孫德剛，劉 賽，毛 銳

（1.中國科學院信息工程研究所，北京 100093；2.中國科學院大學網絡空間安全學院，北京 100049）

0 引 言

2016年美國大選期間，民主黨競選者前美國國務卿希拉里及其團隊的“郵件門”事件被曝光，最終成為左右大選結果的決定性因素，并最終導致民主黨總統(tǒng)競選失敗[1]。郵件門事件主要曝光了希拉里在擔任國務卿期間使用私人郵件處理工作的數據統(tǒng)計情況及其相應影響，而希拉里的這些行為有可能涉嫌違反美國法律，并在一定程度上泄露了國家機密。據統(tǒng)計，截止至2014年12月，30 000封與工作有關的郵件被遞交至美國國務院進行審查，其中包括8封屬于“頂級機密”級別、36封屬于“機密”級別以及2 000封“秘密”級別（最低級別），給美國乃至世界的影響已經超出了常規(guī)安全問題計算金錢損失的影響范疇[2]。同樣，法國最近的一次總統(tǒng)大選被認為是法國近幾十年來最重要的一次總統(tǒng)選舉。而在之前的大選期間，總統(tǒng)候選人伊曼紐爾·馬克龍的競選團隊表示，該團隊的計算機系統(tǒng)遭到“大規(guī)?！焙诳凸?，大量被竊取的電子郵件被黑客泄露在網絡上。這次郵件泄露事件同樣對法國大選的過程與結果產生了重大影響。德勤會計師事務所（Deloitte & Touche）是世界

4大會計師事務所之一，日前被爆出遭受到了黑客攻擊，導致一些保密郵件和計劃在攻擊中泄露。據了解，德勤大約5百萬的郵件可能都被泄露。除了郵件，用戶的用戶名、密碼、IP地址等都可能受到影響。德勤的這次郵件泄露，暴露出作為“四大”之一的德勤，在維護用戶隱私安全的方面仍然存在不足，更反映出郵件作為用戶私人信息的載體，仍然是用戶信息保護中比較脆弱的一環(huán)，需要得到更多的重視與保護。

2016年初，專為波音公司生產零部件的航天零部件公司FACC遭到了黑客攻擊。外來惡意人員從公司內部的郵箱入手，先是利用釣魚郵件搞定公司重要人員的企業(yè)郵箱，然后入侵財務會計系統(tǒng)，從賬面上轉走了5 000萬歐元。

就目前的郵件使用情況和我國郵件安全相關事件而言，郵件安全在世界范圍內都存在安全性問題，但中國的表現(xiàn)尤其明顯，在郵件安全問題上消耗了更多資源與精力[3]。根據普華永道的最新全球信息安全情況調查結果表明：在網絡安全方面，內地與香港企業(yè)的平均投入比全球數值高出近1/4（23.5%），即每家企業(yè)在此問題上投入的平均預算達630萬美元。72%的中國內地與香港受訪企業(yè)對物聯(lián)網安全戰(zhàn)略已有積極回應，這一數值高于全球水平（67%）。根據調查反饋，中國內地與香港有46%受訪者表示客戶數據泄露是最直接影響，而財務損失（38%）和商業(yè)郵件入侵（36%）緊隨其后。同時，由于智能設備在工作場所中的普及，46%的中國內地與香港受訪企業(yè)將移動設備列為信息安全事件的攻擊目標，攻擊來源主要指向離任前雇員與競爭對手，二者比率十分接近，分別為42%和41%。以上數據足以說明，郵件安全不僅涉及個人的信息安全，而且是單位、組織乃至國家層面的安全問題，應引起充分的重視[4]。

1 郵件信息泄露的特點

郵件作為單位、組織、團體或者個人的重要通信方式之一，在當今互聯(lián)網繁榮的今天，有著廣泛而不可替代的重要作用。另一方面，郵件中承載的信息由于本身存在著重要價值，會使郵件和郵件系統(tǒng)的安全性成為一個不可忽視的問題。針對郵件及其系統(tǒng)的攻擊，主要具有以下幾方面特性。

