构建邮件纵深安全体系，提升互联网重要入口安全运营水平｜证券行业专刊·安全村

一、海通证券邮件安全体系演进

在近年来举行的国家级攻防演练和常态化攻防对抗中，邮件系统和互联网暴露面成为攻击队撕开缺口的重点方向，尤其是邮件攻击“成本低廉、效果直接”，成为了攻击者突破边界的最好手段。历史统计数据显示“网络攻击中有91%将电子邮件作为攻击入口”，2021年9月“白象”组织利用新冠肺炎疫情相关热点，冒充相关机构对我国20余家单位发起定向攻击，都在传递着一个信息，邮件入口的防护体系需要动态调整，防护和检测水平需要逐步提升。

海通证券的邮件系统防护理念和水平是通过不断的对抗逐步提升的。我们在邮件安全攻防对抗过程中，逐步总结出邮件安全演化所经历的四代模型，从而针对邮件安全体系进化做到了有的放矢。

二、邮件系统重点威胁

2.1 攻击者攻击过程

Step1.绕过邮件网关：

通过新型的钓鱼邮件、商业欺诈邮件、附件样本变形的恶意邮件、APT邮件等多种形式，直接穿透以规则过滤的邮件网关。

Step2.绕过沙箱检测：

对攻击邮件的附件部分进行压缩加密、加壳、内容混淆、远程加载宏等方式处理，使得通过静态查杀或简单动态查杀的沙盒无法发现附件中藏有的恶意威胁文件。

Step3.绕过主机入侵检测：

恶意文件调用底层函数进内核，或是使用偏僻语言的小众工具，在主机入侵检测的盲区内进行运行。欺诈用户点击精钓邮件的URL则不在主机入侵检测的防范范围内。

Step4.绕过NDR/恶意URL拦截：

当文件被收件用户点击后，以全程加密的方式和攻击者的VPS建立连接，使得NTA无法发现传输内容中的命令执行；或是在最初注册全新域名，使得恶意钓鱼域名不在威胁情报库的范围内，绕过针对DNS解析的恶意域名拦截。

海通证券总结得出在邮件维度，攻击者的攻击主要可分为邮件本体攻击和邮箱资产攻击，将在下文2.2及2.3中做详细介绍。

2.2邮件本体攻击

通过攻防对抗复盘，恶意邮件的利用方式通常是通过两种载体：附件和正文（正文包含文本、图片、链接）。

2.2.1附件载体

图：海通证券安全团队对恶意附件所做分类

面对种类繁多利用恶意附件进行攻击的手段，安全团队重点考虑如何提取出攻击特征来进行宏观检测。例如免杀的Office宏病毒、远程模板加载等新攻击的方式：通过运行Word后会从攻击者建立的VPS上加载模板，进而携带返回免杀宏病毒，这对于传统沙箱使用静态查杀的检测的机制便可以成功绕过。同时并不是只有Word文件有宏病毒，Excel也是爆出过CVE-2018-0802、CVE-2017-11882等多个CVE。

图：Office宏病毒绕过检测的方式

此时需要防护设备可以从攻击特征、攻击行为等方面来多维度检测附件。

• 加密附件

加密压缩包却是最常见的APT攻击手法之一，通过将威胁附件进行压缩加密，并将解压密码写进正文的方式来绕过常规网关、沙箱等邮件防护设备。面对这种攻击，就需要安全人员对这些重点邮件多进行关注，配合网关将所有的加密压缩包邮件单独提取出来进行检测。

       图：一封真实绕过网关的攻击邮件

2.1.2文本

• 诈骗文本 

诈骗文本通常是定向发送给安全意识较为薄弱的企业员工。目前阶段最需要引起重视的诈骗就是BEC（商业欺诈邮件），此种攻击方式通常会冒充企业高管或是合作金融单位，向财务人员发送需要挪用资金或者向供应商打款的邮件文本。

• 勒索文本

攻击者通过描绘模糊性事件或是获取收件人一定的信息后进行扩展捏造，使得收件人似是而非的认为攻击者掌握了确实可以要挟自己的信息，慌乱和害怕中被敲诈成功。勒索文本在WannaCry病毒爆出的那段时间内非常流行，很多时候企业因为无法快速理自身到底是否存在机器沦陷，从而在危急情绪下了接受了勒索团队的要挟。

