[collect]电子邮箱安全指南


=Start=

缘由:

收集整理一下和电子邮箱安全相关的资料,方便以后学习和参考。

正文:

参考解答:
电子邮箱的安全为什么重要?

对于个人用户而言,电子邮箱除了承载常规的沟通功能之外,还经常会被用于网站/应用的账号注册(比如:支付宝、QQ、iCloud帐号、微博、百度云盘等),一旦其个人电子邮箱的安全出现问题(包括但不限于账号密码泄露),除了邮件沟通内容泄露之外,还可能会引起大规模的帐号信息泄露(可以参考2015年的「网易163邮箱数据库被破解泄露下载,致icloud账号密码被锁」事件)。

在企业办公应用中,虽然越来越多的内部即时通讯会使用IM软件进行,但电子邮件仍然发挥着不可替代的作用,大量的(正式)沟通是通过电子邮件完成的,邮件内容里面承载了非常多的商业敏感和机密信息,一旦企业电子邮箱被恶意攻击者攻破,造成的损失恐怕难以估量(参考「2014年索尼电子邮件黑客攻击事件」)。

电子邮箱面临的安全威胁有哪些?

电子邮箱威胁可被分为几种不同的种类:

0、账号盗用:早期,用户使用弱密码是邮箱账号被盗的首要原因;但现如今各类层出不穷的拖库事件,以及各类GitHub、网盘的泄露途径,极大的丰富了社工库、彩虹表,即便是一个复杂的密码也不一定安全了。

1、病毒、蠕虫、特洛伊木马:这三种罪大恶极的恶意代码可以作为电子邮件附件诱使用户打开或运行,它们就可以破坏一台主机系统的数据,将计算机变成可被远程控制的网络僵尸,甚至可以导致收件人经济上的巨大损失。举个例子来说,有一种特洛伊木马称为键盘记录器,它可以秘密地记录系统活动,可以导致外部的恶意用户访问公司的银行账户、企业的内部网站及其它的私密资源。

2、网络钓鱼:钓鱼攻击可以利用社交网络工程窃取个人的信息和财务金融数据。这种攻击主要依赖“伪造”邮件将收件人指引到欺诈性站点,诱骗用户输入机密的金融数据,如信用卡号、账户名、口令等。钓鱼活动的诈骗者典型情况下通过假冒的身段来隐藏自己,这些身份是通过从银行、在线交易商、信用卡公司等窃取的。

3、垃圾邮件:垃圾邮件虽然不像病毒感染一样是一种明显的威胁,垃圾邮件可以极快地淹没用户的收件箱,这就使得用户难于查看合法的电子邮件。垃圾邮件问题已经相当严重,以至于用户会放弃某个由垃圾邮件摧毁的电子邮件账户。垃圾邮件还是钓鱼者和病毒制造者喜欢的传播媒介。

