郵件系統(tǒng)作為一種有效的內(nèi)外部工作溝通平臺,在企業(yè)內(nèi)得到廣泛使用�。同時(shí)���,廣告郵件�����、垃圾郵件�����、釣魚郵件等問題就成了企業(yè)郵件安全頭號難題�����。所以我們的企業(yè)安全人員以往更多關(guān)注反垃圾郵件��,向?qū)?shù)據(jù)保密���,反釣魚方向演進(jìn)。
然而��,從Email誕生到今天����,SMTP協(xié)議沒有根本性變化。這對攻擊者而言是一個(gè)利好消息�����。因此�����,郵件成為了突破一家企業(yè)邊界����,發(fā)起網(wǎng)絡(luò)攻擊和信息竊取非常好的入口。我們看到����,近年來隨著技術(shù)水平的提升和利益的趨動,APT攻擊�、勒索軟件開始流行起來。從美國大選,希拉里郵箱被黑客攻破到每一個(gè)人都遇到的Locky���,Wannercry 勒索軟件通過釣魚郵件方式大量傳播�,很多企業(yè)用戶中招導(dǎo)致文檔被加密都有從側(cè)面印證這一點(diǎn)�����。本文從作者從企業(yè)建設(shè)和個(gè)人日常郵件使用兩個(gè)層面�,既為企業(yè)郵件安全建設(shè)提出建議,也為個(gè)人日常郵件使用提供一些技巧�,幫助企業(yè)減少郵件方面所面臨的困擾。
一�、企業(yè)建設(shè)
1. 服務(wù)器通用安全防護(hù)
大多郵件服務(wù)器同大多數(shù)企業(yè)自建立系統(tǒng)一樣,很多客戶的郵件也都有對外的WEB端���,因此����,對外發(fā)布后都有WEB應(yīng)用系統(tǒng)所面臨的攻擊郵件系統(tǒng)都有可能遇到����。如 anymacro郵件系統(tǒng)SQL注入: anymacro是國內(nèi)較流行的一家企業(yè)級郵箱系統(tǒng),客戶主要為教育/政府機(jī)構(gòu)����。注入點(diǎn)存在的位置:https://mail.xxx.com/down.php?netdisk=1
因此�,在基礎(chǔ)防護(hù)這部分���,建議企業(yè)在郵件系統(tǒng)防護(hù)過程中部署NF����,IPS����,WAF等安全防護(hù)設(shè)備���,以保護(hù)郵件服務(wù)器的基礎(chǔ)環(huán)境安全�����。
2. 郵件服務(wù)器特有威脅防護(hù)
(1) 發(fā)件人身份偽造防護(hù)
除了互聯(lián)網(wǎng)或WEB業(yè)務(wù)通用的安全問題外���,郵件還有其自身的一些性安全隱患,最為常見的是郵件發(fā)件人身份偽造���。
郵件發(fā)件身份偽造攻擊是指攻擊者冒充�����、偽造或篡改真實(shí)的用戶地址來發(fā)送郵件���,以達(dá)到迷惑被攻擊者��,實(shí)現(xiàn)釣魚或其他目的����。也是近年來攻擊者使用郵件進(jìn)行攻擊最為常用的方式��。究其根本原因是SMTP協(xié)議本身的缺陷^1引起的�。STMP協(xié)議被設(shè)計(jì)和制作時(shí),鑒于歷史原因�����,并沒有考慮到身份認(rèn)證等安全性問題��。使用SMTP進(jìn)行郵件發(fā)送時(shí)����,其實(shí)是不需要進(jìn)行發(fā)送者身份認(rèn)證的,這可能和各位感受到的情況不一樣�����,我們發(fā)送郵件時(shí)都需要登錄呀,其實(shí)���,這是郵件服務(wù)商來實(shí)現(xiàn)的�����,而并不是SMTP協(xié)議所必須的��。鑒于這種缺陷,郵件發(fā)送人往往可以冒充他人的身份進(jìn)行郵件發(fā)送�。常見的防護(hù)方法有發(fā)件人策略框架(SPF)和域名密鑰識別郵件(DKIM)兩種,下面分別描述����。
(2) SPF防郵件偽造
SPF(Sender Policy Framework) 是一種以IP地址認(rèn)證電子郵件發(fā)件人身份的技術(shù)。其工作流程如下:
