产品说明书

一. 产品概述

1.1 风险挑战

当下，大部分的互联网公司面临着业务欺诈的风险，尤其是出行、社交、电商等行业。虚假注册、刷单、薅羊毛、垃圾广告等各类层出不穷的业务欺诈方式，让平台蒙受了巨大的经济和口碑损失。电子邮箱注册是当前国外业务上较为主流的账号注册方式，但由于电子邮箱无需实名，导致企业无法了解用户更多的相关信息，以至于缺失邮箱用户的标签画像。黑产便有了可乘之机，黑产使用大量的临时邮箱注册账号或完成绑定，由此在平台囤积起大量隐患账号，给平台的业务安全带来巨大的威胁。因此，基于邮箱维度的风险检测和识别，可以有效帮助平台降低业务欺诈的风险。

1.2 产品简介

基于威胁猎人特有的蜜罐技术和以黑产资源建模的风险邮箱识别引擎 ，每日发现新增邮箱，并实时同步给企业用于业务场景下的风险识别，准确度超过99%。在注册环节接入风险邮箱情报库，及时识别风险邮箱注册，防止黑产囤积大量账号资源，进行业务恶意行为。

二. 产品功能

2.1 识别邮箱类型

• type1(公共邮箱)：指在邮箱门户网站注册的个人邮箱，使用者多为正常用户。
• type2(临时邮箱)：指无需注册登录且只有几分钟到几小时不等有效性即可收发邮件的邮箱，使用者多为恶意用户。
• type3(企业邮箱)：指通过企业认证的邮箱 ，使用者为企业在职员工
• type4(校园邮箱)：指通过校园认证的邮箱 ，使用者为校园师生。
• type5(无效邮箱)：指不能收发邮件的邮箱，该部分数据包括为用户随意输入的邮箱和过期的临时邮箱。
• type6(自建邮箱)：指私人搭建邮件服务器，所有者可以随意增加或更换邮箱账号。

2.2 识别邮箱风险

• 识别临时邮箱：临时邮箱是无需注册即可用来收发邮件的邮箱，这类邮箱一半都被黑产用于进行批量注册，具有较大风险。
• 识别恶意邮箱：恶意邮箱是我们在有明确发现在黑产中被应用来做恶意注册，被认定为风险邮箱。

三. 产品优势

3.1高准确率

• 威胁猎人是基于情报资源，直接判定该邮箱是否为黑灰产团伙持有的攻击资源，从源头对黑灰产资源进行风险判定，有效避免不同业务行为判定标准不统一而产生的误判问题 。

3.2高覆盖率

• 威胁猎人长期对邮箱风险画像产业链的追踪研究，深挖黑灰产团伙的服务器池，从风险源头开始监控风险邮箱产业的变化，更有机会在风险邮箱服务刚建设完毕，还未作恶的情况下即可识别风险邮箱。

四. 技术原理

• 对黑产团伙所使用的MX记录进行监控，形成黑产团伙资产黑名单库，能够及时的捕获黑产邮箱资源动态。
• 对黑灰产的开源情报、攻击流量情报、黑产工具情报等进行多维监控，能够全面的覆盖黑产邮箱资源。
• 通过公网代理IP、秒拨IP的跳板蜜罐，监控黑产攻击的流量，从流量中捕获黑产在使用的邮箱资源。

五. 使用建议

针对不同的邮箱标签以及风险情况，我们梳理成以下分类，并建议客户针对不同类型的邮箱来综合风控系统来关联风控处置方法。

• 恶意邮箱：risk_info.risk_level返回 “1” 且risk_info.risk_tag返回 “1”

该类邮箱是我们明确发现在被黑产持有，而非自然人所持有的电子邮箱，产生的误判概率极低。

• 临时邮箱：risk_info.risk_level返回 “1” 且risk_info.risk_tag返回 “2”

由于临时邮箱具有一次性、用完即毁的特点，决定了使用该类邮箱的用户绝非对业务有价值的用户。同时由于临时邮箱的创建成本极其低廉，黑灰产很容易就能批量创建大量临时邮箱账号从而进行垃圾注册 。

综上所述，对 risk 返回值为“1”的用户可以考虑在单一策略下直接拦截。对 risk 返回值为“0”的用户可以使用邮箱类型补充用户的画像。

六. 应用场景

6.1 恶意注册账号识别

在注册流程中接入邮箱画像产品，可以及时阻断风险邮箱进行注册，避免拉新奖励被套取。

6.2 营销活动风险识别

在营销活动中接入邮箱画像产品，可发现黑产大量套取优惠券行为，并进行针对性拦截，避免营销活动被恶意利用。

6.3恶意引流账号识别

在登录流程中接入邮箱画像产品，通过风险邮箱发现恶意引流账号，可进行阻断，维护平台内容安全。

七. 交付方式

7.1在线查询

风险邮箱情报库部署在云端，通过HTTPS的RESTful接口输入加密邮箱进行查询使用。

7.2私有化部署

数据库离线部署在客户本地，通过更新包进行离线数据更新，支持分钟级别的更新。