访问未经批准的网络邮件服务将被阻止。在执行此操作时,请务必通知已阻止的入站电子邮件的收件人以及被阻止的出站电子邮件的发件人以免发生这种情况。电子邮件服务器配置为阻止、记录和报告带有不当保护标记的电子邮件。指定电子邮件服务器时,将使用硬故障SPF记录。域名密钥识别邮件DKIM支持检测欺骗性电子邮件内容。收到的电子邮件上的DKIM签名经过验证。系统为所有域配置了DMARC记录,以便在电子邮件未通过SPF或DKIM检查时被拒绝。
电子邮件使用情况
电子邮件使用策略
使用电子邮件存在许多安全风险,这些安全风险经常被用户忽略。在电子邮件使用策略中记录这些安全风险和相关的缓解措施将告知用户在使用电子邮件时要采取的预防措施。
开发并实施了电子邮件使用策略。
网络邮件服务
当用户访问未经批准的 Web 邮件服务时,他们实际上绕过了电子邮件内容过滤控制以及可能已为组织的电子邮件网关和服务器实施的其他安全控制。虽然 Web 内容过滤控制可以降低某些安全风险(例如,某些形式的恶意附件),但它们不太可能解决与电子邮件相关的特定安全风险(例如,欺骗性电子邮件内容)。
访问未经批准的网络邮件服务将被阻止。
电子邮件的保护性标记
对电子邮件实施保护标记可确保对数据应用适当的安全控制,还有助于防止未经授权的数据被释放到公共领域。在这样做时,重要的是保护性标记反映了电子邮件的主题,正文和附件的最高敏感性或分类。
保护性标记应用于电子邮件,并反映主题,正文和附件的最高敏感性或分类。
保护性标记工具
要求用户参与电子邮件的标记可确保用户有意识地做出决定,从而减少错误标记电子邮件的可能性。此外,允许用户仅选择系统有权处理、存储或通信的保护性标记,可以减少用户无意中对电子邮件进行过度分类的可能性。这还有助于提醒用户系统允许的最大数据敏感性或分类。
电子邮件内容筛选器可能仅检查应用于电子邮件的最新保护标记。因此,当用户回复或转发电子邮件时,要求保护性标记至少与他们收到的电子邮件一样高,这将有助于电子邮件内容过滤器防止将电子邮件发送到无权处理电子邮件的原始敏感度或分类的系统。
保护性标记工具不会自动将保护性标记插入电子邮件中。
保护性标记工具不允许用户选择系统未被授权处理、存储或通信的保护性标记。
保护性标记工具不允许用户在回复或转发电子邮件时选择低于以前用于电子邮件的保护性标记。
处理带有不当、无效或缺失保护标记的电子邮件
将电子邮件服务器配置为阻止具有不适当保护标记的电子邮件非常重要。例如,使用高于接收系统的敏感度或分类的保护性标记阻止入站和出站电子邮件将防止发生数据溢出。在执行此操作时,请务必通知已阻止的入站电子邮件的收件人以及被阻止的出站电子邮件的发件人以免发生这种情况。
如果收到带有无效或缺失保护标记的电子邮件,则仍可能将其传递给其预期收件人;但是,如果要回复,转发或打印电子邮件,收件人将有义务确定电子邮件的适当保护标记。如果不确定,应联系原始电子邮件的发件人,以寻求澄清处理要求。
电子邮件服务器配置为阻止、记录和报告带有不当保护标记的电子邮件。
将通知任何被阻止的入站电子邮件的预期收件人以及任何被阻止的出站电子邮件的发件人。
电子邮件通讯组列表
电子邮件通讯组列表成员的成员身份和国籍通常未知。因此,使用"仅限澳大利亚人的眼睛"、"仅限澳大利亚政府访问"或"发布到通讯组列表"数据的用户可能会意外导致数据泄露。
除非可以确认通讯组列表中所有成员的国籍,否则仅包含"仅限澳大利亚眼睛"、"仅限澳大利亚政府访问"或"发布到"数据的电子邮件仅发送给指定的收件人,而不会发送到组或通讯组列表。
电子邮件网关和服务器
集中式电子邮件网关
如果没有集中式电子邮件网关,则很难部署发件人策略框架 (SPF)、域密钥识别邮件(DKIM) 和保护性标记检查。
电子邮件通过集中式电子邮件网关进行路由。
当用户从其网络外部发送电子邮件时,将配置一个经过身份验证和加密的通道,以允许通过集中式电子邮件网关路由电子邮件。
电子邮件网关维护活动
攻击者在发送恶意电子邮件时通常会避免使用组织的主要电子邮件网关。这是因为备份和备用电子邮件网关在修补程序和电子邮件内容过滤控制方面通常维护得很差。因此,请务必付出额外的努力,确保备份和备用电子邮件网关保持与主电子邮件网关相同的标准。
如果备份或备用电子邮件网关已就位,则它们将保持与主电子邮件网关相同的标准。