當(dāng)企業(yè)定義了郵件域名的SPF記錄之后�����,郵件接收方會在收到你的郵件后���,首先檢查域名對應(yīng)的SPF記錄(圖中2步)����,來確定發(fā)送者的IP地址是否包含在SPF記錄里(圖中3步),從而判斷郵件的真實(shí)發(fā)送源����。如果發(fā)件IP存在于SPF記錄中,就認(rèn)為是一封正確的郵件(圖中5步)����,否則會被認(rèn)為是一封偽造的郵件進(jìn)行退回或丟棄處理(圖中6步)。SPF可以防止別人偽造你來發(fā)郵件�,是一個(gè)反偽造性郵件的解決方案。設(shè)置正確的 SPF 記錄可以提高郵件系統(tǒng)發(fā)送外域郵件的成功率����,也可以一定程度上防止別人假冒你的域名發(fā)郵件。
設(shè)置SPF記錄:
SPF 是通過「SPF 記錄」和「TXT 記錄」來檢查的�。使用 TXT 記錄主要是兼容性的考量:一部分老的 DNS 服務(wù)器有可能不支持 SPF 記錄,因此只能拿 TXT 記錄來代替; OpenSPF 建議在這段過渡時(shí)期����,SPF 記錄和 TXT 記錄都要添加,SPF 記和 TXT 記錄因此也是非常相近的�����。 以阿里云圖形化配置為例:
記錄類型:選擇TXT;
主機(jī)記錄:一般是指子域名的前綴(如需為子域名為 mail.dns-example.com 添加 TXT 記錄, 主機(jī)記錄輸入mail;如需為dns-example.com添加TXT記錄���,主機(jī)記錄輸入@),常見的作法是輸入@為dns-example.com添加SPF記錄;
解析線路:默認(rèn)為必選項(xiàng)���,未設(shè)置會導(dǎo)致部分用戶無法解析;
記錄值:最典型的 SPF 格式的 TXT 記錄例子為“v=spf1 a mx ~all”,表示只有這個(gè)域名的 A 記錄和 MX 記錄中的 IP 地址有權(quán)限使用這個(gè)域名發(fā)送郵件����。也要以使用IP來進(jìn)行設(shè)置,格式如下:
v=spf1 ip4:192.0.2.128 ip4:198.51.100.128 ip4:203.0.113.0/24 ip6:2001:db8::/32 ?all
如果要讓其他域名或其他公司的郵件系統(tǒng)可為代發(fā)郵件��,可以加入其他域名�����,對應(yīng)的IP或?qū)?yīng)公司spf記錄中的值�����,格式如下:
v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all
qq.com. 3600 IN TXT "v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all" /*引用spf對應(yīng)域名*/
spf-a.mail.qq.com. 3600 IN TXT "v=spf1 ip4:203.205.251.0/24 ip4:103.7.29.0/24 ip4:59.36.129.0/24 ip4:113.108.23.0/24 ip4:113.108.11.0/24 ip4:119.147.193.0/24 ip4:119.147.194.0/24 ip4:59.78.209.0/24 -all" /*定義SPF域名所對應(yīng)的IP*/
spf-b.mail.qq.com. 3600 IN TXT "v=spf1 補(bǔ)充為對應(yīng)的A或AAAA記錄" /*定義SPF域名所對應(yīng)的IP*/
... /*定義SPF域名所對應(yīng)的IP*/
(3) DKIM(DomainKeysIdentified Mail)防郵件做偽造
域名密鑰識別郵件(DKIM)是一種防范電子郵件欺詐的驗(yàn)證技術(shù)�。其 使用一對密鑰(一個(gè)私鑰和一個(gè)公鑰)來驗(yàn)證郵件內(nèi)容是否被篡改或偽造,主要通過以下步驟來實(shí)現(xiàn)�。
將與郵件服務(wù)器匹配的公鑰添加到郵件域名系統(tǒng) (DNS) 記錄中,通常通過TXT記錄來實(shí)現(xiàn)��。
發(fā)件服務(wù)器使用私鑰對所有外發(fā)的郵件中添加加密標(biāo)頭���。
收件方電子郵件服務(wù)器從DNS記錄中獲取公鑰�,并使用此公鑰解密郵件標(biāo)頭����,來驗(yàn)證郵件來源�。
其工作原理及流程如下圖:
配置DKIM:
DKIM的設(shè)置比較簡單�����,從其工作原理來看�,只需要如下3點(diǎn)即可:
