邮件安全 邮件网关一般有基于tls的SMTP传输加密

5.6 基于DMARC协议的邮件安全防护项目

5.6.1 项目描述

DMARC被设计用来防范直接的域名仿冒。在邮件系统中实现DMARC有助于减少商业邮件失陷（BEC）的部分可能因素。Gartner表示，从2020年到2023年，BEC攻击的损失每年都会翻番，2023年将超过50亿美元。而FBI的互联网犯罪投诉（IC3）则更是发出警告称2018~2019年间BEC造成的损失达到了260亿美元！Gartner建议用户部署这个免费的技术，以缓解仿冒型钓鱼邮件的攻击。笔者认为，钓鱼邮件诈骗之于欧美恰如钓鱼电话/短信诈骗之于中国，都是洪水猛兽，汹涌澎湃。

5.6.2 项目难度

简单。在主动拒绝恶意消息之前先花些时间学习和监测来自已知域名的邮件。

5.6.3 项目关键

研究并整合品牌管理及社交媒体监控的方法；将DMARC集成到整体电子邮件安全方法中。

5.6.4 项目建议

先从监测开始，然后再真正开始阻断。DMARC不能消除对于全面邮件安全策略的需求，这仅仅是一个值得去做的一个点，要真正做好邮件安全，需要做的事情还有很多。

5.6.5 技术成熟度

根据Gartner的定义，（电子）邮件安全是指为邮件提供攻击防护和访问保护的预测、预防、检测与响应的框架。该市场包括了多种技术、产品、流程和服务，大体的构成如下图所示，主要包括安全邮件网关（SEG）、集成邮件安全解决方案（EISS）、云邮件安全补充（CESS），等。

其中最主要的是SEG产品，目前已经是成熟产品，2019年的销量增长超过了20%，在各门类安全软件中位居第三，达到19.1亿美元。

Gartner没有对DMARC技术进行技术成熟度分析，也没有单列出相关的细分市场。事实上，DMARC作为2012年诞生的技术，作为防范邮件仿冒和社工类攻击的一种手段已经很成熟了。

5.6.6 技术解析

从2018年开始，Gartner每年都会将邮件安全（尤指反钓鱼邮件）的项目列入十大安全项目之中，可见邮件安全的重要性。Verizon的2020年DBIR报告显示，导致数据泄露的首要威胁行为样式就是钓鱼（参见DBIR报告图13）。

在 2018年的项目建议中Gartner给出比较全面的项目建设建议，包括谈到要构建一个从技术控制、用户控制和流程重构三管齐下的全面邮件安全策略，其实就是要采取人、技术和流程相结合的机制来做。当时Gartner给出了不少很有价值的技术建议。在 2019年的项目建议中，则进一步将建议聚焦到应对商业邮件失陷（BEC）问题上，并给出了一系列相关的建议。在2020年，则更进一步建议具体采用DMARC协议来缓解BEC风险。

DMARC是Domain-Based Message Authentication, Reporting and Conformance（基于域名的消息认证报告与一致性协议）的简称。DMARC是一项2012年就诞生的电子邮件安全协议，大家可以自行百度、知乎，查看详情。这里引用网易企业邮箱中的帮助信息简要介绍一下：DMARC是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名(DKIM)，而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件，接收方则按照发送方指定的策略进行处理，如直接投入垃圾箱或拒收。

DMARC协议是较能有效解决信头（From）伪造而诞生的一种邮件来源验证手段，为邮件发件人地址提供强大保护，并在邮件收发双方之间建立起一个数据反馈机制。企业客户使用了DMARC之后，都可以很方便地告诉邮件接收方如何认证“我”的邮件，如何处理仿冒“我”的邮件，如何把仿冒邮件的数据反馈给“我”。对于顺利通过DMARC验证的邮件，会最终投递到收件人的邮箱中；若是仿冒的邮件则会按照“我”的设置来处理，且仿冒信息将会反馈给“我”。下图来自DMARC组织的官方介绍：