图：一封真实的比特币勒索邮件

• 广告垃圾

各大邮件服务商都会引入DNSBL技术，使得垃圾邮件都会被打上SPAM标签被拒收，所以广告之类的垃圾邮件现阶段对安全的威胁性较小。

2.1.3链接

• 伪造的URL链接

伪造URL一般都会结合诈骗文本使用，在邮件中的URL是可以编辑的，从而使得邮件真正的跳转URL和文本中显示的URL不一致。

• 短链接跳转

短链接是攻击者为了绕过URL检测的一种新思路，毕竟正常的邮件中很少会出现短链接。但是没那么优秀的网关就会把这些威胁URL放过，导致企业邮件防护阵线出现安全隐患。

2.1.4图片

攻击者把恶意的内容制成图片放到正文中来绕过安全设备的检测。又或是把钓鱼链接或由其他恶意链接生成二维码插入到邮件正文当中，利用收件者会拿出手机扫描二维码的习惯来绕过安全防护措施中的检测机制。

2.2邮件账号安全

大多数邮件运维人员通常将更多精力放在能否从邮件接受层面来防御邮件攻击，通过识别邮箱载体是否存在威胁进行防护。然而，攻击者早已经转换了攻击思路，通过从邮箱账号层面进行更深入有效的攻击。

2.2.1获取邮箱账号权限

• 爆破

攻击者测试通过web界面以及SMTP、POP3、IMAP登录的方式，判断是否存在爆破的可能性，此类手法的判断主要看输入错误时提示是否有“用户名不存在”还是“输入密码错误”之类的有效信息返回。

• 撞库

很多邮箱使用者在使用不同网站或不同账号时使用的是相同的密码，因此攻击者可以通过社工库先获取邮箱使用者在他处使用的密码，进而对邮件系统进行撞库攻击，这类将大部分人使用密码习惯融入攻击的手法成功率往往不低。

• 劫持嗅探

图：SMTP中的base64加密流量

该种攻击方式适用于获取相关网络设备的权限后进行，如果邮件发送或收取时使用未进行加密成SMTPs和POP3s/IMAPs，而是单纯通过base64编码或直接明文发送，攻击者便可以直接利用劫持的网络流量，从中提取出对应的邮箱账号及密码等信息。

图：pop3中明文流量

2.2.2权限维持

攻击者通过撞库或者社工等方式拿到某一个账号的密码时可以设置代收接管这个账号的所有邮件。

有两种方式来长期获取目标邮件,pop3收取和邮件转发。

• pop3收取

如果是公开邮件服务，通过此方式基本可以无痕的收取所有目标账号上的邮件。

• 邮件转发

攻击者利用这种方式的话，海通证券邮件系统运维人员可通过邮件系统的网页客户端发现痕迹，而且在NTA检测设备上会发现有大量邮件外发流量。

三、构建邮件纵深安全体系

海通证券通过不断的对抗总结与运营反馈，针对邮件纵深安全体系总结出了一些应对经验和问题排查技巧。

3.1邮件服务器基本核查

1）注意邮件客户端或者是邮件服务器自身的漏洞，及时的更新服务器版本和客户端版本是非常重要的，同时安全管理人员需要时刻的关注有没有最新的0day信息，做好第一时间处理事件的准备；

2）关闭外部通过SMTP、POP3、IMAP直接登录的功能。很多企业邮件服务器25端口是直接暴露在外的，直接telnet连接就可以对内伪造发邮件了。

3）限制同IP和同账号一定时间的登陆频率；

4）如果条件允许，内对内的邮件使用独立的邮件系统，外到内和内到外使用另一套独立系统。这样一旦出网的邮件系统发生了账号失陷问题，对内无法横向移动，进而可以缩小影响；

5）尽量不对公网开放web端登录邮件系统的功能，如果有移动办公的需求应该使用企业自身的邮件终端。

3.2邮件服务器安全协议

• 使用邮件三大安全协议：

对于邮件伪造引起的安全问题，SPF、DKIM、DMARC三大策略如果都配置正确，基本可以完全杜绝伪造发件人，其中尤其需要注意的是SPF的配置过程中~all(软拒绝)和-all(硬拒绝)的区别。通常默认是软拒绝，这样不能完全保证安全。

