公司邮箱对于任何组织的工作流程都至关重要。由于它们的重要性，企业电子邮件地址经常成为各种恶意行为者的目标，这些恶意行为者旨在窃取电子邮件、访问敏感信息或使用可能连接到给定电子邮件地址的软件服务进入任何帐户。

作为电子邮件服务提供商，您必须确保您的产品能够保护您的客户免受包含危险文件、链接和可能感染 PC 或窃取数据的信息的电子邮件的侵害。在本文中，我们概述了电子邮件提供商应在其解决方案中实施以保护电子邮件的八个关键安全功能。

本文对希望确保电子邮件服务安全的电子邮件相关项目的工程师和产品所有者很有用。对于想要改善公司和员工的电子邮件保护并学习增强电子邮件安全性的实践的企业来说，它也很有帮助。

电子邮件如何威胁企业？

企业使用公司电子邮件域与客户沟通，确保组织内信息的便捷流动，并发起电子邮件营销活动。他们希望他们的企业电子邮件受到电子邮件服务提供商的保护。

需要提防的两种常见电子邮件攻击是垃圾邮件和网络钓鱼：

• 垃圾邮件是使用消息系统向大量收件人发送多条未经请求的消息。目的各不相同，从商业广告到网络钓鱼等欺诈目的。一些垃圾邮件试图引出个人信息以添加到数据库中以供进一步的垃圾邮件尝试。

• 网络钓鱼是一种社会工程，攻击者发送欺诈性电子邮件，旨在诱骗受害者向攻击者泄露敏感信息或在受害者的基础设施上部署恶意软件。

根据 IBM 的X-Force 威胁情报指数 2022报告，网络钓鱼是勒索软件攻击最常见的载体之一。勒索软件是一种恶意软件，它会阻止对用户文件和数据的访问，并要求赎金以允许个人或组织重新获得访问权限。通过电子邮件发送的另一种可能的威胁是一种病毒，它可以分发恶意代码来感染一个或多个设备。恶意行为者可以在附件中添加病毒或要求用户单击下载危险文件的链接。

即使是从可信地址发送的电子邮件也可能很危险。假设网络罪犯设法破坏了组织客户的电子邮件帐户。在这种情况下，网络犯罪分子可以从受信任的发件人（客户端）发送恶意电子邮件，利用受感染的帐户所有者的声誉来欺骗组织中的电子邮件收件人。

因此，电子邮件服务提供商应持续关注其解决方案的网络安全功能。从头开发邮箱服务或改进现有邮箱服务时，请注意可能的网络安全威胁并提供可帮助您的客户缓解这些威胁的功能。

让我们讨论八个关键功能，这些功能可以帮助电子邮件服务提供商确保他们的客户安全地使用公司电子邮件并遵循电子邮件安全最佳实践。

1. 为客户提供强大的电子邮件帐户保护设置

让我们从创建和使用公司电子邮件帐户开始。企业必须设置自己的电子邮件域，而不是让员工将个人电子邮件帐户用于工作目的。

原因很简单：公司无法控制和妥善保护员工的个人电子邮件帐户。然而，组织必须确保公司和客户数据的安全，并且需要了解员工如何与可疑电子邮件互动。

电子邮件提供商应帮助企业在建立公司电子邮件帐户时控制网络安全问题。确保您的产品允许您的客户：

• 实施密码政策，包括设置八个符号的最小密码长度以及要求大小写字母、数字和特殊符号等常见做法。

• 根据公司网络安全政策设置密码到期时间，以便您的客户确保定期更新密码。

• 当员工离开公司时，限制访问或删除电子邮件帐户。如果员工使用他们的个人电子邮件帐户，他们在离开后仍然可以访问工作电子邮件。

• 根据业务需求配置不同的安全特性。

最好的解决方案是在您的安全电子邮件服务中使用Microsoft Active Directory等目录服务，以便您可以从中导入数据。在这种情况下，您客户的系统工程师可以像往常一样控制目录服务中的用户帐户。连接的电子邮件服务提供商可以根据目录服务用户更新自动将更改应用到邮箱。

2.确保可靠的电子邮件身份验证

电子邮件身份验证是一系列技术，旨在提供有关电子邮件消息来源的可验证信息。为此，这些技术验证了参与传输和可能修改消息的任何消息传输代理的域所有权。

因此，正确配置的电子邮件身份验证机制有助于在垃圾邮件到达用户之前对其进行过滤。

最常见的电子邮件身份验证技术是域名密钥识别邮件 (DKIM)；发件人政策框架 (SPF)；基于域的消息认证、报告和一致性 (DMARC)。这些通常一起使用。您可以在电子邮件域属性中配置它们。

让我们详细探讨每一个：

2.1. 域名密钥识别邮件

DomainKeys Identified Mail (DKIM) 是一种电子邮件身份验证方法，允许收件人验证电子邮件是否确实从声明的域发送。

DKIM 添加与组织域名关联的数字签名以确定邮件的发件人。组织的域名在收件人一方自动验证。将 DKIM 签名添加到您的电子邮件域有助于提高域的可信度。

DKIM 签名可能如下所示：

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=20130519; d=example.com; h=From:Date:Subject:To:Message-ID; [email protected]; bh=vYFvy46eesUDGJTH30JfN4=; b=iHeFQ+7rCiSQs3DPjR2eUSZSv4i/BGfkX7X8RVObMQs

