企业安全建设之基础办公安全体系建设（邮件安全）

有幸拜读了李斌老师的《企业信息安全建设与运维指南》，书中详细介绍了基础安全建设、自动化系统建设、业务安全体系建设，受益匪浅。

结合李斌老师的书，做了随笔整理。

企业办公网安全体系建设，包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设。

1. 终端基础安全

本篇介绍邮件安全

2. 邮件安全

邮件是日常最经常使用的工具之一，企业的所有员工和公司管理层都会使用。邮箱中可能存储着公司的核心资料、商业计划、合同，甚至存储着不少系统初始账号密码等敏感信息，一旦泄漏，危害非常大。企业邮件安全威胁主要包括以下几个方面。

1）垃圾邮件和病毒邮件

垃圾邮件常常令员工不胜其烦，也会增加企业邮件服务器的负担。垃圾邮件主要是从外部发送到企业内部（入向），同时也需要警惕内部邮箱发送到外部的垃圾邮件（出向），因为不排除会出现内部邮箱被控制而转发大量垃圾邮件的情况，导致企业的邮件服务器IP被反垃圾邮件联盟列入黑名单，无法发送邮件。

邮件也是病毒传播的重要途径，需要在病毒邮件进入用户邮箱前检测出病毒并将其拦截，避免用户点击或下载带病毒附件，病毒邮件主要是由外部组织发送（入向）。

2）邮箱账号密码安全问题

邮箱账号密码安全问题也非常严峻，笔者曾经在很多企业做过邮箱账号密码安全性测试，发现几乎所有企业都存在大量弱口令密码邮箱，这些弱口令也符合传统的密码安全策略，如“Conpany@2019”这个密码包含大写字母、小写字母、数字、特殊符号，长度大于8位，但是因为包含公司特征，很容易被黑客爆破。

另外邮箱登陆接口暴露在互联网（如SMTP、HTTPS网页、POP3等），却没有相应的防爆破措施，为黑客攻击提供了便利。

3）钓鱼邮件

钓鱼邮件往往更加防不胜防，有些钓鱼邮件冒充公司安全人员、领导或网管人员，要求员工修改账号密码，或假称进行安全检查，诱骗公司员工点击虚假链接并输入账号密码，从而窃取用户账号密码；或员工被诱骗打开被植入了木马的附件，黑客控制公司计算机，获取敏感数据。

如公司有员工收到邮件，正文是“近期有员工邮箱密码泄漏，造成钓鱼邮件/垃圾邮件频繁出现。从即日起，所有员工都要根据要求更新邮箱密码，邮箱密码规则如下。”

公司有数十人点击了“更改新密码”按钮，有几人输入了真实的密码，黑客利用其中的几个真实邮箱进一步转发钓鱼邮件，造成更多用户受骗。因此钓鱼邮件的防范也是邮件安全的重要部分。

对于小型企业，可能会直接使用SAAS企业邮箱，中型以上的企业一般会自建邮箱系统。后文介绍邮箱安全的时候，也会提到SAAS企业邮箱的安全方案

2.1 反垃圾邮件和防病毒

反垃圾邮件和防病毒的解决方案是使用专业邮件安全网关。

当外部有发往company.com域名的邮件投递过来时（入向），要先使用邮件安全网关进行检测，如果发现是垃圾邮件或病毒邮件，系统会将其放在安全隔离区，员工就无法收到这类邮件，只有符合安全要求的邮件才能发送到邮件服务器上，从而起到防病毒和反垃圾邮件的作用。

当员工需要向外部发送邮件时（出向），邮件从邮件服务器发送出去前，需要经过邮件安全网关检测，确保无垃圾邮件或符合相关安全策略才能成功发送。

2.1.1 垃圾邮件过滤技术

垃圾邮件的过滤，主要通过以下几种技术实现

1）贝叶斯算法

通过贝叶斯算法，对已知的垃圾邮件样本和非垃圾邮件样本进行分析和训练，得出后续邮件为垃圾邮件的概率，当后续邮件为垃圾邮件的概率达到阈值后，就判定新邮件为垃圾邮件，这是主流邮件安全网关中广泛应用的技术。

