零信任是一個(gè)安全概念，就是不信任任何人和物，這雖然不是一項(xiàng)新技術(shù)，但這是一個(gè)創(chuàng)新的安全理念，為當(dāng)今的數(shù)字化轉(zhuǎn)型時(shí)代的網(wǎng)絡(luò)安全發(fā)展指明了明確的方向。特別是目前的全球疫情時(shí)期，遠(yuǎn)程辦公已經(jīng)成為常態(tài)。據(jù)微軟官網(wǎng)統(tǒng)計(jì)數(shù)據(jù)，在商業(yè)和教育行業(yè)的電子郵件使用量年同比增長28%，而超過90%的網(wǎng)絡(luò)釣魚攻擊都是通過電子郵件進(jìn)行的，每個(gè)月Office 365檢測(cè)并阻止近4000萬封網(wǎng)絡(luò)釣魚郵件。因此，每個(gè)組織都必須采取措施來防止和阻止釣魚郵件安全威脅，這一點(diǎn)非常重要。

[[400075]]

那么，如何才能根除這些惡意郵件攻擊呢?還是先看看兩類主要的郵件攻擊方式：

其一：假冒公司總裁或者各政府部門的電子郵件地址給用戶發(fā)送欺詐郵件，要求付款或提供個(gè)人重要賬戶信息等。這是由于電子郵件的設(shè)計(jì)“缺陷”造成的，因?yàn)榘l(fā)件人的電子郵件地址是很容易被假冒的。如果收件人郵件服務(wù)器設(shè)置了SPF發(fā)件人策略框架，則欺詐郵件往往就用類似域名來發(fā)送欺詐郵件，如admin@micr0soft.com (用0來替代o)來假冒微軟公司郵件。

下圖為假冒工商銀行的郵件，發(fā)件人郵件地址看起來的確是工商銀行域名，欺騙性非常強(qiáng)，只要用戶點(diǎn)擊了郵件的工行官網(wǎng)鏈接，實(shí)際上會(huì)鏈接到一個(gè)同工行官網(wǎng)一模一樣的網(wǎng)站，讓用戶輸入銀行卡號(hào)和密碼，許多用戶就會(huì)紛紛中招。

其二：不安全的Web郵件服務(wù)登錄方式。Web方式登錄郵箱的確非常方便，使用任何瀏覽器都能登錄郵箱查看郵件，但是用戶的用戶名和口令往往非常簡(jiǎn)單，非常容易被枚舉猜到，也非常容易被惡意鍵盤記錄軟件獲得。用戶登錄后，由于所有郵件都是明文，所有郵件中的機(jī)密信息都可以輕松被竊取。這里有兩個(gè)安全問題：一是用戶名/口令認(rèn)證非常不安全，二是郵件內(nèi)容本身沒有加密，明文存放。即使是郵件服務(wù)器啟用了TLS傳輸加密也只能保證郵件在傳輸過程中的安全。

那么，零信任能否解決郵件安全難題?答案當(dāng)然是可以!零信任的核心思想是不相信任何人，不相信聲稱是公司總裁的電子郵件，因?yàn)榘l(fā)件人的郵件地址是可以偽造的。只要堅(jiān)守這一點(diǎn)，不相信任何有關(guān)付款或者提交任何機(jī)密信息的郵件，那就不會(huì)上當(dāng)受騙!

