電子郵件仍然是犯罪分子用來攻擊公司的最容易利用的攻擊媒介之一。一個員工打開電子郵件中的惡意鏈接就足以讓黑客繞過所有網(wǎng)絡防御，這就是為什么防止基于電子郵件的威脅應該是重中之重的原因。

本文涵蓋了15 種有效但易于實施的電子郵件安全最佳實踐，您應該遵循這些最佳實踐來提高電子郵件安全性。我們還介紹了您的員工可能面臨的最常見的基于電子郵件的威脅，因此請繼續(xù)閱讀以了解如何讓潛在的黑客遠離您公司的收件箱。

最佳電子郵件安全實踐

以下是您應該遵循的最有效的電子郵件安全最佳實踐列表，以提高一般網(wǎng)絡安全并確保您的員工已準備好應對基于電子郵件的威脅。

使用強電子郵件密碼

密碼越容易猜到，就越有可能有人會破壞電子郵件帳戶。

即使您不依賴“123456”或“password123”之類的密碼（不幸的是，有太多人這樣做了），黑客也可以使用頂級暴力攻擊工具，甚至可以破解中等復雜的密碼。例如，像“Pa$$word2211991”這樣的密碼可能看起來很安全，但高端工具可以在一分鐘內(nèi)破解該密碼。

貴公司的每個員工都應該為他們的電子郵件帳戶設置一個可靠且唯一的密碼，以防止暴力攻擊（或有人簡單地猜測密碼）。可靠的密碼應該：

• 至少有 12 個字符。
• 依賴大小寫字母、數(shù)字和特殊符號的混合。
• 隨機且獨特。
• 不包括常用短語。
• 不包含任何個人信息（家庭成員或?qū)櫸锏男彰⒐尽⒊錾亍⑸栈蚝诳涂梢酝ㄟ^谷歌搜索您的姓名或在社交媒體上進行間諜活動發(fā)現(xiàn)的任何其他信息）。

準備網(wǎng)絡釣魚電子郵件

網(wǎng)絡釣魚電子郵件試圖誘騙其中一名員工提供有用的信息或單擊惡意鏈接。攻擊者通常使用網(wǎng)絡釣魚將目標騙入：

• 下載惡意軟件。
• 提供敏感數(shù)據(jù)（通常是登錄詳細信息）。

網(wǎng)絡釣魚策略是犯罪分子用來利用電子郵件的最常見的社會工程方法之一。一些標準策略包括：

• 假裝是服務提供商，并要求目標通過指向虛假網(wǎng)站的鏈接“登錄”。
• 強加上級并要求提供敏感數(shù)據(jù)。
• 假裝是安全團隊的一員，并要求受害者“更新”他們的一個密碼。
• 發(fā)送帶有隱藏程序的惡意文件的電子郵件。

不幸的是，沒有辦法阻止網(wǎng)絡釣魚電子郵件。您的員工一定會不時收到一份，這就是為什么教育員工是保護您的公司的主要方式。

防止網(wǎng)絡釣魚的黃金法則是不要回復、單擊鏈接或打開看起來可疑的電子郵件中的附件。員工在與電子郵件交互之前應使用常識，并且必須能夠：

• 識別可疑文件和鏈接。
• 評估消息中請求背后的原因。
• 檢查發(fā)件人的地址。
• 評估電子郵件的一般狀態(tài)（語法、業(yè)務背景、語氣、缺少電子郵件簽名等）。