个人用户如何保证邮箱安全?
0、提高安全意识

这一点其实可以包括以下的所有内容,但因为实在是太重要了,所以还是单独拎出来说一下。

1、强密码+二次验证

比如:绑定手机号码,开启二次登录验证;开启短信验证后,登录邮箱时需要输入手机收到的短信验证码。

2、定期修改密码

最好使用密码管理器生成所有密码,避免重复以及被预测。

3、设置客户端授权码

为每个客户端(如PC上的Outlook、移动设备上的邮件APP)设置专属的授权码,用授权码代替邮箱密码来登录客户端,即使授权码泄露,邮箱密码也不会被泄露。

4、定期检查来往邮件

例如:将经常发送垃圾邮件的邮箱地址加入黑名单。

5、定期检查邮箱中是否有异常设置

例如:自动转发,如有,请取消或修改相关设置。

6、定期关注最近30天登录记录

例如:查看最近30天的邮箱登录记录,包括时间、城市、登录方式,登录设备等,和自己实际的登陆记录作比较,看是否存在异常的情况。

7、定期对登录设备进行安全检查

例如:定期对移动设备或电脑进行病毒、木马查杀。

8、不要在随便在网站上留下你的邮箱帐号和密码

例如:网站注册时需要填写相关信息,设置的账号密码不要和邮箱的相同,避免该网站被黑时,影响你邮箱帐号的安全。

9、避免被钓鱼和种木马

例如:不要轻易打开陌生人发来的网址链接和可疑的附件;尽量不要在公共计算机上使用邮箱,若使用记得及时退出邮箱。

X、选用一个靠谱的邮箱服务提供商

当你做了个人能做的大部分安全措施之后,发现邮箱帐号还是被盗了之后,有可能是因为你选用的邮件服务提供商被黑了导致(虽然几率比较小,但还是会有这种可能)。

管理员如何保证企业邮箱的安全?
零、为员工提供电子邮件安全方面的培训

a、切勿打开未知人员的链接或附件。
b、不要回复要求更改密码并要求透露个人信息的电子邮件—无论信息来源看上去有多么正式。
c、确保在计算机上更新防病毒和反间谍软件。
d、在发送前对包含敏感数据的电子邮件进行加密。
e、不要使用公司电子邮件地址发送或接收个人电子邮件。
f、不要将公司电子邮件自动转发到第三方电子邮件系统。

一、企业邮箱密码复杂性要求

a、密码要设置为复杂密码,建议设置成包含“大小写字母”+“数字”+“特殊符号”,混合组成的复杂密码。密码长度要在8位以上的。
b、密码要定期更新并妥善保管。
c、不要使用姓名、域名、账户名、生日、电话、连续的数字或者字母等敏感信息做密码。
d、仔细查看收件人地址是否正确,特别查看字母拼写是否正确,如: “0”“o”,“rn”“m”。
e、我司邮局升级等操作不需要客户告知密码。

二、企业邮箱服务器的安全

a、对企业邮箱服务器做好安全加固和操作审计。
b、对企业邮箱服务及时更新补丁修复漏洞。

三、安全的使用环境

a、邮箱专人专用,不要多人使用,如有人员变动,请及时更改密码。
b、尽量不要在公共计算机上使用邮箱,若使用记得及时退出邮箱。
c、在确保网络安全的情况使用企业邮箱。

四、邮箱客户端安全

a、对公司相关的移动设备使用严格的准入标准。
b、电脑要及时更新补丁修复漏洞、做好病毒和木马排查工作。
c、不浏览不安全的网站,不从一些可疑的钓鱼网站登录邮箱。
d、不要轻易打开陌生人发来的网址链接和可疑的附件。
e、必要时提供远程擦除公司数据的功能来确保公司数据的安全。

五、邮箱数据安全

a、对外发邮件做好数据安全审计。
b、对企业邮箱内的邮件进行备份或归档,防止邮件丢失。

 

参考链接:

=END=


《 “[collect]电子邮箱安全指南” 》 有 10 条评论

  1. 红蓝对抗之邮件钓鱼攻击
    https://mp.weixin.qq.com/s/YKZ6yWWxOhn2KjTV5lDP7w
    `
    红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,⼈永远是最⼤的弱点,在日渐增多的防护设备⾯前,钓⻥攻击(Phishing)已经成为对抗中⼀种必不可少且非常有效的攻击⼿法(近期也见到实际攻击中针对HR的邮件钓鱼攻击),一旦有人中招,攻击队就直接能进⼊目标办公⽹,这也是钓⻥的魅⼒之⼀。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段,网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。

    Part 1. 钓鱼手段
    1.1 lnk
    1.2 宏
    1.3 RLO
    1.4 ⾃解压
    1.5 ⾃解压+RLO
    1.6 回执

    Part 2. 钓鱼话术
    上⾯提到了很多钓⻥攻击⼿段,但是就如word宏章节,如果不依赖漏洞的情况下,如何让对⽅点击启⽤宏,如何让对⽅信任你的⽂件,都需要话术的⽀撑。下⾯就来看看钓⻥的⼀些话术和⼿段。
    2.1 SRC假漏洞
    2.2 简历
    2.3 宏钓⻥
    2.4 合作
    2.5 可信站点附件中转
    2.6 技术交流
    2.7 钓⻥⽹站
    2.8 第三⽅平台
    2.9 加好友

    Part 3. 总结
    钓⻥⼿段层出不穷,了解钓⻥⼿段是在攻防演习⼤环境下必不可少的技能之⼀。本⽂从真实项⽬中提取出来的钓⻥⼿段、钓⻥话术给读者介绍了钓⻥中的管中窥豹。
    ⼈永远是最⼤的弱点,未知攻,焉知防。以攻促防希望能给安全建设带来帮助,祝愿人人都可以识别骗局,保护好自己和公司。
    `

