電子郵件仍然是犯罪分子用來攻擊公司的最容易利用的攻擊媒介之一。一個(gè)員工打開電子郵件中的惡意鏈接就足以讓黑客繞過所有網(wǎng)絡(luò)防御，這就是為什么防止基于電子郵件的威脅應(yīng)該是重中之重的原因。

本文涵蓋了15 種有效但易于實(shí)施的電子郵件安全最佳實(shí)踐，您應(yīng)該遵循這些最佳實(shí)踐來提高電子郵件安全性。我們還介紹了您的員工可能面臨的最常見的基于電子郵件的威脅，因此請(qǐng)繼續(xù)閱讀以了解如何讓潛在的黑客遠(yuǎn)離您公司的收件箱。

最佳電子郵件安全實(shí)踐

以下是您應(yīng)該遵循的最有效的電子郵件安全最佳實(shí)踐列表，以提高一般網(wǎng)絡(luò)安全并確保您的員工已準(zhǔn)備好應(yīng)對(duì)基于電子郵件的威脅。

使用強(qiáng)電子郵件密碼

密碼越容易猜到，就越有可能有人會(huì)破壞電子郵件帳戶。

即使您不依賴“123456”或“password123”之類的密碼（不幸的是，有太多人這樣做了），黑客也可以使用頂級(jí)暴力攻擊工具，甚至可以破解中等復(fù)雜的密碼。例如，像“Pa$$word2211991”這樣的密碼可能看起來很安全，但高端工具可以在一分鐘內(nèi)破解該密碼。

貴公司的每個(gè)員工都應(yīng)該為他們的電子郵件帳戶設(shè)置一個(gè)可靠且唯一的密碼，以防止暴力攻擊（或有人簡(jiǎn)單地猜測(cè)密碼）。可靠的密碼應(yīng)該：

• 至少有 12 個(gè)字符。
• 依賴大小寫字母、數(shù)字和特殊符號(hào)的混合。
• 隨機(jī)且獨(dú)特。
• 不包括常用短語(yǔ)。
• 不包含任何個(gè)人信息（家庭成員或?qū)櫸锏男彰⒐尽⒊錾亍⑸栈蚝诳涂梢酝ㄟ^谷歌搜索您的姓名或在社交媒體上進(jìn)行間諜活動(dòng)發(fā)現(xiàn)的任何其他信息）。

準(zhǔn)備網(wǎng)絡(luò)釣魚電子郵件

網(wǎng)絡(luò)釣魚電子郵件試圖誘騙其中一名員工提供有用的信息或單擊惡意鏈接。攻擊者通常使用網(wǎng)絡(luò)釣魚將目標(biāo)騙入：

• 下載惡意軟件。
• 提供敏感數(shù)據(jù)（通常是登錄詳細(xì)信息）。

網(wǎng)絡(luò)釣魚策略是犯罪分子用來利用電子郵件的最常見的社會(huì)工程方法之一。一些標(biāo)準(zhǔn)策略包括：

• 假裝是服務(wù)提供商，并要求目標(biāo)通過指向虛假網(wǎng)站的鏈接“登錄”。
• 強(qiáng)加上級(jí)并要求提供敏感數(shù)據(jù)。
• 假裝是安全團(tuán)隊(duì)的一員，并要求受害者“更新”他們的一個(gè)密碼。
• 發(fā)送帶有隱藏程序的惡意文件的電子郵件。

不幸的是，沒有辦法阻止網(wǎng)絡(luò)釣魚電子郵件。您的員工一定會(huì)不時(shí)收到一份，這就是為什么教育員工是保護(hù)您的公司的主要方式。

防止網(wǎng)絡(luò)釣魚的黃金法則是不要回復(fù)、單擊鏈接或打開看起來可疑的電子郵件中的附件。員工在與電子郵件交互之前應(yīng)使用常識(shí)，并且必須能夠：

• 識(shí)別可疑文件和鏈接。
• 評(píng)估消息中請(qǐng)求背后的原因。
• 檢查發(fā)件人的地址。
• 評(píng)估電子郵件的一般狀態(tài)（語(yǔ)法、業(yè)務(wù)背景、語(yǔ)氣、缺少電子郵件簽名等）。

您還可以運(yùn)行定期網(wǎng)絡(luò)釣魚模擬，以保持員工警覺并測(cè)試他們?cè)诂F(xiàn)實(shí)生活中識(shí)別可疑電子郵件的能力。

使用 2FA 驗(yàn)證電子郵件登錄

雙重身份驗(yàn)證 (2FA) 要求員工除了輸入用戶名和密碼外，還需要提供額外的憑據(jù)。另一個(gè)驗(yàn)證因素增加了一層額外的防御，是抵御暴力攻擊和密碼破解的重要手段。

