I. 郵件是網路攻擊的首要突破口

郵件作為企業（特別是傳統和大型企業）的主要溝通工具關鍵程度日益提升，同時安全問題也日益突出。郵件協議缺乏認證和安全鑑別機制，因此天然具備防追蹤和高性價比的特性，郵件已經成為電信詐騙、勒索軟體攻擊的主要途徑。目前大眾普遍認為郵件安全就是釣魚攻擊（phishing），其實郵件安全的領域很廣，本文基於工作中的知識與大家多維度分享一下。

首先介紹四種郵件仿冒技術

a. 仿冒發件人別名-難度指數*

利用郵件賬號的別名欄位屬性，使用公用郵箱（比如Gmail）仿冒他人賬號，此類仿冒郵件佔比最高，同時因為實際發件人地址真實存在，可以進行互動式詐騙。

Example

From: Steve Jobs

b. 仿冒發件人-難度指數**

利用郵件協議的認證缺陷（實際加強安全協議已經存在，但是普及率不高），使用真實的發件人地址和別名，給受害人傳送郵件。優點是受害人毫無抵抗能力，全是真貨、真貨、真貨；缺陷是攻擊者不能收到受害者的郵件回覆，需要結合惡意連結或附件達到攻擊目的。

Example

From: Steve Jobs [email protected](搭建或租用惡意郵件伺服器)

c. 相似域名仿冒-難度指數**

搶注相似域名，比如app1e(不是L，是數字1)，然後就可以按照套路操作了。

缺點是註冊域名、配置郵件服務等太麻煩，而且容易留下作案痕跡；而且大公司都有brand監控服務，相似域名已經搶注或在監控範圍內了（域名註冊商有這項服務）。

Example

d. 仿冒回覆人-難度係數****

利用郵件header中的Reply to欄位，結合仿冒真實發件人攻擊，做到真實發件人地址從網際網路惡意傳送，受害者郵件回覆送達Gmail郵箱。

Example

From: Steve Jobs [email protected](搭建或租用惡意郵件伺服器)

Reply To: [email protected] (此欄位在郵件客戶端隱藏，但是可以通過文字或定製軟體修改)

基於攻擊型別可以概括為三類

1. 勒索軟體攻擊

全球41%的企業遭受勒索軟體的攻擊，其中70%的受害者選擇了支付贖金。無論是撒網攻擊還是定向攻擊，電子郵件是最常見的傳遞方式，佔比為59%，其次是網站、社交媒體和受感染的儲存。常見的商業詐騙主題包括髮票、發貨資訊、逾期賬戶等。

勒索軟體服務RAAS （Ransomware as a Service）已經非常成熟，註冊一個比特幣賬號就可以坐等收錢了（參照流行的付費問答平臺：只要劇本夠好，使用者群定位精確，穩賺不賠）。

2016年堪稱勒索軟體元年，截止第三季度已經發現380萬+惡意樣本。中國企業也已經成為勒索軟體的受害者，同時RAAS已經成為行業惡意競爭中的又一利器（熟知的還有DDoS）-勒索軟體的招式之猥瑣，後果之嚴重可想而知！

2. 商業郵件詐騙（BEC）BEC- Business Email Compromise .

商業郵件詐騙又叫老闆詐騙，與‘我是你領導’電話詐騙如出一轍（還有QQ群，微信群中的馬甲領導）。

a.海外商業規則基於簽名的合同、電子轉賬（比如企業信用卡，支票），因此郵件詐騙的套路才是最純正的，過程不再贅述。

b.中國商業規則是基於蓋章的合同和紙質發票，從遊戲規則推導中國是對郵件詐騙具有免疫力的；但是中國的郵件詐騙是極具中國特色的：領導為尊的習慣導致案例頻發，領導要求財務員工轉賬時就違規操作了（忽略身份驗證和流程籤批）。

這類郵件攻擊通常安全團隊可以免責，不是狹義資訊保安的範疇！

3. 仿冒企業郵件

以企業的名義對外發送釣魚郵件，特別是仿冒電子商務企業（淘寶、京東、亞馬遜等）、公共事業（公檢法，12306等）傳送釣魚郵件時危害極大。此類攻擊對企業不產生直接影響，但是間接影響企業聲譽。