1.1 高危性

郵件及其系統(tǒng)因為自身的便捷性，自電子郵件在20世紀70年代產生開始，就逐步應用在各個行業(yè)的各個方面，承載的信息也隨之涉及到許多學科與領域。很多政府或者其他機構為了確保郵件信息的安全，建立了自己的郵件系統(tǒng)用于承載機密信息，而這些舉措也從側面體現(xiàn)了郵件信息的重要性。針對郵件的攻擊行為一旦成功，就有可能導致某一封重要郵件中的信息泄露，甚至整個郵件系統(tǒng)的權限被竊取，長此以往將會造成難以估量的損失。

1.2 多元性

互聯(lián)網時代，組織核心資產與業(yè)務的信息化導致攻擊門檻大幅降低，攻擊日趨多元化，具體體現(xiàn)在3個方面。首先，攻擊主體多元化。既可以源自對手或者其他外部環(huán)境的外來攻擊，也可能是涉及到內部威脅領域的內部人員進行信息泄露；其次，攻擊手段多元化。盡可以設置釣魚陷阱竊取用戶或者管理員的權限，也可能是以郵件為手段進行惡意的信息泄露，還可能通過其他的惡意病毒進行權限、信息等的竊取；最后，攻擊客體多元化。郵件的傳遞是一個由發(fā)到收的過程，涉及到的媒介從軟件到硬件、涉及到的人從發(fā)送者到接受者再到郵件系統(tǒng)的管理人員。此外，還有不同的傳輸方式等。這當中任何一個部分都可以是郵件泄密受到攻擊的目標。

1.3 隱蔽性

郵件的攻擊往往偽裝成各種各樣的形式，使受害者難以察覺。一些進行內部威脅（Insider Threat）攻擊的人員常常會利用郵件，將自己所屬單位的機密信息通過郵件形式泄露給自己的競爭對手，以換取金錢或者其他形式的利益，導致郵件信息泄露難以察覺。同樣，在希拉里的“郵件門”事件中[5]，黑客偽裝成Google的官方客服，給希拉里競選團隊成員威廉·萊因哈特發(fā)了一封內容為“有人已經破解了你的郵箱密碼，請盡快登錄修改”的釣魚郵件。敵手輕易地拿到了團隊核心成員的郵箱密碼，進而利用這個郵箱在郵件系統(tǒng)內部擴大攻擊，最終完全控制了郵件服務器。通過這一案件，郵件攻擊的隱蔽性可見一斑，而一個團隊在進行郵件信息安全防護工作的過程中，一定要有意識地培養(yǎng)使用人員的安全意識，以應對更隱蔽、更多樣化的攻擊。

2 針對郵件攻擊的分類

根據對各種典型郵件攻擊事件與相應的安全需求的調研，將常見的郵件攻擊分為以下幾個類別。

2.1 垃圾郵件攻擊

一份關于企業(yè)郵件使用情況的調查報告指出，全國的企業(yè)用戶在使用郵箱的過程中平均每天會收到的垃圾郵件數是2 000萬封以上，全年的垃圾郵件總數將超過70億封，占企業(yè)郵件總數的69.8%。因此，要想保障組織或者單位等集團性企業(yè)郵箱的安全，重要的一點是要做好反垃圾郵件的工作。

釣魚攻擊的防范一直是互聯(lián)網環(huán)境中安全防護的關鍵之一[6]。郵箱釣魚攻擊結合垃圾郵件和網站釣魚的方式，使得用戶在打開郵件時往往沒有辦法在第一時間快速確認郵件的安全性。所以，容易被郵件的標題、發(fā)件人的地址以及郵件的內容信息所迷惑。尤其是當郵件中嵌入的超鏈接地址信息與真實網站地址信息很相近時，用戶更是很難分辨真?zhèn)巍０ㄇ拔奶岬降泥]件門事件、FACC的郵件竊取案件在內，這些攻擊都采用了“釣魚+垃圾郵件”的方式進入到受害者的視野，最終實施了用戶權限的竊取。