除了提供用戶名和密碼外，2FA 還要求員工提供以下一項(xiàng)（或多項(xiàng)）：

• 獨(dú)特的物品（令牌、卡片等）。
• 通過短信、電子郵件、語(yǔ)音電話或基于時(shí)間的一次性密碼 (TOTP) 應(yīng)用程序收到的 PIN。
• 生物特征數(shù)據(jù)（眼睛、指紋、面部或語(yǔ)音掃描）。
• 在移動(dòng)設(shè)備上生成的條形碼。
• 確認(rèn)用戶當(dāng)前正在嘗試登錄的手機(jī)提示。

即使攻擊者竊取了您一名員工的電子郵件憑據(jù)，使用 2FA 也將阻止入侵者登錄電子郵件帳戶。

幸運(yùn)的是，部署 2FA 并不像聽起來那么技術(shù)性。大多數(shù)電子郵件平臺(tái)默認(rèn)提供雙重身份驗(yàn)證，因此沒有理由不使用 2FA 來保護(hù)公司的收件箱。

培訓(xùn)員工如何處理電子郵件附件

攻擊者通常使用電子郵件附件來隱藏將惡意軟件注入系統(tǒng)的可執(zhí)行文件或程序。在打開附件之前，請(qǐng)教育您的員工問自己以下問題：

• 發(fā)件人是我組織內(nèi)的人還是我可以信任的人？
• 此類附件的格式是否正確（注意.exe（可執(zhí)行程序）、.jar（Java 應(yīng)用程序）和.msi（Windows 安裝程序））？
• 電子郵件本身是否提及有關(guān)附件的任何內(nèi)容？
• 我期待這個(gè)電子郵件附件嗎？
• 發(fā)件人的地址是否合法？
• 附件背后的人是否定期發(fā)送您的電子郵件？

如果有絲毫的懷疑，員工不應(yīng)該打開附件。相反，他們應(yīng)該首先與發(fā)件人確認(rèn)內(nèi)容，以確保電子郵件是真實(shí)的。

您還可以使用端點(diǎn)電子郵件安全來幫助您的員工與惡意文件作斗爭(zhēng)。這些工具包括掃描電子郵件內(nèi)容以查找危險(xiǎn)鏈接和附件的反惡意軟件和病毒程序。

確保員工永遠(yuǎn)不會(huì)從公共 Wi-Fi 訪問電子郵件

如果您允許員工將辦公設(shè)備帶回家或從個(gè)人設(shè)備打開工作電子郵件，您必須確保員工不會(huì)通過公共 Wi-Fi 訪問電子郵件。

網(wǎng)絡(luò)犯罪分子只需要基本技能來發(fā)現(xiàn)通過可公開訪問的 Wi-Fi 傳輸?shù)臄?shù)據(jù)，因此敏感數(shù)據(jù)和登錄憑據(jù)都處于危險(xiǎn)之中。

員工只有在對(duì)網(wǎng)絡(luò)安全有信心時(shí)才應(yīng)該訪問他們的電子郵件。一個(gè)更安全的選擇（盡管不如僅在使用辦公室 Wi-Fi 時(shí)打開電子郵件安全）是使用移動(dòng)互聯(lián)網(wǎng)或互聯(lián)網(wǎng)加密狗在辦公室外使用。

定期更改密碼

最簡(jiǎn)單（也是最有效）的電子郵件安全最佳實(shí)踐之一是確保員工定期更改密碼。你應(yīng)該：

• 確保每位員工每 2 到 4 個(gè)月?lián)碛幸粋€(gè)新的電子郵件密碼。
• 使用設(shè)備強(qiáng)制更改密碼，而不是讓員工更新憑據(jù)。
• 防止員工在當(dāng)前密碼中添加一兩個(gè)字符來創(chuàng)建新密碼。
• 防止員工使用他們過去已有的密碼。

當(dāng)然，每個(gè)新密碼都應(yīng)遵循強(qiáng)密碼短語(yǔ)的標(biāo)準(zhǔn)規(guī)則（大小寫、數(shù)字、符號(hào)等的混合）。

永遠(yuǎn)不要在電子郵件中泄露個(gè)人信息

如果一封電子郵件要求您提供任何個(gè)人信息（生日、社會(huì)保險(xiǎn)號(hào)、信用卡號(hào)、密碼），則該郵件很可能是騙局。

如果電子郵件要求提供私人信息，您應(yīng)該通過在線查找相關(guān)公司的聯(lián)系信息來致電相關(guān)公司，而不是按照電子郵件中的說明進(jìn)行操作。您很可能會(huì)發(fā)現(xiàn)公司對(duì)電子郵件一無所知，他們會(huì)警告您不要通過電子郵件發(fā)送私人數(shù)據(jù)。