您還可以運行定期網(wǎng)絡釣魚模擬，以保持員工警覺并測試他們在現(xiàn)實生活中識別可疑電子郵件的能力。

使用 2FA 驗證電子郵件登錄

雙重身份驗證 (2FA) 要求員工除了輸入用戶名和密碼外，還需要提供額外的憑據(jù)。另一個驗證因素增加了一層額外的防御，是抵御暴力攻擊和密碼破解的重要手段。

除了提供用戶名和密碼外，2FA 還要求員工提供以下一項（或多項）：

• 獨特的物品（令牌、卡片等）。
• 通過短信、電子郵件、語音電話或基于時間的一次性密碼 (TOTP) 應用程序收到的 PIN。
• 生物特征數(shù)據(jù)（眼睛、指紋、面部或語音掃描）。
• 在移動設備上生成的條形碼。
• 確認用戶當前正在嘗試登錄的手機提示。

即使攻擊者竊取了您一名員工的電子郵件憑據(jù)，使用 2FA 也將阻止入侵者登錄電子郵件帳戶。

幸運的是，部署 2FA 并不像聽起來那么技術性。大多數(shù)電子郵件平臺默認提供雙重身份驗證，因此沒有理由不使用 2FA 來保護公司的收件箱。

培訓員工如何處理電子郵件附件

攻擊者通常使用電子郵件附件來隱藏將惡意軟件注入系統(tǒng)的可執(zhí)行文件或程序。在打開附件之前，請教育您的員工問自己以下問題：

• 發(fā)件人是我組織內(nèi)的人還是我可以信任的人？
• 此類附件的格式是否正確（注意.exe（可執(zhí)行程序）、.jar（Java 應用程序）和.msi（Windows 安裝程序））？
• 電子郵件本身是否提及有關附件的任何內(nèi)容？
• 我期待這個電子郵件附件嗎？
• 發(fā)件人的地址是否合法？
• 附件背后的人是否定期發(fā)送您的電子郵件？

如果有絲毫的懷疑，員工不應該打開附件。相反，他們應該首先與發(fā)件人確認內(nèi)容，以確保電子郵件是真實的。

您還可以使用端點電子郵件安全來幫助您的員工與惡意文件作斗爭。這些工具包括掃描電子郵件內(nèi)容以查找危險鏈接和附件的反惡意軟件和病毒程序。

確保員工永遠不會從公共 Wi-Fi 訪問電子郵件

如果您允許員工將辦公設備帶回家或從個人設備打開工作電子郵件，您必須確保員工不會通過公共 Wi-Fi 訪問電子郵件。

網(wǎng)絡犯罪分子只需要基本技能來發(fā)現(xiàn)通過可公開訪問的 Wi-Fi 傳輸?shù)臄?shù)據(jù)，因此敏感數(shù)據(jù)和登錄憑據(jù)都處于危險之中。

員工只有在對網(wǎng)絡安全有信心時才應該訪問他們的電子郵件。一個更安全的選擇（盡管不如僅在使用辦公室 Wi-Fi 時打開電子郵件安全）是使用移動互聯(lián)網(wǎng)或互聯(lián)網(wǎng)加密狗在辦公室外使用。

定期更改密碼

最簡單（也是最有效）的電子郵件安全最佳實踐之一是確保員工定期更改密碼。你應該：

• 確保每位員工每 2 到 4 個月?lián)碛幸粋€新的電子郵件密碼。
• 使用設備強制更改密碼，而不是讓員工更新憑據(jù)。
• 防止員工在當前密碼中添加一兩個字符來創(chuàng)建新密碼。
• 防止員工使用他們過去已有的密碼。

當然，每個新密碼都應遵循強密碼短語的標準規(guī)則（大小寫、數(shù)字、符號等的混合）。

永遠不要在電子郵件中泄露個人信息

如果一封電子郵件要求您提供任何個人信息（生日、社會保險號、信用卡號、密碼），則該郵件很可能是騙局。

如果電子郵件要求提供私人信息，您應該通過在線查找相關公司的聯(lián)系信息來致電相關公司，而不是按照電子郵件中的說明進行操作。您很可能會發(fā)現(xiàn)公司對電子郵件一無所知，他們會警告您不要通過電子郵件發(fā)送私人數(shù)據(jù)。

