bytes

Figure 00000002
Figure 00000002

А при заполняемости очереди на 3724616384 байтAnd when the queue is full at 3724616384 bytes

Figure 00000003
Figure 00000003

Расчет вероятности для стабильной работы для ИИ с целью определения нормального поведения для клиентов.Probability calculation for stable operation for AI in order to determine normal behavior for clients.

На основании анализа было выявлено, что информацию максимального объема систематически направляют следующие клиенты:Based on the analysis, it was revealed that the following clients systematically send information of the maximum volume:

КЛИЕНТ 10 – до 200 дней в год;CLIENT 10 - up to 200 days per year;

КЛИЕНТ 12 – до 15 дней в год;CLIENT 12 – up to 15 days per year;

КЛИЕНТ 15 – до 50 дней в год;CLIENT 15 – up to 50 days per year;

КЛИЕНТ 16 – до 10 дней в год;CLIENT 16 – up to 10 days per year;

КЛИЕНТ 45 – до 150 дней в год.CUSTOMER 45 - up to 150 days per year.

Соответственно общая вероятность возникновения отправки сообщений максимального объема, в соответствии с обшей теорией вероятности составляет - P (A) = m/n, где n — число дней в году, а m — число дней в которых возникало направление информации максимального объема. Данная информация необходима для формирования у искусственного интеллекта понимания, какая активность для какого клиента является нормальной, а какая аномальной. Accordingly, the total probability of sending messages of the maximum volume, in accordance with the general theory of probability, is - P (A) \u003d m / n, where n is the number of days in a year, and m is the number of days in which the maximum volume of information was sent. This information is necessary for artificial intelligence to understand which activity is normal for which client and which is abnormal.

Figure 00000004
Figure 00000004

Figure 00000005
Figure 00000005

Для перевода сервера в состояние отказ в обслуживании достаточно 45 сообщений размером в 100 Мбайт. Если размер очереди почтового сервера составляет 4624616384 байт, то при одновременной отправке на него 45 сообщений размером в 100 Мбайт в очередь почтового сервера попадет 45х100(перевод в мегабайты) х1024(перевод в килобайты) х1024(перевод в байты) = 4718592000 байт. Что превышает возможности очереди почтового сервера по хранению информации.It takes 45 100 MB messages to bring the server into a denial of service state. If the size of the mail server queue is 4624616384 bytes, then when 45 messages of 100 MB in size are sent to it at the same time, 45x100 (translated into megabytes) x1024 (translated into kilobytes) x1024 (translated into bytes) = 4718592000 bytes will get into the mail server queue. Which exceeds the capabilities of the mail server queue for storing information.

Если размер очереди почтового сервера составляет 4624616384 байт, то при одновременной отправке на него 90 сообщений размером в 50 Мбайт в очередь почтового сервера попадет 90х50(перевод в мегабайты) х1024(перевод в килобайты) х1024(перевод в байты) = 4718592000 байт. Что превышает возможности очереди почтового сервера по хранению информации.If the mail server queue size is 4624616384 bytes, then when 90 messages of 50 MB in size are sent to it at the same time, 90x50 (translated into megabytes) x1024 (translated into kilobytes) x1024 (translated into bytes) = 4718592000 bytes will be sent to the mail server queue. Which exceeds the capabilities of the mail server queue for storing information.

Если размер очереди почтового сервера составляет 4624616384 байт то при одновременной отправке на него 180 сообщений размером в 25 Мбайт в очередь почтового сервера попадет 180х25(перевод в мегабайты) х1024(перевод в килобайты) х1024(перевод в байты)= 4718592000 байт. Что превышает возможности очереди почтового сервера по хранению информации.If the size of the mail server queue is 4624616384 bytes, then when 180 messages of 25 MB in size are sent to it at the same time, 180x25 (translated into megabytes) x1024 (translated into kilobytes) x1024 (translated into bytes) = 4718592000 bytes will get into the mail server queue. Which exceeds the capabilities of the mail server queue for storing information.

На основании статистики за годы эксплуатации просчитывается типовая нагрузка от каждого клиента (в системе для которой разрабатывается данный способ не предполагается использование нового почтового сервера с новым набором клиентов, в исключительном случае за основу будет взята статистика головного сервера и его клиентов, как самого загруженного.Based on the statistics for the years of operation, the typical load from each client is calculated (in the system for which this method is being developed, it is not supposed to use a new mail server with a new set of clients, in an exceptional case, the statistics of the head server and its clients will be taken as the basis, as the busiest.

В случае изменения критических параметров из таблицы вероятность возникновения угрозы отказ в обслуживании возрастает.If critical parameters from the table are changed, the likelihood of a denial of service threat increases.

Список критических параметров и их состояний, влияющих на возникновение угрозы отказ в обслуживании.List of critical parameters and their states that affect the occurrence of a denial of service threat.