2）RBL

RBL即实时黑名单（Realtime Blackhole List）技术，是由反垃圾邮件组织维护的垃圾邮件服务器黑名单IP库，如果发件人邮件服务器的IP（通过DNS获取A记录）在黑名单中，则判定该邮件为垃圾邮件。

3）SPF

SPF是发送者策略框架（Sender Policy Framework），通过对发送者IP地址和DNS的txt记录进行比对，如果一致，则认为其是合法的发送者，否则为伪造者，邮件予以退回。

4）恶意URL库识别

垃圾邮件往往会诱骗用户点击恶意链接，所以垃圾邮件中往往有恶意URL，邮件安全网关维护并更新庞大的URL数据库，通过对比，如果发现邮件中包含这些URL，则判定其为垃圾邮件。

5）内容识别

除文本识别外，邮件安全网关还可以通过识别图片、PDF文件内容来判定邮件是否为垃圾邮件。

6）异常统计

通过统计请求源IP在单位时间内连接是否超过阈值，来判断邮件是否存在异常。

7）黑白名单

管理员可以自行定义黑名单或白名单，实现黑名单过滤和白名单放行。

2.1.2 反病毒邮件

邮件病毒防范，主要依赖邮件安全网关的防病毒引擎，查杀邮件附件中的病毒和各类病毒邮件，防病毒引擎除了能查杀普通附件，还能查杀压缩文件（包括多级压缩）的病毒攻击。

2.1.3 误报处理

邮件安全网关一般提供误报处理功能，将疑似垃圾邮件的通知以邮件的形式发送给用户，用户判定其为正常邮件时，该邮件就会进入邮件服务器中，用户就可以收到邮件。

2.1.4 产品选型

在进行邮件安全网关选型时，需要根据企业用户数量选择合适的型号，确保邮件网关的性能符合要求。

2.2 邮箱账号密码安全保护

邮箱账号密码安全的重要性值得反复强调，一旦获取邮箱账号密码，就可以登陆邮箱，获取邮箱的敏感信息，也可以为攻击做准备。

邮箱账号密码保护需要解决3个问题，第一是防范账号密码被暴力破解，第二是解决邮箱弱口令问题，第三是防范账号密码泄漏。

2.2.1 账号密码暴力破解防护

一般黑客主要通过邮箱服务器暴露到公司的web登陆页面、POP3服务接口、SMTP服务接口暴力破解账号密码。

1）使用第三方SAAS企业邮箱

第三方邮箱有一定的防范暴力破解的能力，如果频繁请求登陆接口就会被阻断IP，但对于慢速加上代理IP的暴力破解，也很难防范。

· 如果是web登陆邮箱，建议使用企业邮箱的二次认证因子，如动态口令、短信验证等，可以有效防范暴力破解。

· 如果是用客户端登陆邮箱（OutLook、Foxmail或各种App），建议启用授权码功能，也就是在使用SMTP协议或者POP3协议时，需要增加授权码才能连接，这种方法也能比较有效地防范暴力破解。

