允许综合反兜售信息的技术构架.pdf

允许综合反兜售信息的技术构架
    【技术领域】

    本发明通常涉及电子通信，更具体地说，涉及过滤不受欢迎的电子邮件。

    背景技术

    电子通信，尤其是因特网上所传送的电子邮件(“e-mail”)不仅在社会中迅速得到普及，而且因其非正式性、使用方便和低廉的费用而成为许多个人和组织首选的通信方法。

    遗憾的是，电子邮件接收者正在日益受到未经请求的大量邮件的困扰。随着基于因特网的商务的发展，日益壮大的众多不同的电子商人向不断扩大的电子邮件接收者群体反复发送为其产品和服务做广告的未经请求的邮件。在因特网上定购产品或与贸易商进行交易地大多数消费者预期并且实际上也的确定期从那些贸易商那里接收这类请求。

    但是，电子邮寄者正在不断地扩大其分发清单，以达到日益增多的接收者。例如，响应于关于各种web站点所建立的访问者信息的看起来也许无害的请求来仅仅提供其电子邮件地址的接收者经常会收到未经请求的邮件，并且，令他们大为不快的是，他们发现自己已被列在电子分发清单上。这发生在这些接收者不知情的情况下，更不用说获得他们的同意了。另外，电子邮寄者将会经常通过销售、租借或其他方式向另一位这样的邮寄者散布其分发清单，供其使用，并进一步散布给随后的邮寄者。因此，随着时间的推移，电子邮件接收者常常发现自己日益受到未经请求的邮件的狂轰乱炸，该未经请求的邮件产生于日益多样化的众多大规模邮寄者所保持的各自的分发清单。个人在一年之内可以轻而易举地收到成百上千、甚至成千上万封未经请求的电子邮件。被列在电子分发(e-distribution)清单上的个人在短得多的一段时期内预期会收到相当多的未经请求的消息。

    另外，许多未经请求的电子邮件消息是无危险的，例如关于贴现办事处或计算机供给的提议、抵押比率报价或对参加这类或那类会议的邀请；而其他未经请求的电子邮件消息对于其接收者而言则具有攻击性，例如色情资料、煽动性资料和口出恶言的资料。这些未经请求的消息被称作“垃圾邮件”或“兜售信息”。来自兜售信息的电子邮件负载可以等同于从合法的电子邮件中产生的负载。

    类似于处理垃圾邮件的任务，电子邮件接收者必须筛选其进来的邮件，以除去兜售信息。计算机行业认识到这个问题，并且已开发各种技术来使兜售信息的排除自动化。例如，一种技术是“turf清单”。电子邮件接收者预订turf清单，这样，可以使用基于所定义的规则的一套特征来识别并拒绝接受邮件。遗憾的是，给定的电子邮件消息是否是兜售信息的选择极大程度取决于该消息的特定接收者和实际内容。对于一个接收者而言是兜售信息的内容对于另一个接收者而言可能不是兜售信息，这限制了turf清单的功能性。此外，电子邮寄者(即兜售信息的发生器)将准备消息，以便其真实的内容无法从其主题行中看清，而只能通过阅读该消息的主体来加以辨别。

    另一种所开发的技术被称作“黑洞清单”。该黑洞清单是从那里发送兜售信息的已知兜售信息地址的清单。根据该黑洞清单来检验该电子邮件发送者的地址。如果这个地址在该清单上，则不接受该电子邮件。兜售信息的发生器只改变其地址，以回避这项技术。也已经开发了其他技术。这些技术中没有是100％有效的。电子邮件服务器用于防止兜售信息的革新与兜售信息创建者用于战胜这些革新的革新狭路相逢。

