邮件是勒索软件、APT 攻击和钓鱼诈骗的头号入口,80% 以上的攻击都是从一封精心伪装的钓鱼邮件开始的。邮件安全管控的核心,不是 “靠单一设备拦下来”,而是一套从协议层到用户侧的全链路闭环防护体系。
一、先明确:邮件管控的核心目标
防护的核心不是 “零误报”,而是:
- 阻断仿冒 / 钓鱼邮件,防止攻击者伪造企业域名发送恶意邮件
- 拦截恶意附件(宏 Office 文件、脚本、可执行文件),防止终端被植入恶意代码
- 过滤恶意链接,防止用户访问挂马网站
- 防止邮件账号被盗,避免被用来发送垃圾邮件、泄露数据
- 满足合规要求,日志留存不少于 180 天
二、分层防护体系(从入口到用户)
1. 协议层加固:防止域名被仿冒
仿冒邮件(SPAM)是钓鱼攻击的常见手段,通过配置 SPF/DKIM/DMARC,能从协议层面阻止伪造的企业域名邮件进入收件箱。
表格
| 配置项 | 核心作用 | 关键配置要点 | 常见避坑 |
|---|---|---|---|
| SPF(发件人策略框架) | 定义允许哪些 IP / 服务器代表企业域名发送邮件,拦截非授权服务器发送的邮件 | 1. 用 TXT 记录配置,语法:v=spf1 ip4:x.x.x.x include:spf.example.com ~all2. ~all 表示非授权邮件标记为软失败,-all 表示直接拒绝 | 不要直接设-all,否则合法的第三方邮件(如企业邮箱、CRM)会被拒收;避免 include 链过长,导致 DNS 查询失败 |
| DKIM(域名密钥识别邮件) | 对邮件内容进行数字签名,防止邮件在传输过程中被篡改 | 1. 生成公私钥对,公钥发布为 TXT 记录,格式:v=DKIM1; k=rsa; p=公钥内容2. 配置选择器(selector),避免修改配置影响现有邮件 | 公钥不要用太短的密钥(建议 2048 位以上);选择器配置错误会导致 DKIM 校验失败 |
| DMARC(域消息认证、报告和一致性) | 定义 SPF/DKIM 校验失败的邮件如何处理,接收失败报告 | 1. 配置 TXT 记录,格式:v=DMARC1; p=none; rua=mailto:dmarc-report@example.com2. p=none(仅报告)→ p=quarantine(隔离)→ p=reject(拒绝),逐步调整 | 不要一开始就设p=reject,先开p=none跑一段时间,确认无合法邮件被误判后再收紧 |
2. 邮件网关过滤:第一道防线
邮件网关(如 Exchange、企业邮件网关、第三方安全网关)是邮件进入内网的第一道关卡,核心配置包括:
- IP / 域名信誉过滤:拒绝来自恶意 IP / 域名的邮件,可对接威胁情报平台,实时更新恶意 IP 库
- 发件人校验:禁止外部邮件伪装成企业内部邮箱地址发送
- 内容过滤:
- 过滤含钓鱼关键词的邮件(如 “发票”“中奖”“账户冻结”)
- 识别异常内容:邮件正文含大量链接、附件文件名伪装(如
invoice.pdf.exe)
- URL 过滤:解析邮件中的链接,跳转到真实 URL,检测是否为恶意 / 挂马网站,可配置短链接展开、跳转链解析
3. 附件安全管控:阻断恶意代码载体
恶意附件是勒索软件、木马的主要传播方式,管控的核心是 “过滤 + 检测 + 隔离”。
(1)文件类型过滤:直接阻断高危文件
先过滤高危文件后缀,禁止以下类型文件进入企业内网:
- 可执行文件:
.exe/.bat/.ps1/.vbs/.cmd/.com - 脚本文件:
.js/.wsf/.hta/.ps1xml - 带宏的 Office 文件:
