電子郵件使用情況

電子郵件使用策略

使用電子郵件存在許多安全風險，這些安全風險經常被用戶忽略。在電子郵件使用策略中記錄這些安全風險和相關的緩解措施将告知用戶在使用電子郵件時要采取的預防措施。

開發并實施了電子郵件使用策略。

網絡郵件服務

當用戶訪問未經批準的 Web 郵件服務時，他們實際上繞過了電子郵件内容過濾控制以及可能已為組織的電子郵件網關和服務器實施的其他安全控制。雖然 Web 内容過濾控制可以降低某些安全風險（例如，某些形式的惡意附件），但它們不太可能解決與電子郵件相關的特定安全風險（例如，欺騙性電子郵件内容）。

訪問未經批準的網絡郵件服務将被阻止。

電子郵件的保護性标記

對電子郵件實施保護标記可确保對數據應用适當的安全控制，還有助于防止未經授權的數據被釋放到公共領域。在這樣做時，重要的是保護性标記反映了電子郵件的主題，正文和附件的最高敏感性或分類。

保護性标記應用于電子郵件，并反映主題，正文和附件的最高敏感性或分類。

保護性标記工具

要求用戶參與電子郵件的标記可确保用戶有意識地做出決定，從而減少錯誤标記電子郵件的可能性。此外，允許用戶僅選擇系統有權處理、存儲或通信的保護性标記，可以減少用戶無意中對電子郵件進行過度分類的可能性。這還有助于提醒用戶系統允許的最大數據敏感性或分類。

電子郵件内容篩選器可能僅檢查應用于電子郵件的最新保護标記。因此，當用戶回複或轉發電子郵件時，要求保護性标記至少與他們收到的電子郵件一樣高，這将有助于電子郵件内容過濾器防止将電子郵件發送到無權處理電子郵件的原始敏感度或分類的系統。

保護性标記工具不會自動将保護性标記插入電子郵件中。

保護性标記工具不允許用戶選擇系統未被授權處理、存儲或通信的保護性标記。

保護性标記工具不允許用戶在回複或轉發電子郵件時選擇低于以前用于電子郵件的保護性标記。

處理帶有不當、無效或缺失保護标記的電子郵件

将電子郵件服務器配置為阻止具有不适當保護标記的電子郵件非常重要。例如，使用高于接收系統的敏感度或分類的保護性标記阻止入站和出站電子郵件将防止發生數據溢出。在執行此操作時，請務必通知已阻止的入站電子郵件的收件人以及被阻止的出站電子郵件的發件人以免發生這種情況。

如果收到帶有無效或缺失保護标記的電子郵件，則仍可能将其傳遞給其預期收件人;但是，如果要回複，轉發或打印電子郵件，收件人将有義務确定電子郵件的适當保護标記。如果不确定，應聯系原始電子郵件的發件人，以尋求澄清處理要求。

電子郵件服務器配置為阻止、記錄和報告帶有不當保護标記的電子郵件。

将通知任何被阻止的入站電子郵件的預期收件人以及任何被阻止的出站電子郵件的發件人。

電子郵件通訊組列表

電子郵件通訊組列表成員的成員身份和國籍通常未知。因此，使用"僅限澳大利亞人的眼睛"、"僅限澳大利亞政府訪問"或"發布到通訊組列表"數據的用戶可能會意外導緻數據洩露。

除非可以确認通訊組列表中所有成員的國籍，否則僅包含"僅限澳大利亞眼睛"、"僅限澳大利亞政府訪問"或"發布到"數據的電子郵件僅發送給指定的收件人，而不會發送到組或通訊組列表。

電子郵件網關和服務器

集中式電子郵件網關

如果沒有集中式電子郵件網關，則很難部署發件人策略框架 （SPF）、域密鑰識别郵件（DKIM） 和保護性标記檢查。

電子郵件通過集中式電子郵件網關進行路由。

當用戶從其網絡外部發送電子郵件時，将配置一個經過身份驗證和加密的通道，以允許通過集中式電子郵件網關路由電子郵件。

電子郵件網關維護活動

攻擊者在發送惡意電子郵件時通常會避免使用組織的主要電子郵件網關。這是因為備份和備用電子郵件網關在修補程序和電子郵件内容過濾控制方面通常維護得很差。因此，請務必付出額外的努力，确保備份和備用電子郵件網關保持與主電子郵件網關相同的标準。

如果備份或備用電子郵件網關已就位，則它們将保持與主電子郵件網關相同的标準。

開放式中繼電子郵件服務器

開放中繼電子郵件服務器（或開放郵件中繼）是配置為允許 Internet 上的任何人通過該電子郵件服務器發送電子郵件的服務器。這種配置是非常不可取的，因為垃圾郵件發送者和蠕蟲可以利用它們。