永遠(yuǎn)不要回復(fù)詐騙者和垃圾郵件發(fā)送者

一些員工喜歡回復(fù)網(wǎng)絡(luò)釣魚電子郵件和垃圾郵件，但您應(yīng)該確保員工不會(huì)回復(fù)詐騙者。

向詐騙者或垃圾郵件發(fā)送者發(fā)送回復(fù)可驗(yàn)證您的電子郵件地址是否有效。雖然沒有直接的危險(xiǎn)，但讓詐騙者知道您使用該地址會(huì)為未來的更多攻擊打開大門。

培訓(xùn)員工檢查電子郵件 URL

另一個(gè)簡(jiǎn)單但有效的電子郵件安全最佳實(shí)踐是培訓(xùn)員工在收到電子郵件中的鏈接時(shí)檢查 URL（尤其是當(dāng)郵件來自不熟悉的來源時(shí)）。

在單擊 URL 之前，員工應(yīng)將鼠標(biāo)懸停在鏈接上。如果地址不包含 HTTPS 擴(kuò)展名，則該 URL 可能不會(huì)導(dǎo)致安全網(wǎng)站。詐騙者經(jīng)常試圖引誘受害者點(diǎn)擊指向惡意軟件下載頁(yè)面的鏈接。這些不安全的網(wǎng)站通常具有 HTTP 擴(kuò)展名。

此外，該 URL 可能看起來像一個(gè)熟悉的鏈接，但真的是這樣嗎？例如，詐騙者可以替換一個(gè)域字母以欺騙員工認(rèn)為該 URL 是合法的（例如 goggle.com 而不是 google.com）。

不要跨帳戶重復(fù)使用密碼

每個(gè)員工的每個(gè)帳戶都應(yīng)該有一個(gè)唯一的密碼。他們的電子郵件密碼不應(yīng)與他們用于其他目的（后端登錄、工具憑據(jù)、HR 軟件密碼等）的任何密碼相匹配。

密碼之間的匹配也適用于私人賬戶。例如，工作人員的 Facebook 或銀行帳戶密碼不得與其工作電子郵件憑據(jù)相同。這樣，如果銀行的憑據(jù)曾經(jīng)是數(shù)據(jù)泄露的一部分，您公司的電子郵件帳戶就不會(huì)處于危險(xiǎn)之中。

由于為每個(gè)帳戶設(shè)置唯一密碼是最繁瑣的電子郵件安全最佳實(shí)踐之一，因此您應(yīng)該使用1Password或LastPass之類的密碼管理工具。這些平臺(tái)會(huì)自動(dòng)創(chuàng)建復(fù)雜的密碼并將其存儲(chǔ)起來，而員工只需記住一個(gè)主密碼。

使用垃圾郵件過濾器

大多數(shù)電子郵件服務(wù)提供商都有內(nèi)置的垃圾郵件過濾器。過濾器有助于：

• 將合法電子郵件與惡意郵件分開。
• 降低網(wǎng)絡(luò)釣魚和垃圾郵件的可能性。
• 保持收件箱整潔且更易于管理。

作為一個(gè)額外的好處，垃圾郵件過濾器可以減少電子郵件的數(shù)量。員工在瀏覽收件箱并對(duì)可疑郵件發(fā)出警報(bào)時(shí)會(huì)更加專注。

雖然大多數(shù)人將垃圾郵件與廣告沖擊聯(lián)系起來，但垃圾郵件也可能包含惡意軟件，甚至更糟糕的是，勒索軟件。如果垃圾郵件過濾器阻止勒索軟件電子郵件進(jìn)入員工的收件箱，那么打開該功能是值得的。

防止員工將商業(yè)電子郵件用于私人目的（或反之亦然）

員工應(yīng)僅將企業(yè)電子郵件用于與公司相關(guān)的問題和更新。員工沒有理由：

• 將電子郵件用于私人目的（例如訂閱時(shí)事通訊、制作游戲帳戶等）。
• 將與工作相關(guān)的內(nèi)容發(fā)送到私人電子郵件地址。
• 使用專業(yè)的電子郵件在線購(gòu)物。
• 使用該地址交換個(gè)人信息。
• 在網(wǎng)上任何地方（社交媒體、論壇、聊天室等）發(fā)布地址。

每當(dāng)員工分享他們的電子郵件時(shí)，他們都會(huì)增加地址落入壞人之手的機(jī)會(huì)。黑客掃描公共網(wǎng)站以收集他們稍后出售或定位的信息，因此每次暴露地址都會(huì)增加風(fēng)險(xiǎn)。

阻止員工將與工作相關(guān)的內(nèi)容發(fā)送到私人電子郵件的另一個(gè)原因是，任何入侵個(gè)人地址（可能不像公司電子郵件那樣受到保護(hù)）的人都可以訪問員工從公司地址發(fā)送的任何內(nèi)容。

