“邮件门”愈演愈烈，如何避免成为“下一个”

电子邮件系统伴随互联网的发展，已经有40年的历史，如今却成为最容易被攻击的薄弱一环。2016年邮件安全事件愈演愈烈，从总统候选人、足球明星、企业高管到普通电子邮件用户，都措不及防地被邮件安全事件波及。

一、邮件安全事件破坏力惊人
希拉里“邮件门”、贝克汉姆“邮件门”，牵出一长串黑历史，总统落选、名人形象破灭；
雅虎邮箱帐户泄露、大型公司陷巨额邮件诈骗等等，直接导致收购交易中止、巨额财产损失、公司股价下跌等灾难性后果。仅2016年发生的邮件安全事故，足以给企业补上沉重的一课，
邮件安全事件的破坏力，已经不是泄露少量信息那么简单，一旦处理不当将给企业带来毁灭性打击。您还在花重金加强网络安全防护体系建设，那么邮件安全将是不容忽视的一环。

二、邮件安全——企业安全的阿喀琉斯之踵
目前，电子邮件仍是企业沟通和信息传递最重要的手段，80%以上办公文档、95%以上的公司业务数据、机密文件，都通过电子邮件传递和交流。但是，邮件服务器安全防护不当、安全管理水平低下、客户端安全防护脆弱等因素，使得邮件安全成为企业安全的阿喀琉斯之踵，极易受攻击的致命薄弱点。在日益严峻的市场竞争中，也许一次企业邮件安全事故，足以给企业带来致命杀伤力。

根据360互联网安全中心预测，2017年邮件安全事件将呈现大规模爆发态势，至少产生以下重大影响：
邮箱盗号将影响超过 600万企业，50%以上的企业都会遭遇此类攻击；
机密信息窃取将影响超过10万企业，但多数情况下企业可能不知情或无感知；
基于邮件的商业欺诈将造成经济损失超过50亿元；
通过邮件传播的敲诈者病毒将造成经济损失超过2亿元。

三、邮箱攻击的主要方法
垃圾邮件
每天高达2000余万封，全年总量约为73亿封，占到企业用户收到邮件总量的69.8%。
邮箱盗号
拖库、撞库、暴力破解、木马盗号、钓鱼盗号等手段盗取用户电子邮箱的账户和密码，平均每天遭遇疑似盗号攻击事件约1.0万件。
钓鱼邮件
攻击者仿冒特定身份的人或组织，对企业用户或企业用户的邮件联络对象进行欺诈；而攻击者所使用的邮箱发件人的显示名、前缀和后缀都有可能经过精心伪装，进而迷惑被攻击者。
带毒邮件
攻击者主要是通过在邮件中夹带有病毒的邮件附件，并诱骗攻击目标打开附件的方式实施攻击。Coremail论客与360的联合监控平台每天截获6000封左右的带毒邮件，最高峰时期可达单日数万封。

四、如何避免陷入下一个“邮件门”
早期的邮件协议并非基于安全而设计的，无法验证发件人身份、无法加密邮件内容，邮件系统常用的弱口令密码认证方式也早已无法适应复杂的互联网安全环境，而邮件系统中心化更加剧了用户凭证批量泄露的安全风险，以及由此造成的身份冒用、电子邮件欺诈等安全事故。
为解决电子邮件身份可信验证、用户凭证安全、用户数据安全等问题，密信技术推荐的安全电子邮件解决方案如下：

发送加密邮件的原理是需要获得收件人的加密证书公钥，一般操作方式是用户先发一封数字签名邮件给收件人，就把自己的加密证书公钥发给对方了，收件人再回复一封签名邮件发件人就拥有了收件人的加密证书公钥，就可以给收件人发送加密邮件了。而这个操作的前提条件是双方都有邮件证书。

使用密信APP发送加密邮件非常容易，就像使用其他邮件客户端软件发送明文邮件一样自动发送加密邮件，用户无需做任何事先的设置，无需事先交换公钥，写好邮件后点击“发送”即可，如下图所示，发件人右边的5个图标含义分别为：已读回执、加密、数字签名、时间戳、身份认证级别 (V1/V2/V3/V4/Vp)。

密信企业密钥管理系统简介
密信密钥管理系统作为一个公共服务系统免费为用户提供密钥管理服务，实现了电子邮件的无感全自动加密，这属于密钥托管服务，用户的加密密钥托管在密信密码基础设施中。而对于一些对加密密钥管控要求比较高的单位，希望自己在本地管理加密密钥实现完全自主可控，则需要选购密信企业密钥管理系统(EKMS)，并部署在单位内网，实现单位员工邮件加密和文档加密的密钥本地化自主管控。
单位用户希望部署自己的企业密钥管理系统，必须选购邮件签名服务单位专业版，申请V3单位认证和完成单位邮箱域名验证，单位必须有企业邮局，每个员工必须有单位域名邮箱，以便密信APP能自动识别本单位员工并自动从本单位部署的企业密钥管理系统获取加密证书密钥。
单位用户可选购密信企业密钥管理系统(硬件或软件)，或者选购通过密信认证的其他厂商密钥管理系统，每个使用密信APP实现邮件加密服务的邮箱都需要一个密钥。同时，为了密钥管理的高度安全可靠，强烈建议用户至少购买两台密钥管理机或者配置两台高可靠的服务器部署企业密钥管理系统，实现双机热备份，确保能可靠地随时为员工提供密钥获取服务。
如果单位购买了文档数字签名服务，则单位授权员工就可以免费使用文档数字签名服务和文档加密服务，就可以使用从单位部署的企业密钥管理系统获取的加密密钥来加密各种机密文档，并可以在加密时指定某些员工有权阅读，能有效地保证单位内部机密文档信息安全，防止被非法外泄。