為您的網(wǎng)域生成域名密鑰�。生成密鑰時(shí)有兩點(diǎn)需要注意�����,如你使用的DNS的txt記錄為256位����,DKIM密鑰長度要選擇1024位,如果沒有此限制�����,則可以選擇2048位密鑰��。如果注冊商支持 2048 位的密鑰��,我們建議您使用該長度的密鑰���。如果您先使用 1024 位密鑰,后期切換到 2048 位密鑰����,也不會有任何影響�?梢允褂 openssl 工具生成一對公鑰和密鑰�,Windows 和 Linux 都可以操作����,請自行搜索方法; 或者在
http://dkimcore.org/tools/網(wǎng)站在線生成。
向網(wǎng)域的 DNS 記錄添加公鑰���。電子郵件服務(wù)器可使用此密鑰讀取郵件 DKIM 標(biāo)頭�。
開啟 DKIM 簽名功能以開始將 DKIM 簽名添加到所有外發(fā)郵件中��。
配置DKIM操作示例:
具體操作步驟根據(jù)郵件服務(wù)商的不同而略有不同����,以下以Winmail為例進(jìn)行說明^3:第1步,在”反垃圾設(shè)置”/”SMTP設(shè)置”下���, 選擇”啟用 DKIM (DomainKeys Identified Mail) 檢查”�����。
第2步:Winmail 里設(shè)置域名發(fā)件使用 DKIM 數(shù)字簽名在要設(shè)置的域名 abc.com 屬性的 DKIM 標(biāo)簽里點(diǎn)擊”生成私鑰”
“選擇器”一定要有����,默認(rèn)是: mail,可以自己設(shè)置��,完整拷貝上面的 “TXT 記錄”,例如:
mail._domainkey.abc.com TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ...
Winmail 會從私鑰自動生成公鑰進(jìn)而生成 TXT 記錄值�����,所以只輸入私鑰就可以了��。 第三步. 在域名服務(wù)商域名解析系統(tǒng)里增加一條 TXT 記錄���,例如:
記錄類型 主機(jī)記錄 記錄值
TXT mail._domainkey k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ...
增加 TXT 記錄后��,需要一段時(shí)間(10分鐘-24小時(shí))才能生效����,可以使用命令行查詢:
nslookup -q=txt mail._domainkey.abc.com
如果已經(jīng)生效�,會顯示:
mail._domainkey.abc.com text = "k=rsa\; p=MIGfMA0GCSqGSIb3...
第四步.如果 Winmail 里有多域名,DKIM 要生成不同的密鑰分別設(shè)置��,也可以有的設(shè)置有的不設(shè)置第五步接收郵件測試��,確認(rèn) DKIM 檢查生效可以使用 qq 郵箱發(fā)進(jìn)來一封郵件��,查看 Winmail 里的 smtp 日志����,會有出現(xiàn) DKIM verifying enabled 或 啟用 DKIM 驗(yàn)證 字樣。第六步發(fā)送郵件測試��,確認(rèn)每封郵件信頭里存在 DKIM 數(shù)字簽名字串發(fā)一封郵件到內(nèi)部郵箱��,發(fā)給自己也可以�,查看 Winmail 里的 smtp 日志,會有出現(xiàn) DKIM signing enabled���、啟用 DKIM 簽名 字樣��。 在 Webmail 里查看這封郵件����,選擇”更多”-”郵件源碼”�����,在郵件頭里會出現(xiàn)一段如下文字:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=abc.com; s=mail; t=1458090487; h=Date:From:To:
Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=RBrzM2
ccFCYSkSJUKwSj5FQ/IQj6UrOI1/+rZiw0+aI=; b=Esn3j84HzzVC+VbRgf/i7N
...