开放式中继电子邮件服务器
开放中继电子邮件服务器(或开放邮件中继)是配置为允许 Internet 上的任何人通过该电子邮件服务器发送电子邮件的服务器。这种配置是非常不可取的,因为垃圾邮件发送者和蠕虫可以利用它们。
电子邮件服务器仅中继发往其域或源自其域的电子邮件。
电子邮件服务器传输加密
电子邮件可以在原始电子邮件服务器和目标电子邮件服务器之间的任何位置被拦截。在电子邮件服务器上启用传输层安全性 (TLS) 将减少电子邮件流量的危害,但电子邮件流量的加密分析除外。
实施机会性 TLS 加密 可以保护电子邮件流量,同时确保电子邮件服务器由于使用机会性 TLS 加密而与其他电子邮件服务器保持兼容。但是,电子邮件的机会主义 TLS 容易受到降级攻击。邮件传输代理严格传输安全性(MTA-STS) 允许域所有者向其他电子邮件服务器指示,只有在传输之前协商了令人满意的 TLS 加密时,才应发送电子邮件。
实施 MTA-STS 可减少电子邮件传输期间发生降级攻击的机会,并在尝试降级攻击时为电子邮件服务器操作员提供可见性。TLS 报告通过为域所有者提供一种机制来支持 MTA-STS 的实现,该机制为域所有者提供了一种机制,以便其他电子邮件服务器操作员可以提交有关其在向指定域发送电子邮件时尝试启动加密会话的成功或失败的报告。
机会性 TLS 加密在通过公共网络基础结构建立传入或传出电子邮件连接的电子邮件服务器上启用。
启用 MTA-STS 可防止在合规服务器之间传输未加密的电子邮件。
发件人策略框架
SPF 通过指定允许发送电子邮件的域列表来帮助检测欺骗性电子邮件。如果电子邮件服务器不在域的 SPF 记录中,则 SPF 验证将失败。
SPF 用于为所有域指定授权电子邮件服务(或缺少授权电子邮件服务)。
指定电子邮件服务器时,将使用硬故障 SPF 记录。
SPF 用于验证传入电子邮件的真实性。
未通过 SPF 检查的传入电子邮件将被阻止或以收件人可见的方式进行标记。
域名密钥识别邮件
DKIM 支持检测欺骗性电子邮件内容。这是通过指定用于对电子邮件内容进行签名的公钥的 DKIM 记录来实现的。具体而言,如果电子邮件标头中的已签名摘要与电子邮件的签名内容不匹配,则验证将失败。
DKIM 签名在源自组织域的电子邮件上启用。
收到的电子邮件上的 DKIM 签名经过验证。
外部发件人使用的电子邮件通讯组列表软件配置为不会破坏发件人的 DKIM 签名的有效性。
基于域的消息身份验证、报告和一致性
通过基于域的邮件身份验证、报告和一致性 (DMARC),域所有者可以指定接收电子邮件的服务器在收到未通过 SPF 或 DKIM 检查的电子邮件时应采取的操作。这包括"拒绝"(电子邮件被拒绝)、"隔离"(电子邮件被标记为垃圾邮件)或"无"(不执行任何操作)。
DMARC 还提供了报告功能,使域所有者能够接收有关接收电子邮件服务器所执行操作的报告。虽然此功能不会缓解发送给域所有者组织的恶意电子邮件,但它可以使域所有者能够看到攻击者试图欺骗其组织的域。
系统为所有域配置了 DMARC 记录,以便在电子邮件未通过 SPF 或 DKIM 检查时被拒绝。
电子邮件内容过滤
对电子邮件正文和附件执行的内容过滤提供了一种纵深防御方法来防止恶意内容被引入网络。有关实施电子邮件内容过滤的具体指南,请参阅澳大利亚网络安全中心 (ACSC) 的 恶意电子邮件缓解策略 出版物。
电子邮件内容筛选控件是为电子邮件正文和附件实现的。
阻止可疑电子邮件
阻止特定类型的电子邮件可降低网络钓鱼电子邮件进入组织网络的可能性。
通过源地址使用内部域名的外部连接到达的电子邮件将在电子邮件网关中被阻止。
无法送达的消息
无法送达或退回的电子邮件通常在无法送达时由接收电子邮件服务器发送,这通常是因为目标地址无效。由于欺骗发件人地址的常见垃圾邮件做法,这通常会导致大量退回邮件被发送给无辜的第三方。仅向可以通过 SPF 或其他受信任方式验证的发件人发送退回邮件可避免导致此问题,并允许受信任方接收合法的退回邮件。
无法送达、退回或阻止的电子邮件的通知仅发送给可以通过 SPF 或其他受信任方式验证的发件人。
注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅为大家提供一个信息安全的思路拓展。 |
