你的邮件安全吗？ ——电子邮件威胁与防御剖析

互联网生活的普及，信息化无处不在的高速发展及其便捷、高效、多样的信息传输手段，电子办公的普遍，成为了国际网络黑客、窃密手段、网络犯罪横行的平台，为国家和企事业单位信息保密安全工作带来巨大困难和挑战。

跟传统的信息传输模式相比，电子邮件具有很强的时效性、便捷性，然后随着电子邮件在社会的广泛应用，随之而来的安全保密问题日渐突出，机密泄漏、信息篡改、假冒地址、垃圾邮件等令人烦恼不堪，相应的安全保密防护需求越来越迫切。国家在保密工作上先后颁布了各种保密法律，并发展保密技术，应用高端技术手段保护国家和企事业机密的安全，特别是加强邮件安全保密技术的应用，已成为当前安全保密工作的重要工作内容之一。

据Gartner（高德纳咨询公司）报告分析，电子邮件威胁与行为分析 、身份欺骗相结合、钓鱼网站、恶意软件和漏洞。为了逃避普通电子邮件安全技术的检测，特别是那些只依赖于标准杀毒软件和声誉的技术的电子邮件安全技术，电子邮件威胁已经变得越来越复杂。

为了更好地理解电子邮件攻击，我们需要剖析威胁，了解它们的复杂性，并与攻击者的技术和方法相匹配，采取有效的防御。

电子邮件是客户端端点的机会主义和有针对性的攻击最常用的通道。据Gartner2016年电子邮件调查表明：

邮件是有针对性的对客户的终端和用户无针对性攻击的首选渠道。

BEC（Business Email Cheat,商业邮件欺诈）成为了攻击者的摇钱树。对于许多检测技术来说，这是难以捉摸的，但他们检测异常电子邮件流量和身份欺骗技术的能力正在提高。

针对入站邮件的威胁，电子邮件安全网关是主要保护控制点。它们结合了普通和高级攻击检测和预防技术。

DMARC（Domain-based Message Authentication, Reporting and Conformance，基于信息、报告统一的域认证协议），DKIM（Domain Keys Identified Mail，域名密钥识别邮件标准）和SPF（Sender Policy Framework发送方政策框架）的应用正在改善，但必须进一步增加。实现上还存在一定的挑战，但解决方案提供商可以提供帮助。

图1描述了对不同技术类别的电子邮件威胁的剖析。

图1 电子邮件威胁技术和手段

图片来源：Gartner（2016年11月）

五个攻击阶段是：

目标识别：在这个阶段，攻击者的目标决定了受攻击者。即使通道限于电子邮件，攻击者可以搜索大量内部用户，以及特定的内部目标，甚至通过在外部电子邮件中的伪造域来组织外部目标用户。

基础设施/准备：在目标识别之后，攻击者需要设置发起攻击所需的基础结构。对于大规模分发，攻击者可能租用僵尸网络，并将其与开发工具包或恶意附件相结合。

身份欺骗：最简单的攻击不使用身份欺骗来隐藏恶意消息的实际发送者。为了获得更高的成功率，攻击者可能会尝试一些简单的技巧，以使接收方相信消息来自内部用户。在最简单的形式中，攻击者使用内部用户的名称或应答地址，该地址与可见发件人的地址不同。更复杂的攻击者使用近邻域、滥用妥协的邮箱或邮件服务器等来做为发送方。

信息：因为在大多数情况下，攻击者要求接收者采取行动，因此几乎所有电子邮件攻击都会构建相对可信的消息体。拼写错误泄露垃圾邮件的时代已经过去，大多数攻击都使用令人信服的正确的文本和语法。简单的自定义，如包括收件人的名字开头，越来越自动化，越来越普遍。电子邮件消息的真实恶性往往隐藏在附件或URL中。比如用宏连接到Internet下载恶意软件。

目标：目标不是攻击阶段，而是要理解攻击者并设计对策，如果所有其他阶段都未被阻止，安全专业人员必须对攻击者的目标进行建模。攻击者最常见的目标是在机器上安装恶意软件。恶意软件可以用于许多不可告人的目的，包括发送垃圾邮件，窃取银行信息和勒索。攻击者的另一个共同目标是窃取企业凭证，通常是进行欺诈或进一步渗透组织。更难以捉摸的攻击不使用URL（统一资源定位符）或附件。收件人电汇或泄漏敏感信息，随后可用于欺诈。最后，勒索可能被攻击者利用后妥协的邮箱或邮件服务器。受害者必须付费，否则敏感信息将被泄露给公众。