2.2 針對郵件系統(tǒng)的攻擊

電子郵件系統(tǒng)的訪問方式主要有兩種，分別是通過客戶端登錄和Web登陸。客戶端可以通過限制鏈接做到訪問控制，其針對郵件系統(tǒng)方面的安全防范比較簡單。而通過Web鏈接的電子郵件服務器訪問，在進行惡意攻擊時可以將針對Web的攻擊手段應用到此處。考慮到具體案例以及其他相關實施情況，主要考慮以下5種具體攻擊手段[7]。

（1）注入漏洞攻擊。這種攻擊的成因是由字符過濾不嚴謹造成的，從而可以得到管理員的賬號密碼等相關的關鍵信息。從開發(fā)者的角度來說，這類攻擊的形式相對固定，可以在開發(fā)過程中相應規(guī)避，就能有效杜絕此類攻擊的產生，防御相對比較容易。

（2）跨站請求偽造攻擊。類似于Web攻擊在其他非郵件領域的作用，它是一種挾制用戶在當前已登錄的Web應用程序上執(zhí)行非本意操作的攻擊方法。目前主流的Web郵箱系統(tǒng)大多會提供郵件的自動轉寄功能。在這種情況下，一旦存在跨站請求偽造漏洞，攻擊者就可以做到在用戶本人不知情的情況下篡改目標用戶的郵件轉發(fā)地址，從而造成郵件全部泄露的可能。

（3）URL訪問控制。這種攻擊方式是指Web應用開發(fā)者沒能對URL的訪問權限進行認證，從而導致惡意進攻者能夠通過簡單修改URL地址，訪問本該需要通過用戶名密碼認證授權才能訪問的資源，實現(xiàn)越權訪問操作。

（4）JSON劫持攻擊。這是一種利用Web應用開發(fā)者不規(guī)范的JSON數據傳輸格式，實現(xiàn)跨與內容操作的攻擊方式。

（5）跨站腳本攻擊。跨站腳本攻擊（也稱為XSS）指利用網站漏洞從用戶那里惡意盜取信息，主要分為持久型跨站、非持久型跨站以及DOM跨站3種攻擊方式。

2.3 針對用戶賬戶的攻擊

針對個人的郵件竊取案件，用戶“弱密碼”問題仍然是造成個人郵箱被盜、重要信息泄露的主要原因。弱密碼即容易被破譯的密碼，通常是簡單的數字組合、與帳號相同的數字組合、鍵盤上的臨近鍵或常見姓名。有調研列舉出了最常見的10大弱密碼，如“12345679”“qwertyui”等。統(tǒng)計顯示，企業(yè)郵箱帳號使用弱密碼的比例高達16.0%，其中9.8%的郵箱賬戶使用的是10個最流行的企業(yè)郵箱密碼。據此估算，攻擊者僅需嘗試10次，全國就有約1 097.6萬個企業(yè)郵箱可能被成功破解。

2.4 針對郵件病毒的木馬攻擊

針對郵件系統(tǒng)整體安全性與可用性的攻擊，也是郵件信息安全的一個薄弱環(huán)節(jié)。入侵者在控制存在漏洞的計算機后，可以輕易獲取Email地址以及相應的用戶名與密碼。如果存在Email通訊錄，還可以獲取與其聯(lián)系的其他人的Email地址信息等[8]。一個健全的用戶郵件系統(tǒng)首先應該能夠保障其自身具備DoS攻擊防御、退信攻擊防御和字典攻擊防御等，其次要能夠全面保護后端郵件服務器安全。在系統(tǒng)的物理安全防御上，系統(tǒng)本身還支持雙機備源模式，真正做到有備無患[9]。

3 郵件及其系統(tǒng)的安全與防護

基于以上幾種針對電子郵件與信息泄露攻擊方式的分析，要做好電子郵件信息的安全保護，主要應分別從以下幾方面入手，才能切實做好郵件信息的防護工作。具體地，（1）反垃圾郵件的相關措施，即反釣魚攻擊；（2）郵件系統(tǒng)安全性保護；（3）用戶個人賬戶的安全性；（4）郵件病毒木馬的安全防護。