.docm/.xlsm/.pptm(可配置网关直接删除宏,或转换为 PDF) - 多层压缩包:配置解压层数限制(最多 2-3 层),防止恶意文件通过多层压缩绕过检测
(2)静态 + 动态沙箱检测
- 静态检测:扫描附件的文件头、特征码,识别已知恶意代码(如宏 Office 文件中的恶意宏代码)
- 动态沙箱检测:将附件放到隔离的沙箱环境中运行,监控行为(如修改注册表、向外网发起连接、加密文件),可识别无特征的新型恶意文件
- 配置沙箱隔离策略:沙箱检测为恶意的附件,直接阻断并告警
(3)文件格式伪装防护
很多攻击者会把.exe伪装成.jpg/.pdf,通过修改文件后缀绕过过滤,因此必须:
- 不只用文件后缀判断,还要做文件头校验(如
.exe的文件头是MZ,.jpg是FFD8FF) - 对 Office 文件做格式校验,防止
.doc文件中嵌入可执行对象
4. 用户侧防护:最后一道防线
再强的技术防护,也挡不住用户的误操作,用户侧防护是关键补充:
- 邮件客户端配置:
- 禁用 Office 宏自动执行(通过组策略统一配置)
- 禁用邮件客户端自动下载附件、自动打开链接
- 账号安全防护:
- 所有企业邮箱账号启用强口令 + 双因素认证(2FA),防止账号被盗
- 限制邮箱的自动转发规则,防止邮件被转发到外部
- 用户安全意识培训:
- 定期开展钓鱼邮件演练,模拟企业场景发送测试钓鱼邮件,统计点击 / 下载率
- 培训用户识别钓鱼邮件的特征:陌生发件人、可疑附件、紧急催促话术、拼写错误的域名
5. 日志与审计:合规与溯源
- 日志留存:启用邮件全量日志,包括收发件日志、附件检测日志、告警日志,留存不少于 180 天
- 告警配置:对异常行为配置告警:
- 大量外部邮件发送(可能是账号被盗发垃圾邮件)
- 附件沙箱检测为恶意
- 仿冒邮件命中、用户点击恶意链接
- 定期审计:每月复盘钓鱼邮件来源、类型,优化网关过滤规则
三、持续运营与优化
邮件安全不是一劳永逸的,需要持续优化:
- 复盘钓鱼邮件:定期汇总被用户点击的钓鱼邮件,分析特征,补充到网关过滤规则中
- 更新威胁情报:同步恶意 IP / 域名库、沙箱特征库,识别新型钓鱼邮件
- 用户培训迭代:针对演练中暴露的薄弱点,更新培训内容,提升用户安全意识
- 规则优化:避免过度过滤导致合法邮件被拒收,定期清理误判规则
四、常见避坑指南
- 误区 1:只配置 SPF,不配置 DKIM/DMARC:SPF 只能防止伪造发件人,DKIM/DMARC 才能防止邮件内容被篡改,三者必须配合使用
- 误区 2:附件过滤只看文件后缀,不做文件头校验:攻击者修改文件后缀即可绕过过滤,必须做文件头和内容双重检测
- 误区 3:只做静态扫描,不用动态沙箱:新型恶意文件无已知特征,静态扫描无法识别,必须配合沙箱检测
- 误区 4:配置 DMARC 时直接设
p=reject:会导致很多合法邮件(如第三方 CRM、企业邮箱)被拒收,应从p=none逐步收紧 - 误区 5:只靠技术防护,不做用户培训:用户是钓鱼攻击的薄弱点,没有用户意识配合,再强的防护也会被突破
落地 Checklist(可直接对照排查)
- 已配置 SPF/DKIM/DMARC,DMARC 处于
p=quarantine/p=reject阶段 - 邮件网关已配置 IP / 域名信誉过滤、仿冒邮件拦截
- 高危文件类型已被阻断,带宏 Office 文件已配置过滤 / 转换策略
- 附件已启用静态 + 动态沙箱检测,多层压缩包解压层数已限制
- 所有邮箱账号已启用双因素认证,自动转发规则已禁用
- 已开展用户钓鱼演练和安全意识培训
- 邮件日志已同步到日志平台,留存不少于 180 天
No responses yet