SWtPgVyJx91CJKFGbVaFI=
外發(fā)一封郵件到外網(wǎng)郵箱����,查看 Winmail 里的 smtp 日志,會有出現(xiàn) DKIM signing enabled�����、啟用 DKIM 簽名 字樣。 如果是發(fā)到 qq.com, 在 QQ Webmail 打開這封郵件�,選擇
- “顯示郵件原文”,在郵件頭里會出現(xiàn)一段如下文字:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=abc.com; s=mail; t=1458091059; h=Date:From:To:
Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=JtLpkA
GBbI9j6KEs01UI/CKmX5rvvrJ6O9QcCgb5i1I=; b=J5xXBMdm8Q5Y66orv+Skoq
...
cT/oVvXPMvEbi+mJwoqbM=
4���、基于域的消息認(rèn)證����,報(bào)告和一致性(DMARC)
那在配置了SPF和DKIM后���,如何讓外界得知旗下域名的電子郵件提供何種方式認(rèn)證身份?是使用SPF,DKIM��,還是兩者都使用?如果寄件者身份未能得到百分之百確認(rèn)�,收件者可以如何處理郵件?是放進(jìn)垃圾箱�,還是直接回絕?有沒有一種機(jī)制可以讓郵件管理員了解此時(shí)此此刻是否有第三者正在偽冒其網(wǎng)域身份發(fā)送電子郵呢?帶著這些問題,我們了解一下DMARC��������;谟虻南⒄J(rèn)證�,報(bào)告和一致性(DMARC,Domain-based Message Authentication, Reporting and Conformance)是一套以 SPF防郵件偽造DKIM(DomainKeysIdentified Mail)防郵件做偽造為基礎(chǔ)的電子郵件認(rèn)證機(jī)制����,可以檢測及防止偽冒身份��、對付網(wǎng)絡(luò)釣魚或垃圾電郵���。^4郵件管理員可以通過在網(wǎng)域的 DNS 記錄中添加 DMARC 政策����,從而啟用基于網(wǎng)域的消息認(rèn)證�、報(bào)告和一致性 (DMARC) 驗(yàn)證機(jī)制。該策略同樣使用采用 DNS TXT 記錄形式�,指定您的網(wǎng)域如何處理可疑電子郵件。DMARC 政策支持三種處理可疑電子郵件的方式:
不對郵件采取任何操作���,僅將其記錄在每日報(bào)告中��。
將郵件標(biāo)記為垃圾郵件���。Gmail 會將這些郵件放入收件人的垃圾郵件文件夾。
通知接收郵件的服務(wù)器拒絕郵件�����。這也會導(dǎo)致 SMTP 將郵件退回給發(fā)件人。
DMARC TXT 記錄值:
DMARC 政策示例:
注:要將報(bào)告發(fā)送到多個(gè)電子郵件地址�����,請使用英文逗號分隔電子郵件地址���。
添加 TXT 記錄以啟用 DMARC
在_dmarc處添加一條 DNS 記錄
TXT record name(TXT 記錄名稱):在 DNS 主機(jī)名下方的第一個(gè)字段中輸入:
_dmarc.abc.com
TXT record value(TXT 記錄值):在第二個(gè)字段中輸入指定您的 DMARC 政策的值���,例如:
v=DMARC1; p=reject; rua=mailto:postmaster@qq.com, mailto:dmarc@qq.com
