什么是电子邮件安全?

电子邮件安全旨在预防基于电子邮件的网络攻击,防止电子邮件帐户免遭盗用,及保护电子邮件的内容。电子邮件安全是多方面的,可能需要多层不同的保护。

学习目标

阅读本文后,您将能够:

  • 定义电子邮件安全
  • 描述一些基于电子邮件的常见攻击

复制文章链接

什么是电子邮件安全?

电子邮件安全是防止基于电子邮件的网络攻击和有害通信的过程。电子邮件安全保护收件箱以防被接管,防止域名假冒,阻止网络钓鱼攻击,预防欺诈,阻止恶意软件发送,过滤垃圾邮件,并使用加密来保护电子邮件的内容,以防被未授权人员查看。

在电子邮件最初问世的时候,并没有内置安全和隐私保护。尽管电子邮件是一种重要的通信方式,这些保护依然没有内置到电子邮件中。因此,对大大小小的组织以及个人而言,电子邮件都成为了一种主要攻击手段

基于电子邮件的攻击有哪些?

常见的电子邮件攻击类型包括:

  • 欺诈: 基于电子邮件的欺诈攻击有多种形式,从针对普通人的预付款骗局,到旨在诱骗大型企业会计部门向非法账户转款的商业电子邮件泄露 (BEC)。攻击者常常会使用域名假冒来使资金请求看起来像来自合法来源。
  • 网络钓鱼:网络钓鱼攻击尝试使受害者向其提供敏感信息。电子邮件钓鱼攻击可能将用户引向一个收集凭据的虚假网页,或直接迫使用户将这些信息发动到一个由攻击者秘密控制的电子邮件地址。域名假冒在这类攻击中也很常见。
  • 恶意软件:通过电子邮件发送的恶意软件包括间谍软件、恐吓软件、广告软件和勒索软件等。攻击者可使用几种不同的方式通过电子邮件发送恶意软件。最常见的一种是在电子邮件附件中包含恶意代码。
  • 账户接管:攻击者为多种目的而接管合法用户的邮箱,例如监控他们的邮件,窃取信息,或者使用合法的邮箱地址将恶意软件攻击和垃圾邮件转发给他们的联系人。
  • 电子邮件拦截:攻击者可以拦截电子邮件以窃取其中的信息,或者发动在途攻击,假冒通信的双方。发动此类攻击的最常见方式是监测无线局域网(LAN)上的网络数据包,因为拦截通过互联网传输的电子邮件非常困难。

电子邮件域名假冒

电子邮件假冒对几种基于电子邮件的攻击都很重要,因为它允许攻击者从看似合法的地址发送邮件。这种技术允许攻击者从假冒的“发件人”地址发送电子邮件。例如,如果 Chuck 想用一封电子邮件欺骗 Bob,Chuck 可能会从域名 “@trustworthy-bank.com” 向Bob 发送一封电子邮件,即使 Chuck 并不真正拥有域名 “trustworthy-bank.com”,也不代表该组织。

什么是网络钓鱼攻击?

网络钓鱼是试图窃取敏感数据的行为,敏感数据包括用户名、密码或其他重要的帐户信息。钓鱼者要么自己使用盗窃的信息,例如以用户的密码接管用户的账户,或出售盗窃的信息。

网络钓鱼攻击者将自己伪装成值得信赖的来源。攻击者会使用诱人或看似紧急的请求来吸引受害者提供信息,如同钓鱼时使用诱饵。

网络钓鱼常常通过电子邮件进行。网络钓鱼者要么尝试欺骗人们直接通过电子邮件发送信息,要么链接到他们控制的一个看似合法的网页(例如一个虚假的登录页面,让用户输入密码)。

有几种类型的网络钓鱼:

  • 鱼叉式网络钓鱼具有高度的针对性,而且往往个性化以使其更具说服力。
  • 捕鲸以某个组织内重要或有影响力的人为目标,例如高管。这是企业电子邮件安全中的一种主要威胁手段。
  • 非电子邮件网络钓鱼攻击包括语音钓鱼(通过电话进行钓鱼)、短信钓鱼(通过短信息进行钓鱼)和社交媒体钓鱼

电子邮件安全策略可包括多种阻止钓鱼攻击的方式。电子邮件安全解决方案可以过滤掉来自已知恶意 IP 地址的电子邮件。它们可以阻止或删除嵌入在电子邮件中的链接,以防止用户浏览钓鱼网页。它们也可以使用 DNS 过滤来阻止这些网页。数据丢失防护(DLP)解决方案也可阻止或修改包含敏感信息的外发电子邮件。

最后,组织的员工应该接受如何识别钓鱼电子邮件的培训。

攻击如何使用电子邮件附件?

电子邮件附件是一个很有价值的功能,但攻击者会使用这种电子邮件功能向他们的目标发送恶意内容,包括恶意软件。

一种方式是直接附上 .exe 文件形式的恶意软件,然后诱使收件人打开附件。一种更常见的方式是将恶意代码隐藏在看似无害的文档中,例如 PDF 或 Word 文件。这两种文件类型都支持包含代码(如宏),攻击者可以利用这些代码在收件人的计算机上执行一些恶意操作,比如下载和打开恶意软件。

近年来,很多勒索软件感染都是从电子邮件附件开始的。例如:

  • Ryuk 勒索软件常常通过 TrickBot 或 Emotet 感染进入网络,而这两种病毒都是通过电子邮件附件传播的
  • Maze 勒索软件使用电子邮件附件在受害者的网络中获得立足之地
  • Petya 勒索软件攻击通常也始于电子邮件附件

电子邮件安全的一部分涉及阻止或无害化这些恶意电子邮件附件;这可能需要通过反恶意软件扫描所有电子邮件以识别恶意代码。此外,用户应接受培训以忽视意外或无法解释的电子邮件附件。对基于 Web 的电子邮件客户端,浏览器隔离也可帮助消除这些攻击,因为恶意附件会从与用户设备隔离的沙盒中下载。

什么是垃圾邮件?

