3.建立附件扫描功能
让 PC 甚至公司网络感染恶意软件的最常见方法之一是与附件中包含受感染文件的电子邮件进行交互。为防止出现此类情况,电子邮件服务提供商应确保具有特殊的过滤和病毒扫描功能。
让我们详细讨论这些选项中的每一个。
文件类型过滤
为了帮助您的最终用户保护他们的计算机免受恶意软件的侵害,请确保您的电子邮件服务解决方案即使不使用防病毒软件也能检测到包含可疑文件的电子邮件。
为此,请确保您的解决方案检查附件文件类型并根据此信息过滤电子邮件。
以下是六种可能含有病毒的文件类型:
1.可执行文件
如果您运行任何可执行文件,其程序代码将在您的 PC 上执行。恶意代码也可以通过这种方式执行。通过电子邮件发送可执行文件是可疑的,因为有许多更有效的方法可以做到这一点:通过云存储、网络文件夹共享、FTP 等。
因此,如果用户收到附有可执行文件的电子邮件,这些邮件很可能是一种威胁。确保您的解决方案可以过滤所有包含此类文件的电子邮件。
需要关注的可执行文件类型:EXE、MSI、BAT、BIN、APP等。
2.程序源代码和超文本文件
这些文件还包括程序源代码,应出于与可执行文件相同的原因进行过滤。
可能构成威胁的程序源代码文件类型:JS、CPP、RB、HTML、PHP、JAVA等。
3. 档案
您的客户无法确定档案中的内容。
存档可以隐藏各种恶意软件文件甚至是zip 炸弹,这是一种恶意存档文件,旨在使读取它的程序或系统崩溃或变得无用。zip 炸弹通常用于禁用防病毒软件并为更传统的恶意软件创造机会。zip 炸弹允许程序正常运行,但它不会劫持程序的运行,而是创建一个需要大量时间、磁盘空间和内存来解压缩的存档。
流行的存档文件类型:ZIP、RAR、TGZ、7Z。
4.办公文件档案
这些类型的文件可能包括宏恶意软件,这是一种用宏语言编写的病毒——一种嵌入到软件应用程序(例如文字处理器和电子表格应用程序)中的编程语言。
Microsoft Word、Excel 和 PowerPoint 等应用程序允许将宏程序嵌入到文档中。打开文档时,宏会自动运行,这为恶意计算机指令的传播提供了一种独特的机制。
常用办公文档文件类型:DOC、DOCX、XLS、XLSX、PPT、PPTX、PDF。
5. 电子邮件文件
任何人都可以使用电子邮件客户端轻松地将任何电子邮件消息保存为文件。以这种形式接收重新发送的电子邮件对员工来说似乎是安全的。但实际上,这些文件可能像档案一样包含病毒。
要注意的电子邮件文件类型:MSG、EML、OFT 等。
6. 受密码保护或加密的文件
通过电子邮件发送的受密码保护的文件看起来也很无辜。但是,没有人知道这些文件中包含什么。明智的做法是检查和过滤带有密码保护或加密文件的电子邮件。
受密码保护或加密的文件可以是任何文件类型。
防病毒功能
病毒不仅可以包含在上一节中讨论的那些文件类型中。恶意行为者可以将宏病毒或病毒源代码作为文本插入电子邮件正文中。
为了增强电子邮件服务的安全性,您可以使用内部或第三方防病毒库作为一项服务,该服务会扫描电子邮件并在检测到威胁后将其发送到隔离区。
如果您的公司开发了自己的防病毒软件,您可以在您的电子邮件服务提供商解决方案中实施它。例如,我们与一家想要扩展其服务并创建电子邮件产品的防病毒开发公司合作。Apriorit 开发人员使用客户现有的防病毒软件成功交付了解决方案。
使用第三方服务,如果您想确保不会错过任何受感染的文件,您甚至可以实施多个防病毒程序。为此,您应该购买必要的防病毒许可证。但请确保分配它们的工作顺序,因为防病毒应用程序在同时运行时可能会导致彼此出现故障。例如,假设 Bitdefender 开始扫描受感染的电子邮件并将其放入隔离区。如果它没有找到任何东西,那么 Sofos 就该工作了,依此类推。
对于扫描附件,请考虑将沙盒功能添加到您的防病毒功能中。沙箱是一个安全的地方,您的防病毒软件可以在其中存储附件并安全地扫描它们,甚至可以执行文件并检查发生了什么。