    【发明内容】

    本发明提供了一种构架，用于允许将多种兜售信息检测方案部署成按一种易管理的合理方式来进行合作，并且用于允许在快速部署模型之下创建并使用新的革新。

    所介绍的方法使用反兜售信息模块来确定电子邮件消息是否是兜售信息。该方法调用这些反兜售信息模块之一，并从该反兜售信息模块接收兜售信息置信级。将调谐因子应用于该兜售信息置信级，以创建调谐的兜售信息置信级。将该调谐的兜售信息置信级加入总计的兜售信息置信级，并将该总计的兜售信息置信级与至少一个域值进行比较。如果该总计的兜售信息置信级大于该域值，则调用与这至少一个域值有关联的动作。该过程重复进行，直到该总计的兜售信息置信级大于该域值或已调用所有的反兜售信息模块为止。

    在一个实施例中，使用包括顶部域值的多个域值，并且将该总计的兜售信息置信级与每个域值进行比较。如果该总计的兜售信息置信级高于这些域值中的一个或多个域值，则调用与最接近该顶部域值并且已被超过的域值有关联的动作。

    该调谐因子的范围可以从简单的换算因子(例如，将该兜售信息置信级乘以一；或者，通过曾提供该兜售信息置信级的反兜售信息模块中的用户的置信级，来换算该兜售信息置信级)到复杂的调谐因子不等，该复杂的调谐因子使用非线性置信级规格化来使该兜售信息置信级规格化。

    所调用的动作包括：如果该总计的兜售信息置信级超过第一个域值等级，则结束连接；如果该总计的兜售信息置信级超过第二个域值等级并低于第一个域值等级，则将非传递的消息返回给发送者；如果该消息超过第三个域值等级并低于第二个域值等级，则将该消息传递到垃圾邮件文件夹；以及，将该总计的兜售信息置信级发送给客户，以便允许该客户执行每一用户的定制动作。

    通过以下参照附图来详细地描述说明性实施例，本发明的额外的特点和优点将会变得一目了然。

    【附图说明】

    所附权利要求书详细陈述了本发明的各个特点，但通过以下详细的描述并结合附图，可以最佳程度地理解本发明及其目的和优点。在这些附图中：

    图1是框图，通常展示了本发明驻留在其上的示范计算机系统；

    图2是框图，通常展示了使用SMTP协议堆栈的系统中的本发明的构架；

    图3是框图，展示了根据本发明来使用的反兜售信息模块的例子；以及，

    图4是流程图，展示了结合反兜售信息模块并确定消息是否是兜售信息的过程。

    【具体实施方式】

    参考这些附图，其中，相同的参考数字表示相同的元件，本发明被展示于合适的计算环境中加以实施。虽然未作要求，但是，将在个人计算机正在执行的计算机可执行指令(例如，程序模块)的一般上下文中描述本发明。通常，程序模块包括执行特殊任务或实施特殊的抽象数据类型的例行程序、程序、对象、部件、数据结构等。而且，精通该技术领域的人将会理解：可以利用其他计算机系统配置(包括手持设备、多处理器系统、基于微处理器或可编程的消费电子设备、网络PCs、小型计算机、大型计算机和类似物)来实施本发明。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于本地记忆存储设备和远程记忆存储设备中。

    图1展示了可以在其上实施本发明的合适的计算系统环境100的一个例子。计算系统环境100只是合适的计算环境的一个例子，它并不意在对本发明的使用或功能性的范围提出任何限制。也不应该将计算环境100解释成具有关于示范操作环境100中所展示的任何一个部件或部件组合的任何从属性或要求。

    本发明可用于许多其他通用或专用的计算系统环境或配置。可能适用于本发明的众所周知的计算系统、环境和/或配置的例子包括(但不局限于)个人计算机、服务器计算机、手持设备或便携式设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PCs、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境以及类似物。

    可以在计算机正在执行的计算机可执行指令(例如，程序模块)的一般上下文中描述本发明。通常，程序模块包括执行特殊任务或实施特殊的抽象数据类型的例行程序、程序、对象、部件、数据结构等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括记忆存储设备的本地计算机存储介质和远程计算机存储介质中。