λ – стремиться к 0;λ - tend to 0;

Vобщ – стремиться к ∞;V total - tend to ∞;

V max – не изменяется; Vmax - does not change;

n сообщений равного объема – стремиться к ∞;n messages of equal volume - tend to ∞;

N общ – стремиться к ∞;N total - tend to ∞;

N ош – стремиться к ∞ при условии, что сервер не может определить получателя сообщений, в противном случае не изменяется;N osh - tend to ∞ provided that the server cannot determine the recipient of messages, otherwise it does not change;

N вн – не изменяется;N vn - does not change;

N внш – стремиться к ∞.N ext - tend to ∞.

Как показано в примере (см. таблицу 1) из 192ух сообщений 30 (зафиксировано 30 сообщений равного максимального объема) было объемом 115606184 байт (около 110 Мбайт), что привело к переполнению очереди сервера (состояние очереди сервера + поступивший объем – составил 4624616384 байт, что соответствует размеру очереди почтового сервера).As shown in the example (see Table 1), out of 192 messages, 30 (30 messages of equal maximum size were recorded) were 115606184 bytes in size (about 110 MB), which led to the server queue overflow (server queue status + incoming volume - amounted to 4624616384 bytes, which corresponds to the queue size of the mail server).

Возникнуть это могло по следующим причинам один клиент направил в течении часа отправил 30 сообщений указанного объема, или 2 по 15 или один направил 2 сообщения, второй одно, а третий 27 и т.п.This could have arisen for the following reasons: one client sent 30 messages of the specified volume within an hour, or 2 to 15, or one sent 2 messages, the second one, and the third 27, etc.

Нельзя исключать и ситуацию, когда один направил 4 по 30, а два других 60 по 35 – что приведёт к аналогичной ситуации.We can not exclude the situation when one sent 4 to 30, and the other two 60 to 35 - which will lead to a similar situation.

То есть при не типовом поведении клиентов, а также при возникновении реализации угрозы отказ в обслуживании необходимо включать защитные механизмы, как было показано в алгоритме.That is, in case of non-typical behavior of clients, as well as in the event of a denial of service threat, it is necessary to enable protective mechanisms, as was shown in the algorithm.

Пример простой скрытой марковской модели (СММ)An example of a simple Hidden Markov Model (HMM)

N - объем очереди сервераN - server queue size

Figure 00000006
Figure 00000006

где:Where:

Р(клиент 1) – вероятность реализации угрозы отказ в обслуживании от клиента №1,P(client 1) - the probability of a denial of service threat from client No. 1,

Р(клиент n) - вероятность реализации угрозы отказ в обслуживании от клиента
№ n,Р(client n) - probability of realizing a denial of service threat from a client
No.n,

Vобщ(клиент 1) объем информации от клиента №1 за рассматриваемый период,Vtotal (client 1) the amount of information from client No. 1 for the period under review,

Vобщ(клиент n) объем информации от клиента № n за рассматриваемый периодVtotal (client n) volume of information from client No. n for the period under review

Например, объем очереди сервера равен 4624616384 и есть три клиента чей направляемый объем известен только по факту и не предсказуем исходя из предыдущего момента времени.For example, the server queue volume is 4624616384 and there are three clients whose directed volume is known only after the fact and is not predictable from the previous point in time.

Нет угрозы отказ в обслуживании.No threat of denial of service.

Figure 00000007
Figure 00000007

Есть угроза отказ в обслуживании, и она исходит от клиента 2There is a denial of service threat and it comes from client 2

Figure 00000008
Figure 00000008

Есть угроза отказ в обслуживании, и она исходит от клиентов 2 и 3There is a denial of service threat coming from clients 2 and 3

Figure 00000009
Figure 00000009

Заявленный способ позволяет предотвратить ситуацию, когда сервер прекратит обработку сообщений и системному администратору придётся вручную очищать очередь, перезапускать сервер и восстанавливать информационный обмен.The claimed method makes it possible to prevent the situation when the server stops processing messages and the system administrator has to manually clear the queue, restart the server and restore information exchange.

Claims (9)