  2. 眼见不一定为实:对电子邮件伪造攻击的大规模分析
    https://moxiaoxi.info/emailspoofing/2021/08/18/emailspoofing/
    `
    作为互联网上部署、应用最广泛的基础通信服务,电子邮件服务在企业和个人通信中都扮演着举足轻重的角色。基于电子邮件伪造攻击的钓鱼欺诈、勒索软件和病毒木马已成为当前威胁互联网安全最严重的攻击,并给相关企业和个人造成了重大财产损失。虽然不断有新的安全机制被引入来保护电子邮件的安全性(如发件人策略框架(SPF)、域名密钥识别标准(DKIM)和基于域的消息验证、报告和一致性(DMARC)等安全扩展协议),但是基于电子邮件伪造的攻击依然屡禁不止。 为了找到目前邮件伪造攻击频发的原因,并从根源上提高电子邮件系统的安全性,该研究基于电子邮件传输过程对电子邮件伪造问题进行了系统性的实证研究。该研究共发现14种可绕过SPF、DKIM、DMARC以及UI保护机制的电子邮件伪造攻击方法。为了测量这些攻击在现实中的实际影响,该研究针对全球30家主流邮件和23个邮件客户端进行大规模实验与分析。实验结果表明这些主流邮件服务和客户端均受到了不同程度的影响,其中甚至包括Gmail、Outlook等知名邮件服务商。

    引言
    研究背景

    # 电子邮件传递过程

    1. 邮件发送验证阶段: 发件人通过SMTP协议从MUA发送电子邮件时,发件者需要输入其用户名以及密码进行身份验证。在该过程中,发件方的MTA不仅需要验证用户的身份,还需要确保发送电子邮件中的Mail From与登陆的用户一致。
    2. 邮件接收验证阶段:收件方的MTA接收到邮件后,MTA将通过SPF、DKIM、DMARC协议校验结果来验证电子邮件发件人的真实性。
    3. 邮件转发验证阶段:当转发服务器自动转发电子邮件时,转发服务器应确保该邮件中发件人的真实性。转发者不应对未经验证的电子邮件提供额外担保,比如对未通过DKIM验证的电子邮件主动添加转发域自身的DKIM签名。
    4. 邮件UI渲染阶段:该阶段通常由邮件客户端实现,将邮件内容渲染为用户友好的显示界面。然而,大多数的电子邮件客户端不会向用户显示电子邮件的身份校验结果。此外,某些特殊字符、编码格式都有可能影响客户端对发件人地址的正确显示。

    # 现有的电子邮件安全拓展协议

    目前,最流行的邮件安全扩展协议主要有SPF、DKIM 与 DMARC。

    * SPF协议: SPF协议是基于IP的身份验证协议。 收件人可以通过查询发件人邮箱域名的SPF记录(一组IP列表,由TXT类型的DNS记录标示)以及发件人IP来确定电子邮件是否来自真实的电子邮件域名。
    * DKIM协议:DKIM协议是基于数字签名的身份验证协议。基于非对称密钥加密算法,DKIM可以让发件人将数字签名添加到电子邮件的标头中,来确保电子邮件不被修改或者伪造。接收方可以通过查询邮件域名下的DNS记录获得DKIM公钥并对邮件进行验证。
    * DMARC协议: DMARC协议是基于SPF和DKIM验证结果的身份验证机制。它引入了身份标识符对齐检查和报告反馈机制,用以保护域名免受电子邮件伪造攻击的影响。

    主要发现
    原因剖析

    # 总结
    该研究证明了电子邮件生态中这种基于链结构的身份验证机制的脆弱性。在整个研究过程中,该研究共发现了14种不同的邮件伪造攻击技巧。此外,该研究还对30种流行的电子邮件服务和23个电子邮件客户端进行了大规模测量与分析。结果表明,目前主流的邮件服务均容易被相关的攻击影响。依据这些发现,该研究深入剖析了邮件伪造攻击频发且难以治理的根本原因之一:多方对安全机制理解和实现之间的不一致。我们希望这项工作能帮助电子邮件行业更有效地保护用户,减小邮件伪造攻击的危害,并切实提高电子邮件生态系统的整体安全性。 限于篇幅,这里只对此项研究进行了简单介绍。
    `
    https://www.usenix.org/conference/usenixsecurity21/presentation/shen-kaiwen

  3. 海通证券数据中心安全团队:构建邮件纵深安全体系,提升互联网重要入口安全运营水平
    https://mp.weixin.qq.com/s/MrgRjmVveNYXvyCGFDyigg
    `
    一、海通证券邮件安全体系演进