永遠不要回復詐騙者和垃圾郵件發(fā)送者

一些員工喜歡回復網(wǎng)絡釣魚電子郵件和垃圾郵件，但您應該確保員工不會回復詐騙者。

向詐騙者或垃圾郵件發(fā)送者發(fā)送回復可驗證您的電子郵件地址是否有效。雖然沒有直接的危險，但讓詐騙者知道您使用該地址會為未來的更多攻擊打開大門。

培訓員工檢查電子郵件 URL

另一個簡單但有效的電子郵件安全最佳實踐是培訓員工在收到電子郵件中的鏈接時檢查 URL（尤其是當郵件來自不熟悉的來源時）。

在單擊 URL 之前，員工應將鼠標懸停在鏈接上。如果地址不包含 HTTPS 擴展名，則該 URL 可能不會導致安全網(wǎng)站。詐騙者經(jīng)常試圖引誘受害者點擊指向惡意軟件下載頁面的鏈接。這些不安全的網(wǎng)站通常具有 HTTP 擴展名。

此外，該 URL 可能看起來像一個熟悉的鏈接，但真的是這樣嗎？例如，詐騙者可以替換一個域字母以欺騙員工認為該 URL 是合法的（例如 goggle.com 而不是 google.com）。

不要跨帳戶重復使用密碼

每個員工的每個帳戶都應該有一個唯一的密碼。他們的電子郵件密碼不應與他們用于其他目的（后端登錄、工具憑據(jù)、HR 軟件密碼等）的任何密碼相匹配。

密碼之間的匹配也適用于私人賬戶。例如，工作人員的 Facebook 或銀行帳戶密碼不得與其工作電子郵件憑據(jù)相同。這樣，如果銀行的憑據(jù)曾經(jīng)是數(shù)據(jù)泄露的一部分，您公司的電子郵件帳戶就不會處于危險之中。

由于為每個帳戶設置唯一密碼是最繁瑣的電子郵件安全最佳實踐之一，因此您應該使用1Password或LastPass之類的密碼管理工具。這些平臺會自動創(chuàng)建復雜的密碼并將其存儲起來，而員工只需記住一個主密碼。

使用垃圾郵件過濾器

大多數(shù)電子郵件服務提供商都有內(nèi)置的垃圾郵件過濾器。過濾器有助于：

• 將合法電子郵件與惡意郵件分開。
• 降低網(wǎng)絡釣魚和垃圾郵件的可能性。
• 保持收件箱整潔且更易于管理。

作為一個額外的好處，垃圾郵件過濾器可以減少電子郵件的數(shù)量。員工在瀏覽收件箱并對可疑郵件發(fā)出警報時會更加專注。

雖然大多數(shù)人將垃圾郵件與廣告沖擊聯(lián)系起來，但垃圾郵件也可能包含惡意軟件，甚至更糟糕的是，勒索軟件。如果垃圾郵件過濾器阻止勒索軟件電子郵件進入員工的收件箱，那么打開該功能是值得的。

防止員工將商業(yè)電子郵件用于私人目的（或反之亦然）

員工應僅將企業(yè)電子郵件用于與公司相關的問題和更新。員工沒有理由：

• 將電子郵件用于私人目的（例如訂閱時事通訊、制作游戲帳戶等）。
• 將與工作相關的內(nèi)容發(fā)送到私人電子郵件地址。
• 使用專業(yè)的電子郵件在線購物。
• 使用該地址交換個人信息。
• 在網(wǎng)上任何地方（社交媒體、論壇、聊天室等）發(fā)布地址。

每當員工分享他們的電子郵件時，他們都會增加地址落入壞人之手的機會。黑客掃描公共網(wǎng)站以收集他們稍后出售或定位的信息，因此每次暴露地址都會增加風險。

阻止員工將與工作相關的內(nèi)容發(fā)送到私人電子郵件的另一個原因是，任何入侵個人地址（可能不像公司電子郵件那樣受到保護）的人都可以訪問員工從公司地址發(fā)送的任何內(nèi)容。

