电子邮件使用
电子邮件使用政策
由于使用电子邮件服务存在许多安全风险,因此组织制定、实施和维护管理其使用的电子邮件使用政策非常重要。
制定、实施和维护电子邮件使用政策。
网络邮件服务
当用户访问未经批准的 Web 邮件服务时,他们通常会绕过组织实施的控制措施,例如电子邮件内容过滤。为了减轻这种安全风险,应阻止访问未经批准的 Web 邮件服务。
阻止访问未经批准的网络邮件服务。
电子邮件的保护标记
为电子邮件添加保护标记有助于防止数据泄露,例如未经授权的数据被发布到公共领域。为此,保护标记必须反映电子邮件主题、正文和附件的最高敏感度或分类。
保护标记应用于电子邮件,反映主题、正文和附件的最高敏感度或分类。
保护标记工具
要求用户参与电子邮件的保护标记可确保用户做出有意识的决定,从而减少对电子邮件应用错误保护标记的机会。此外,允许用户仅选择系统有权处理、存储或通信的保护标记,可减少用户无意中对电子邮件进行过度分类的机会。
电子邮件内容过滤器可能仅检查应用于电子邮件的最新保护标记。因此,当用户回复或转发电子邮件时,要求保护标记至少与收到的电子邮件一样高,将有助于电子邮件内容过滤器防止电子邮件被发送到无权处理其原始敏感度或分类的系统。
保护标记工具不会自动将保护标记插入电子邮件中。
保护标记工具不允许用户选择系统未经授权处理、存储或传达的保护标记。
保护标记工具不允许用户在回复或转发电子邮件时选择比以前使用的更低的保护标记。
处理带有不适当、无效或缺失保护标记的电子邮件
重要的是,电子邮件服务器应配置为阻止带有不适当保护标记的电子邮件。例如,阻止带有高于接收系统敏感度或分类的保护标记的入站和出站电子邮件,因为这将防止发生数据泄露。在这样做时,重要的是通知被阻止的入站电子邮件的预期收件人和被阻止的出站电子邮件的发件人这种情况已经发生。
如果收到的电子邮件带有无效或缺失的保护标记,它们仍可能被传递给预期的收件人。但是,如果要回复、转发或打印电子邮件,收件人有义务确定适当的保护标记。如果不确定,应联系电子邮件的原始发件人,以提供有关适当保护标记的指导。
电子邮件服务器配置为阻止、记录和报告具有不适当保护标记的电子邮件。
阻止的入站电子邮件的预期收件人和阻止的出站电子邮件的发件人都会收到通知。
电子邮件分发列表
在某些情况下,电子邮件分发列表成员的成员资格和国籍未知。因此,发送到电子邮件分发列表的包含仅限澳大利亚人查看、仅限澳大利亚政府访问或可发布给的数据的电子邮件可能会意外导致数据泄露。
包含仅澳大利亚人查看、仅澳大利亚政府访问或可发布给的数据的电子邮件不会发送到电子邮件分发列表,除非可以确认电子邮件分发列表所有成员的国籍。
电子邮件网关和服务器
集中式电子邮件网关
通过集中式电子邮件网关路由电子邮件时,组织可以更轻松地部署发件人策略框架 (SPF)、域名密钥识别邮件 (DKIM)、基于域的消息认证、报告和一致性 (DMARC) 以及保护标记检查。
电子邮件通过集中式电子邮件网关路由。
当用户发送或接收电子邮件时,会使用经过身份验证和加密的通道通过其组织的集中式电子邮件网关路由电子邮件。
电子邮件网关维护活动
由于备份和备用电子邮件网关在补丁和电子邮件内容过滤方面通常维护不善,恶意行为者在向组织发送恶意电子邮件时往往会试图利用这一点。因此,备份和备用电子邮件网关的维护标准应与组织的主要电子邮件网关相同,这一点很重要。
在安装备份或替代电子邮件网关的地方,它们将按照与主电子邮件网关相同的标准进行维护。
开放中继电子邮件服务器
开放中继电子邮件服务器(或开放邮件中继)是一种配置为允许互联网上的任何人通过它发送电子邮件的电子邮件服务器。这种配置非常不受欢迎,因为垃圾邮件发送者和蠕虫可以利用它们。
电子邮件服务器仅中继发往或源自其域(包括子域)的电子邮件。
电子邮件服务器传输加密
