【科普篇】什么是電子郵件安全？

電子郵件安全是防止基于電子郵件的網(wǎng)絡(luò)攻擊和有害通信的過(guò)程。電子郵件安全保護(hù)收件箱以防被接管，防止域名假冒，阻止網(wǎng)絡(luò)釣魚攻擊，預(yù)防欺詐，阻止惡意軟件發(fā)送，過(guò)濾垃圾郵件，并使用加密來(lái)保護(hù)電子郵件的內(nèi)容，以防被未授權(quán)人員查看。

在電子郵件最初問(wèn)世的時(shí)候，并沒(méi)有內(nèi)置安全和隱私保護(hù)。盡管電子郵件是一種重要的通信方式，這些保護(hù)依然沒(méi)有內(nèi)置到電子郵件中。因此，對(duì)大大小小的組織以及個(gè)人而言，電子郵件都成為了一種主要攻擊手段。

基于電子郵件的攻擊有哪些？

常見(jiàn)的電子郵件攻擊類型包括：

·欺詐：基于電子郵件的欺詐攻擊有多種形式，從針對(duì)普通人的預(yù)付款騙局，到旨在誘騙大型企業(yè)會(huì)計(jì)部門向非法賬戶轉(zhuǎn)款的商業(yè)電子郵件泄露(BEC)。攻擊者常常會(huì)使用域名假冒來(lái)使資金請(qǐng)求看起來(lái)像來(lái)自合法來(lái)源。

·網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚攻擊嘗試使受害者向其提供敏感信息。電子郵件釣魚攻擊可能將用戶引向一個(gè)收集憑據(jù)的虛假網(wǎng)頁(yè)，或直接迫使用戶將這些信息發(fā)動(dòng)到一個(gè)由攻擊者秘密控制的電子郵件地址。域名假冒在這類攻擊中也很常見(jiàn)。

·惡意軟件：通過(guò)電子郵件發(fā)送的惡意軟件包括間諜軟件、恐嚇軟件、廣告軟件和勒索軟件等。攻擊者可使用幾種不同的方式通過(guò)電子郵件發(fā)送惡意軟件。最常見(jiàn)的一種是在電子郵件附件中包含惡意代碼。

·賬戶接管：攻擊者為多種目的而接管合法用戶的郵箱，例如監(jiān)控他們的郵件，竊取信息，或者使用合法的郵箱地址將惡意軟件攻擊和垃圾郵件轉(zhuǎn)發(fā)給他們的聯(lián)系人。

·電子郵件攔截：攻擊者可以攔截電子郵件以竊取其中的信息，或者發(fā)動(dòng)在途攻擊，假冒通信的雙方。發(fā)動(dòng)此類攻擊的最常見(jiàn)方式是監(jiān)測(cè)無(wú)線局域網(wǎng)（LAN）上的網(wǎng)絡(luò)數(shù)據(jù)包，因?yàn)閿r截通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾娮余]件非常困難。

電子郵件域名假冒

電子郵件假冒對(duì)幾種基于電子郵件的攻擊都很重要，因?yàn)樗试S攻擊者從看似合法的地址發(fā)送郵件。這種技術(shù)允許攻擊者從假冒的“發(fā)件人”地址發(fā)送電子郵件。例如，如果Chuck想用一封電子郵件欺騙Bob，Chuck可能會(huì)從域名“ trustworthy-bank.com”向Bob發(fā)送一封電子郵件，即使Chuck并不真正擁有域名“trustworthy-bank.com”，也不代表該組織。

什么是網(wǎng)絡(luò)釣魚攻擊？

網(wǎng)絡(luò)釣魚是試圖竊取敏感數(shù)據(jù)的行為，敏感數(shù)據(jù)包括用戶名、密碼或其他重要的帳戶信息。釣魚者要么自己使用盜竊的信息，例如以用戶的密碼接管用戶的賬戶，或出售盜竊的信息。