另外,考虑添加一个清理功能。如果检测到受病毒感染的附件,您的防病毒解决方案会尝试对其进行清理。如果此操作成功,您将收到带有不再有病毒的附件的电子邮件。在其他情况下,您可以收到电子邮件但根本没有附件。
另一个好主意是确保有一个功能可以将附加的档案解压缩到一些安全存储中,例如沙箱,并使用防病毒功能扫描文件。如果未检测到威胁,则您的解决方案应向用户发送电子邮件。如果您有这样的功能,则不需要自动过滤带有附件的电子邮件。
4.确保邮件正文扫描
提高电子邮件安全性的关键做法之一是确保您的服务具有可以检测可疑电子邮件内容的文本扫描功能。两种最常见的可疑内容类型是垃圾邮件和网络钓鱼。
如果电子邮件包含任何色情内容或敏感数据(如卡号、电话号码、车牌等),则可被视为可疑。
可以通过文本或电子邮件主题中的关键字检测可疑电子邮件。您可以拥有一个包含可疑电子邮件的关键字和短语的数据库。例如:购买、销售、访问、立即申请、免费、赢取、奖金等。
当然,如果只检测到一个关键字,则无法将电子邮件标记为垃圾邮件。电子邮件应至少包含最少数量的关键字以标记为潜在垃圾邮件或网络钓鱼。例如,如果检测到十个垃圾邮件关键字,那么它就是垃圾邮件。每个组织都应该能够为其电子邮件自定义最少数量的垃圾邮件。
如果电子邮件包含附件或放置在电子邮件正文中的图像,那么检测和扫描它们会很有用。为此,您可以使用图像识别算法。可疑图像内容的示例包括武器、战争、色情内容、毒品和酒精。电子邮件正文扫描功能还可以过滤不需要的电子邮件并检测可被视为可疑的内容。您可以自己开发这样的功能,也可以使用相关的第三方解决方案。
确保能够检测和过滤电子邮件正文或主题中的链接也很有用。一方面,链接可能导致病毒或可疑网站。另一方面,添加指向企业电子邮件的链接很常见。这就是为什么不仅要检测链接而且还要扫描它们以查找威胁的原因。
可疑链接是指那些导致:
文件下载
一个听起来很接近著名域名的域名,例如 gooogle.com 而不是 google.com。在这种情况下,用户可能会忽略差异并认为这是一个真正安全的网站。您可以将您的产品与现有的第三方解决方案和假域名数据库集成,以减轻此类威胁。
托管在端口 80(HTTP 协议)上的网站
带有自签名证书的网站
证书有任何问题(过期、吊销等)的网站
使用旧 TLS 协议版本(TLS 1.0、1.1)的网站
最后四个示例构成了相同的威胁:它们不受通用安全协议的保护。存在这些问题的网站无法保证您的行为是安全的,并且威胁行为者不会窃取任何数据。
5.添加拒绝名单和允许名单
确保您的电子邮件解决方案允许客户轻松方便地创建许可名单和拒绝名单。这将帮助他们确保收到他们期望的电子邮件并阻止来自垃圾邮件发送者的电子邮件。
拒绝名单是一种功能,可根据用户或管理员的决定自动将发件人的所有电子邮件发送到隔离区。例如,如果组织不希望员工接收来自特定用户、域或 IP 的电子邮件,他们可以将发件人添加到拒绝名单。
白名单功能允许您始终收到来自特定发件人的电子邮件。如果发件人被添加到允许列表,他们的电子邮件将被前面讨论的功能忽略。如果发件人通常使用垃圾邮件关键字数据库中的单词或短语,这将很有用。另一种情况是发件人附加了自动过滤的文件。请确保通知您的客户要小心使用此功能,并且只有在他们 100% 确定来自某个发件人的电子邮件是安全的情况下才使用它。
6.实施隔离功能
隔离是任何安全电子邮件提供商的必备功能。隔离区是存放可疑或威胁性电子邮件的地方。普通用户无权访问此位置——只有管理员可以。您可以针对不同的电子邮件威胁类型确保不同类型的隔离:病毒、网络钓鱼电子邮件、垃圾邮件等。
为什么您的客户想要这样的功能?为什么不拒绝所有这些电子邮件呢?组织可能需要访问可疑电子邮件,以防它们被错误地发送到隔离区或恢复这些可疑电子邮件并将它们发送给收件人。以下是 IT 管理员可能将电子邮件从隔离区中移除的一些情况示例:
