根据互联网犯罪投诉中心（IC3）的数据，2019年，全球企业因为电子邮件泄密造成的损失超过了19亿美金。所以防止企业的电子邮件泄密非常重要，这里有十四条小技巧，大家可以参考一下：

保证桌面的电子邮件终端和Web的电子邮件终端的版本是一样的

桌面的电子邮件终端和Web的电子邮件终端如果不一样，比如桌面装了Outlook2000，Web端使用最新的Office365，可能导致一些很隐蔽的问题，比如攻击者会利用较低版本的终端没有支持的规则进行攻击，这种攻击很隐蔽，很难发现。

注意对方电子邮件账户的突然更改

一直与你在通信的供应商给你发一封关于财务问题的邮件，但是他的电子邮件账户和原来与你一直联系的不一样（包括发邮件的平台和邮件地址等，反正与原来不一样的），你就要注意这个是否钓鱼邮件。要通过其他渠道（比如打电话、微信等）和这个供应商确认一下。

检查电子邮件的细微差别

如果电子邮件中包含有I或者1这种很容易混淆的字母，就要特别注意是不是钓鱼邮件，要注意邮件的内容是否有什么异常，比如要求你提供财务信息之类的。最好将信任的电子邮件都保存起来，如果电子邮件不在你的信任列表，你就要特别注意，这样你就可以知道是否别人用了这些容易混淆字母的电子邮件进行钓鱼。

对所有的电子邮件账户启用多因素认证

重要事情说三遍，只靠用户名和密码是不能保证电子邮件的安全的，因为这种是静态密码，可以被撞库，可以被暴力破解。所以多因素认证才是比较靠谱的。因为就算密码被撞库了，但是攻击者同时拿到你的其他认证手段的概率基本为零。比如你的手机验证码，你手机的OKA软件产生的Token或者你的指纹等生物信息。

禁止把电子邮件自动转发或者回复到外部地址

根据对以往的电子邮件泄漏案例进行回溯发现，转发规则只在Web的客户端生效，而在桌面的客户端不可见。如果你曾经设置了自动转发规则，请再次确认。因为有很多这样的案例，Microsoft Office365已经默认阻止了出站邮件转发。

监控电子邮件服务器的更改

经常检查特定账户的配置和更改。如果在AWS上可以使用Config来监控更改，一旦发生更改，就会收到告警甚至阻断更改。任何更改最好都要走合规的流程，都要经过审批，并且经得起审计。

标记出回复时电子邮件和收到时的电子邮件的差异的情况

根据攻击案例的回溯，会发现有些攻击案例的回复时的电子邮件和收到的原始电子邮件不一样。我们需要给这些异常设置一个标志，比如一个惊叹号，提醒员工这个可能是钓鱼邮件，请审慎处理。你也可以设置DKIM，拒绝处理与原始邮件服务器的域不匹配的邮件。

给外部来的邮件添加醒目标志

现在很多公司都会给外部来的邮件打上标签，如Outlook就会给外部邮件的邮件标题自动打上[来自外部]的标签头，提醒员工注意风险。这个是很有用的小技巧。

检查那些支持的旧邮件协议

旧邮件协议，如POP3，SMTP和IMAP等，比较容易收到攻击。而这些旧邮件协议不支持多因素认证，很容易导致多因素认证被绕过，这样会导致撞库的风险。

在日志里记录邮箱登录的信息和设置更改的信息，并且保留这些日志至少90天

日志和监控很容易被忽略，但是现在无论是OWASP Top 10 2017，还是OWASP Serverless Top 10，或者OWASP API Top 10，都提到了缺乏的日志和监控这个风险。所以我们要重视日志和监控，将诸如邮箱登录、邮箱权限更改、邮箱设置更改地重要操作记录到日志中，并且把这些日志同步到Splunk或者S3等服务中，防止日志在本地被攻击者更改而失效。

启用阻止恶意邮件的功能

我们要重视这个阻止恶意邮件的功能，并且正确的设置这个功能，让它真的起效果。对于Office365的设置，可以参考IT Promentor的介绍。

鼓励员工质疑可疑的转账请求

当员工突然收到某号称管理层的人的所谓十万火急的转账请求的时候，员工需要和真正的管理层通过其他渠道确认，比如电话、微信等。我们的流程应该支持和鼓励员工这种行为，管理层不仅不能处罚这些质疑的员工，认为他们不听话，还应该奖励这些员工。因为正是他们的质疑避免了公司的财务损失。

为电子邮件的可疑行为设置警报

如果使用Office365，你就可以为电子邮件的可疑行为设置警报。如果不是使用Office365而是其他电子邮件工具，也应该咨询供应商是否有这个功能，并且要求打开这个功能。如果实在没有这个功能，那么应该提醒员工任何可疑行为都要二次确认，比如通过电话或者微信的渠道确认。

举报欺诈行为

向互联网违法与不良信息中心（12377）举报欺诈行为。确保当局能够知道有欺诈行为并进行记录。即使没有办法直接帮助你，当局还可以通过大数据分析这些欺诈行为并做出处理。任何微小的欺诈行为都不应该被放过。记住，放过坏人就是祸害好人。