最后，需要强调的是，DMARC仅仅是邮件安全的一种技术手段，并且主要是防范钓鱼类攻击。应该说落实该技术的投资回报率很高，但完整的邮件安全远不止于此，其它特色技术还包括网络沙箱、内容拆解与重建（CDR）、URL重写与点击时分析、远程浏览器隔离、各种异常检测技术、反钓鱼行为训练APBC（原来叫APBM）、安全编排自动化与响应（SOAR），等。这里提及的部分技术在笔者的《 2018年Gartner十大安全项目详解》中有所介绍。

 

邮件安全的前世今生

电子邮件可以说是由来已久，从上世纪70年代邮件的发明到80年代的兴起再到90年代开始广泛应用至今，经历了数十年的发展历程。但电子邮件发展初期，大家并没有将安全问题考虑其中，而真正开始考虑邮件安全问题应该是在2000年前后。杨明非认为，邮件安全发展至今主要可以划分为三个阶段：

第一阶段：主要考虑邮件系统自身安全，譬如是否被暴力破解，是否有遭到DDoS攻击等，从而致使邮件系统瘫痪。

第二阶段：邮件越来越多的被作为商务工具使用，用户开始关注邮件本身的安全性，譬如垃圾邮件、邮件病毒等网络威胁的传播，该阶段邮件安全的要标志为反垃圾、反病毒防护。

第三阶段：主要聚焦邮件APT防护、内部安全、合规、品牌保护，电子邮件诈骗(Business Email Compromise，简称 BEC)防护等，在邮件防护体系中加入了DLP和机器学习、人工智能的应用，从而对邮件内容进行深度识别。

邮件安全的“内忧外患”

此外根据杨明非介绍，目前用户在邮件安全层面所面临的威胁主要包括来自外部和内部两种攻击来源的三种攻击类型：

●外部攻击：

○以邮件为入口进行APT攻击：APT有很多攻击手段和方式，而邮件是APT攻击的主要发起点之一，对于攻击方来讲，通过邮件作为入口进行攻击更加容易，其核心目的主要是通过攻击来窃取受害方的内部数据及其他商业机密;

○BEC攻击：商业邮件欺诈，通过虚假的身份对企业人员进行财务欺诈。譬如以老板的名义给财务发邮件，让财务给XX账号汇款;

●内部攻击(内鬼泄密)：内部人员有意或无意的将内部关键信息或敏感信息通过发送邮件的形式进行泄露。

除此之外，企业用户还面临来自垃圾邮件、广告、举报、不正当扩散信息等诸多方面的安全威胁，由此可见邮件面临着巨大的安全挑战。而为了应对这些威胁和挑战，各网络安全企业也不断推出新产品和解决方案。

杨明非表示，目前国内的邮件安全防御思路主要停留在第二阶段，其产品主要用来进行垃圾邮件防护、杀毒、归档等防外不防内的传统领域，其重点主要放在使用各种威胁情报资源层面，并没有从核心技术出发，在人工智能、内容分析引擎等方向投入较少，整体缺乏创新性，技术陈旧。反观邮件安全国际市场，头部厂商的产品已经将人工智能引擎、深度内容分析的引擎加入其中。

发力邮件安全 挺进Gartner《2020全球邮件安全市场指南》

为了改变邮件安全的现状，缩小与国际主流邮件安全产品间的巨大差异，天空卫士在两年前开始发力邮件安全，作为一家以DLP产品为起点的安全企业，天空卫士在第一版DLP产品中就加入了邮件DLP功能，在具备深度内容识别能力的DLP引擎加持下，天空卫士在邮件安全领域有着先天的优势。

经过数年的摸索锻造，天空卫士邮件安全解决方案终获国际市场认可：前不久Gartner针对邮件安全领域发布了《2020全球邮件安全市场指南》，Gartner在全球范围内精选了5家有区域代表性企业，而天空卫士作为亚太区唯一入选供应商名列其中。

天空卫士的邮件安全网关有着怎样的魅力能够获得Gartner的青睐?相较于国内其他邮件安全企业来讲，其产品有着哪些优势?对此杨明非做了详尽的解读。

首先，天空卫士的ASEG邮件安全网关与DLP引擎进行了高度整合，可以实现邮件的双向防御。

其次，天空卫士ASEG邮件安全网关完美融入了人工智能技术，相较传统的邮件安全产品来讲，其在行为分析、数据内容分析等方面有着更为强大的分析能力和威胁处置能力，譬如在行为分析系统判断到人员安全风险值较高时，能够将该人的邮件送领导审批，或者直接进行阻止、隔离、加密等不同的处理方式。