2）企业自建邮箱

· 对于web登陆页面，建议至少增加图形验证码或增加人机交互验证码，并限制每个IP单位时间内登陆错误的次数，当超过错误阈值后，阻断该IP的访问。

· 对于POP3或SMTP接口的暴力破解防护，如果通过web登陆防护，需要使用邮件安全网关或下一代防火墙设备对IP的访问频率进行限制。

2.2.2 邮箱弱口令问题

邮箱弱口令问题也是导致账号密码被暴力破解的重要原因，要解决这个问题，主要思路如下（主要针对自建邮箱系统的企业）。

1）建议统一使用LDAP账号密码，方便实现内部认证账号的统一管理。

2）统一密码生成和定期修改的Portal，并设置密码复杂度检查规则，密码复杂度不符合要求则无法设置成功。邮箱密码的安全策略示例如下表。

需要注意的是，密码复杂度检查可以通过前端提醒，如提示密码长度不符合要求，但最终必须由后端检测是否符合要求。

3）通过内网模拟黑客暴力破解账号的重点是构造字典，如公司名+年份，用户名+常用若字典等。在没有规范密码强度和安全策略前，往往会存在很多弱密码。发现弱密码后，需要提醒用户限期内完成弱密码修改，如果不修改，可以考虑直接重置用户密码并提醒用户。

2.2.3 防范账号密码泄漏

邮箱账号密码可能被有意或无意泄漏出去，需要通过持续的安全宣导，以增加员工的安全意识。安全宣导主要包括以下几个方面。

· 不能与同事或其他人共享账号密码，有些员工安全意识薄弱，会把自己的邮箱账号密码给同事用来帮助处理工作，从而造成账号密码泄漏。

· 不能以明文形式或使用第三方软件发布、记录和传输账户、密码信息。

· 邮箱密码不能与非工作账户密码（如和人邮箱、外部论坛等）相同，因为用户无法保证这些账号密码不被泄漏出去。

· 不要回复要求更改密码并要求透漏个人信息的电子邮件，钓鱼邮件经常会采用这种方式欺骗用户。

2.4 防钓鱼邮件

钓鱼邮件经常伪装成同事、领导、合作伙伴等，诱骗用户回复邮件、点击嵌入式正文、点击链接、打开附件、获取用户的敏感信息，或执行恶意代码进一步控制用户的计算机。

从攻击效果看，由于钓鱼邮件是攻击者精心设置的，木马程序往往可以绕过防病毒软件的检测（免杀），攻击成功率很高。

防钓鱼邮件最重要的是要加强安全宣导，提高员工的安全意识，避免上当受骗。开展安全意识宣导时，可以提醒员工注意以下几个方面。

· 警惕发件人陷阱。钓鱼邮件常以“安全管理员”、“邮件管理员”的名义发送邮件，邮箱后缀可能和公司邮箱高度相似，但认真分辨还是有区别的。

· 邮件正文中有链接。钓鱼邮件中往往含有链接，或有邮件升级、安全升级、账号密码过期等提醒，用户需要比对链接中的网址是否是公司的地址，如果不是公司的地址，则很可能为钓鱼邮件，不要点击或输入账号密码等敏感信息。

· 真实员工邮箱发来的钓鱼邮件。当真实员工发来钓鱼邮件时，意味着已经有员工中招了，这时候用户需要保持警惕，检查邮件是否有异常，并与发件的员工核实。

如果发现有员工被钓鱼了，企业需要马上开展邮件钓鱼安全应急响应，响应内容如下。

· 在邮件网关上封禁钓鱼邮件发送者的邮箱，避免攻击进一步扩散。

· 向全公司发送钓鱼邮件预警，将钓鱼邮件特征告知全体员工，要求员工提高警惕。

· 如果已经有员工中招，相关安全人员需要对钓鱼邮件进行紧急处理，如立即进行网络隔离、立即修改相关邮箱的账号密码、立即进行病毒查杀和处置。

在日常安全工作中，可以通过进行钓鱼邮件演练，向员工发送钓鱼邮件，统计点击情况，汇总后做成培训材料，在开展员工安全意识培训时进行宣导，这样也可以提高员工的防范意识。

邮件钓鱼是最常见的社工攻击方式，还有很多其他社工攻击手段，如通过IM通信工具发送木马程序、通过短信URL链接诱骗用户点击恶意站点或下载恶意程序等。

本章主要介绍了--企业安全建设之基础办公安全体系建设（邮件安全），下一章会写到统一账号认证系统在基础办公安全体系中的建设方式。