本文主要围绕电子邮件安全，针对电子邮件攻击手段及其危害，讲解电子邮件的安全措施以及相关安全行为的规范和建议。

电子邮件基本原理

一、电子邮件基本组件

MUA：邮件使用者代理人。MUA一般指的是我们平时用来收发邮件的一个工具，它的功能就是用来收发邮件服务器上的邮件。最常见的如微软的outlook、Foxmail等等；

MTA：邮件传输代理。指的是一般含义上的邮件服务器，也就是邮件传送代理人，它的主要功能包括：发送邮件，接收来自于外部的邮件，还可以让使用者撤回邮件；

MDA：邮件递送代理。它属于邮件服务器的一部分，能够将MTA收到的邮件，按照一定的流向放置到本地账户的收件箱中去；另外一方面，如果邮件的流向是本机，它还有邮件分析过滤的功能，从而去过滤一些很显著的垃圾邮件；

Mailbox：收件箱。 邮件主机上面的一个目录，供某人专用的邮件的接收处。以unix为例，系统管理员root默认的信箱位置位于/var/spool/mail/root，当MTA收到发送给root的邮件，就会把这封邮件放到这个目录下面。

电子邮件收发协议

1、电子邮件发送使用SMTP协议，它是发送邮件的协议，使用25号端口工作发信时，MUA会主动连接邮件服务器的25号端口，和邮件服务器展开会话，从而去发信。

2、当MTA转发邮件时，会经由下一个MTA的25号端口，通过SMTP协议将信转发出去。

3、POP3协议和IMAP协议,都是用于收邮件的协议，POP3使用110端口，IMAP使用143号端口。收信由MUA通过POP3、IMAP协议连接到MTA使用者的收件箱，MUA经由MTA的110\143号端口，将信件由MTA的收件箱收到本地的MUA上。

以发送邮件为例，一个本地用户，要发邮件给远端用户，这时候本地用户要去调用本地服务器的MTA的25号端口去发送邮件，如果这邮件是发给同一个域名的收件人的话，那么就由MDA将邮件直接送到本机其他收件人那里。 如果这封邮件是发送给外部远端用户的，那么会由本地服务器的MTA通过25号端口将当前的这封邮件送到远端收件人邮箱服务器的25号端口，远端服务器的25号端口接收到这封邮件之后，会再把这封邮件由远端服务器的MDA送到本地的用户的收件箱。远端用户要查看有没有新的邮件时，就由自己的MUA通过POP3或者IMAP协议去连到远端服务器的MTA的110或者143号端口，然后去收件箱目录里查收有没有邮件，这就是一个完整的发送邮件与接收邮件的一个过程。

常见电子邮件攻击的手段及其危害分析

由于SMTP、POP3或者IMAP这些协议，设计之初只考虑了使用的便利性和功能性，并没有考虑到安全性的一个问题，就出现了各种各样新兴的信息安全攻击的手段。那么针对我们的电子邮件，它有哪些常用的攻击手段？

1、窃听攻击

我们以漫画的形式展现一个针对邮件的窃听攻击的场景。员工出差在外通过被黑客破解了的无线路由器连接网络，但黑客在无线路由器上安装了间谍软件，或者嗅探工具，去对无线网络里面的数据进行抓包。如果员工给客户发的邮件没有加密，又被黑客在局域网里面通过抓包的方式，窃取了这封邮件的信息，那么这时候就造成了客户信息的泄露。

安全建议：为了防止针对邮件的窃听攻击，我们不要通过不可控的网络传输敏感的邮件；收发邮件的时候，要确保传输通道是加密的，对附件实施加密，通过微信、短信或者打电话等其他的不同的传输渠道告知密码，确保传输信息的安全。

2、钓鱼邮件

公司职员某一天下午突然收到了公司CEO邮件，要求整理一份新的电子版通讯录，把各个部门的人员电话等机密信息都要标清楚。同时该员工下午又收到一封邮件，称公司的OA办公自动化系统自运行以来已经不断的优化完善，为了提高办公的效率，公司的邮箱系统计划于即日起开始迁移，请您务必提供您的个人信息、邮箱密码等等，以协助公司邮箱的迁移。

安全建议：遇到这种索要敏感信息的邮件，要保持警惕、保持冷静，提高警惕。 如果不确认的话，第一时间主动联系公司的安全管理员或发件人，确认他有没有发过这封邮件，这个意识可以纳入到员工的信息安全意识培训里面，从而去提高员工的安全意识。

3、附件病毒

邮件安全是最脆弱，但是最值得关注的领域。由于公司有防火墙、杀毒软件、入侵检测软件、入侵防御软件、日志分析的工具、还有审计等等，黑客想通过技术手段去攻击非常难，但是往往黑客可以找一种折中的方法，比如通过一封邮件，里面包含一个恶意的链接发到公司员工的邮箱，员工如果不小心点开了包含恶意代码的链接，远程下载了恶意的软件，再进而感染内网，这种攻击方式成本非常低，且很容易成功，通过很简单的一份邮件就成功渗透进公司内网。

安全建议：确保自己的邮件客户端禁止访问可执行的文件，要认为所有类型的文件都可能存在病毒，必须要安装杀毒软件，但不要完全依赖防病毒软件。

4、勒索病毒

勒索软件病毒是一种特殊的病毒，一旦双击某个文件中勒索软件病毒，那么所有的文件后缀全部变成了勒索软件病毒的一种特定的格式，利用特定的加密程序去进行加密。加密之后就再也打不开这些文件，这时候页面会弹出来一个对话框，提示想要去查看这些文件的话，需要支付比特币，才能恢复文件。
以下是勒索病毒与一般恶意程序的区别。

安全建议：第一是增强员工的安全意识，遇到这种可疑的附件不能轻易点开。另外一方面我们需要及时将服务器上的文件备份，轻易不要放在自己本地的硬盘里面，要放到公司的文件服务器上，因为文件服务器它具有更高的一个安全防护，也会经常去做备份。

我们的手机也会有专门针对特定的手机系统的勒索病毒。

5、恶意链接

勒索软件病毒可以通过邮件的形式，使用者双击打开邮件之后被感染，但邮件里面还可能会包含恶意链接。一旦点开之后，可能会从远端在本地静默下载木马或者间谍软件，从而让电脑中招。

安全建议：遇到索要敏感信息的邮件，我们要保持冷静，提高警惕。如果对于邮件所说内容不知情，请勿点击链接，直接打电话向发件人确认；要设置默认浏览器为非IE内核浏览器。

电子邮件安全措施

面对电子邮件可能会遭受到的威胁，那么我们应该怎么样才能对电子邮件进行安全的防护呢？

1、通过识别发信人的身份实现强制的问责；

2、增强员工安全意识的培训；

3、通过邮件加密的技术防窃听，对邮件进行加密。

电子邮件安全行为规范建议

1、部署安全的邮件网关

2、采用SPF等技术验证发件人的身份

3、员工安全意识培训