II. 郵件安全防護策略

本章節的防護措施都是戰術層面的被動響應，其實IETF已經發布了郵件安全協議，企業可以從架構設計出發來防護郵件。

允許我套路一下-NIST framework： 識別，防護，監測，響應，恢復。

1. 識別風險

資產識別-郵件安全的核心是賬號和郵件內容，可以採用一些策略降低資產的暴露面。

一個小技巧就是郵件別名（alias，相當於多個郵件地址對應一個inbox例項），Gmail郵箱預設支援別名設定，商業郵箱方案和ISP的郵箱策略也允許別名。郵箱地址作為商業聯絡方式屬於公開資訊，商業別名可以有效保護郵件賬號，增加獲取賬號和密碼的複雜度。

郵件內容的暴露面可以實施企業文件加密方案（MS RMS，Adobe RM, etc.）,確保在郵件賬號洩露後保密文件不會被非授權訪問。

2. 防護郵件

a. 郵件閘道器-垃圾郵件、病毒附件

非常成熟的防護手段，商業方案普遍蓋地細節不再贅述，僅列出關鍵參照點

防毒引擎-不同廠商的特徵庫之間會有補充（部分廠商內建多個防毒引擎），啟用多少個？

防護策略級別-閘道器配置包括多種防護級別，管理員為了快速部署通常僅啟用中或低級別防護策略，導致郵件閘道器的功效不能充分發揮；

串聯還是旁路-隨著郵件威脅的增加，部分企業開始部署多層郵件閘道器，如何平衡延遲和效率？

[注：國際知名電子郵件安全廠家Softnext守內安的郵件歸檔、郵件網關係統，可對郵件進行加密、歸檔、審計管理，防病毒，層層過濾郵件威脅，降低企業被入侵風險。]

b. 賬號防護

動態驗證碼-參照12306神一樣的圖片驗證碼，破解密碼的難度火箭式增加（個人更認可google的robot識別技術）

MFA雙因素-國外的Google authenticator, Duo都是很好的方案；抽屜裡各家銀行的U頓、口令卡、企業配發的OTP令牌，都是各掃門前雪的解決方案；非常期待國內的MFA雙因素認證平臺的普及（惋惜洋蔥的夭折）。

c. 終端電腦-郵件是攻擊通道，目標是終端電腦或賬號。

釣魚郵件、惡意軟體通過郵件傳遞後是否能夠成功感染電腦，併成功執行。

防毒軟體的覆蓋率決定了終端電腦防護的短板（安裝率、染毒率需要管理和技術雙向發力）。

是否有類似主機IDS的軟體鎖定系統漏洞（勒索軟體呼叫作業系統加密介面，限制介面呼叫可以有效降低勒索軟體的執行）

d. 網路防護-代理或防火牆

通過特徵庫自動阻斷釣魚郵件中連結或指令碼下載，同時可以在響應階段手工阻斷URL；

同時需要關注網路層惡意軟體外鏈的報警，通常可以發現一些蛛絲馬跡；

3. 監測攻擊

a. 做好日常運維就是最好的監測

郵件進出站數量的異常是否察覺，原因是否調查；

釣魚郵件的連結多少被點選，是否提交賬號？這些賬號是否已經重置密碼？

b. 借用工具武裝自己

郵件頭分析：mail header analyzer (參考搜尋引擎，advertisement free)

監控網際網路上傳輸的公司郵件：DMARC資料平臺（參考Ⅲ 郵件安全協議）

4. 響應事件

a. 具備監測能力是前置條件，國內企業還停留在使用者上報階段；

b. 被動就要捱打，建議從監控exchange Log開始，設定subject關鍵字過濾，匹配情報惡意IP、sender實時報警

c. 考驗安全團隊的裝置操作許可權和應急熟練程度（郵件安全攻擊高頻，需要半自動化和流程化）

郵件header分析、釣魚成功率分析（結合網路層URL訪問日誌）

網路層阻斷URL，更新防毒軟體特徵庫

5. 恢復業務

取決於企業郵件架構和檔案備份策略

III. 郵件安全協議

因為商業利益驅使，各大廠商都在推薦郵件閘道器裝置；郵件安全協議配置的優化卻很少提及，現實世界總是本末倒置。

鑑於SMTP傳統郵件的安全性不足，磚家已經研發出了五種藥方：SPF，DKIM，rDNS, DMARC, Sender ID.

國際知名電子郵件安全專家Softnext守內安的郵件歸檔、郵件閘道器，可對郵件進行加密、歸檔、審計管理，防病毒，層層過濾郵件威脅，降低企業被入侵風險。