Способ обработки электронной почты, включающий, An e-mail processing method including, получение электронных сообщений от клиентов и размещение их в очереди почтового сервера,receiving emails from clients and placing them in the mail server queue, определение параметров полученного сообщения,determining the parameters of the received message, проведение динамической оценки заполняемости почтового сервера, в которой вычисляют процент заполняемости очереди почтового сервера P, при этом: conducting a dynamic assessment of the occupancy of the mail server, in which the percentage of occupancy of the mail server queue P is calculated, while: а) если процент заполняемости очереди почтового сервера P равен или больше Р1, то прием сообщений от всех клиентов прекращается и формируется автоматическое сообщение всем клиентам о причинах блокировки приема,a) if the percentage of occupancy of the mail server queue P is equal to or greater than Р 1 , then the reception of messages from all clients is stopped and an automatic message is generated to all clients about the reasons for blocking reception, б) если процент заполняемости очереди почтового сервера P меньше Р1, но равен или выше заданного значения Р2, то производится отключение конкретных клиентов, чьи сообщения привели к повышению процента заполняемости почтового сервера Р, формируется и направляется автоматическое уведомление, а обработка сообщений продолжается,b) if the percentage of occupancy of the mail server queue P is less than Р 1 , but equal to or higher than the specified value Р 2 , then specific clients are disconnected, whose messages led to an increase in the percentage of occupancy of the mail server Р, an automatic notification is generated and sent, and message processing continues, в) если процент заполняемости очереди почтового сервера P меньше заданного значения P2, то производится проверка на наличие отключённых клиентов, при их наличии они включаются на прием, им отправляются автоматические сообщения о возобновлении приема, обработка сообщений продолжается,c) if the percentage of occupancy of the mail server queue P is less than the specified value P 2 , then a check is made for the presence of disconnected clients, if there are any, they are included in the reception, they are sent automatic messages about the resumption of reception, message processing continues, при этом при отсутствии отключенных клиентов обработка сообщений продолжается, при этомat the same time, in the absence of disconnected clients, message processing continues, while P2 определяется на основании статистических данных об активности клиентов, полученных на предыдущих сообщениях.P 2 is determined on the basis of statistical data on the activity of clients received on previous messages.
RU2022122799A 2022-08-24 E-mail processing method RU2789621C1 (en)

Publications (1)

Publication Number Publication Date
RU2789621C1 true RU2789621C1 (en) 2023-02-06

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2849339C1 (en) * 2024-06-18 2025-10-23 Общество С Ограниченной Ответственностью "Пин-Код" Method for multichannel stream recognition and sorting of incoming correspondence

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050188028A1 (en) * 2004-01-30 2005-08-25 Brown Bruce L.Jr. System for managing e-mail traffic
WO2007040648A1 (en) * 2005-09-29 2007-04-12 Teamon Systems, Inc. Email server for processing a threshold number of email jobs for a given user and related methods
US7287060B1 (en) * 2003-06-12 2007-10-23 Storage Technology Corporation System and method for rating unsolicited e-mail
US20080320093A1 (en) * 2007-06-20 2008-12-25 Goolara, Llc Controlling the sending of electronic mail

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7287060B1 (en) * 2003-06-12 2007-10-23 Storage Technology Corporation System and method for rating unsolicited e-mail
US20050188028A1 (en) * 2004-01-30 2005-08-25 Brown Bruce L.Jr. System for managing e-mail traffic
WO2007040648A1 (en) * 2005-09-29 2007-04-12 Teamon Systems, Inc. Email server for processing a threshold number of email jobs for a given user and related methods
US20080320093A1 (en) * 2007-06-20 2008-12-25 Goolara, Llc Controlling the sending of electronic mail

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2849339C1 (en) * 2024-06-18 2025-10-23 Общество С Ограниченной Ответственностью "Пин-Код" Method for multichannel stream recognition and sorting of incoming correspondence
RU2849339C9 (en) * 2024-06-18 2025-11-20 Общество С Ограниченной Ответственностью "Пин-Код" Method for multichannel stream recognition and sorting of incoming correspondence

Similar Documents

Publication Publication Date Title
CN101142567B (en) Systems and methods for disaster recovery and management of email systems
US7610344B2 (en) Sender reputations for spam prevention
US7748038B2 (en) Method and apparatus for managing computer virus outbreaks
US20060277259A1 (en) Distributed sender reputations
US7849142B2 (en) Managing connections, messages, and directory harvest attacks at a server
KR101201045B1 (en) Prevention of outgoing spam
US7870200B2 (en) Monitoring the flow of messages received at a server
US7756929B1 (en) System and method for processing e-mail
US20090037546A1 (en) Filtering outbound email messages using recipient reputation
WO2015031218A2 (en) Enforcing resource quota in mail transfer agent within multi-tenant environment
US8601065B2 (en) Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions
US7958557B2 (en) Determining a source of malicious computer element in a computer network
RU2789621C1 (en) E-mail processing method
US20100175103A1 (en) Reactive throttling of inbound messages and ranges
US20060265459A1 (en) Systems and methods for managing the transmission of synchronous electronic messages
CN111245708B (en) Mail processing method and device
WO2011153582A9 (en) Electronic messaging recovery engine
JP5427497B2 (en) Mail gateway
Tsuzaki et al. A Mail Transfer System Selectively Restricting a Huge Amount of E-Mails
ES2558740T3 (en) System implemented in computer and procedure to detect the improper use of an email infrastructure in a computer network
TWI472192B (en) Automatically real-time verification of the system, architecture and method of e-mail system performance
CN112688853A (en) Mailbox mail monitoring system and method
KR20090000073A (en) Method and apparatus for removing spammy connections by applying multiple blocking criteria