網(wǎng)絡(luò)釣魚攻擊者將自己偽裝成值得信賴的來(lái)源。攻擊者會(huì)使用誘人或看似緊急的請(qǐng)求來(lái)吸引受害者提供信息，如同釣魚時(shí)使用誘餌。

網(wǎng)絡(luò)釣魚常常通過(guò)電子郵件進(jìn)行。網(wǎng)絡(luò)釣魚者要么嘗試欺騙人們直接通過(guò)電子郵件發(fā)送信息，要么鏈接到他們控制的一個(gè)看似合法的網(wǎng)頁(yè)（例如一個(gè)虛假的登錄頁(yè)面，讓用戶輸入密碼）。

有幾種類型的網(wǎng)絡(luò)釣魚：

·叉式網(wǎng)絡(luò)釣魚具有高度的針對(duì)性，而且往往會(huì)經(jīng)過(guò)有針對(duì)性的個(gè)性化處理以使其更具說(shuō)服力。

·捕鯨以某個(gè)組織內(nèi)重要或有影響力的人為目標(biāo)，例如高管。這是企業(yè)電子郵件安全中的一種主要威脅手段。

·非電子郵件網(wǎng)絡(luò)釣魚攻擊包括語(yǔ)音釣魚（通過(guò)電話進(jìn)行釣魚）、短信釣魚（通過(guò)短信息進(jìn)行釣魚）和社交媒體釣魚。

電子郵件安全策略可包括多種阻止釣魚攻擊的方式。電子郵件安全解決方案可以過(guò)濾掉來(lái)自已知惡意IP地址的電子郵件。它們可以阻止或刪除嵌入在電子郵件中的鏈接，以防止用戶瀏覽釣魚網(wǎng)頁(yè)。它們也可以使用DNS過(guò)濾來(lái)阻止這些網(wǎng)頁(yè)。數(shù)據(jù)丟失防護(hù)（DLP）解決方案也可阻止或修改包含敏感信息的外發(fā)電子郵件。

最后，組織的員工應(yīng)該接受如何識(shí)別釣魚電子郵件的培訓(xùn)。

攻擊者如何利用電子郵件附件？

電子郵件附件是一項(xiàng)很實(shí)用的功能，而攻擊者也同樣會(huì)通過(guò)利用這一功能來(lái)向攻擊目標(biāo)群體發(fā)送惡意內(nèi)容，包括惡意軟件。

一種方式是直接附上.exe文件形式的惡意軟件，然后誘使收件人打開附件。一種更常見(jiàn)的方式是將惡意代碼隱藏在看似無(wú)害的文檔中，例如PDF或Word文件。這兩種文件類型都支持包含代碼（如宏），攻擊者可以利用這些代碼在收件人的計(jì)算機(jī)上執(zhí)行一些惡意操作，比如下載和打開惡意軟件。

近年來(lái)，很多勒索軟件感染都是從電子郵件附件開始的。例如：

·Ryuk勒索軟件常常通過(guò)TrickBot或Emotet感染侵入網(wǎng)絡(luò)，而這兩種病毒都是通過(guò)電子郵件附件傳播的

·Maze勒索軟件使用電子郵件附件在受害者的網(wǎng)絡(luò)中獲得立足點(diǎn)

·Petya勒索軟件攻擊通常也始于電子郵件附件

電子郵件安全的一部分涉及阻止或無(wú)害化這些惡意電子郵件附件；這可能需要通過(guò)反惡意軟件掃描所有電子郵件以識(shí)別惡意代碼。此外，用戶應(yīng)接受培訓(xùn)以忽視意外或無(wú)法解釋的電子郵件附件。對(duì)基于Web的電子郵件客戶端，瀏覽器隔離也可幫助消除這些攻擊，因?yàn)閻阂飧郊?huì)從與用戶設(shè)備隔離的沙盒中下載。