    参照图1，用于执行本发明的示范系统包括采取计算机110形式的通用计算设备。计算机110的部件可以包括(但不局限于)处理单元120、系统存储器130和系统总线121，系统总线121将包括该系统存储器的各种系统部件耦合到处理单元120。系统总线121可能是几种类型的总线结构(包括存储总线或存储控制器、并行总线以及使用各种总线构造中的任何总线构造的局域总线)中的任何总线结构。举例来讲(不作限制)，这类结构包括“工业标准结构”(ISA)总线、“微通道结构”(MCA)总线、“增强型ISA”(EISA)总线、“视频电子标准协会”(VESA)局域总线以及也被称作“中层楼(Mezzanine)总线”的“外围部件互连”(PCI)总线。

    计算机110通常包括各种计算机可读介质。计算机可读介质可以是可由计算机110进行存取的任何可用介质，它包括易失和非易失介质、可移动和不可移动介质。举例来讲(不作限制)，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括用信息(例如，计算机可读指令、数据结构、程序模块或其他数据)存储的任何方法或技术来加以执行的易失和非易失的可移动和不可移动的介质。计算机存储介质包括(但不局限于)RAM、ROM、EEPROM、快闪存储器或其他存储技术、CD-ROM、数字通用磁盘(DVD)或其他光盘存储器、盒式磁带、磁带、磁盘存储器或其他磁性存储设备、或可以被用来存储所需的信息并可以由计算机110进行存取的其他任何介质。通信介质通常具体表现计算机可读指令、数据结构、程序模块或调制数据信号(例如，载波或其他传送机制)中的其他数据，它包括任何信息传递介质。术语“调制数据信号”意味着一种信号，该信号的特征中的一个或多个特征用这样一种方式来加以设置或更改，以便为该信号中的信息编码。举例来讲(不作限制)，通信介质包括有线介质(例如，有线网络或直线连接)和无线介质(例如，声音、RF、红外线和其他无线介质)。以上任何内容的组合也应该被包括在计算机可读介质的范围以内。

    系统存储器130包括采取易失和/或非易失存储器(例如，只读存储器(ROM)131和随机存取存储器(RAM)132)形式的计算机存储介质。基本输入/输出系统133(BIOS)通常被存储在ROM 131中，该基本输入/输出系统包含有助于在计算机110内的各个元件之间传送信息(例如，在启动期间)的基本例行程序。RAM 132通常包含处理单元120可立即存取并且/或者目前正由处理单元120进行操作的数据和/或程序模块。举例来讲(不作限制)，图1展示了操作系统134、应用程序135、其他程序模块136和程序数据137。

    计算机110也可以包括其他可移动/不可移动的易失/非易失计算机存储介质。只举例而言，图1展示了从不可移动的非易失磁性介质存取或对其写入的硬盘驱动器141、从可移动的非易失磁盘152读取或对其写入的磁盘驱动器151，以及从可移动的非易失光盘156(例如，CD ROM或其他光学介质)读取或对其写入的光盘驱动器155。可以被用于示范操作环境中的其他可移动/不可移动的易失/非易失计算机存储介质包括(但不局限于)盒式磁带、快闪存储卡、数字通用磁盘、数字录像磁带、固态RAM、固态ROM和类似的存储介质。硬盘驱动器141通常通过不可移动的存储接口(例如，接口140)被连接到系统总线121，磁盘驱动器151和光盘驱动器155通常由可移动存储接口(例如，接口150)连接到系统总线121。

    以上讨论的和图1中所展示的各种驱动器及其关联的计算机存储介质为计算机110提供计算机可读指令、数据结构、程序模块和其他数据的存储。在图1中，例如，硬盘驱动器141被展示为存储操作系统144、应用程序145、其他程序模块146和程序数据147。注意，这些部件可以等同于或不同于操作系统134、应用程序135、其他程序模块136和程序数据137。操作系统144、应用程序145、其他程序模块146和程序数据147被给予不同的号码，以便至少展示它们是不同的副本。用户可以通过输入设备(例如，键盘162)和定点设备161(通常指鼠标、跟踪球或触垫)，将命令和信息输入计算机110。其他输入设备(未示出)可以包括话筒、操纵杆、游戏垫、圆盘式卫星电视天线、扫描仪或类似的设备。这些和其他的输入设备经常通过被耦合到该系统总线的用户输入接口160来与处理单元120连接，但也可以由其他接口和总线结构(例如，并行端口、游戏端口或通用串行总线(USB))来连接。监视器191或其他类型的显示设备也经由接口(例如，视频接口190)被连接到系统总线121。除了该监视器以外，计算机也可以包括其他外围输出设备(例如，扬声器197和打印机196)，这些外围输出设备可以通过输出外围接口195而被加以连接。