3.1 針對“垃圾郵件”+“釣魚”的防御

（1）對于垃圾郵件或者其中附帶的釣魚鏈接，目前有很多相對有效的方法能夠拒絕絕大多數的垃圾郵件[10]。無論是簡單的基于樸素貝葉斯分類器或者訓練一個SVM用于垃圾郵件分類，還是現(xiàn)有的反垃圾郵件產品，都能在處理這些任務時取得不俗的表現(xiàn)。而對于遺漏的誤判郵件，在接收到時仍然需要仔細判斷。針對垃圾郵件信息，許多超鏈接地址中包含有惡意掛馬代碼或者是惡意下載文件等。當用戶直接點擊訪問超鏈接地址時，很容易造成惡意代碼攻擊。同時，即使發(fā)件人地址信息為可信任人的地址信息，但是郵件內容為比較敏感數據信息時，建議與當事人進行確認后再繼續(xù)操作，以防出現(xiàn)偽造郵件人地址的攻擊。

（2）郵件中包含有銀行等高度敏感的網站數據時，建議通過瀏覽器手工鍵入的方式訪問官方站點。對于郵件附件的下載使用，需要先經過安全防護軟件的查殺才可繼續(xù)執(zhí)行使用。而針對一些諸如網上銀行客戶端程序，則需要到明確的官方網站下載使用，而不通過郵件附件安裝的方式

（3）安裝支持釣魚網站攔截功能的安全防護軟件。郵箱釣魚雖然比較難快速識別，但是很多郵箱釣魚攻擊過程中都會通過超鏈接等方式在瀏覽器中跳轉打開釣魚網站。雖然安全防護軟件在用戶打開郵件時直接分析出目標網站是否為釣魚網站比較困難，但是在用戶瀏覽器中打開釣魚網站時，安全防護軟件可以對該操作進行快速的提示和封堵。

3.2 針對郵件系統(tǒng)的攻擊的防御

從上面的5種漏洞分析來看，針對目前主流的Web郵箱系統(tǒng)，其安全性威脅主要來自于JSON劫持、跨站請求偽造以及跨站腳本3種漏洞類型[11]。因此，在電子郵件服務器前端可以對郵件內容的富文本和漏洞進行掃描檢測，并提供有效的防御策略和修復建議，從而保證系統(tǒng)安全有效運行。

3.3 針對用戶弱密碼的防御

（1）針對弱密碼問題，首先要做的是升級密碼保護，提升賬號安全。此外，要限制密碼的登錄次數。有些企業(yè)沒有對密碼嘗試次數設限，導致黑客極易得手。對此，新網全球郵系統(tǒng)在首次創(chuàng)建賬號密碼時強制限制密碼設置規(guī)則，必須包含大小寫字母、數字和特殊字符等，確保郵箱安全?？梢酝ㄟ^“認證管制”及“字典攻擊防御”策略，有效防范企業(yè)郵箱賬號密碼被猜解，從而將郵箱賬號風險降到最低。

（2）為防止他人惡意或非法登錄郵箱，限制ip登錄是有效手段之一。同時，可增加異地登錄提醒。例如，存在異地登錄時，系統(tǒng)立刻發(fā)送提醒信息。此外，新網全球郵還采用全程SSL郵件加密，有效保證了郵件傳輸過程中的安全性，用戶無須擔心郵件密碼和通信內容被惡意監(jiān)聽。

（3）新網全球郵系統(tǒng)采用獨特的加密技術，針對核心機密信息和一些重要郵件文件夾，用戶可選擇設置加密。查看郵件時需要輸入密碼，為重要信息增加一層保護屏障。

（4）作為企業(yè)用戶，內部信息安全同樣值得重視。事實證明，一系列郵件泄密事件也與內部監(jiān)管不力密不可分。因此，應為郵箱管理員提供更多監(jiān)管權限，可以創(chuàng)建郵件審核規(guī)則，包括郵件主題、正文內容關鍵詞、收件人匹配規(guī)則等。當投遞或接收觸發(fā)審核規(guī)則時，系統(tǒng)自動發(fā)送該郵件到審核人郵箱中，自動停止投遞，待審核通過后方可繼續(xù)投遞。同時，通過郵件監(jiān)控功能，可以大大降低企業(yè)內部信息外泄的可能性。

