垃圾郵件攻擊郵件要舉報下就好了，下次就不會有了，tom郵箱的舉報功能就很好用，好像是他們後臺會做監控處理的

郵件是企業的主要交流工具(尤其是大企業)，所以目前很多網路攻擊都是以郵件為突破口。像電信詐騙、勒索軟體等多是以郵件釣魚突破。但是相對於個人郵箱來說還是比個人郵箱安全的，因為公司郵箱會有公司的安全策略進行安全防護，個人的郵件安全更多的取決於個人的安全意識和郵箱本身。下面我透過一些攻擊案例和企業安全策略介紹一下為什麼企業郵箱更加安全。

偽造形式

偽造發件人別名

利用郵件賬號的別名欄位屬性，使用公用郵箱（比如Gmail）仿冒他人賬號，此類仿冒郵件佔比最高，同時因為實際發件人地址真實存在，可以進行互動式詐騙。

郵件偽造仿冒發件人

利用郵件協議的認證缺陷（實際加強安全協議已經存在，但是普及率不高），使用真實的發件人地址和別名，給受害人傳送郵件。優點是受害人毫無抵抗能力，全是真貨、真貨、真貨；缺陷是攻擊者不能收到受害者的郵件回覆，需要結合惡意連結或附件達到攻擊目的。

相似域名註冊

搶注相似域名，比如taopao(不是L，是數字1)，然後就可以按照套路操作了。缺點是註冊域名、配置郵件服務等太麻煩，而且容易留下作案痕跡；而且大公司都有brand監控服務，相似域名已經搶注或在監控範圍內了（域名註冊商有這項服務）。

仿冒回覆人

利用郵件header中的Reply to欄位，結合仿冒真實發件人攻擊，做到真實發件人地址從網際網路惡意傳送，受害者郵件回覆送達Gmail郵箱。

郵件安全防護策略

郵件的安全防護要從五個方面進行防護即：識別、防護、監測、響應、恢復。

風險識別

資產識別-郵件安全的核心是賬號和郵件內容，可以採用一些策略降低資產的暴露面。

一個小技巧就是郵件別名（alias，相當於多個郵件地址對應一個inbox例項），Gmail郵箱預設支援別名設定，商業郵箱方案和ISP的郵箱策略也允許別名。郵箱地址作為商業聯絡方式屬於公開資訊，商業別名可以有效保護郵件賬號，增加獲取賬號和密碼的複雜度。

郵件內容的暴露面可以實施企業文件加密方案（MS RMS，Adobe RM, etc.）,確保在郵件賬號洩露後保密文件不會被非授權訪問。

安全防護

a. 郵件閘道器-垃圾郵件、病毒附件

非常成熟的防護手段，商業方案普遍蓋地細節不再贅述，僅列出關鍵參照點

1）防毒引擎-不同廠商的特徵庫之間會有補充（部分廠商內建多個防毒引擎），啟用多少個？

2）防護策略級別-閘道器配置包括多種防護級別，管理員為了快速部署通常僅啟用中或低級別防護策略，導致郵件閘道器的功效不能充分發揮；

3）串聯還是旁路-隨著郵件威脅的增加，部分企業開始部署多層郵件閘道器，如何平衡延遲和效率？

b. 賬號防護

1）動態驗證碼-參照12306神一樣的圖片驗證碼，破解密碼的難度火箭式增加（個人更認可google的robot識別技術）

2）MFA雙因素-國外的Google authenticator, Duo都是很好的方案；抽屜裡各家銀行的U頓、口令卡、企業配發的OTP令牌，都是各掃門前雪的解決方案；非常期待國內的MFA雙因素認證平臺的普及（惋惜洋蔥的夭折）。

c 終端電腦-郵件是攻擊通道，目標是終端電腦或賬號。

1）釣魚郵件、惡意軟體透過郵件傳遞後是否能夠成功感染電腦，併成功執行。

2）防毒軟體的覆蓋率決定了終端電腦防護的短板（安裝率、染毒率需要管理和技術雙向發力）。

3）是否有類似主機IDS的軟體鎖定系統漏洞（勒索軟體呼叫作業系統加密介面，限制介面呼叫可以有效降低勒索軟體的執行）

d. 網路防護-代理或防火牆

1）透過特徵庫自動阻斷釣魚郵件中連結或指令碼下載，同時可以在響應階段手工阻斷URL；

2）同時需要關注網路層惡意軟體外鏈的報警，通常可以發現一些蛛絲馬跡；

3. 監測攻擊

a. 做好日常運維就是最好的監測

1) 郵件進出站數量的異常是否察覺，原因是否調查；

b. 借用工具武裝自己

1）郵件頭分析：mail header analyzer (參考搜尋引擎，advertisement free)

2）監控網際網路上傳輸的公司郵件：DMARC資料平臺（參考Ⅲ 郵件安全協議）

4. 響應事件

a. 具備監測能力是前置條件，國內企業還停留在使用者上報階段；

b. 被動就要捱打，建議從監控exchange Log開始，設定subject關鍵字過濾，匹配情報惡意IP、sender實時報警

c. 考驗安全團隊的裝置操作許可權和應急熟練程度（郵件安全攻擊高頻，需要半自動化和流程化）

郵件header分析、釣魚成功率分析（結合網路層URL訪問日誌）網路層阻斷URL，更新防毒軟體特徵庫

5. 恢復業務

取決於企業郵件架構和檔案備份策略

郵件安全協議

鑑於SMTP傳統郵件的安全性不足，專家已經研發出了四種安全協議：SPF，DKIM，rDNS, DMARC。

DMARC協議要求郵件收件人伺服器反饋mail header （除去PII資訊）反饋給發件人公司，從而讓你以上帝視角來審視domain郵件在網際網路上傳送情況，包括企業郵件、影子郵件（shadow mail）、仿冒郵件。

SPF，全稱為 Sender Policy Framework，即發件人策略框架。SPF 出現的目的，就是為了防止隨意偽造發件人。

域名金鑰識別郵件(DKIM)協議可確保郵件內容不被偷窺或篡改。

rDNS反向解析，也就是將IP解析到對應的域名上，反向解析在郵件伺服器應用中相當於對你的郵件伺服器進行身份驗證，這樣的策略可以很好的減少垃圾郵件。