    在近年来举行的国家级攻防演练和常态化攻防对抗中,邮件系统和互联网暴露面成为攻击队撕开缺口的重点方向,尤其是邮件攻击“成本低廉、效果直接”,成为了攻击者突破边界的最好手段。历史统计数据显示“网络攻击中有91%将电子邮件作为攻击入口”,2021年9月“白象”组织利用新冠肺炎疫情相关热点,冒充相关机构对我国20余家单位发起定向攻击,都在传递着一个信息,邮件入口的防护体系需要动态调整,防护和检测水平需要逐步提升。
    海通证券的邮件系统防护理念和水平是通过不断的对抗逐步提升的。我们在邮件安全攻防对抗过程中,逐步总结出邮件安全演化所经历的四代模型,从而针对邮件安全体系进化做到了有的放矢。

    二、邮件系统重点威胁

    2.1 攻击者攻击过程
    Step1.绕过邮件网关:
    通过新型的钓鱼邮件、商业欺诈邮件、附件样本变形的恶意邮件、APT邮件等多种形式,直接穿透以规则过滤的邮件网关。
    Step2.绕过沙箱检测:
    对攻击邮件的附件部分进行压缩加密、加壳、内容混淆、远程加载宏等方式处理,使得通过静态查杀或简单动态查杀的沙盒无法发现附件中藏有的恶意威胁文件。
    Step3.绕过主机入侵检测:
    恶意文件调用底层函数进内核,或是使用偏僻语言的小众工具,在主机入侵检测的盲区内进行运行。欺诈用户点击精钓邮件的URL则不在主机入侵检测的防范范围内。
    Step4.绕过NDR/恶意URL拦截:
    当文件被收件用户点击后,以全程加密的方式和攻击者的VPS建立连接,使得NTA无法发现传输内容中的命令执行;或是在最初注册全新域名,使得恶意钓鱼域名不在威胁情报库的范围内,绕过针对DNS解析的恶意域名拦截。

    海通证券总结得出在邮件维度,攻击者的攻击主要可分为邮件本体攻击和邮箱资产攻击,将在下文2.2及2.3中做详细介绍。

    2.2 邮件本体攻击
    通过攻防对抗复盘,恶意邮件的利用方式通常是通过两种载体:附件和正文(正文包含文本、图片、链接)。

    2.2.1 附件载体
    加密附件

    2.2.2 文本
    诈骗文本
    勒索文本
    广告垃圾

    2.2.3 链接
    伪造的URL链接
    短链接跳转

    2.2.4 图片

    2.3 邮件账号安全

    2.3.1 获取邮箱账号权限
    爆破
    撞库
    劫持嗅探

    2.3.2 权限维持
    pop3收取
    邮件转发

    三、构建邮件纵深安全体系

    3.1 邮件服务器基本核查

    3.2 邮件服务器安全协议

    * 使用邮件三大安全协议:
    对于邮件伪造引起的安全问题,SPF、DKIM、DMARC三大策略如果都配置正确,基本可以完全杜绝伪造发件人,其中尤其需要注意的是SPF的配置过程中~all(软拒绝)和-all(硬拒绝)的区别。通常默认是软拒绝,这样不能完全保证安全。
    * 使用RMX协议:
    RMX类似于RDNS ,一个MX服务器收到了邮件之后,会去反向查询发件IP地址是否有对应的MX记录解析。
    * 开启SSL/TSL:
    对邮件流量进行加密是保证邮件数据安全、邮箱资产安全的基本,应做到流量加密。
    * 设置归档时间:
    定期对邮件进行归档,可以防止攻击者拿到收件密码后,过多的收取邮件内容。
    * 配置用户发件权限:
    除了有确定群发需求的账号可以开启无限制群发功能以外,其他的账号都应该限制最大收件人数量。
    * 配置单用户发件上限:
    为了确保在某一账号失陷后能造成的影响最小化,应该把单用户的发件上限设置一个合理的阈值。

    3.3 邮件资产安全防护

    * 二次认证:
    登录的时候尽量避免直接使用密码,可以通过密码+短信验证码/令牌的二次认证码等方式来解决。
    * 限制登陆口:
    限制外部IP通过telnet 25端口连接邮件服务器,很多情况下攻击者可以直接通过命令SMTP来实现邮件内对内伪造发件人发送。
    * 禁用web端:
    公网web端收取邮件始终是存在风险的,如果不是刚需的情况,建议企业内使用移动端配合客户端的方式来收取邮件。
    * 异常登录锁定:
    登陆锁定是防止撞库和爆破的最佳方法,低阈值短间隔,附加单个IP单日内的上限错误次数,既避免了恶意锁定行为,也避免了撞库爆破攻击。