最后，邮件安全网关作为天空卫士整体解决方案的一部分，其能够与Web安全、终端、应用程序等多方面的数据内容安全与威胁防护平台协同配合，一方面输出实时的安全事件数据，另一方面能实时阻止一些安全事件的发生。

从整体上讲，天空卫士的邮件安全防护系统已经脱离单纯的垃圾邮件、病毒防护等传统领域，而进入新一代基于Gartner CARTA概念的融合与持续风险信任分析的防护体系。

由此看来，天空卫士的邮件安全产品能够入选《2020全球邮件安全市场指南》绝非偶然，相较于传统的邮件安全产品来讲，天空卫士的邮件安全产品完成了第二阶段向第三阶段的进阶，将DLP和AI技术完美融入其中，与天空卫士其他数据内容安全产品一同构建企业的整体数据安全保护平台。

邮件安全防护体系仍在逐步推进

“邮件作为重要的通讯手段，是企业内外部沟通的重要数据传输通道，而传统上邮件的安全体系并没有太多的安全手段，因此，在新的替代技术出现之前，邮件的安全将继续是修修补补的状态，所以邮件安全的方方面面会变得非常的细碎。”在提到邮件安全未来的发展趋势时，杨明非如是说。

他提到，Gartner在今年的十大安全项目中，已经将DMARC(DMARC 是 “Domain-based Message Authentication, Reporting & Conformance” 的缩写。它用来检查一封电邮是否来自所声称的发送者)项目放在了其中之一，DMARC主要用于品牌保护，防止企业的邮件、域名等被冒用，但也需要多方共同开启才能达到目的，但各企业的管理能力、手段不一致，可能很难达到目的，但总有一部分开始动起来，因此整个邮件安全的防护体系是在逐步推进过程中的。

针对市场未来的发展走向，对于邮件安全的下一步发展规划天空卫士也做了相关布局。杨明非表示，未来天空卫士要继续加强邮件安全产品与其他产品之间的互操作性，使Web安全、终端安全等，通过标签、水印等多种技术实现技术互通，从而对威胁进行更准确的判断;而随着用户在云端的大规模应用，天空卫士未来将加强云端服务，将安全能力加入到云服务中，从而与云邮箱实现安全对接。同时加强企业服务也是重中之重，未来天空卫士将提供邮件安全意识教育等课程，从提高员工的安全意识入手，进一步加强企业的邮件安全防护能力!

 

天空卫士入选Gartner《2020邮件安全市场指南》，成为亚太区入选企业！

2020-10-22

 

近日，国际权威分析机构Gartner针对邮件安全领域发布了《2020邮件安全市场指南》 （2020年 9月 8日 - ID G00722358）。

天空卫士公司的高级安全邮件网关（ASEG）继数据防泄露（DLP）进入市场指南后，再进一步，被选为了区域安全邮件网关（SEG）的代表性供应商。Gartner在全球范围内精选了5家有区域代表性企业，天空卫士作为“中国制造”供应商，很荣幸地位列其中，且是亚太区入选供应商。

Gartner邮件安全市场指南从：战略规划、市场定义、市场描述、市场方向、市场分析和代表性供应商介绍的维度，剖析了目前邮件安全市场面临的局面，为企业决策人员和信息化设计者提供了深度建议。

据Gartner发布的报告：在网络钓鱼攻击事件频发且攻击成功率明显上升、企业逐渐向云迁移的大环境下，需要重新评估邮件的安全控制手段和流程，调整现有的解决方案，以适应不断变化的安全态势。在刚刚举办的Gartner安全全球峰会上，更是将邮件安全DEMARC建设列入2020-2021年十大安全项目。

邮件安全是指为邮件提供攻击防护和访问保护的预测、预防、检测和响应框架。邮件安全跨越网关、邮件系统、用户行为和各种支持流程、服务和相邻的安全体系结构。有效的邮件安全性不仅需要选择正确的产品，具备所需的功能和配置，而且还需要有正确的操作程序。

