企业邮箱安全防护与钓鱼邮件防范 - 保密网

你每天打开邮箱会看到多少封陌生邮件？有没有想过其中可能有一封就是钓鱼邮件？我在安全服务工作中处理过的数据泄露事件里，超过一半的初始入口不是系统漏洞，而是一封看起来完全正常的钓鱼邮件。今天我们来聊聊企业邮箱安全这个绕不开的话题。

企业邮箱为什么是攻击的重点目标？原因很简单：邮箱里存着公司的核心业务往来，客户信息、合同报价、项目细节、财务数据，全在里面。而且邮箱是内网的入口，攻破了邮箱，就等于拿到了攻入公司内网的门票。黑客攻击企业邮箱的路径一般有两种。一种是针对邮箱系统本身的攻击，比如暴力破解密码、利用邮件系统漏洞远程执行代码。另一种就是我们常说的钓鱼攻击，通过伪装成同事、客户或系统管理员发送诱骗邮件，引导收件人点击恶意链接、下载带毒附件或者主动交出账号密码。

钓鱼邮件现在做得有多逼真？举个例子，去年一家科技公司的财务人员收到一封看似来自CEO的邮件，邮件里说有一笔紧急采购需要当天付款，金额超过二十万元，里面附上了详细的供应商信息和付款账户。发件人名称显示为CEO的名字，邮箱签名、语气和格式全部跟CEO日常发邮件一模一样。财务人员没有多想就安排付款了。事后才发现那个邮箱账号跟CEO的邮箱只差了一个字母，不仔细看根本看不出。这就是典型的商务邮件欺诈，也叫BEC攻击，是近年来企业损失最惨重的钓鱼攻击类型之一。

还有一种常见的钓鱼手段是伪装成系统管理员发来的安全通知。比如邮件标题写的是"您的邮箱存储空间已满，请单击此处清理"，或者"系统检测到您的账号有异常登录行为，请验证您的信息"。这些邮件做得惟妙惟肖，连IT部门自己都分不清真假。员工出于担心或者配合的心理，很容易就按照邮件指示输入了自己的账号和密码，等于亲手把钥匙交给了黑客。

除了专门针对人的钓鱼攻击，邮件系统本身的安全配置也很关键。很多企业的邮件系统缺少基础防护措施。比如没有启用SPF、DKIM和DMARC这三种邮件认证协议。没有这些协议，黑客就可以伪造你的企业邮箱域名发邮件给你的客户和合作伙伴，你的品牌信誉也会跟着受损。还有的企业没有对邮件附件做安全扫描，恶意软件伪装成PDF或者Word文档直接进入员工收件箱。员工一旦打开，电脑就被安装了后门程序，内网安全也就全面失守了。

那怎么做好企业邮箱的安全防护呢？我讲几个关键的要点。第一个是技术层面的基础配置。必须开启SPF、DKIM和DMARC三方邮件认证协议，防止域名被伪造。建议配置邮件网关的恶意附件检测、恶意链接检测和垃圾邮件过滤。对于包含敏感内容的邮件，可以考虑启用邮件加密功能。第二个是账号安全管控。强制员工使用强密码并定期更换，开启多因素认证，就算密码泄露了，没有手机验证码也登录不了。对于长时间不用的邮箱账号，建议及时禁用或删除，避免被黑客利用做跳板。

第三个也是最难做到的一项，就是员工的防钓鱼意识。技术防护做得再好，如果员工自己主动交出了密码或者点了恶意链接，一切防护都白搭。有效的防钓鱼培训不是发一个PPT让员工自己看，而是要模拟真实攻击场景。企业可以定期向员工发送内部模拟钓鱼邮件，看哪些人会上当。对于连续多次中招的员工，安排专门的一对一辅导。我见过最有意思的做法是一家公司把防钓鱼培训做成了闯关游戏，员工完成所有关卡后发一个小奖励，效果比传统培训好得多。

对企业来说，邮箱安全防护要做到一个原则：不信任、要验证。任何涉及转账、付款、变更供应商信息的请求，无论邮件看起来多真实，都必须通过电话或者其他渠道跟发件人本人确认。对于任何要求点击链接输入账号密码的邮件，保持默认怀疑，先跟IT部门核实。把这种怀疑精神变成企业文化的一部分，钓鱼邮件就没有那么容易得逞了。

Q: 企业应该用自建邮件服务器还是用企业邮箱服务？ A: 对于大多数中小企业来说，使用专业的企业邮箱服务更省心，安全防护由服务商负责部署和维护。如果有较高的安全需求或者数据要留在本地，则考虑自建加专业邮件安全网关的方案。

Q: 员工点了一次钓鱼链接怎么办？ A: 立即通知IT部门，断开该设备的内网连接，修改邮箱密码和所有使用同一密码的账号密码，对设备做病毒扫描和木马查杀。同时检查邮箱的转发规则和登录记录，确认有没有被添加了恶意转发或异常登录。

Q: DMARC协议配置很难吗？ A: 不难。SPF是在DNS里添加一条TXT记录，DKIM是添加一条签名记录，DMARC再加一条策略记录。配置后可以大幅降低域名伪造邮件的成功率。如果不熟悉操作，可以让邮件服务商协助配置。