    3.4 邮件运营体系流程
    海通证券通过运营累积了完整的一套邮件处理流程,包含邮件拦截、拦截成功之后的隔离、预警、未拦截情况下的应急处置和溯源等。

    3.4.1一道拦截
    3.4.2二道隔离
    3.4.3三道预警
    3.4.4应急响应
    3.4.5威胁溯源

    3.5 邮件安全意识建设

    3.5.1 钓鱼演练
    3.5.2 安全意识培训学习

    3.6 邮件安全运营情报

    四、海通证券邮件安全运营数据

    经过一段时期的安全运营,月均数十万封的总邮件中,能无告警投递到用户手中的威胁邮件比例可以做到低于十万分之一。
    在安全意识提升环节, 2021年上半年对公司本部全员进行钓鱼邮件演练时发现,较多员工有打开钓鱼邮件链接的情况。对此我们进行了针对不同种类钓鱼邮件的花名册宣讲活动,详细讲解对钓鱼邮件的分辨手段以及防范措施,在下半年对相同人数人员的钓鱼演练中,中招人数下降了75.76%。通过数据可以直观的反映定期开展安全意识活动的必要性以及进行大型钓鱼邮件演练和安全意识宣讲的显著成效。
    `

  4. 2023钓鱼攻击思路整理~
    https://www.secpulse.com/archives/194290.html
    `
    钓鱼思路整理

    一、目标信息收集
    二、目标环境
    三、社交
    四、基础设施
    五、邮件
    邮箱信息收集
    六、钓鱼话术模板
    案例一:
    案例二:
    案例三:钓鱼案例:Chrome漏洞一键修复

    一、目标信息收集
    * 业务范围
    ———* 金融
    ———* 医疗
    ———* 卫生
    ———* IT
    * 组织架构
    ———* 董事会
    ———* 高管
    ———* 财务
    ———* 采购
    ———* 运维
    * 人员信息
    ———* 针对不同职位采用不同话术
    ———* 按照,部门、职务、难易程度分类,分批次投递
    ———* 姓名、职位、邮箱、手机
    * 目标服务入口
    ———* VPN、webVPN
    ———* 邮服
    ———* SSO认证
    ———* OA认证
    ———* 其他内网入口
    ———* 帮助文档、使用手册文档信息泄露,收集弱口令
    * 站内联系方式
    ———* 新闻投稿、投诉举报、站内信、业务反馈
    * 目标新闻
    ———* 了解企业文化、工作动态、便于构造高质量文案,提高效率
    * **库
    ———* 根据收集到的信息进行猎魔查询

    二、目标环境
    * 地区用户环境
    ———* 语言、常用邮箱、常用搜索引擎、常用运营商
    * 时间、工作时间
    ———* 了解日常工作时间,节假日,尽可能工作日发信

    三、社交
    * 大陆:微信、脉脉、领英、qq、钉钉
    * 海外:领英、Facebook、Twitter、Line、ins、YouTube、TG
    * 工作软件进行钓简历

    四、基础设施
    * 目标地区匿名手机号
    * 目标地区常用邮箱
    * 目标近似域名

    五、邮件
    * 话术
    ———* 落款信息、开头语、结束语、标题、发信人名称/部门名称
    * 邮件格式
    ———* 仿正规邮件,无明显钓鱼邮件格式,邮件添加logo增加可信度
    * 发信IP或服务
    ———* 优先选择第三方邮件服务,正规无拉黑
    * 发信频率
    ———* 多批次,少投递,高精准

    六、钓鱼话术模板

    案例一:
    VPN账号安全自查

    案例二:
    关于2021年度绩效结算个人所得税税收优化的情况通报

    案例三:
    钓鱼案例:Chrome漏洞一键修复
    `

  5. An Annotated Field Guide to Identifying Phish
    https://tidbits.com/2023/01/16/an-annotated-field-guide-to-identifying-phish/
    `
    在过去,许多网络钓鱼明显是假的,而且是故意的。这是因为他们只需要欺骗那些缺乏经验、容易轻信或容易受骗的人,让他们继续参与骗局。然而,现在我发现网络钓鱼攻击更加复杂,也更难快速识别。