注:以上解析將實(shí)現(xiàn)“拒絕所有未通過 DMARC 檢查的郵件。將每日報(bào)告發(fā)送到以下兩個(gè)地址:postmaster@qq.com 和 dmarc@qq.com�����。SMTP 將未通過檢查的郵件退回給發(fā)件人”政策���。
3. 小結(jié)
對大部分企業(yè)來講��,通過以上步驟的加固和優(yōu)化�����,可以大幅度提升企業(yè)郵件安全性���,有效防止被偽造��,即便是被偽造���,由于以上配置的成功引用可以讓大部分偽造郵件退回或當(dāng)作垃圾郵件處理,強(qiáng)烈自建郵箱系統(tǒng)的用戶通過以上配置加強(qiáng)郵件系統(tǒng)���。另外,如果你的郵箱配置了SPF或DKIM后����,大部分公網(wǎng)郵箱也會將您企業(yè)郵箱的信任程度提升,這將有助于提高郵箱發(fā)信成功率��。
4. 企業(yè)郵件系統(tǒng)配置
第一部分主要向大家介紹了郵件系統(tǒng)所面臨的一些技術(shù)漏洞和所需要采取的措施����,這部分將從郵件系統(tǒng)配置和使用方面來幫助企業(yè)進(jìn)行郵件系統(tǒng)加固。這里的配置主要是加強(qiáng)郵件日常使用的安全性��,降低用戶在日常使用過程中信息泄露風(fēng)險(xiǎn)或是在密碼泄露后�����,盡可能地將損失降至最低。
(1) 收發(fā)信密碼獨(dú)立設(shè)置
攻擊者對于日常郵件系統(tǒng)的攻擊����,最主要的是針對郵件密碼的攻擊。通過獲得郵箱密碼來進(jìn)行信息竊取或者以被攻擊郵箱為工具進(jìn)行其他攻擊�����。建議企業(yè)在日常的郵件設(shè)置中��,將收件密碼和發(fā)件密碼獨(dú)立設(shè)置����。此時(shí),如果收件密碼泄露后���,攻擊者并不能使用該郵箱進(jìn)行發(fā)件操作�����,進(jìn)行釣魚郵件發(fā)送或病毒木馬投遞���,有效保護(hù)郵件和其他通訊錄成員的安全。
(2) 收件密碼采用雙因素認(rèn)證
前面說到,日常郵件使用過程中����,郵件登錄密碼(通常是收信密碼)比較容易被攻擊者拿到。建議企業(yè)將收發(fā)信密碼獨(dú)立后��,對于收信密碼進(jìn)行雙因子強(qiáng)認(rèn)證����,盡可能降低密碼泄露的風(fēng)險(xiǎn)。同時(shí)�,由于SMTP協(xié)議的局限性,收信密碼攻擊者可以通過相關(guān)工具進(jìn)行暴力破解���。如果有員工使用了弱口令,則很容易被攻擊者拿下����。這里多說一下,很多企業(yè)認(rèn)為自己的WEB郵箱有驗(yàn)證碼等方式�����,可以防止暴力破解����,其實(shí)這種限制僅在WEB層面有效����,如果攻擊者直接使用SMTP協(xié)議認(rèn)證工具進(jìn)行暴力破解或密碼猜測���,就直接繞過了WEB層的驗(yàn)證碼�����。
(3) 配置防猜解防攻擊
上面說過�����,基于SMTP協(xié)議本身的局限性��,登錄密碼很有可能被暴力破解���,雖然大多數(shù)郵件系統(tǒng)自帶的防猜解并不能抵御所有的暴力猜解,但在此仍建議企業(yè)開戶此類防護(hù)手段��。例如限定每分鐘或一段時(shí)間內(nèi)每個(gè)IP可以登錄失敗的次數(shù)�,限定每分鐘或一段時(shí)間內(nèi)每個(gè)郵箱賬戶登錄失敗的次數(shù),限定每分鐘或一段時(shí)間內(nèi)每個(gè)用戶SMTP認(rèn)證次數(shù)等等����。
(4) 關(guān)閉非SSL服務(wù)及不安全的 SSL,TLS 版本且關(guān)閉 R**