    计算机110可以在使用与一台或多台远程计算机(例如，远程计算机180)的逻辑连接的联网环境中进行操作。远程计算机180可能是另一台个人计算机、服务器、路由器、网络PC、对等设备或其他共同的网络节点，它通常包括以上相对于个人计算机110而描述的许多或全部元件，尽管图1中只展示了记忆存储设备181。图1中所描绘的逻辑连接包括局域网(LAN)171和广域网(WAN)173，但也可以包括其他网络。这类联网环境在办公室、企业范围的计算机网络、内联网和因特网中很普遍。

    当被用于LAN联网环境中时，个人计算机110通过网络接口或适配器170被连接到LAN 171。当被用于WAN联网环境中时，计算机110通常包括调制解调器172或用于在WAN 173(例如，因特网)上建立通信的其他装置。调制解调器172(可能是内置的，也可能是外置的)可以经由用户输入接口160或其他合适的机制被连接到系统总线121。在联网环境中，相对于个人计算机110而描绘的程序模块或其各个部分可以被存储在该远程记忆存储设备中。举例来讲(不作限制)，图1将远程应用程序185展示为驻留在存储设备181上。将会理解：所示的网络连接起示范的作用，可以使用在各台计算机之间建立通信链路的其他装置。

    在下文中，除非另有指示，将参照一台或多台计算机所执行的动作和操作的符号表示来描述本发明。照此，将会理解：这类动作和操作(有时被称作“计算机执行的”)包括用组织形式表示数据的电信号计算机的处理单元所执行的操作。这项操作对该数据进行变换，或者将其保存在该计算机的存储系统中的各个位置，这样，可以用精通该技术领域的人所熟悉的方式来重新配置或改变该计算机的操作。其中保存数据的数据结构是具有该数据的格式所定义的特殊属性的存储器的物理位置。但是，在前述上下文中描述了本发明，而这并不意味着起限制的作用，因为精通该技术领域的人将会理解：下文所描述的各种动作和操作也可以在硬件中被加以执行。

    将使用具有Exchange服务器的“简单邮件传输协议”(SMTP)来描述本发明。Exchange是微软公司生产的一种电子邮件服务器。SMTP是在因特网上使用的主要电子邮件协议。将会使用SMTP和Exchange，同时，本发明也可以被用于其他的传输协议和邮件服务器。SMTP是“传输控制协议/网际协议”(TCP/IP)通信协议，该通信协议定义被用来将邮件从一个电子邮件服务器(例如，经由因特网的Exchange)传送到另一个电子邮件服务器的消息格式。根据SMTP，通常用以下方式来发送电子邮件消息。用户运行电子邮件程序，以便创建电子邮件消息；该电子邮件程序将该消息文本和控制信息放置在外出消息的队列中。该队列通常作为该电子邮件服务器可存取的文件收集品来加以执行。

    Exchange服务器建立与目标电子邮件服务器上所保留的SMTP端口的“传输控制协议”(TCP)连接，并使用该SMTP来跨越因特网传送消息。发送服务器与接收服务器之间的SMTP对话会导致：在各个阶段，将消息从发送主机上的队列传送到接收主机上的队列。这些阶段的范围从发送服务器提供正在被建立的连接的IP地址到接收所有的消息标题和消息内容不等。当完成该消息传送时，接收服务器关闭SMTP所使用的TCP连接，发送主机从其邮件队列中除去该消息，并且，接收者使用其配置的电子邮件程序来阅读该邮件队列中的消息。