电子邮件可以在发件人电子邮件服务器和目标电子邮件服务器之间的任何地方被拦截。实施机会性传输层安全性 (TLS) 加密可以减轻这种安全风险。但是,机会性 TLS 加密容易受到降级攻击。为了减轻这种安全风险,邮件传输代理严格传输安全 (MTA-STS) 允许域所有者指示只有在事先协商出令人满意的 TLS 加密的情况下才应进行电子邮件传输。
为了支持 MTA-STS 实施,TLS 报告为域所有者提供了一种机制,用于发布一个位置,可以在该位置提交有关在向指定域发送电子邮件时尝试启动加密连接的成功或失败的报告。
在通过公共网络基础设施进行传入或传出电子邮件连接的电子邮件服务器上启用机会性 TLS 加密。
启用 MTA-STS 以防止电子邮件服务器之间未加密的电子邮件传输。
发件人策略框架
SPF 可指定允许代表指定域或子域发送电子邮件的主机或 Internet 协议 (IP) 地址列表,从而帮助检测伪造的电子邮件。如果电子邮件服务器不在域或子域的 SPF 记录中,SPF 验证将无法通过。在指定 SPF 记录时,域所有者应确保他们委托发送电子邮件所需的最少主机或 IP 地址。此外,在委托给不受组织控制的主机或 IP 地址时应格外小心。
SPF 用于为组织的域(包括子域)指定授权电子邮件服务器(或缺乏授权电子邮件服务器)。
为组织的域(包括子域)指定授权电子邮件服务器(或缺少授权电子邮件服务器)时使用硬故障 SPF 记录。
SPF 用于验证传入电子邮件的真实性。
域名密钥识别邮件
DKIM 可以检测伪造的电子邮件内容。这是通过 DKIM 记录指定用于验证电子邮件中的数字签名的公钥来实现的。具体来说,如果电子邮件标头中的签名摘要与电子邮件的签名内容不匹配,则验证将无法通过。
在来自组织域(包括子域)的电子邮件上启用 DKIM 签名。
已验证传入电子邮件上的 DKIM 签名。
外部发件人使用的电子邮件分发列表软件配置为不会破坏发件人的 DKIM 签名的有效性。
基于域的消息认证、报告和一致性
DMARC 允许域所有者指定接收电子邮件服务器应根据域对齐、SPF 和 DKIM 检查采取哪些操作。对于未通过 DMARC 检查的电子邮件,这包括“拒绝”(电子邮件被拒绝)、“隔离”(电子邮件被标记为垃圾邮件)或“无”(不采取任何措施)。
DMARC 还提供了报告功能,使域所有者能够收到有关接收电子邮件服务器所采取的行动的报告。虽然此功能不会缓解发送给域所有者组织的恶意电子邮件,但它可以让域所有者了解恶意行为者试图欺骗其组织域的行为。
DMARC 记录针对组织的域(包括子域)进行配置,如果电子邮件未通过 DMARC 检查,则会被拒绝。
如果传入电子邮件未通过 DMARC 检查,则会被拒绝。
电子邮件内容过滤
对电子邮件正文和附件执行的内容过滤提供了一种纵深防御方法,以防止恶意代码进入网络。
实施电子邮件内容过滤以过滤电子邮件正文和附件中潜在的有害内容。
拦截可疑电子邮件
阻止特定类型的可疑电子邮件(例如电子邮件源地址使用内部域或内部子域)可以降低网络钓鱼电子邮件进入组织网络的可能性。
通过外部连接到达的电子邮件(其中电子邮件源地址使用内部域或内部子域)将在电子邮件网关处被阻止。
无法送达的电子邮件通知
当电子邮件无法送达时,接收电子邮件服务器通常会发送无法送达的电子邮件通知,通常是因为目标地址无效。由于垃圾邮件中常见的欺骗发件人地址的做法,这通常会导致大量无法送达的电子邮件通知被发送给无辜的第三方。仅向可通过 SPF 或其他可信方式验证的发件人发送无法送达的电子邮件通知,可避免加剧此问题,同时允许通知合法发件人。
无法送达电子邮件的通知仅发送给可通过 SPF 或其他受信任方式验证的发件人。
— 欢迎关注
原文始发于微信公众号(祺印说信安):信息安全手册:电子邮件指南
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论