讓員工了解電子郵件安全的價(jià)值

教育員工而不是僅僅執(zhí)行電子郵件安全最佳實(shí)踐至關(guān)重要。如果沒有建立意識(shí)，員工可能會(huì)認(rèn)為對(duì)復(fù)雜密碼和嚴(yán)格規(guī)則的要求是毫無意義和不公正的。

您應(yīng)該組織強(qiáng)制性的電子郵件安全意識(shí)會(huì)議，解釋：

• 所有相關(guān)的電子郵件安全最佳實(shí)踐。
• 基于電子郵件的攻擊的最新趨勢(shì)。
• 如何識(shí)別網(wǎng)絡(luò)釣魚的跡象。
• 僅將工作電子郵件用于與工作相關(guān)的目的的重要性。
• 如何檢查電子郵件地址。
• 合法和非法電子郵件請(qǐng)求的特征。
• 如何創(chuàng)建強(qiáng)密碼。
• 員工可以在哪里找到公司的電子郵件和密碼相關(guān)政策。
• 員工應(yīng)如何對(duì)可疑電子郵件作出反應(yīng)。

無論您部署多少安全措施，垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件偶爾都會(huì)漏掉。當(dāng)他們這樣做時(shí)，您的員工對(duì)電子郵件威脅的理解是決定入侵嘗試失敗和成功的關(guān)鍵。

確保員工在一天結(jié)束時(shí)退出電子郵件帳戶

另一個(gè)有效但簡(jiǎn)單的電子郵件安全最佳實(shí)踐是確保員工在工作日結(jié)束時(shí)退出其電子郵件平臺(tái)。您可以鼓勵(lì)員工自行注銷，也可以使用電子郵件平臺(tái)在特定時(shí)間自動(dòng)讓每個(gè)人注銷。當(dāng)員工使用不熟悉的設(shè)備或網(wǎng)絡(luò)檢查他們的電子郵件時(shí)，這種做法很有用。

使用電子郵件加密

每封電子郵件都有被攻擊者攔截或發(fā)送到錯(cuò)誤地址的風(fēng)險(xiǎn)。您可以使用數(shù)據(jù)加密來應(yīng)對(duì)這兩種威脅。加密會(huì)擾亂原始電子郵件內(nèi)容，并將消息變成無法閱讀的混亂。接收者可以使用唯一的解密密鑰來顯示文本，因此任何在途攔截或錯(cuò)誤的接收者都不會(huì)導(dǎo)致數(shù)據(jù)泄露。

常見的電子郵件安全風(fēng)險(xiǎn)

不幸的是，不乏基于電子郵件的威脅。您可能遇到的一些最常見的電子郵件安全風(fēng)險(xiǎn)是：

• 社會(huì)工程電子郵件：?社會(huì)工程策略試圖贏得目標(biāo)的信任以竊取信息。網(wǎng)絡(luò)釣魚是迄今為止最常見的基于電子郵件的社交策略。
• 帶有惡意軟件的電子郵件：這些電子郵件試圖將惡意軟件注入您的系統(tǒng)。攻擊者通常將惡意軟件“武裝”在附件中或受害者應(yīng)該打開的虛假網(wǎng)站上。如果惡意軟件進(jìn)入您的系統(tǒng)，攻擊者可以控制設(shè)備、竊取數(shù)據(jù)或設(shè)置間諜軟件。
• 垃圾郵件：垃圾郵件涉及各種不需要的郵件，這些郵件可能會(huì)在收件箱中塞滿廣告和木馬感染的郵件。由于全球大約 60% 的電子郵件流量是垃圾郵件，因此您不應(yīng)忽視這一威脅。
• 勒索軟件：如果惡意電子郵件包含勒索軟件程序，則單個(gè)員工打開錯(cuò)誤的電子郵件可以使攻擊者加密您的數(shù)據(jù)或設(shè)備。
• 僵尸網(wǎng)絡(luò)消息：受感染的電子郵件可以將您公司的設(shè)備變成僵尸網(wǎng)絡(luò)的一部分，用于以DDoS 攻擊為目標(biāo)的其他受害者。
• 商業(yè)電子郵件妥協(xié) (BEC)：?BEC 是一種魚叉式網(wǎng)絡(luò)釣魚，其中黑客偽裝成公司的高級(jí)管理人員之一。

不幸的是，網(wǎng)絡(luò)攻擊（基于電子郵件和其他方式）在不斷發(fā)展，因此保持領(lǐng)先地位具有挑戰(zhàn)性。黑客可能非常聰明和富有創(chuàng)造力，因此保護(hù)您公司的收件箱需要跟上最新的威脅。