    现在参考图2，SMTP堆栈200在因特网信息服务器(IIS)202内部运行，因特网信息服务器(IIS)202是被安装在服务器204上并且由微软公司出售的web服务器软件。IIS 202经由SMTP与因特网上的其他Exchange服务器206或SMTP服务器(未示出)进行通信。IIS 202具有数据库208，可使用数据库208来存储外出或进来的消息。当为进来的消息建立与SMTP协议200的连接时，由构架210激发并接收事件。构架210截取该消息，并将其传递给一个或多个过滤器212。过滤器212分析该消息，确定过滤器212所具有的置信级是“该消息是兜售信息”，并且将该置信级发送到构架210。构架210根据该置信级来决定它是否想要调用另一个过滤器212或动作214。动作214包括：结束连接，将该消息发送到Exchange传送器216，并删除该消息。Exchange传送器216发送该消息。它确定：该消息是否将要被传递到服务器204上的邮箱，或者，它是否需要经由SMTP 200转到另一个服务器206。

    现在参考图3，过滤器210包括各种类型的反兜售信息检测技术。例如，这些类型的过滤器210可能是实时黑洞清单模块300、非线性模块302、抗病毒模块306用来与Exchange服务器204进行通信的抗病毒API 304、turf清单模块308以及使用其自己的规则来确定消息是否是兜售信息的其他过滤器310。例如，其他过滤器310可以是文本分类、关键字匹配等。

    实时黑洞清单模块300将消息发送者的IP地址与已知的兜售信息地址清单进行比较。如果该IP地址在这个已知清单上，则Exchange服务器204不接受该邮件。非线性模块302使用各种函数(例如，s形状的曲线、贝叶斯定理函数以及强迫兜售信息与合法消息分开的类似的函数)来使过滤器210的置信级规格化。例如，如果过滤器210返回95％的置信级，则非线性模块302可以将该置信级换算到96％，同时，可以将40％的置信级换算到30％的置信级。在根据可用信息在发送者与Exchange服务器之间进行SMTP协议交换的期间，turf清单模块308拒绝邮件，包括发送者邮件地址和/或域、该邮件的目标接收者和实际消息主体的特征(例如，消息标识符、日期、主题、附件类型和名称)。

    构架210管理反兜售信息过滤器210中的一个或多个反兜售信息过滤器的启用，使每项启用的结果规格化，评估规格化的结果，并且对该结果采取动作。通常将构架210部署到网络边缘处的服务器204(即首先从因特网接收电子邮件的邮件服务器)。所使用的部分技术(例如，文本分类)可以有不同的用途(例如，识别消息的重要性或敏感性)。因此，也可以有效地将该构架部署在内部服务器上。构架210可以被单独用作实用程序库，这些实用程序由现存的独立的兜售信息检测实施来调用，以便协助从这些独立实施的迁移；或者，可以被较佳地用作提供来自基础事件(eventing)机制(以下加以描述)的抽象概念的包装器，该基础事件机制被用来调用反兜售信息过滤器210。该包装器实施例允许为电子邮件开发的反兜售信息过滤器210也被用于其他通信解决方案(例如，即时通信、确定骚扰消息等)。不论在哪一种情况中，该构架都作为库来加以传递，该库在建立或运行时间联合反兜售信息技术。

    Exchange中的SMTP堆栈200的结构使事件被堆栈200激发(即，源自堆栈200)到事件接收装置，这些事件接收装置通常作为COM对象来加以执行。当使用新的反兜售信息技术时，它执行在安装时间登记该协议事件系统的COM对象。该登记代码由构架210来传递。构架210的安装包括：将该软件安装在考虑之中的服务器上；登记该事件接收装置；经由系统管理者控制台为特定的服务器启用或禁止使用特定的技术；并且，当接收兜售信息时，建立将要被遵循的评估策略和动作策略。通过允许网络中的所有服务器包含相同的软件双体，特定技术的启用/禁止使用改善了构架210的可管理性。

