首页墙头漫剪如何查询企业邮箱安全性 (企业邮箱安全性解决方案)

如何查询企业邮箱安全性 (企业邮箱安全性解决方案)

🏷️ 墙头漫剪 ✍️ 信息安全专家 | 带你揭秘不一样的网络世界 📅 2026-03-14T21:25:43+00:00

邮件是企业的主要交流工具(尤其是大企业),所以目前很多网络攻击都是以邮件为突破口。像电信诈骗、勒索软件等多是以邮件钓鱼突破。

伪造形式

伪造发件人别名

加强企业邮箱安全,如何监管企业邮箱账号安全

利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。

邮件伪造仿冒发件人

加强企业邮箱安全,如何监管企业邮箱账号安全

利用邮件协议的认证缺陷(实际加强安全协议已经存在,但是普及率不高),使用真实的发件人地址和别名,给受害人发送邮件。优点是受害人毫无抵抗能力,全是真货、真货、真货;缺陷是攻击者不能收到受害者的邮件回复,需要结合恶意链接或附件达到攻击目的。

相似域名注册

抢注相似域名,比如taopao(不是L,是数字1),然后就可以按照套路操作了。缺点是注册域名、配置邮件服务等太麻烦,而且容易留下作案痕迹;而且大公司都有brand监控服务,相似域名已经抢注或在监控范围内了(域名注册商有这项服务)。

仿冒回复人

利用邮件header中的Reply to字段,结合仿冒真实发件人攻击,做到真实发件人地址从互联网恶意发送,受害者邮件回复送达Gmail邮箱。

邮件安全防护策略

邮件的安全防护要从五个方面进行防护即:识别、防护、监测、响应、恢复。

加强企业邮箱安全,如何监管企业邮箱账号安全

风险识别

资产识别-邮件安全的核心是账号和邮件内容,可以采用一些策略降低资产的暴露面。

一个小技巧就是邮件别名(alias,相当于多个邮件地址对应一个inbox实例),Gmail邮箱默认支持别名设置,商业邮箱方案和ISP的邮箱策略也允许别名。邮箱地址作为商业联系方式属于公开信息,商业别名可以有效保护邮件账号,增加获取账号和密码的复杂度。

邮件内容的暴露面可以实施企业文档加密方案(MS RMS,Adobe RM, etc.),确保在邮件账号泄露后保密文档不会被非授权访问。

安全防护

a. 邮件网关-垃圾邮件、病毒附件

非常成熟的防护手段,商业方案普遍盖地细节不再赘述,仅列出关键参照点

1)杀毒引擎-不同厂商的特征库之间会有补充(部分厂商内置多个杀毒引擎),启用多少个?

2)防护策略级别-网关配置包括多种防护级别,管理员为了快速部署通常仅启用中或低级别防护策略,导致邮件网关的功效不能充分发挥;

3)串联还是旁路-随着邮件威胁的增加,部分企业开始部署多层邮件网关,如何平衡延迟和效率?

b. 账号防护

1)动态验证码-参照12306神一样的图片验证码,破解密码的难度火箭式增加(个人更认可google的robot识别技术)

2)MFA双因素-国外的Google authenticator, Duo都是很好的方案;抽屉里各家银行的U顿、口令卡、企业配发的OTP令牌,都是各扫门前雪的解决方案;非常期待国内的MFA双因素认证平台的普及(惋惜洋葱的夭折)。

c 终端电脑-邮件是攻击通道,目标是终端电脑或账号。

1)钓鱼邮件、恶意软件通过邮件传递后是否能够成功感染电脑,并成功执行。

2)杀毒软件的覆盖率决定了终端电脑防护的短板(安装率、染毒率需要管理和技术双向发力)。

3)是否有类似主机IDS的软件锁定系统漏洞(勒索软件调用操作系统加密接口,限制接口调用可以有效降低勒索软件的执行)

d. 网络防护-代理或防火墙

1)通过特征库自动阻断钓鱼邮件中链接或脚本*载下**,同时可以在响应阶段手工阻断URL;

2)同时需要关注网络层恶意软件外链的报警,通常可以发现一些蛛丝马迹;

3. 监测攻击

a. 做好日常运维就是最好的监测

1) 邮件进出站数量的异常是否察觉,原因是否调查;

2) 钓鱼邮件的链接多少被点击,是否提交账号?这些账号是否已经重置密码?

b. 借用工具武装自己

1)邮件头分析:mail header analyzer (参考搜索引擎,advertisement free)

2)监控互联网上传输的公司邮件:DMARC数据平台(参考Ⅲ 邮件安全协议)

4. 响应事件

a. 具备监测能力是前置条件,国内企业还停留在用户上报阶段;

b. 被动就要挨打,建议从监控exchange Log开始,设置subject关键字过滤,匹配情报恶意IP、sender实时报警

c. 考验安全团队的设备操作权限和应急熟练程度(邮件安全攻击高频,需要半自动化和流程化)

  • 邮件header分析、钓鱼成功率分析(结合网络层URL访问日志)
  • 网络层阻断URL,更新杀毒软件特征库

5. 恢复业务

取决于企业邮件架构和文件备份策略

邮件安全协议

鉴于SMTP传统邮件的安全性不足,专家已经研发出了四种安全协议:SPF,DKIM,rDNS, DMARC。

加强企业邮箱安全,如何监管企业邮箱账号安全

DMARC协议要求邮件收件人服务器反馈mail header (除去PII信息)反馈给发件人公司,从而让你以上帝视角来审视domain邮件在互联网上发送情况,包括企业邮件、影子邮件(shadow mail)、仿冒邮件。

SPF,全称为 Sender Policy Framework,即发件人策略框架。SPF 出现的目的,就是为了防止随意伪造发件人。

域名密钥识别邮件(DKIM)协议可确保邮件内容不被*窥偷**或篡改。

rDNS反向解析,也就是将IP解析到对应的域名上,反向解析在邮件服务器应用中相当于对你的邮件服务器进行身份验证,这样的策略可以很好的减少垃圾邮件。