    长期以来,我一直在研究网络钓鱼的企图,我很难想象有什么可以欺骗到我,所以我想分享一些最近绕过了Gmail过滤器的尝试。对于每条信息,我都指出了一些我认为是网络钓鱼的方法。我猜你们大多数人会认为你也很容易就能识别出这是假的,但请记住,许多人没有仔细阅读就快速浏览他们的电子邮件。也许我提出的一些网络钓鱼的特征可以帮助你或你转发这篇文章的人避免被吸引。

    #密码重置 Password Reset

    #语音通知提醒 VoiceNote Notification

    #资金请求和发票 PayPal Money Request and Invoice

    #杀毒软件的发票 Norton 360 Invoice

    #服务器维护 Server Maintenance

    #总体建议 Overall Advice
    只要仔细注意,还是很容易识别出来的;

    * 在没有完整仔细的看完邮件内容之前,不要点击任何链接。Assume that you shouldn’t click anything in an email message until you’ve given it a closer look. It’s easy to skim and respond to a full inbox, which is exactly what phishers are counting on.
    * 阅读消息内容,查找大小写、拼写和语法错误。Read the text of the messages, looking for capitalization, spelling, and grammatical mistakes. Nothing prevents phishers from writing correct English, but it seldom happens. Pay special attention to the fine print at the bottom—it’s often more of a giveaway than anything else because phishers are trying to make the message look right without continuing the deception.
    * 根据经验评估公司内的这种操作是合理的吗?如果还不确认就找相关同事问一问,这也比直接点击外部链接要强。Evaluate any claim about something happening within your organization against what you know to be true. Would your IT department do something extreme like deactivating accounts with little warning? Even if that’s not inconceivable, it’s safer to ask someone in the organization if a message is real than to click buttons randomly.
    * 当看到大而且看上去合理的按钮时要小心。Be careful when you see big, legitimate-looking buttons. They’re easy to make and can sucker people who don’t read the surrounding text carefully.
    * 如果邮件内容只是一个附加的图片,那么几乎可以肯定它是假的。If a message is just an attached image, it’s almost certainly fake.
    * 警惕那些不熟悉的名字和电子邮件地址。With messages that don’t set off any other warning bells, like the PayPal phishing attempts above, be alert for names and email addresses that aren’t familiar.

    ==
    总的来看,中外在钓鱼邮件的内容思路上差异不大,都是利用的人性的弱点;只不过在具体的内容和格式上还是有差异的,这个就需要不断积累样例和经验来进行判断了。
    `

  6. What Is Email Security? Best Practices for 2024
    邮件安全的最佳时间 – 2024年
    https://www.upguard.com/blog/email-security
    `
    目录结构
    1. 电子邮件安全为何重要? Why is Email Security Important?
    2. 什么是发件人策略框架 (SPF)? What is Sender Policy Framework (SPF)?
    3. 什么是域名密钥识别邮件 (DKIM)? What is DomainKeys Identified Mail (DKIM)?
    4. 什么是基于域名的邮件验证、报告和一致性 (DMARC)? What is Domain-Based Message Authentication, Reporting and Conformance (DMARC)?
    5. 不要忘记 DNSSEC Don’t Forget About DNSSEC

    Email security refers to various cybersecurity measures to secure the access and content of an email account or service.

    Proper email security can protect sensitive information in email communications, prevent phishing attacks, spear phishing and email spoofing and protect against unauthorized access, loss or compromise of one or more email addresses.

    Why is Email Security Important?
    Email security is important because malicious email is a popular medium for spreading ransomware, spyware, worms, different types of malware, social engineering attacks like phishing or spear phishing emails and other cyber threats.

    Email is also a common attack vector for attackers looking to gain entry into an enterprise network to steal sensitive data like personally identifiable information (PII), protected health information (PHI) or intellectual property (industrial espionage).

    This can help with compliance with regulations such as GDPR, LGPD, the SHIELD Act, CCPA, CPS 234 by preventing data breaches.

    Secure email is necessary for both individual and business email accounts, and there are multiple measures organizations should take to enhance email security that we outline below.