    现在参考图4，展示了结合反兜售信息模块212并确定消息是否是兜售信息的过程。在运行时间，当打开与SMTP堆栈200(和其后的各个点)的连接时，激发事件(步骤400)。事件调度系统检查其登记清单，并调用对应的对象。要么在构架210用作包装器时，直接启用它；要么在构架210作为库函数被调用时，间接启用它(步骤402)。在这两种情况下，构架210检查其自己的配置，以确定“系统管理者”已“启用”或“禁止使用”反兜售信息技术300-310(已为其登记该构架)中的哪些技术。列举已被启用的反兜售信息技术，并且将兜售信息置信级汇总设置为零(步骤404)。

    如果“启用”特定的反兜售信息过滤器212，则构架210获得反兜售信息过滤器212可以检查的任何信息，并将该信息发送到过滤器212(步骤406)。可用信息的数量和类型将根据调用过滤器212的协议阶段而改变。例如，第一次可能只调用有关正在被建立的连接的IP地址的信息。在该系统接受该消息之前的最后一次调用期间，将具备所有的消息标题和内容。如果构架210能够揭开该消息的编码内容，则构架210将会把该消息的编码内容分解成反兜售信息过滤器212更容易使用的一种形式。当该构架作为包装器来加以执行时，将自动具备该信息。当作为库来加以执行时，如果反兜售信息过滤器210特别要求，才会具备该信息。不管该构架(即包装器或库)的形式如何，该反兜售信息过滤器都被动地调用实用功能(例如，揭开消息内容)，以减少CPU负载。在一个实施例中，构架210也提供对该消息中的接收者地址的查找，过滤器212可以将该消息用作其将一封邮件评估为兜售信息的过程的一部分。

    过滤器212的评估一完成，过滤器212就通过返回值或参考资料(或通过调入该构架库)，将该解决方案所具有的信任评估“特定的邮件消息是兜售信息”传回到构架210(步骤408)。构架210通常预期范围在0-100％以内的答案，其中，0％清楚地表示不是兜售信息，而100％清楚地表示是兜售信息。在一个实施例中，百分率被指示为0与1000之间的数字。为了适应使用不同量度标准的各种反兜售信息技术300-310，构架210提供将要被应用于来自每个单独的过滤器212的结果的换算或调谐因子，调用每个单独的过滤器212来创建规格化或调谐的兜售信息置信级(步骤410)。该换算或调谐因子由服务器204的管理者来加以配置。这构成规格化，为了比较不同的过滤器210的结果，那个构架必须执行该规格化。这个规格化的数字将被称作“兜售信息置信级”。将该兜售信息置信级加入兜售信息置信级汇总(步骤412)。关于坚持性，构架210将所计算的兜售信息置信级作为运行总数存储在消息本身上；并且/或者，关于性能，将其存储在存储器中。将接连的解决方案的评估结果加入兜售信息置信级汇总。

    可以用各种方法来执行规格化(即，应用换算因子)。例如，使这些结果规格化的一种方法是：同等地信任每个过滤器210的结果，并且只合计这些结果(例如，0.5+0.7+0.8+…＝汇总)。另一种方法是：为每个结果应用度量。例如，如果管理者喜欢特定过滤器检测兜售信息的方法，则该管理者将会用相对较高的数字(例如，0.9)来换算那个过滤器的兜售信息置信级。同样，如果管理者对某个过滤器感觉不是很信任，则该管理者用相对较低的数字(例如，0.3)来换算那个过滤器的兜售信息置信级。换算因子的另一个例子是：利用加权曲线(例如，s形状的曲线)来使用非线性置信级规格化。例如，如果过滤器210返回95％的兜售信息置信级，则换算因子将其换算到更高——(例如)96％。如果该兜售信息置信级在范围的中间(例如，50-55％)，则应用更基本的换算，以便将其换算到更低(例如，30-35％)。