當(dāng)然，僅僅做到以上這一點(diǎn)還是不夠的，并沒有徹底解決郵件欺詐問題。密信郵件加密和數(shù)字簽名解決方案實(shí)際上就是一個(gè)基于PKI技術(shù)的零信任郵件安全解決方案，具體主要有如下三點(diǎn)：

第一，不信任沒有數(shù)字簽名的郵件。每封郵件都必須有數(shù)字簽名，有了數(shù)字簽名，欺詐郵件是不可能使用銀行域名郵件地址來發(fā)送電子郵件的，因?yàn)閿?shù)字簽名所用的簽名證書是需要驗(yàn)證郵箱控制權(quán)的，假冒銀行郵箱的發(fā)件人并沒有真正的銀行郵箱，所以無法拿到綁定銀行郵箱的簽名證書用于數(shù)字簽名電子郵件。而如果用類似域名的真實(shí)郵箱則由于無法獲得帶有真實(shí)單位名稱的簽名證書也就無法使用假冒域名郵箱admin@micr0soft.com來假冒微軟公司的郵件了，因?yàn)榻壎▎挝幻Q的簽名證書是需要通過嚴(yán)格的第三方CA驗(yàn)證身份后才能簽發(fā)的。也就是說：不信任任何沒有數(shù)字簽名的郵件，才能保證不會(huì)上當(dāng)受騙!常用的郵件客戶端軟件如Outlook、密信App都會(huì)驗(yàn)證數(shù)字簽名是否有效和是否可信，密信App會(huì)顯示所有未簽名郵件為“郵件未加密”。

第二，不采用不安全的用戶名/口令認(rèn)證方式。由于每個(gè)用戶都有數(shù)字證書，郵件系統(tǒng)可以禁用Web登錄或者改造用戶名/口令的登錄方式為使用數(shù)字證書強(qiáng)身份認(rèn)證登錄，只有這樣才能保證郵箱的Web登錄安全。

第三，不相信明文郵件是安全，任何號(hào)稱安全的郵件服務(wù)或郵件安全解決方案，如果郵件內(nèi)容仍然是明文存放在郵件服務(wù)器中，都是不安全的，都不能相信其號(hào)稱是安全的。怎么辦?使用密信App自動(dòng)加密每一封電子郵件，不僅能保證電子郵件在傳輸過程中的安全，也能保證電子郵件在郵件服務(wù)器中是以密文方式存放，使得即使郵箱口令被盜也無法獲得電子郵件的機(jī)密信息，從而保證了郵件機(jī)密信息安全。

目前，之所以郵件安全問題還是非常嚴(yán)重，是因?yàn)閭鹘y(tǒng)安全廠商的方案只是防護(hù)郵件服務(wù)器不會(huì)被攻擊，這是是不夠的;而采用其他登陸位于內(nèi)網(wǎng)的郵件服務(wù)器也不能解決郵件泄密難題!而基于PKI技術(shù)的零信任郵件安全解決方案，不關(guān)心郵件服務(wù)器是在單位內(nèi)網(wǎng)還是在公網(wǎng)云上，除了在郵件服務(wù)器上部署SSL證書來保護(hù)郵件傳輸鏈路安全外，還必須使用簽名證書來實(shí)現(xiàn)強(qiáng)身份認(rèn)證，替代不安全的用戶名和口令認(rèn)證。而對(duì)于郵件數(shù)據(jù)本身，還必須用加密證書來加密每一封郵件，而使用密信App作為郵件客戶端軟件來收發(fā)電子郵件能保證存放在郵件服務(wù)器上的郵件數(shù)據(jù)都是密文，即使被非法獲得，由于無法解密而使得拿到的郵件數(shù)據(jù)是一堆廢紙，使得各種郵件攻擊失去了攻擊的價(jià)值，郵件也就安全了。

常用的郵件客戶端如Outlook和雷鳥等也支持S/MIME郵件加密和數(shù)字簽名，為何大家都沒有采用數(shù)字簽名和加密來保障郵件安全呢?這是因?yàn)镾/MIME加密太復(fù)雜，有申請(qǐng)證書、交換公鑰和管理密鑰這三道坎把用戶攔在了S/MIME大門外。

只有密信郵件加密和數(shù)字簽名解決方案才真正采用了PKI技術(shù)和零信任安全理念徹底解決了郵件安全難題。不信任明文郵件，數(shù)字簽名和加密每一封郵件!密信零信任郵件安全解決方案，能真正解決郵件安全難題!