    电子邮件安全是指确保电子邮件账户或服务的访问和内容安全的各种网络安全措施。

    适当的电子邮件安全可以保护电子邮件通信中的敏感信息,防止网络钓鱼攻击、鱼叉式网络钓鱼和电子邮件欺骗,并防止一个或多个电子邮件地址受到未经授权的访问、丢失或损害。

    电子邮件安全为何重要?
    电子邮件安全之所以重要,是因为恶意电子邮件是传播勒索软件、间谍软件、蠕虫、不同类型恶意软件、社会工程攻击(如网络钓鱼或鱼叉式网络钓鱼电子邮件)和其他网络威胁的常用媒介。

    对于希望进入企业网络窃取敏感数据(如个人身份信息 (PII)、受保护健康信息 (PHI) 或知识产权(工业间谍活动)的攻击者来说,电子邮件也是一种常见的攻击媒介。

    通过防止数据泄露,这有助于遵守 GDPR、LGPD、SHIELD 法案、CCPA、CPS 234 等法规。

    安全电子邮件对个人和企业电子邮件账户都是必要的,组织应采取多种措施来加强电子邮件安全,我们将在下文中概述。
    `

  7. 一些钓鱼邮件检测策略

    伪造发件人检测(发件人域名是否包含真实发件人域名/真实发件人域名是否包含发件人域名/Return-Path标头非空/……),常见于基础邮件安全配置没做好导致收到邮件的员工不易分辨发件人身份的真实性的场景,做的稍微好点的会把外部发送进来的邮件在邮件主题中添加上【外部邮件,请注意安全】等字样;

    邮件主题检测(比如包含津贴/缴税/退税/税务申报/周年庆/司庆/补贴/重大通告/涨薪/冻结/安全软件等关键字的可能会有点问题),把一些正常邮件主题中不会用到的关键词加进去,就可以发现一些问题,另外还可以总结整理一下之前中招过的钓鱼邮件主题/内容的模式,然后尝试用规则去进行检测和发现;

    收发件人关系检测(近30天无邮件收发关系/同一发件人一天内对超过x个收件人发送邮件/同一主题邮件短期内被发送给多个收件人/……),外部恶意人员在发送钓鱼邮件的时候,一般是群发(也有针对性的单发),检测一下同一主题邮件收件人的范围,以及收发件人的关系/频度情况,对于没有命中前面策略的钓鱼邮件的检测也会有一定帮助。

    另外如果在收到邮件的时候没有检测到(或者说收到了邮件也不一定会中招),可以再看看钓鱼邮件内容中有没有特别的附件或是外部链接,再结合主机上的EDR来检测文件执行情况、DNS数据检测网站访问情况,也能起到不错的效果。

  8. 通过Return-Path标头检测退回邮件
    https://cloud.tencent.com/developer/information/%E9%80%9A%E8%BF%87Return-Path%E6%A0%87%E5%A4%B4%E6%A3%80%E6%B5%8B%E9%80%80%E5%9B%9E%E9%82%AE%E4%BB%B6-video
    `
    Return-Path标头是一种用于检测退回邮件的技术。它是电子邮件中的一个标头字段,用于指示邮件服务器在发送邮件时应该将退回邮件发送到的地址。当邮件无法成功投递到收件人的邮箱时,邮件服务器会将退回邮件发送到Return-Path指定的地址。
    通过Return-Path标头检测退回邮件可以帮助邮件发送者及时了解邮件投递的情况,尤其是在大规模邮件发送时,可以帮助发现潜在的问题并及时采取措施。通过分析退回邮件的原因和数量,可以判断邮件发送的质量和可靠性,并进行相应的优化和改进。
    Return-Path标头的格式通常是一个有效的邮件地址,例如:Return-Path: [email protected]。在邮件传输过程中,邮件服务器会根据Return-Path指定的地址来处理退回邮件,例如将其发送给管理员或记录到日志中。
    应用场景:
    1. 邮件发送质量监控:通过检测退回邮件,可以监控邮件发送的质量和可靠性,及时发现问题并进行改进。
    2. 邮件投递问题排查:当邮件无法成功投递到收件人时,通过分析退回邮件可以了解具体的投递问题,例如收件人不存在、邮箱已满等,从而采取相应的措施。
    3. 邮件黑名单管理:通过检测退回邮件,可以及时发现邮件发送被列入黑名单的情况,从而及时解决问题,提高邮件的送达率。
    `

    What is the behavior difference between return-path, reply-to and from?
    https://stackoverflow.com/questions/1235534/what-is-the-behavior-difference-between-return-path-reply-to-and-from
    https://www.coder.work/article/6470426

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注