使用SSL加密可以有效防止中間人攻擊����,以及對郵件和監(jiān)聽和篡改����。并且為了加密保護(hù)的有效性,請關(guān)閉不安全的SSL��,TLS版本����,且關(guān)閉R**。如果開啟了WEB服務(wù)�,請?jiān)赪EB服務(wù)處關(guān)閉對應(yīng)的不安全SSL和TLS版本及R**。
(5) 限制分配群發(fā)權(quán)限或限制用戶單日可發(fā)郵件數(shù)目上限
攻擊者通常拿到一個(gè)郵箱登錄權(quán)限后����,并不滿足于當(dāng)前郵箱中的內(nèi)容����。會通過該郵箱進(jìn)行戰(zhàn)果擴(kuò)大,常見的作法是通過群發(fā)郵件來進(jìn)行向企業(yè)其他員工發(fā)送釣魚郵件���,獲得更多的郵箱登錄權(quán)限��。如果是其他反動組織�����,也會用此郵箱進(jìn)行反動內(nèi)容的群發(fā)��。由于互聯(lián)網(wǎng)郵箱郵件在發(fā)送數(shù)目�,實(shí)名等方面的問題,所以郵件發(fā)送無上限的企業(yè)郵箱通是這類組織進(jìn)行反動內(nèi)容宣傳的首選���。因此�����,建議企業(yè)在為同工開通群發(fā)權(quán)限時(shí)����,謹(jǐn)慎設(shè)計(jì)�,例如收件人超過10人時(shí),可以提示請減少發(fā)件人或分批發(fā)送�����。對于工作中確實(shí)有群有需要的員工,可以進(jìn)行單獨(dú)的權(quán)限設(shè)定���,也可以以建立特殊郵件組的方式規(guī)避群發(fā)的使用���。同時(shí),企業(yè)需要定期清理不使用的群發(fā)權(quán)限����。在我從業(yè)10年的經(jīng)歷中,群發(fā)功能也就使用過一次�����,可以推而廣之���,很多企業(yè)的員工���,群發(fā)權(quán)限并不必要。另外�,對于一個(gè)郵箱單日可以發(fā)送的郵件數(shù)目上限也建議進(jìn)行限定����,以提高攻擊成本��。
(6) 定期對郵件進(jìn)行歸檔
定期對郵件進(jìn)行歸檔��,可以防止攻擊者拿到收件密碼后�,過多的收取郵件內(nèi)容�。如果以年為單位進(jìn)行歸檔。攻擊者就算拿到收件密碼���,也僅能收取當(dāng)年度的郵件�����,這樣就可以有效控制數(shù)據(jù)的泄露范圍��。如果歸檔時(shí)間更短�����,則泄密范圍就會更小�����。建議以180天為歸檔周期����,因?yàn)槠髽I(yè)很少有員工半年不收一次郵件。
(7) 進(jìn)階1:部署沙箱等產(chǎn)品對郵件附件進(jìn)行深度檢測
企業(yè)通過部署郵件網(wǎng)關(guān)����,可以反垃圾、防病毒��、防釣魚等�����,但實(shí)際工作中還是會有放進(jìn)來的情況��,我們建議有條件的企業(yè)�����,將郵件網(wǎng)關(guān)投遞到企業(yè)郵件服務(wù)器的流量丟到沙箱進(jìn)行分析����,如果前面網(wǎng)關(guān)沒攔截而沙箱有發(fā)現(xiàn)問題,可以針對性的在郵件網(wǎng)關(guān)進(jìn)行加強(qiáng)��,如此查漏補(bǔ)缺不斷改進(jìn)�,安全能力肯定也會越來越強(qiáng)。
(8) 進(jìn)階2:將沙箱情報(bào)對接實(shí)現(xiàn)安全運(yùn)營
不管是前面的沙箱發(fā)現(xiàn)病毒���,郵件管理員主動采取措施處理�����,還是員工中毒后管理員被動著手處理�����,都已經(jīng)無法滿足現(xiàn)有企業(yè)對于信息安全日常小時(shí)化應(yīng)急響應(yīng)的需求�。目前�����,比較熱的概念是將沙箱�����,情報(bào)��,本地安全設(shè)備進(jìn)行連動���,共同協(xié)同實(shí)現(xiàn)郵件安全實(shí)時(shí)防護(hù)����,工作流程如下。
