[collect]电子邮箱安全指南

=Start=

缘由:

收集整理一下和电子邮箱安全相关的资料,方便以后学习和参考。

正文:

参考解答:
电子邮箱的安全为什么重要?

对于个人用户而言,电子邮箱除了承载常规的沟通功能之外,还经常会被用于网站/应用的账号注册(比如:支付宝、QQ、iCloud帐号、微博、百度云盘等),一旦其个人电子邮箱的安全出现问题(包括但不限于账号密码泄露),除了邮件沟通内容泄露之外,还可能会引起大规模的帐号信息泄露(可以参考2015年的「网易163邮箱数据库被破解泄露下载,致icloud账号密码被锁」事件)。

在企业办公应用中,虽然越来越多的内部即时通讯会使用IM软件进行,但电子邮件仍然发挥着不可替代的作用,大量的(正式)沟通是通过电子邮件完成的,邮件内容里面承载了非常多的商业敏感和机密信息,一旦企业电子邮箱被恶意攻击者攻破,造成的损失恐怕难以估量(参考「2014年索尼电子邮件黑客攻击事件」)。

电子邮箱面临的安全威胁有哪些?

电子邮箱威胁可被分为几种不同的种类:

0、账号盗用:早期,用户使用弱密码是邮箱账号被盗的首要原因;但现如今各类层出不穷的拖库事件,以及各类GitHub、网盘的泄露途径,极大的丰富了社工库、彩虹表,即便是一个复杂的密码也不一定安全了。

1、病毒、蠕虫、特洛伊木马:这三种罪大恶极的恶意代码可以作为电子邮件附件诱使用户打开或运行,它们就可以破坏一台主机系统的数据,将计算机变成可被远程控制的网络僵尸,甚至可以导致收件人经济上的巨大损失。举个例子来说,有一种特洛伊木马称为键盘记录器,它可以秘密地记录系统活动,可以导致外部的恶意用户访问公司的银行账户、企业的内部网站及其它的私密资源。

2、网络钓鱼:钓鱼攻击可以利用社交网络工程窃取个人的信息和财务金融数据。这种攻击主要依赖“伪造”邮件将收件人指引到欺诈性站点,诱骗用户输入机密的金融数据,如信用卡号、账户名、口令等。钓鱼活动的诈骗者典型情况下通过假冒的身段来隐藏自己,这些身份是通过从银行、在线交易商、信用卡公司等窃取的。

3、垃圾邮件:垃圾邮件虽然不像病毒感染一样是一种明显的威胁,垃圾邮件可以极快地淹没用户的收件箱,这就使得用户难于查看合法的电子邮件。垃圾邮件问题已经相当严重,以至于用户会放弃某个由垃圾邮件摧毁的电子邮件账户。垃圾邮件还是钓鱼者和病毒制造者喜欢的传播媒介。