垃圾邮件是指未经收件人许可而发送的有害或不合适的电子邮件。几乎所有的电子邮件提供商都提供某种程度的垃圾邮件过滤。但不可避免的是,一些垃圾邮件仍然会到达用户收件箱。

随着时间的推移,垃圾邮件发送者获得了一个恶意“电子邮件发送者的声誉”,导致越来越多邮件被标记为垃圾邮件。出于这个原因,他们常常会被鼓励去接管用户的收件箱,盗用 IP 地址空间,或者假冒域名来发送不被检测为垃圾邮件的信息。

个人和组织可以采取几种方法来减少会收到的垃圾邮件。他们可以减少或删除公开列出的电子邮件地址。他们可在其电子邮件服务提供的过滤之上实现第三方垃圾邮件过滤。他们可以坚持标记垃圾电子邮件,以便更好地训练已有的过滤机制。

*如果某个发件人的邮件中有很大比例未被打开或被收件人标记为垃圾邮件,或者某个发件人的邮件被退回太多,ISP 或电子邮件服务会降低他们的电子邮件发件人声誉。

攻击者如何接管电子邮件帐户?

攻击者可将盗用的收件箱用于多种目的,包括发送垃圾邮件、发起钓鱼攻击、分发恶意软件、获取联系人列表,或使用电子邮件地址窃取用户的更多帐户。

他们可使用多种方法来侵入电子邮件帐户:

  • 购买被盗凭据列表:多年来发生了许多个人数据泄露事件,被盗的用户名/密码凭据在暗网上广为流传。攻击者可购买这种列表,并利用凭据来侵入用户的帐户,往往是通过凭据填充方式。
  • 暴力攻击:攻击者加载一个登录页面,并使用一个机器人来快速猜测用户的凭据。速率限制和密码输入限制能有效阻止这种方法。
  • 网络钓鱼攻击:攻击者可能已经此前进行过一次网络钓鱼攻击,以获取用户的电子邮件登录凭据。
  • 网络浏览器感染:类似于在途攻击,恶意行为者可以感染用户的网络浏览器,以查看他们在网页上输入的所有信息,包括他们的电子邮件用户名和密码。
  • 间谍软件:攻击者可能已经感染了用户的设备,并安装了间谍软件,以跟踪他们键入的一切内容,包括他们的电子邮件用户名和密码。

使用多因素身份验证(MFA)而非单因素密码身份验证是保护收件箱免受侵入的一种方法。企业可能还希望要求用户通过单点登录(SSO)服务,而非直接登录到电子邮件。

加密如何保护电子邮件?

加密是对数据进行加密的过程,这样只有授权方才能对数据进行解密和读取。加密就像将一封信放入一个密封的信封,即使在信件从寄件人到收件人的过程中会有很多人处理信件,也只有收件人才能看到信的内容。

电子邮件不会自动加密,也就是说,发送电子邮件就像发送没有信封保护内容的信件一样。因为电子邮件通常包含个人和机密数据,这可能是一个大问题。

正如一封信不是立即从一个人到达另一个人手上,电子邮件也不是直接从发件人传送到收件人。相反,电子邮件会经过多个互连的网络,从一个电子邮件服务器路由到另一个电子邮件服务器,直至最终到达收件人。如果没有加密,任何人——包括电子邮件服务提供商——都能在这个过程中拦截并阅读电子邮件的内容。然而,通过使用一种称为包嗅探(监视网络上的数据包)的技术,电子邮件最可能在接近电子邮件来源的地方被拦截。

加密就像将电子邮件放入密封的信封。大多电子邮件加密使用公钥加密技术(了解详情)。一些电子邮件加密是端到端的;这种方法保护电子邮件内容免被包括电子邮件服务提供商在内的任何第三方窥探。

DNS 记录如何帮助预防电子邮件攻击?

域名系统(DNS)存储关于域的公共记录,包括该域的 IP 地址。DNS 非常重要,让用户能够连接到网站和发送电子邮件,无需记住一长串字母和数字组成的 IP 地址。

一些特别类型的 DNS 记录用于帮助确保电子邮件来自合法来源,而非假冒者:SPF 记录DKIM 记录DMARC 记录。电子邮件服务提供商会根据这三种记录来检查电子邮件,确认它们是否来自所声称的来源,并且在传送过程中没有遭到篡改。

Cloudflare 电子邮件 DNS 安全向导帮助域名所有者快速和正确地配置这些关键的 DNS 记录。要了解更多信息,请查看我们的博客文章

如何阻止网络钓鱼攻击?

许多电子邮件提供商都提供一些内置的网络钓鱼保护(上述 DNS 记录通常是它们阻止网络钓鱼企图的信号之一)。然而,网络钓鱼电子邮件依然经常进入用户的收件箱。很多组织使用额外的网络钓鱼保护来更好地保护他们的用户和网络。

Cloudflare Area 1 电子邮件安全提供基于云的网络钓鱼保护。Cloudflare Area 1 提前发现网络钓鱼基础设施,分析流量模式以关联攻击和识别网络钓鱼活动。详细了解这一反网络钓鱼服务如何工作。