同时查询SPF记录的过程中同样会暴露服务器的真实IP，也需要对这些资产做安全性排查。

图：某度的SPF配置

• 使用RMX协议：

RMX类似于RDNS ，一个MX服务器收到了邮件之后，会去反向查询发件IP地址是否有对应的MX记录解析。

• 开启SSL/TSL：

对邮件流量进行加密是保证邮件数据安全、邮箱资产安全的基本，应做到流量加密。

• 设置归档时间：

定期对邮件进行归档，可以防止攻击者拿到收件密码后，过多的收取邮件内容。

• 配置用户发件权限：

除了有确定群发需求的账号可以开启无限制群发功能以外，其他的账号都应该限制最大收件人数量。

• 配置单用户发件上限：

为了确保在某一账号失陷后能造成的影响最小化，应该把单用户的发件上限设置一个合理的阈值。

3.3邮件资产安全防护

• 二次认证：

登录的时候尽量避免直接使用密码，可以通过密码+短信验证码/令牌的二次认证码等方式来解决。

• 限制登陆口：

限制外部IP通过telnet 25端口连接邮件服务器，很多情况下攻击者可以直接通过命令SMTP来实现邮件内对内伪造发件人发送。

• 禁用web端：

公网web端收取邮件始终是存在风险的，如果不是刚需的情况，建议企业内使用移动端配合客户端的方式来收取邮件。

• 异常登录锁定：

登陆锁定是防止撞库和爆破的最佳方法，低阈值短间隔，附加单个IP单日内的上限错误次数，既避免了恶意锁定行为，也避免了撞库爆破攻击。

3.4邮件运营体系流程

海通证券通过运营累积了完整的一套邮件处理流程，包含邮件拦截、拦截成功之后的隔离、预警、未拦截情况下的应急处置和溯源等。

图：海通证券邮件安全运营体系

3.4.1一道拦截

网关拦截能力是有限的，需要不断的去调整规则的松紧度来保证在不影响业务的情况下去最大限度的拦截威胁邮件。如果为了保证业务邮件的正常发送，把网关拦截策略调成最低，放过大量的高级威胁邮件。这样做非常不可取。

3.4.2二道隔离

当在邮件中检测到威胁、垃圾邮件、限制的附件和/或限制的内容时，客户端可以将此邮件移动到服务器中的隔离文件夹中。此过程将作为邮件/附件删除的备选处理措施，并可防止用户打开受感染的邮件和扩散威胁。

3.4.3三道预警

网关检测能力有限，很多存疑的邮件运维人员也无法即时性做到逐封详细排查，这个时候预警功能就显得非常必要。在邮件服务器中可以设置一个专用的邮件预警账号，将对存疑邮件的怀疑和预警发送给该封邮件的收件用户，这样用户在收到存疑的邮件之后便会因为预警邮件的提示引起警觉，避免直接打开存疑邮件。

图：海通证券邮件纵深安全体系架构

3.4.4应急响应

企业应该有完备的应急预案，包括单账户沦陷、内网横向发送钓鱼邮件等多种情况，避免在发现问题的时候束手无策，能做到安全事件发生的十分钟内定位到账号，半小时内定位到威胁邮件。

3.4.5威胁溯源

安全人员、一线运维员工需要具备手工排查邮件头信息的能力，能分辨邮件头中真实的标签和伪造的标签。建议通过安全教育进行全员普及。

邮件头中需要重点关注的主要字段为Received、From、to、subject、cc和bcc五个字段,可使用这些字段来追踪邮件传输路线。

3.5邮件安全意识建设

3.5.1钓鱼演练

企业内应当定期组织钓鱼邮件演练，搭配不同的攻击形式，涵盖钓鱼、诈骗、恶意附件等，可以使用GoFish搭建大规模的发送平台，也可以使用SWAKS来进行小规模的发送。