什么是垃圾郵件？

垃圾郵件是指未經(jīng)收件人許可而發(fā)送的有害或不合適的電子郵件。幾乎所有的電子郵件提供商都提供某種程度的垃圾郵件過(guò)濾。但不可避免的是，一些垃圾郵件仍然會(huì)到達(dá)用戶收件箱。

隨著時(shí)間的推移，垃圾郵件發(fā)送者獲得了一個(gè)惡意“電子郵件發(fā)送者的聲譽(yù)”，導(dǎo)致越來(lái)越多郵件被標(biāo)記為垃圾郵件。出于這個(gè)原因，他們常常會(huì)試圖去接管用戶的收件箱，盜用IP地址空間，或者假冒域名來(lái)發(fā)送不被檢測(cè)為垃圾郵件的信息。

個(gè)人和組織可以采取幾種方法來(lái)減少可能會(huì)收到的垃圾郵件。他們可以減少或刪除公開列出的電子郵件地址。他們可在其電子郵件服務(wù)提供的過(guò)濾之上實(shí)現(xiàn)第三方垃圾郵件過(guò)濾。他們可以堅(jiān)持標(biāo)記垃圾電子郵件，以便更好地訓(xùn)練已有的過(guò)濾機(jī)制。

如果某個(gè)發(fā)件人的郵件中有很大比例未被打開或被收件人標(biāo)記為垃圾郵件，或者某個(gè)發(fā)件人的郵件被退回太多，ISP或電子郵件服務(wù)會(huì)降低他們的電子郵件發(fā)件人信譽(yù)分?jǐn)?shù)。

攻擊者如何接管電子郵件帳戶？

攻擊者可將盜用的收件箱用于多種目的，包括發(fā)送垃圾郵件、發(fā)起釣魚攻擊、分發(fā)惡意軟件、獲取聯(lián)系人列表，或使用電子郵件地址竊取用戶的更多帳戶。

他們可使用多種方法來(lái)侵入電子郵件帳戶：

·購(gòu)買被盜憑據(jù)列表：多年來(lái)發(fā)生了許多個(gè)人數(shù)據(jù)泄露事件，被盜的用戶名/密碼憑據(jù)在暗網(wǎng)上廣為流傳。攻擊者可購(gòu)買這種列表，并利用憑據(jù)來(lái)侵入用戶的帳戶，往往是通過(guò)憑據(jù)填充方式。

·暴力攻擊：攻擊者加載一個(gè)登錄頁(yè)面，并使用一個(gè)機(jī)器人來(lái)快速猜測(cè)用戶的憑據(jù)。速率限制和密碼輸入限制能有效阻止這種方法。

·網(wǎng)絡(luò)釣魚攻擊：攻擊者可能已經(jīng)此前進(jìn)行過(guò)一次網(wǎng)絡(luò)釣魚攻擊，以獲取用戶的電子郵件登錄憑據(jù)。

·網(wǎng)絡(luò)瀏覽器感染：類似于在途攻擊，惡意行為者可以感染用戶的網(wǎng)絡(luò)瀏覽器，以查看他們?cè)诰W(wǎng)頁(yè)上輸入的所有信息，包括他們的電子郵件用戶名和密碼。

·間諜軟件：攻擊者可能已經(jīng)感染了用戶的設(shè)備，并安裝了間諜軟件，以跟蹤他們鍵入的一切內(nèi)容，包括他們的電子郵件用戶名和密碼。

使用多因素身份驗(yàn)證（MFA）而非單因素密碼身份驗(yàn)證是保護(hù)收件箱免受侵入的一種有效方法。企業(yè)可能還希望要求用戶通過(guò)單點(diǎn)登錄（SSO）服務(wù)，而非直接登錄到電子郵件。

如何通過(guò)加密保護(hù)電子郵件？

加密是對(duì)數(shù)據(jù)進(jìn)行加密的過(guò)程，這樣只有授權(quán)方才能對(duì)數(shù)據(jù)進(jìn)行解密和讀取。加密就像將一封信放入一個(gè)密封的信封，即使在信件從寄件人到收件人的過(guò)程中會(huì)有很多人處理信件，也只有收件人才能看到信的內(nèi)容。