電子郵件服務器僅中繼發往其域或源自其域的電子郵件。

電子郵件服務器傳輸加密

電子郵件可以在原始電子郵件服務器和目标電子郵件服務器之間的任何位置被攔截。在電子郵件服務器上啟用傳輸層安全性 （TLS） 将減少電子郵件流量的危害，但電子郵件流量的加密分析除外。

實施機會性 TLS 加密 可以保護電子郵件流量，同時确保電子郵件服務器由于使用機會性 TLS 加密而與其他電子郵件服務器保持兼容。但是，電子郵件的機會主義 TLS 容易受到降級攻擊。郵件傳輸代理嚴格傳輸安全性（MTA-STS） 允許域所有者向其他電子郵件服務器指示，隻有在傳輸之前協商了令人滿意的 TLS 加密時，才應發送電子郵件。

實施 MTA-STS 可減少電子郵件傳輸期間發生降級攻擊的機會，并在嘗試降級攻擊時為電子郵件服務器操作員提供可見性。TLS 報告通過為域所有者提供一種機制來支持 MTA-STS 的實現，該機制為域所有者提供了一種機制，以便其他電子郵件服務器操作員可以提交有關其在向指定域發送電子郵件時嘗試啟動加密會話的成功或失敗的報告。

機會性 TLS 加密在通過公共網絡基礎結構建立傳入或傳出電子郵件連接的電子郵件服務器上啟用。

啟用 MTA-STS 可防止在合規服務器之間傳輸未加密的電子郵件。

發件人策略框架

SPF 通過指定允許發送電子郵件的域列表來幫助檢測欺騙性電子郵件。如果電子郵件服務器不在域的 SPF 記錄中，則 SPF 驗證将失敗。

SPF 用于為所有域指定授權電子郵件服務（或缺少授權電子郵件服務）。

指定電子郵件服務器時，将使用硬故障 SPF 記錄。

SPF 用于驗證傳入電子郵件的真實性。

未通過 SPF 檢查的傳入電子郵件将被阻止或以收件人可見的方式進行标記。

域名密鑰識别郵件

DKIM 支持檢測欺騙性電子郵件内容。這是通過指定用于對電子郵件内容進行簽名的公鑰的 DKIM 記錄來實現的。具體而言，如果電子郵件标頭中的已簽名摘要與電子郵件的簽名内容不匹配，則驗證将失敗。

DKIM 簽名在源自組織域的電子郵件上啟用。

收到的電子郵件上的 DKIM 簽名經過驗證。

外部發件人使用的電子郵件通訊組列表軟件配置為不會破壞發件人的 DKIM 簽名的有效性。

基于域的消息身份驗證、報告和一緻性

通過基于域的郵件身份驗證、報告和一緻性 （DMARC），域所有者可以指定接收電子郵件的服務器在收到未通過 SPF 或 DKIM 檢查的電子郵件時應采取的操作。這包括"拒絕"（電子郵件被拒絕）、"隔離"（電子郵件被标記為垃圾郵件）或"無"（不執行任何操作）。

DMARC 還提供了報告功能，使域所有者能夠接收有關接收電子郵件服務器所執行操作的報告。雖然此功能不會緩解發送給域所有者組織的惡意電子郵件，但它可以使域所有者能夠看到攻擊者試圖欺騙其組織的域。

系統為所有域配置了 DMARC 記錄，以便在電子郵件未通過 SPF 或 DKIM 檢查時被拒絕。

電子郵件内容過濾

對電子郵件正文和附件執行的内容過濾提供了一種縱深防禦方法來防止惡意内容被引入網絡。有關實施電子郵件内容過濾的具體指南，請參閱澳大利亞網絡安全中心 （ACSC） 的 惡意電子郵件緩解策略 出版物。

電子郵件内容篩選控件是為電子郵件正文和附件實現的。

阻止可疑電子郵件

阻止特定類型的電子郵件可降低網絡釣魚電子郵件進入組織網絡的可能性。

通過源地址使用内部域名的外部連接到達的電子郵件将在電子郵件網關中被阻止。

無法送達的消息

無法送達或退回的電子郵件通常在無法送達時由接收電子郵件服務器發送，這通常是因為目标地址無效。由于欺騙發件人地址的常見垃圾郵件做法，這通常會導緻大量退回郵件被發送給無辜的第三方。僅向可以通過 SPF 或其他受信任方式驗證的發件人發送退回郵件可避免導緻此問題，并允許受信任方接收合法的退回郵件。

無法送達、退回或阻止的電子郵件的通知僅發送給可以通過 SPF 或其他受信任方式驗證的發件人。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!