基本的 DKIM 参数是：

• b — 电子邮件的内容（以Base64编码的电子邮件正文和标头）

• bh —规范化消息体的哈希值（以 Base64 编码）

• d——发件人的域名

• h — 已签名标头的列表

还有一些额外的参数：

• a — 生成签名的主要算法

• v — DKIM 版本

• s — 与域一起使用的选择器记录名称，用于在 DNS 中定位公钥（该值是发件人创建的名称或编号）

• c — 将电子邮件正文和标题转换为规范形式的算法

• q — 获取公钥的算法列表

• x — 签名到期时间

• i — 签署 DKIM 的客户的签名

• l — 加密散列中包含的消息正文大小（以字节为单位）

• t — 附加签名的时间戳

• z — 签名时标头的副本

2.2. 发件人政策框架

发件人政策框架(SPF) 是一种电子邮件身份验证方法，旨在保护用户免受欺骗性电子邮件或使用伪造的发件人地址创建的邮件的侵害。只有与 DMARC 结合使用时，它才能检测电子邮件中可见发件人的伪造。

SPF 定义授权从特定域发送电子邮件的 IP 地址列表，并在电子邮件传递期间检测伪造的发件人地址。组织可以使用 SPF 检查发件人的域是否已被欺骗。

SPF 允许域所有者在域的 TXT 记录中指定一个已识别的生成结构，该结构指定有权从该域发送电子邮件消息的服务器列表。

SPF 记录可能如下所示：

v=spf1 +mx -ip4:195.31.159.250 +a:smtp.testmail.com include:gmail.com ~all

让我们仔细看看参数：

• v — SPF 版本

• + — 接受电子邮件（默认设置的选项）

• – – 拒绝电子邮件

• ~ — 软偏差：电子邮件将被接受，但标记为垃圾邮件

• ？- 中性的

• mx —在域的邮件交换器 (MX) 记录中指定的所有服务器地址

• ip4 — 指定某个 IP 地址或地址网络

• a — 指定从特定域接收电子邮件时的行为

• include — 包括指定域的 SPF 记录允许的主机

• all — SPF 记录中未列出的所有其他服务器

以下是上述示例中 SPF 记录的解释：

• +mx — 从 MX 记录中指定的服务器接收消息

• -ip4:195.31.159.250 — 拒绝从 IP 地址 195.31.159.250 发送的邮件

• +a:smtp.testmail.com — 接收来自 smtp.testmail.com 的电子邮件

• include:gmail.com — 接受来自 gmail.com SPF 记录允许的服务器的电子邮件

• ~all — 接受来自所有其他服务器的邮件，但将它们标记为垃圾邮件

2.3. 基于域的消息认证、报告和一致性

基于域的消息身份验证、报告和一致性(DMARC) 是一种电子邮件身份验证协议，有助于保护电子邮件域免受各种网络威胁，例如欺骗、商业电子邮件泄露攻击、网络钓鱼和诈骗电子邮件。

只有在配置了 SPF 和 DKIM 记录后才能添加 DMARC。以下是 DMARC 如何与 DKIM 和 SPF 一起工作：

• 如果电子邮件消息至少未通过一次检查，那么它也不会通过 DMARC

• 如果 DKIM 和 SPF 检查都成功，则电子邮件将通过 DMARC 检查

此协议提供一个签名，允许接收服务器拒绝或隔离未通过 DKIM 和 SPF 检查的邮件。DMARC 策略还可以指定电子邮件收件人如何向发件人域报告通过和/或失败的邮件。

DMARC 记录可能如下所示：

v=DMARC1; p=reject; sp=reject; ruf=mailto:[email protected]; fo=1

以下是 DMARC 记录可以具有的参数：

• v是指定 DMARC 版本的强制参数

• p是域的规则，也是强制参数。它可以有以下值：none除了呈现报告什么都不做；quarantine将电子邮件添加到垃圾邮件；reject拒绝电子邮件。

• sp负责子域，可以和p有相同的值

• aspf和adkim — 确定消息数据必须与签名匹配的紧密程度：aspf参数的 SPF 和adkim参数的 DKIM。这些参数可以有以下值：r允许部分匹配，如有效子域，s只允许严格匹配。

• pct指定要过滤的消息数，以百分比表示。例如，pct=20将过滤 20% 的消息。

• rua允许您将每日报告发送到电子邮件地址，例如[email protected]。您还可以指定几个以空格分隔的电子邮件：[email protected] mailto: [email protected] /

• ruf帮助您为未通过 DMARC 检查的邮件创建报告

• 如果其中一种机制发生故障， fo会生成报告。例如，默认使用fo=0并在未通过身份验证阶段时发送报告。如果至少一个身份验证阶段未通过，fo=1会发送报告。如果 DKIM 身份验证失败，fo=d 会发送报告。如果SPF 身份验证失败， fo=s 会发送报告。