一、背景

电子邮件作为互联网早期应用之一，目前仍在广泛应用，如在招聘、采购、以及正式的商务交流等过程中仍发挥巨大的作用，但伴之而来的恶意邮件又严重地影响到个人及单位的网络安全工作，给单位和个人都造成了严重的损失。

钓鱼邮件是黑客经常采用的手段之一，黑客利用钓鱼邮件进行网络安全攻击的案例比比皆是。如针对韩国平昌冬奥会APT攻击的Hades黑客组织、针对我国沿海及重要交通目标进行定向攻击的蓝莲花黑客组织、以及针对我国及巴基斯坦重要目标进行定向攻击的蔓灵花黑客组织等，均使用钓鱼邮件作为重要的渗透攻击手段，一旦有人中招，黑客借助被控制的“肉鸡”进一步对内部网络进行渗透攻击，从而入侵重要信息系统。

除钓鱼邮件外，垃圾邮件也是网络安全工作的顽疾，垃圾邮件主要危害如下：通过垃圾邮件可以快速占用完邮件空间，导致正常邮件无法接受；发送大量的垃圾广告邮件进行商业推销，诱导消费；发送不良信息，影响社会治安和国家安全。

恶意邮件已严重影响到国家舆情安全、企业网络安全、个人隐私安全，因此亟需对恶意邮件进行防范和处置。

二、恶意邮件防范及处置工作思路

针对恶意邮件防范及处置工作，主要思路如下：

1、开展网络安全意识培训

通过调研和相关网络安全事件调查发现，恶意邮件之所以能够被成功利用，主要是相关人员网络安全意识不足，特别是当黑客编造一些诱惑性或者与具体工作相关的邮件时，会极大降低相关人员的警惕性，从而打开恶意邮件导致自己的计算机被黑客远程控制。

通过开展网络安全培训，加强相关案例宣传教育，提升网络安全意识，可以大幅减少恶意邮件攻击的成功率，从而提升单位的网络安全防护水平。

2、编写电子邮件安全使用管理制度

通过开展网络安全意识培训，使相关人员了解到恶意邮件防范的必要性，从而可以更好的配合开展恶意邮件整治工作，具体工作如下。

（1）开展电子邮件梳理工作，减少攻击入口：通过对相关部门调研，梳理各部门对电子邮件的应用情况，除工作需要外，尽量减少公布到互联网的邮件地址，减少黑客攻击入口。

（2）明确相关部门的邮件使用需求，为编写电子邮件使用管理制度和技术检测工作制定安全策略奠定基础。

（3）根据调研结果以及网络安全相关规定编写电子邮件使用管理制度。

（4）对电子邮件使用管理制度进行宣贯以及效果评估（根据监测数据进行效果评估）。

3、加强技术检测手段建设

针对恶意邮件的技术检测手段主要有三个方面：

（1）落实终端恶意代码检测工具部署工作，通过用户终端部署的杀毒软件进行邮件中恶意附件的检测。

（2）优化邮件网关服务器的安全配置，加强对邮箱暴力破解、发送异常、异常登陆等问题的监测。

（3）部署基于流量的恶意邮件检测系统，实现对垃圾邮件、钓鱼邮件的检测（利用该系统也可实现对电子邮件使用管理制度的实施效果进行评估）

三、恶意邮件检测系统技术原理

恶意邮件检测系统通过对网络流量中邮件协议进行还原，对相应的数据包进行：垃圾邮件检测、恶意附件检测。具体原理如图所示。

针对恶意附件检测原理，如下图所示。

针对恶意邮件URL的检测原理，如下图所示。

针对垃圾邮件的检测原理，对垃圾邮件主要通过垃圾邮件指纹库、邮件正文关键字识别、邮件内容智能识别等技术。

四、注意事项

电子邮件最终是需要用户进行查看，在进行恶意邮件防范时，最重要的因素还是个人的网络安全意识问题，同时恶意邮件防范也是网络安全保护工作的重要一环，以下两个案例比较具有代表性，希望能引起关注。

1、不打开邮件，计算机就不被恶意邮件感染吗？

Foxmail早期版本存在一个严重的安全漏洞，由于From字段存在溢出漏洞，只要使用Foxmail接受黑客构造的恶意邮件（不用打开邮件），就会导致个人计算机被黑客远程控制。这个案例说明要加强邮件应用的安全检测，及时修补漏洞，同时部署杀毒软件，加强恶意程序的检测及处置。

2、利用沙箱是否就能对所有恶意附件进行检测？

在黑客进行钓鱼邮件攻击时，经常会对恶意附件进行加密压缩处理，并在邮箱正文中给出加压密码，但是沙箱不能自动对加密压缩的文件进行解压缩验证，导致无法识别。这就需要加强人员的网络安全意识培训，提高对这类邮件的警惕性，防止中招。