每一份郵件接收����,自動進(jìn)行本地和云端情報(bào)判定,對于惡意郵件進(jìn)行處理����,并根據(jù)是否有用戶點(diǎn)擊或安裝,對具體的終端進(jìn)行針對性防護(hù)或隔離�����。從這個(gè)場景圖可以看出企業(yè)在建設(shè)企業(yè)安全運(yùn)營平臺的價(jià)值���,對于平臺建設(shè)而言�����,不一定要高大上�,多美觀酷炫�,能夠結(jié)合企業(yè)目前實(shí)際安全現(xiàn)狀,針對性的解決企業(yè)安全所面臨的問題即為有用的平臺���。而且���,平臺建設(shè)也不一定要大而全���,符合自己的場景的小而美的平臺有時(shí)候更有價(jià)值����。
二、個(gè)人郵件使用
1. 使用客戶端收取郵件
個(gè)人在郵件使用過程中���,盡可能的使用客戶端收取郵件����。通過客戶端收取郵件后郵件大部分多保留在本地�,為加密存儲提供便利。另外����,我們也要看到很多企業(yè)的郵件就沒有WEB界面,如果站在企業(yè)安全的角度講�����,可以減少企業(yè)的被攻擊面。
2. 將郵件存放在加密盤
很多時(shí)間郵件內(nèi)容的泄露大多是本地計(jì)算機(jī)出問題導(dǎo)致的���,如電腦被盜或遺失�����。攻擊者通過簡單的操作就可以讀取硬盤中的內(nèi)容�。因此建議員工將郵件及其附件都存放在加密盤中��,以防止硬盤內(nèi)容的未授權(quán)讀取��。
3. 郵件內(nèi)容不要保存副本在服務(wù)器
如果使用outlook郵件客戶端���,請選擇不要保存副本在服務(wù)器�。因?yàn)楸4娓北驹诜⻊?wù)器�����,如果企業(yè)沒有進(jìn)行過郵件歸檔��,攻擊者拿到收信密碼后����,可以收取你在服務(wù)器上保存的所有郵件。從而造成郵件內(nèi)容泄密,這一點(diǎn)非常重要���。
4. 對郵件內(nèi)容進(jìn)行核實(shí)
雖然前面講了各種手段進(jìn)行郵件內(nèi)容防偽造����,但仍然沒有辦法完全杜絕郵件內(nèi)容的偽造�。如果收件人沒有技術(shù)能力進(jìn)行郵件內(nèi)容及發(fā)件人的核實(shí),建議發(fā)件人通過其他聯(lián)系方式聯(lián)系發(fā)件人以核實(shí)郵件內(nèi)容�����,確保郵件內(nèi)容的真實(shí)性��,避免上當(dāng)��。在信息對抗日益激烈的今天����,學(xué)會懷疑和多渠道確認(rèn)是很有效的一種反詐騙技藝��。
5. 其他
對于像弱口令�,所有系統(tǒng)使用通用密碼這類問題并不是郵件系統(tǒng)的獨(dú)有問題,是個(gè)人在使用信息系統(tǒng)時(shí)必須 的安全意識�,這里就不再贅述。
6. 最重要的一點(diǎn)
通過以上技術(shù)仍然不能規(guī)避所有的郵件偽造,例如A公司的域www.a.com根本就沒有郵件服務(wù)器�����,攻擊者假裝A公司給A公司的客戶發(fā)送郵件時(shí)�,以上所有的技術(shù)手段來講都是無效的。因此����,對于可疑郵件內(nèi)容進(jìn)行其他渠道的確認(rèn),如電話�����、微信�、客服等進(jìn)行二次內(nèi)容核實(shí)是非常必要的,也是最有效的防止釣魚的方式���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