3.4 針對郵件病毒木馬攻擊的防御

3.4.1 郵件服務器安全防范

郵件服務器安全防范[12]的途徑有：

（1）及時更新操作系統(tǒng)漏洞補丁；

（2）安裝殺毒軟件和防火墻，及時更新病毒庫，定期定時查殺病毒。如果有條件，可以使用郵件安全網關；

（3）設立安全checklist，定期按照安全策略進行安全檢查；

（4）嚴格限制IP地址訪問，除了郵件服務器提供的郵件服務外，如果能夠做IP安全限制，就針對維護的IP地址等進行信任網絡設置；

（5）安裝的任何軟件必須經過安全測試，確保無插件，以確保安裝的軟件是“干凈”的。

對于郵件服務器，不管配置什么樣的郵件服務器，在配置服務器時，一定上網查找目前郵件服務器軟件版本是否存在漏洞，以及一些相關的安全配置文章，做好其相關安全風險評估和風險的應對措施。

3.4.2 郵件客戶端安全防范技術

除了郵件服務器的安全外，郵件客戶端是郵件木馬攻擊的主要對象。因此，做好郵件客戶端的安全防范在郵件安全防范方面至關重要[13]。郵件客戶端計算機應當安裝有防火墻、殺毒軟件，并及時更新病毒庫和操作系統(tǒng)安全補丁。建議使用具有郵件監(jiān)控的殺毒軟件，對郵件木馬的防范建議采用以下4 種方法[14]：

（1）收看郵件時，如果存在附件，先將附件保存到本地，然后使用殺毒軟件進行查殺；如果是可執(zhí)行文件，一定要通過物理通訊方式詢問發(fā)件人，確保郵件的來源可靠。建議修改文件夾選項取消“隱藏文件已經文件后綴”選項，使其能夠查看文件的實際后綴名稱，防止入侵者修改文件后綴而以假亂真，誘使收件人執(zhí)行木馬程序。

（2）看郵件標題、寄件人地址，如果郵件有附件，需要先查看附件屬性，附件文件是否隱藏了文件后綴；如果郵件客戶端程序提供文本查看方式，建議先采用文本查看方式進行查看。

（3）在發(fā)現(xiàn)已經感染病毒的情況下，要及時堵漏，采取相應的補救措施。如果發(fā)現(xiàn)系統(tǒng)感染了木馬程序，建議恢復系統(tǒng)或者重裝操作系統(tǒng)。

（4）使用雙向加密軟件查看和收發(fā)郵件，例如使用具有PGP加密功能的軟件進行郵件的收發(fā)，通過個人簽名證書等可信任方式保證郵件的安全，防止假冒、篡改電子郵件。

如果收看郵件時不小心感染了郵件木馬程序，應當即刻斷掉網絡、查殺病毒，做好數據備份。如果條件允許，盡量重新恢復系統(tǒng)，并報告網管人員，再次進行系統(tǒng)安全檢查等，確保本地網絡完全[15]。

4 結 語

通過本文的總結與分析可以發(fā)現(xiàn)，在電子郵件的使用過程中，無論是個人、企業(yè)還是集體，都存在著一定的安全隱患。確保電子郵件的安全高效使用，除了我們提升自身的安全意識外，還需要健全相應的制度化約束。2017年6月生效的《中國網絡安全法》以及將于2018年5月開始施行的《歐盟通用數據保護條例》（GDPR），均涉及企業(yè)的信息安全約束與規(guī)范化。目前，網絡空間安全性挑戰(zhàn)整體復雜多樣，應該著眼現(xiàn)在、展望未來，建立健全明智的安全策略，有效降低網絡安全的威脅與風險，同時在日趨嚴格的全球信息安全監(jiān)管環(huán)境中保持正確的方向[4]。

參考文獻：

[1] White House.Presidential Merandum-National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs[EB/OL].(2012-11-21)[2017-12-26].http://www.whitehouse.gov/the-pressoffice/2012/11/21/presidential-memorandum-nationalinsider-threat-policy-and-minimum-stand.