電子郵件不會(huì)自動(dòng)加密，也就是說(shuō)，發(fā)送電子郵件就像發(fā)送沒(méi)有信封保護(hù)內(nèi)容的信件一樣。因?yàn)殡娮余]件通常包含個(gè)人和機(jī)密數(shù)據(jù)，這可能是一個(gè)大問(wèn)題。

正如一封信不是立即從一個(gè)人到達(dá)另一個(gè)人手上，電子郵件也不是直接從發(fā)件人傳送到收件人。相反，電子郵件會(huì)經(jīng)過(guò)多個(gè)互連的網(wǎng)絡(luò)，從一個(gè)電子郵件服務(wù)器路由到另一個(gè)電子郵件服務(wù)器，直至最終到達(dá)收件人。如果沒(méi)有加密，任何人——包括電子郵件服務(wù)提供商——都能在這個(gè)過(guò)程中攔截并閱讀電子郵件的內(nèi)容。然而，通過(guò)使用一種稱為包嗅探（監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)包）的技術(shù)，電子郵件最可能在接近電子郵件來(lái)源的地方被攔截。

因此加密就像將電子郵件放入密封的信封。大多電子郵件加密使用公鑰加密技術(shù)（了解詳情）。一些電子郵件加密是端到端的；這種方法保護(hù)電子郵件內(nèi)容免被包括電子郵件服務(wù)提供商在內(nèi)的任何第三方窺探。

DNS記錄如何幫助預(yù)防電子郵件攻擊？

域名系統(tǒng)（DNS）存儲(chǔ)關(guān)于域的公共記錄，包括該域的IP地址。DNS非常重要，讓用戶能夠連接到網(wǎng)站和發(fā)送電子郵件，無(wú)需記住一長(zhǎng)串字母和數(shù)字組成的IP地址。

一些特別類型的DNS記錄用于幫助確保電子郵件來(lái)自合法來(lái)源，而非假冒者：SPF記錄、DKIM記錄和DMARC記錄。電子郵件服務(wù)提供商會(huì)根據(jù)這三種記錄來(lái)檢查電子郵件，確認(rèn)它們是否來(lái)自所聲稱的來(lái)源，并且在傳送過(guò)程中沒(méi)有遭到篡改。

Cloudflare電子郵件DNS安全向?qū)椭蛎姓呖焖俸驼_地配置這些關(guān)鍵的DNS記錄。要了解更多信息，請(qǐng)查看我們的博客文章。

如何阻止網(wǎng)絡(luò)釣魚攻擊？

許多電子郵件提供商都提供一些內(nèi)置的網(wǎng)絡(luò)釣魚保護(hù)（上述DNS記錄通常是它們阻止網(wǎng)絡(luò)釣魚企圖的信號(hào)之一）。然而，網(wǎng)絡(luò)釣魚電子郵件依然經(jīng)常進(jìn)入用戶的收件箱。很多組織使用額外的網(wǎng)絡(luò)釣魚保護(hù)來(lái)更好地保護(hù)他們的用戶和網(wǎng)絡(luò)。

Cloudflare Area 1電子郵件安全提供基于云的網(wǎng)絡(luò)釣魚保護(hù)。Cloudflare Area 1提前發(fā)現(xiàn)網(wǎng)絡(luò)釣魚基礎(chǔ)設(shè)施，分析流量模式以關(guān)聯(lián)攻擊和識(shí)別網(wǎng)絡(luò)釣魚活動(dòng)。詳細(xì)了解這一反網(wǎng)絡(luò)釣魚服務(wù)如何工作?；蛘咭部梢月?lián)系我們的工作人員進(jìn)行免費(fèi)電子郵件安全評(píng)估并獲取專業(yè)建議。