企业肯定知道按文件类型自动过滤的特定电子邮件不是威胁。例如,假设一位员工向另一位员工发送 Microsoft Word 文档。员工必须确定文件中包含的信息是安全的。
基于关键字或任何其他原因发送到隔离区的任何非垃圾邮件/网络钓鱼电子邮件。在这种情况下,员工可以要求管理员找到必要的电子邮件并将其从隔离区恢复。
使用电子邮件中的病毒文件来改进防病毒数据库。
使用网络钓鱼电子邮件进行反网络钓鱼培训。
电子邮件被程序错误发送到隔离区。在这种情况下,您的开发团队应该解决问题,管理员应该解除隔离区中的电子邮件。
7.增加邮件加密功能
有时,用户可能需要发送除预期收件人以外的任何人都无法阅读的电子邮件。
例如,假设用户需要向另一名员工发送机密或敏感信息。他们知道包含此信息的电子邮件可能会被其他人看到。这就是他们需要高级安全性的原因。
为了帮助您的客户保护他们在电子邮件中的敏感数据,提供加密它们的能力。有了加密功能,用户可以在发送电子邮件时选择加密选项,收件人可以使用以下方法之一打开电子邮件:
输入额外的密码
使用私人安全密钥
使用硬件密钥(FIDO2 或 Google Titan)
使用来自多重身份验证的代码,例如来自 SMS
加密可以保护电子邮件不被预期收件人以外的任何人阅读,即使电子邮件被拦截也是如此。
8. 帮助您的客户保持较高的域名和 IP 声誉
组织的域声誉就像其发送电子邮件域的信用评分。要改善您的服务的用户体验,请考虑帮助您的客户保持较高的声誉。
域声誉不是对所有电子邮件服务提供商都相同的绝对值。每个提供商都有自己的域声誉评级。例如,根据 Gmail,一个域可能具有最佳声誉,但根据 Outlook,该域可能具有中等声誉。
电子邮件服务提供商可以通过不同的方式计算域声誉,但最常见的方法是在 0 到 100 的范围内对其进行评估。域的分数越接近 100,接收电子邮件的服务器就越信任来自特定企业的电子邮件领域。域得分越接近零,从该域发送的电子邮件就越有可能成为垃圾邮件。
每个电子邮件服务提供商都有自己的机制来确定域信誉。这些机制可以有不同的信誉计算算法,但它们通常基于相同的因素,如打开率、点击率等。
发件人 IP 地址的信誉也是域信誉的一部分。使用特定域发送电子邮件的电子邮件服务器获得与其发送的电子邮件相同的声誉。
例如,假设所有example.com电子邮件都是从 IP 地址为 11.22.33.44 的服务器发送的。如果example.com电子邮件域具有中立信誉,则 11.22.33.44 IP 地址也具有中立信誉。如果电子邮件服务器更改其 IP,它也会更改域的声誉。
以下是保持企业电子邮件域声誉清洁的一些做法:
使用多个电子邮件服务器。为您的客户提供一组电子邮件服务器,这些服务器可以发送具有相同域的电子邮件。在这种情况下,每台服务器都会有自己的声誉,因为它有一个唯一的 IP 地址。一台服务器的声誉低并不意味着所有其他服务器的声誉都低。
确保正确的电子邮件身份验证。我们已经讨论了 DKIM、SPF 和 DMARC 等电子邮件身份验证方法为安全带来的好处。但是,如果它们是为业务域配置的,它们也会使该域的声誉保持较高水平。因此,从该域发送的电子邮件很少会被信誉或垃圾邮件过滤器过滤掉。
确定发件人服务器的地理位置。每个 IP 地址都有一个可以轻松找到的地理位置。使用此信息进行电子邮件过滤。例如,电子邮件服务提供商可以具有电子邮件统计功能,显示来自不同地理位置的电子邮件被拒绝或发送到隔离区的百分比。因此,您可以找到发送大量垃圾邮件的国家或地区。然后,您可以根据这些信息配置过滤条件。
结论
上面讨论的所有电子邮件安全功能都可以帮助您的客户保护员工免受大多数基于电子邮件的威胁。通过使用一流的安全功能增强您的电子邮件服务并推广最佳实践以确保电子邮件安全,您可以保持您的产品在市场上的竞争力和客户的信任。
如若转载,请注明原文地址 - 4HOU.COM
评论