邮件威胁已经复杂化:

-面对URL攻击（以链接的形式指向不明工具包或者钓鱼网站）

-邮件附件攻击

-BEC或盗取凭证为目地的钓鱼攻击

常见的邮件安全技术难以防范。特别需要指出的是邮件仍然是针对性和非针对性攻击常见的渠道，也是数据泄露的重要通道。

天空卫士的邮件安全网关以“从内向外”、“从外向内”以及“内部流转审计”三个维度，实现智能感知、智能防护和智能联动。

1.电子邮件的外发数据安全防护：

在邮件外发场景中，企业需要重点关注“敏感数据泄露”，“账号劫持”，“APT攻击回传”等重点场景，这些场景下，内部的敏感数据会通过邮件这个跨越外部和内部网络的通道泄露出去，对企业造成无可估量的损失。

ASEG无缝集成了业界领先的数据防泄露模块，和文档标签识别技术，可以使用多种部署模式对企业外发邮件进行内容审计和管理；ASEG集成的企业级数据防泄露引擎采用深层内容分析技术，可以对Email通道中传输中的数据进行识别、监控、隔离等，预置了超过300种数据模板、识别500多种文件类型，采用先进的自然语言处理、指纹扫描、智能学习、图像识别、数据聚类等技术，对企业的邮件内容和附件进行全方位多层次的分析和保护，防止企业核心数据通过邮件方式流出而泄密，也可以根据用户指定的标准在敏感邮件离开企业环境之前进行加密、审批、多级审批等多层防护机制。

发送邮件时企业的邮件服务器会将外发的邮件投递给ASEG经过垃圾、病毒、DLP数据防泄露检测以后再投递至外网，并根据用户设置的策略执行相应的动作；同时企业员工可以登录PEM管理平台查看个人被拦截的邮件，并对邮件进行管理。

2.接收电子邮件的安全保护：

在邮件接收的场景中，企业需要重点关注“垃圾邮件防护”“APT攻击”和“BEC攻击”等问题。邮件系统作为APT攻击的常用入口，经常面临各种安全攻击行为。

天空卫士的高级邮件安全网关直接面向互联网，对投递给企业内部的邮件进行安全过滤。企业外部投递给企业的邮件时会先经过ASEG的DBL、RBL、DEMARC、DKIM、防病毒、反垃圾、反欺诈、防恶链、深度内容分析、图片内容提取识别、自定义安全检测等一系列安全分析和处理以后再投递给内网的邮件服务器。保障内部员工在干净，无垃圾邮件骚扰的环境下办公。

同时，天空卫士还提供了邮件系统的安全运行维护平台，使用户可以及时反馈垃圾邮件、病毒、恶链、误拦、漏拦等相关信息，并可获得天空卫士安全运营中心的快速响应。

3.邮件内部流转的安全审计

在企业的业务流程中，业务工作流紧密依赖于企业化邮件系统，因此在内部往来的邮件中包含敏感数据的可能性极高，所以，企业电子邮件系统也就成为了一个重要的监管对象。而实际环境的邮件系统运行过程中，不可避免的存在以下安全风险：

-内部传输电子邮件系统内是否存在重要敏感数据不得而知；

-传统邮件的海量日志，对于泄密事件发生后无法准确溯源，且无法通过反查提供具备法律效力的证据；

-对于人员离职或者职务审计，无法对海量的累积邮件进行有效的内容合规检查；

-内部机密信息通过邮件外发或向内部低密级人员的传输不可控；

天空卫士ASEG可以将将相关的审计记录直接记录在后台管理平台中，随时进行追溯审计，也可以将所有的邮件内容都保存到指定的外置存储中，在出现风险事件时对于存储下来的邮件内容进行快速的反查和检索和定位。

天空卫士高级邮件安全网关凭借着高效防护能力和稳定的运营效果，为广大客户服务并得到Gartner分析师的高度认可。在实际运行中，也被多家大型企业进行大规模部署用于全面保护高度敏感的企业邮件系统。