上個世紀七十年代,電子郵件占據了互聯網的前身 ARPANET 上流量的 75%,是最主要的應用。随着互聯網的發展,電子郵件在全面普及後,被各種各樣的即時通訊軟件搶走了不少風頭。然而,其始終還是被社會所認可的主流網絡通訊渠道,但是也成爲最易被攻擊的目标。
當前電子郵件已經成爲惡意連接、病毒木馬的重要傳播途徑,研究發現網絡安全事件中八成都和電子郵件有關。據 Cofense 的《2023 年度電子郵件安全報告》,2022 年全年惡意釣魚電子郵件增加了 569%,與證書 / 憑據釣魚相關的活躍威脅報告增加了 478%,惡意軟件增加了 44%。商業電子郵件欺詐(BEC)連續第 8 年成爲最嚴重的網絡犯罪形式之一,在全球 90% 的地區造成了機構數十億美元的損失。利用人工智能、機器人進行信息竊取的惡意活動顯著增加,攻擊成本較低且快速有效,發起的混合攻擊更難被檢測和發現。
面對高校師生,對外的學術聯系非常依賴電子郵件。如何保障好高校電子郵件賬号的安全,确保研究人員對外學術聯系的安全性、及時性、準确性,是值得電子郵件管理員關注的重要問題。可以在弄清威脅來源的基礎上,及時發現并阻斷入侵威脅,提升安全防護能力。
一、了解主要安全威脅來源
攻擊者通過多種方式和渠道對郵件賬号發起攻擊,常見的手段有:
1. 弱密碼:使用生日、電話号碼等容易被猜測的密碼,或者在多個平台重複使用同一密碼,都可能讓攻擊者輕易破解。
2. 社交工程攻擊:攻擊者通過僞裝成可信賴的聯系人,誘使用戶透露敏感信息,如密碼、驗證碼等。
3. 釣魚郵件:僞裝成官方郵件,誘導用戶點擊含有惡意代碼的鏈接,從而獲取賬号信息。
4. 技術漏洞:攻擊者利用 Webmail、SMTP、POP3、IMAP 等攻擊渠道和服務協議的漏洞,進行惡意操作,如發送垃圾郵件、盜取用戶信息等。
二、加強異常行爲監測與處置
管理員需要加強對郵件系統的監測,及時發現郵件賬号被入侵的情況。定期檢查郵件發送和接收的異常行爲,如突然增加的郵件數量、非正常時間的登錄記錄等。深入分析系統日志,尋找異常登錄、異常操作等線索,這可能表明賬号已經被攻擊。可以采取有效措施阻斷相關威脅,如自行編寫腳本封禁賬号,一旦發現賬号有異常行爲,如發送大量垃圾郵件,應立即封禁該賬号,防止進一步的損害。
以 Coremail XT5 爲例,可以編寫腳本通過日志排查同時發信給至少 20 個收件人的發信賬号,根據每天最多批量發送 3 次進行篩選,與批量發信郵箱地址白名單比對後,封禁用戶。
其中白名單文件 white.list 格式爲一行一個郵箱地址。
三、提升郵件系統防禦能力
保障郵件賬号的安全需要從源頭防止、及時發現和有效阻斷攻擊,但長遠來看,還是要加防禦防禦能力和用戶意識。
1. 提升郵件系統技術防禦能力
可以從啓用雙因素認證、防密碼暴露、防釣魚郵件和防垃圾郵件等方面,增強郵件系統的技術防護能力。
啓用雙因素認證:雙因素認證增加了額外的安全層,即使密碼被盜,攻擊者也難以訪問賬戶。可以結合所在高校的實際情況,采取短信驗證、硬件令牌、認證 APP 等方式。除了密碼,還需要通過手機驗證碼、生物識别等方式進行二次驗證,增加攻擊的難度。
定期更新密碼:密碼暴露是賬戶被黑的主要原因之一,可以采取複雜密碼策略、定期更換等方式,提升安全性,如可要求用戶設置包含大小寫字母、數字和特殊字符的複雜密碼,并定期提醒用戶更改密碼,避免重複使用舊密碼。
強化技術措施:采取有效的防禦措施識别和阻止釣魚攻擊,比如采取 SPF、DKIM、DMARC、黑白名單等技術來檢查郵件真實性,也可考慮部署郵件安全網關,使用基于規則和機器學習的垃圾郵件過濾器來自動檢測并攔截釣魚郵件、垃圾郵件等威脅。郵件系統應當提供必要的安全設置,如登錄警告、IP 限制等,增強賬号防護。
2. 對敏感數據加強授權管控
在條件許可的情況下,還可部署數據防洩漏系統,識别可定位敏感數據位置、監控敏感數據的使用情況以及采取阻斷和審批加密的策略,有效避免内部人員無意或惡意的數據外洩。
3. 加強用戶安全培訓
對師生加強網絡安全培訓,定期對師生普及網絡安全知識,重點針對管理人員、科研人員定期進行安全意識培訓,在使用電子郵件時注意防範社會工程學攻擊,如釣魚攻擊及欺詐郵件。