讓員工了解電子郵件安全的價值

教育員工而不是僅僅執(zhí)行電子郵件安全最佳實踐至關重要。如果沒有建立意識，員工可能會認為對復雜密碼和嚴格規(guī)則的要求是毫無意義和不公正的。

您應該組織強制性的電子郵件安全意識會議，解釋：

• 所有相關的電子郵件安全最佳實踐。
• 基于電子郵件的攻擊的最新趨勢。
• 如何識別網(wǎng)絡釣魚的跡象。
• 僅將工作電子郵件用于與工作相關的目的的重要性。
• 如何檢查電子郵件地址。
• 合法和非法電子郵件請求的特征。
• 如何創(chuàng)建強密碼。
• 員工可以在哪里找到公司的電子郵件和密碼相關政策。
• 員工應如何對可疑電子郵件作出反應。

無論您部署多少安全措施，垃圾郵件和網(wǎng)絡釣魚電子郵件偶爾都會漏掉。當他們這樣做時，您的員工對電子郵件威脅的理解是決定入侵嘗試失敗和成功的關鍵。

確保員工在一天結(jié)束時退出電子郵件帳戶

另一個有效但簡單的電子郵件安全最佳實踐是確保員工在工作日結(jié)束時退出其電子郵件平臺。您可以鼓勵員工自行注銷，也可以使用電子郵件平臺在特定時間自動讓每個人注銷。當員工使用不熟悉的設備或網(wǎng)絡檢查他們的電子郵件時，這種做法很有用。

使用電子郵件加密

每封電子郵件都有被攻擊者攔截或發(fā)送到錯誤地址的風險。您可以使用數(shù)據(jù)加密來應對這兩種威脅。加密會擾亂原始電子郵件內(nèi)容，并將消息變成無法閱讀的混亂。接收者可以使用唯一的解密密鑰來顯示文本，因此任何在途攔截或錯誤的接收者都不會導致數(shù)據(jù)泄露。

常見的電子郵件安全風險

不幸的是，不乏基于電子郵件的威脅。您可能遇到的一些最常見的電子郵件安全風險是：

• 社會工程電子郵件：?社會工程策略試圖贏得目標的信任以竊取信息。網(wǎng)絡釣魚是迄今為止最常見的基于電子郵件的社交策略。
• 帶有惡意軟件的電子郵件：這些電子郵件試圖將惡意軟件注入您的系統(tǒng)。攻擊者通常將惡意軟件“武裝”在附件中或受害者應該打開的虛假網(wǎng)站上。如果惡意軟件進入您的系統(tǒng)，攻擊者可以控制設備、竊取數(shù)據(jù)或設置間諜軟件。
• 垃圾郵件：垃圾郵件涉及各種不需要的郵件，這些郵件可能會在收件箱中塞滿廣告和木馬感染的郵件。由于全球大約 60% 的電子郵件流量是垃圾郵件，因此您不應忽視這一威脅。
• 勒索軟件：如果惡意電子郵件包含勒索軟件程序，則單個員工打開錯誤的電子郵件可以使攻擊者加密您的數(shù)據(jù)或設備。
• 僵尸網(wǎng)絡消息：受感染的電子郵件可以將您公司的設備變成僵尸網(wǎng)絡的一部分，用于以DDoS 攻擊為目標的其他受害者。
• 商業(yè)電子郵件妥協(xié) (BEC)：?BEC 是一種魚叉式網(wǎng)絡釣魚，其中黑客偽裝成公司的高級管理人員之一。

不幸的是，網(wǎng)絡攻擊（基于電子郵件和其他方式）在不斷發(fā)展，因此保持領先地位具有挑戰(zhàn)性。黑客可能非常聰明和富有創(chuàng)造力，因此保護您公司的收件箱需要跟上最新的威脅。