企业日常办公中,内部员工交流和客户沟通,都离不开邮件信息,这些信息往往会包括企业重要的资料。邮件在日常工作中扮演的角色越来越重要,邮件内页包含了企业重要的敏感信息,因此邮件安全在企业安全中也扮演着重要的作用。
本篇文件就来看看企业内邮件系统可能面临的安全风险以及如何保障企业内部邮件安全。
邮件系统的安全风险其实主要可以分为三类,一类是邮件系统本身的问题,一类是入站安全风险,一类是出站安全风险。
邮件系统本身可能存在安全漏洞,或者其配置错误,这些问题都有可能造成严重的安全风险。
如下图在fiora中搜索outlook,可以看到邮箱服务器也可能存在严重的安全风险
1)关注邮件服务的漏洞,及时更新服务补丁
2)根据基线检查邮箱服务器的配置
入站就是邮件从外部smtp服务器发送到公司内部smtp服务器,在到个人邮箱终端的一个过程。其主要的安全风险如下:
在互联网中总是可以通过各种方式获取到企业内部员工的邮箱信息,拿到员工的邮箱信息,我们就可以寻找入口对这些员工的邮箱尝试暴力登录,一般有下面的两种方式:
通过POP3、SMTP、IMAP协议进行爆破
企业邮箱系统一般都可以通过web页面进行访问,因此也可以通过web页面进行爆破,如OWA或者EWS接口。
在实际的测试过程中,很多的人员的密码还是使用了弱密码,爆破成功率还是挺高的。
解决方案
针对协议的爆破可以采用黑白名单,连接限制,目录攻击防护,错误锁定邮箱等方式
针对web页面的爆破可以开启双因素认证,或者不将web页面暴露到公网上
定期扫描员工是否使用了弱密码
配置邮箱密码的复杂度要求,定期修改密码
上面说的这些方法在邮件网关相似的产品中其实都是有的。
有些员工喜欢在外面一些网站上使用公司邮箱注册账号,可能还在多处使用同一个密码,比如我们所熟知的CSDN论坛。一旦这些网站安全措施不到位,也可能间接导致邮箱账号密码泄露。
如果跟其它网站使用了相同的密码,其它网站泄露了,也可以通过撞库攻击登录邮箱。
解决方案
常态化弱口令扫描
收集外部的社工库,限制员工使用社工库里面的密码
另外一个比较麻烦而且威胁巨大的就是垃圾邮件/钓鱼邮件的问题了。
垃圾邮件:是未经用户请求强行发到用户信箱中的任何广告、宣传资料、病毒等内容的电子邮件,一般具有批量发送的特征
钓鱼邮件:攻击者为了达到某种目的而精心设计的邮件,一般有两种形式,一种是带有恶意链接,用来钓取用户的账号密码,一种带有恶意附件,引诱用户点击打开,获取用户系统权限。
解决方案
1)设置SPF、DKIM、DMARC、RDNS。
SPF:SPF(Sender Policy Framework)是一种以IP地址认证电子邮件发件人身份的技术。当你定义了你域名的SPF记录之后,接收邮件方会首先检查域名的SPF记录,来确定连接过来的IP地址是否包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回或丢弃处理。
DKIM:DKIM(Domain Keys Identified Mail)是一种防范电子邮件欺诈的验证技术,通过消息加密认证的方式对邮件发送域名进行验证。在发送邮件时,发送方会利用本域私钥加密生成DKIM签名,并将DKIM签名及其相关信息插入邮件头,而邮件接收方接收邮件时,通过DNS查询获得公钥,并验证邮件DKIM签名的有效性,从而确保在邮件发送的过程中,邮件不会被恶意篡改,保证邮件内容的完整性。可以说DKIM相比于SPF多了邮箱完整性的校验。
DMARC:DMARC(Domain-based Message Authentication,Reporting&Conformance)是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,在邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。DMARC要求域名所有者在DNS记录中设置SPF记录和DKIM记录,并明确声明对验证失败邮件的处理策略。邮件接收方接收邮件时,首先通过DNS获取DMARC记录,再对邮件来源进行SPF验证和DKIM验证,对验证失败的邮件根据DMARC记录进行处理,并将处理结果反馈给发送方。
2)针对钓鱼邮件,在公司内部开展专项的培训,提高员工安全意识
3)对邮箱附件调用杀毒引擎或者云查杀功能进行检查,这个功能一般都集成在邮件网关中。
4)可执行文件放到沙箱中进行分析
5)对于加密的压缩文件,邮件网关和沙箱可能就显得无能为力,这时需要在用户终端进行防护,例如禁用终端执行脚本,安装EDR设备,杀毒软件等。
6)邮件网关中一般都集成了反垃圾邮件技术,主要采用方式有:过滤技术,反向查询技术(类似于MX(Mail Exchange,邮件交换)记录,反向查询解决方案就是定义反向的MX记录,用来判断邮件的指定域名和IP地址是不是完全对应的),挑战技术(指邮件系统保留着许可发送列表,当一个新的邮件被发送时,要求邮件发送方先返回一封包含挑战的邮件。当完成挑战后,邮件发送方则被加入许可发送列表中。对那些使用非真实邮件地址的垃圾邮件发送方来说,它们不可能接收到挑战邮件。),密码技术(通过使用密码技术来验证邮件发送方的方案,比如服务器使用SSL证书、客户端使用数字证书,这种使用加密传输或者电子证书的方式可以提供可信的证明),邮件指纹技术(类似于杀毒软件的基于特征检测技术,虽然无法识别最新出现的垃圾邮件,但是对于那些大量发送的相同的垃圾邮件,这种技术却具有极高的效率,而且这种技术几乎不会产生误报),意图分析技术(通过对垃圾邮件里URL进行整理,并形成特定数据库,然后对比邮件中的URL链接,确定邮件是否为垃圾邮件),贝叶斯过滤技术(能够自动学习新的垃圾邮件的智能技术,通过调整字词频度表,使得系统始终维持较高的过滤水准,并可以满足不同邮件用户个性化的需求),评分系统(基于规则,将每一条规则对应一定的评分,将一封邮件与规则库进行比较,每符合一条规则加上该规则评分。获得的分数越高,该邮件是垃圾邮件的可能性就越高)等
入站主要是从外部进来的电子邮件,而出站则是内部发送到外部的电子邮件,主要涉及的风险是敏感数据的外发问题。
内部人员或者攻击者拿到内部邮箱以后,通过邮箱将公司内部的敏感信息发送到外部。
解决方案
对外发邮件启用DLP进行检测拦截。邮件外发检测,一种是基于流量的旁路检测,即将邮件流量镜像到DLP设备,DLP根据相应的策略对邮件流量进行分析,此方案最大的好处是不改变网络结构,但遇到SMTP启用TLS加密就不行了。还有一种是将邮件路由到MTA,在MTA上进行检测,然后再发出去。
外发邮件进行审批
禁止自动转发
2)通过邮件发送违法信息
通过邮件发送一些带有政治,色情等的违法信息
解决方案
企业内邮箱安全涉及了多个方面,包括防病毒,恶意附件检测等等。企业内往往由于预算等原因,不可能选择所有的模块,因此根据企业的实际情况选择
邮箱作为员工与员工之间进行交流的桥梁,扮演者非常重要的作用,因此建立完善的邮件防护体系对于企业来说也是非常重要的。