3.5.2安全意识培训学习

安全意识培训学习主要面向其他部门以及对邮件安全不熟悉的员工，讲清楚威胁邮件的载体和可能被用来钓鱼攻击的手短，能做到存疑邮件不点击、不输入、不运行三大要素。也建议在做完培训之后再做一次钓鱼演练，来对比体现安全意识培训是否取到了预期的效果，这同样也是对培训的必要性做一个数据证明。

3.6邮件安全运营情报

通过一段时间的运营数据累积，可以构建自己的IOC情报库。在从流量层提出邮件中的发件IP后可以对IP进行IOC的匹配和预警，把从被动收件发现攻击转化成主动匹配情报，及时的发现恶意的攻击组织，避免危害形成或者是扩大。

四、海通证券邮件安全运营数据

海通证券在建设和丰富上文中介绍的邮件安全运营体系建设后，取得了实际落地的检测成效和闭环提升。

首先是防护的架构方面，通过邮件网关的过滤规则、沙箱对于携带附件类邮件的静态动态查杀，将攻击者无差别群发的垃圾邮件、威胁邮件分别进行两道防线的过滤。

再通过邮件溯源系统的深度检测，从已经被过滤的邮件中发现精钓或是采取了绕过手段的定向攻击事件，将这类攻击事件的告警通过邮件预警的机制发送给收件人和管理员，提醒收件人不要点开的同时也让安全团队可以从中深度分析采用的攻击手法、攻击者的攻击意图。

再将这类定向攻击事件中的行为特征进行提取，加入到邮件网关的拦截策略中，形成从阻断到检测再到阻断的闭环防护，不断巩固邮件安全的防线。另外，常规的邮件告警实现了流程简化和自动化，更多的是以syslog汇总、自动的预警邮件机制来统一通知安全运营一线，使得安全工作从多台设备来回切换查看告警转换为处理汇总日志以及聚焦安全事件即可。

在完整配置SPF、DKIM、DMARC、RMX协议后有效的杜绝了发件伪造的行为，实现了向内投递邮件零伪造，同时配合二次认证和异常登陆锁，彻底的避免了账号被爆破、撞库的风险。

对于近三个月各道防线发现的威胁邮件情况进行分析，在总邮件量差异不大的情况下发现，9月的邮件攻击中存在恶意附件、需要深度检测才能发现以及被加入到定制化策略的比例明显相较上月增多。在此分析基础上我们结合威胁情报得知，9月关于“新冠肺炎疫情持续扩散”相关的APT邮件攻击活动持续流行（单月此类攻击情报统计达2090万封），所以针对此类邮件发出通告，在安全意识角度提醒全体同事请勿点击。

图：邮件纵深防护体系中各阵线运营数据

经过一段时期的安全运营，月均数十万封的总邮件中，能无告警投递到用户手中的威胁邮件比例可以做到低于十万分之一。

在安全意识提升环节， 2021年上半年对公司本部全员进行钓鱼邮件演练时发现，较多员工有打开钓鱼邮件链接的情况。对此我们进行了针对不同种类钓鱼邮件的花名册宣讲活动，详细讲解对钓鱼邮件的分辨手段以及防范措施，在下半年对相同人数人员的钓鱼演练中，中招人数下降了75.76%。通过数据可以直观的反映定期开展安全意识活动的必要性以及进行大型钓鱼邮件演练和安全意识宣讲的显著成效。

以上是海通证券邮件系统纵深防护体系的实践分享，欢迎行业交流指正。

作者介绍

“星辰大海，安全护航”，海通证券安全团队由一批热爱网络安全工作的小伙伴组成。长期从事金融行业网络安全攻防等一线工作，致力于安全治理合规及风险管理、安全情报及大数据分析技术研究，在基础架构安全，云安全，数据安全，应用安全/SDLC 等方面不断探索实践，掌握多项原创漏洞并乐于沟通与分享。

RECOMMEND

往期回顾

 浅谈创新企业安全初期建设｜科技创新型企业专刊·安全村

数据安全风险与系统化、数字化安全合规治理｜证券行业专刊·安全村

某制造业企业的信息安全工作实践｜科技创新型企业专刊·安全村

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（SecUN安全村）：构建邮件纵深安全体系，提升互联网重要入口安全运营水平｜证券行业专刊·安全村