    构架210为管理者提供设置几个域值的能力，从而允许该管理者根据被兜售信息置信级汇总超过的最大域值来定义将要对消息采取的不同的动作。这些动作可以阻止传递该消息，直到知道关于该消息是否是兜售信息的更好的主意为止，这样，可以结束连接，将非传递消息发送给发送者，删除该消息，根据兜售信息置信级汇总来将其传递到另一个过滤器210，将该消息发送给接收者，等等。在构架210中提供了一组默认的域值和对应的动作。

    将换算的兜售信息置信级汇总与管理者所设置的顶部域值进行比较(步骤414)。如果该兜售信息置信级汇总超过该顶部域值，则采取为该顶部域值而配置的动作(步骤416)。如果该兜售信息置信级汇总没有超过该顶部域值等级，并且，如果可以使用更多的过滤器210来评估该消息(步骤418)，则重复步骤404～416，直到已超过该顶部域值或已接收该消息的末尾为止(步骤420)。如果还没有接收该消息的末尾，则SMTP堆栈200进入下一种消息接受状态(422)，并且为这下一种消息接受状态重复步骤406～420。如果已接收该消息的末尾，并且所有被启用的过滤器都已分析该消息，则将该兜售信息置信级汇总与按从顶部域值到底部域值的顺序排列的其余域值进行比较(步骤424)，直到该兜售信息置信级汇总超过域值为止(步骤426)。如果该兜售信息置信级汇总超过域值，则采取为那个域值而配置的动作。

    总之，在过滤器212已完成其分析之后，构架210根据管理者所定义的一组域值来评估兜售信息置信级汇总。如果兜售信息置信级汇总大于管理者所设置的最高域值，那么，对该消息采取为该最高域值而规定的动作。否则，使用随后的过滤器来评估该消息，直到超过最大域值或所有过滤器都已评估该消息为止。在所有过滤器都已评估该消息之后，将兜售信息置信级汇总与所有域值以及所选择的匹配域值进行比较。然后，采取与那个域值有关联的动作。例如，如果兜售信息置信级汇总超过99％的置信级域值，则可以默默地结束消息连接。如果兜售信息置信级汇总超过70％的置信级域值，则可以将非传递报告返回给发送者。如果兜售信息置信级汇总超过40％的置信级域值，则可以将该消息传递到用户的邮箱中的“垃圾邮件”文件夹。如果兜售信息置信级汇总没有超过这些域值中的任何域值，则可以认为该消息是合法的，并将其传递到用户的收件箱。

    在各方面，可以将对特定消息所采取的动作记入或加入消息跟踪表格，这取决于管理者选择记录的信息等级。利用构架210，管理者可以获得一组默认的动作。通过用一种与被用来部署新的反兜售信息过滤器的方式相类似的方式来传递额外的动作执行代码，可以增加额外的动作。

    一种众所周知的属性是：被构架210接受传递到邮箱的任何消息将具有被存储于其上的那个消息的兜售信息置信级汇总。处理该消息的传递代理可以选择将这种属性评估为是其自己的逻辑的一部分。观看该消息或这类消息的表格的客户可以选择按兜售信息置信级汇总的升序或降序来列出这些消息，作为对识别可能已被误算的那些消息的帮助。

    可见，已描述了一种平台，通过使用各种现存和将来的反兜售信息过滤器与技术，该平台可允许在网络界限的边缘删除并处理兜售信息和病毒。该平台允许这些解决方案和技术按合理的方法相互作用并被加以管理，从而在充满挑战的兜售信息检测环境中提供将快速革新用于服务器方的能力。

    鉴于可以应用本发明的原理的许多可能的实施例，应该认识到：这里根据附图所描述的实施例意在只起说明性的作用，而不应该被视作是对发明范围的限制。例如，精通该技术领域的人将会认识到：可以在硬件中执行软件中所示的说明性实施例的各个元件，反之亦然；或者，在不脱离本发明的精神的前提下，可以在布置和细节方面对该说明性实施例进行修改。所以，如这里所描述的本发明计划可将所有这类实施例包括在以下权利要求书及其相等物的范围以内。