[2] White House.Executive Order 13587-Structural Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information[EB/OL].(2012-03-17)[2017-12-26].https://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-13587-structural-reforms-improvesecurity-classified-net.

[3] 趙拓.互聯(lián)網電子郵件泄密案例剖析[N].中國審計報,2017-05-31(007).ZHAO Tuo.An Analysis of Internet Email Leakage Cases[N].China Audit Report,2017-05-31(007).

[4] 動點科技.普華永道發(fā)布全球信息安全狀況調查:客戶數據泄露,財務損失和商業(yè)郵件入侵影響排前三[EB/OL].(2017-12-08)[2017-12-26].http://www.sohu.com/a/209177147_485557.Dynamic Point Technology.Price Water House Coopers Released a Survey on Global Information Security:Top 3 in Customer Data Leakage,Financial Losses,and Business Email Intrusion[EB/OL].(2017-12-08)[2017-12-26].Http://www.sohu.com/a/209177147_485557.

[5] 王丹娜.美國大選年“郵件門”事件回顧[J].中國信息安全,2017(03):78-83.WANG Dan-na.Review of the “Mail Door” Event in the United States Election Year[J].China Information Security,2017(03):78-83.

[6] 楊勇.郵箱釣魚攻擊分析實例[EB/OL].(2013-06-26)[2017-12-26].http://www.rising.com.cn/newsletter/news/2013-06-26/13965.html.YANG Yong.An Example of Email Phishing Attack Analysis[EB/OL].(2013-06-26)[2017-12-26].http://www.rising.com.cn/newsletter/news/2013-06-26/13965.html.

[7] Sunkari V,Rao C V G.Preventing Input Type Validation Vulnerabilities Using Network Based Intrusion Detection Systems[C].International Conference on Contemporary Computing and Informatics IEEE,2015:702-706.

[8] APMSH的博客.電子郵件木馬隱患分析和預防[EB/OL].(2010-09-23)[2017-12-26].http://blog.sina.com.cn/s/blog_623fe7e50100l7z9.html.APMSH Blog.Email Trojan Hidden Risk Analysis and Prevention[EB/OL].(2010-09-23)[2017-12-26].http://blog.sina.com.cn/s/blog_623fe7e50100l7z9.html.

[9] 陳錦花.電子郵件系統(tǒng)的安全性分析[J].計算機光盤軟件與應用,2014,17(16):149-150.CHEN Jin-hua.Security Analysis of Email System[J].Computer Disc Software and Applications,2014,17(16):149-150.

[10] 嗚嗚.用端到端的安全郵件系統(tǒng)防泄密[J].計算機與網絡,2013,39(24):47.MING Ming.Using an End-to-end Secure Email System to Prevent Leaks[J].Computer and Internet,2013,39(24):47.

[11] HONG Ji.Research on Email Security Policy Based on Network Technology[C].Information Engineering Research Institute,Proceedings of 2013 Asian Pacific Conference on Mechatronics and Control Engineering(APCMCE 2013),Information Engineering Research Institute,2013:5.

[12] NIST.Managing Information Security Risk:Organization,Mission,and Information System View[EB/OL].(2016-11-05)[2017-12-26].http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-39.pdf.

[13] 劉子豪.防泄密郵件安全網關ALSEG系統(tǒng)的研究與實現(xiàn)[D].南京:南京航空航天大學,2009.LIU Zi-hao.Research and Implementation of ALSEG System for Anti-leak Email Security Gateway[D].Nanjing:Nanjing University of Aeronautics and Astronautics,2009.

[14] NIST.Security Considerations in the System Development Life Cycle[EB/OL].(2016-10-20)[2017-12-26].http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-64r2.pdf.

[15] 洋洋.當心另類郵件泄密[J].軟件工程師,2005(12):63-65.YANG Yang.Beware of the Leakage of Alternative Mail[J].Software Engineer,2005(12):63-65.