个人用户如何保证邮箱安全?
0、提高安全意识

这一点其实可以包括以下的所有内容,但因为实在是太重要了,所以还是单独拎出来说一下。

1、强密码+二次验证

比如:绑定手机号码,开启二次登录验证;开启短信验证后,登录邮箱时需要输入手机收到的短信验证码。

2、定期修改密码

最好使用密码管理器生成所有密码,避免重复以及被预测。

3、设置客户端授权码

为每个客户端(如PC上的Outlook、移动设备上的邮件APP)设置专属的授权码,用授权码代替邮箱密码来登录客户端,即使授权码泄露,邮箱密码也不会被泄露。

4、定期检查来往邮件

例如:将经常发送垃圾邮件的邮箱地址加入黑名单。

5、定期检查邮箱中是否有异常设置

例如:自动转发,如有,请取消或修改相关设置。

6、定期关注最近30天登录记录

例如:查看最近30天的邮箱登录记录,包括时间、城市、登录方式,登录设备等,和自己实际的登陆记录作比较,看是否存在异常的情况。

7、定期对登录设备进行安全检查

例如:定期对移动设备或电脑进行病毒、木马查杀。

8、不要在随便在网站上留下你的邮箱帐号和密码

例如:网站注册时需要填写相关信息,设置的账号密码不要和邮箱的相同,避免该网站被黑时,影响你邮箱帐号的安全。

9、避免被钓鱼和种木马

例如:不要轻易打开陌生人发来的网址链接和可疑的附件;尽量不要在公共计算机上使用邮箱,若使用记得及时退出邮箱。

X、选用一个靠谱的邮箱服务提供商

当你做了个人能做的大部分安全措施之后,发现邮箱帐号还是被盗了之后,有可能是因为你选用的邮件服务提供商被黑了导致(虽然几率比较小,但还是会有这种可能)。

管理员如何保证企业邮箱的安全?
零、为员工提供电子邮件安全方面的培训

a、切勿打开未知人员的链接或附件。
b、不要回复要求更改密码并要求透露个人信息的电子邮件—无论信息来源看上去有多么正式。
c、确保在计算机上更新防病毒和反间谍软件。
d、在发送前对包含敏感数据的电子邮件进行加密。
e、不要使用公司电子邮件地址发送或接收个人电子邮件。
f、不要将公司电子邮件自动转发到第三方电子邮件系统。

一、企业邮箱密码复杂性要求

a、密码要设置为复杂密码,建议设置成包含“大小写字母”+“数字”+“特殊符号”,混合组成的复杂密码。密码长度要在8位以上的。
b、密码要定期更新并妥善保管。
c、不要使用姓名、域名、账户名、生日、电话、连续的数字或者字母等敏感信息做密码。
d、仔细查看收件人地址是否正确,特别查看字母拼写是否正确,如: “0”“o”,“rn”“m”。
e、我司邮局升级等操作不需要客户告知密码。

二、企业邮箱服务器的安全

a、对企业邮箱服务器做好安全加固和操作审计。
b、对企业邮箱服务及时更新补丁修复漏洞。

三、安全的使用环境

a、邮箱专人专用,不要多人使用,如有人员变动,请及时更改密码。
b、尽量不要在公共计算机上使用邮箱,若使用记得及时退出邮箱。
c、在确保网络安全的情况使用企业邮箱。

四、邮箱客户端安全

a、对公司相关的移动设备使用严格的准入标准。
b、电脑要及时更新补丁修复漏洞、做好病毒和木马排查工作。
c、不浏览不安全的网站,不从一些可疑的钓鱼网站登录邮箱。
d、不要轻易打开陌生人发来的网址链接和可疑的附件。
e、必要时提供远程擦除公司数据的功能来确保公司数据的安全。

五、邮箱数据安全

a、对外发邮件做好数据安全审计。
b、对企业邮箱内的邮件进行备份或归档,防止邮件丢失。

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4279.html

《[collect]电子邮箱安全指南》上的一个想法

  1. 红蓝对抗之邮件钓鱼攻击
    https://mp.weixin.qq.com/s/YKZ6yWWxOhn2KjTV5lDP7w
    `
    红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,⼈永远是最⼤的弱点,在日渐增多的防护设备⾯前,钓⻥攻击(Phishing)已经成为对抗中⼀种必不可少且非常有效的攻击⼿法(近期也见到实际攻击中针对HR的邮件钓鱼攻击),一旦有人中招,攻击队就直接能进⼊目标办公⽹,这也是钓⻥的魅⼒之⼀。其实钓鱼攻击也一直是APT高级持续威胁的主要打点手段,网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。

    Part 1. 钓鱼手段
    1.1 lnk
    1.2 宏
    1.3 RLO
    1.4 ⾃解压
    1.5 ⾃解压+RLO
    1.6 回执

    Part 2. 钓鱼话术
    上⾯提到了很多钓⻥攻击⼿段,但是就如word宏章节,如果不依赖漏洞的情况下,如何让对⽅点击启⽤宏,如何让对⽅信任你的⽂件,都需要话术的⽀撑。下⾯就来看看钓⻥的⼀些话术和⼿段。
    2.1 SRC假漏洞
    2.2 简历
    2.3 宏钓⻥
    2.4 合作
    2.5 可信站点附件中转
    2.6 技术交流
    2.7 钓⻥⽹站
    2.8 第三⽅平台
    2.9 加好友

    Part 3. 总结
    钓⻥⼿段层出不穷,了解钓⻥⼿段是在攻防演习⼤环境下必不可少的技能之⼀。本⽂从真实项⽬中提取出来的钓⻥⼿段、钓⻥话术给读者介绍了钓⻥中的管中窥豹。
    ⼈永远是最⼤的弱点,未知攻,焉知防。以攻促防希望能给安全建设带来帮助,祝愿人人都可以识别骗局,保护好自己和公司。
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注