在企業(yè)發(fā)展運營中，郵箱密碼泄漏或郵件服務(wù)器遭到侵入，郵件信息將會被利用進行惡意攻擊、數(shù)據(jù)竊取倒賣、欺詐等現(xiàn)象尤其嚴重。

企業(yè)用戶郵箱賬戶密碼被盜后，通常被用于發(fā)送垃圾郵件，或向企業(yè)內(nèi)部發(fā)送欺詐郵件，以盜取更多的郵箱賬戶，或被用于更加高級的商業(yè)欺詐，如誘騙財務(wù)人員匯款，給合作伙伴或客戶發(fā)送虛假信息等。

更惡劣的是侵入郵件系統(tǒng)，利用系統(tǒng)漏洞用于企業(yè)內(nèi)網(wǎng)攻擊，黑客利用被盜郵箱所持有的企業(yè)內(nèi)網(wǎng)訪問權(quán)限，對企業(yè)內(nèi)部實施攻擊，竊取大量企業(yè)重要數(shù)據(jù)。

國內(nèi)有安全團隊，針對某些企業(yè)的郵件系統(tǒng)的異常情況進行調(diào)查，結(jié)果發(fā)現(xiàn)攻擊者至少先后盜取和控制了29家企業(yè)的數(shù)千個企業(yè)郵箱。被這個攻擊者控制的企業(yè)郵箱中，有9家屬于制造業(yè)企業(yè)，7家屬于互聯(lián)網(wǎng)公司，另有通信企業(yè)3家，事業(yè)單位和金融證券類企業(yè)各2家。

郵件系統(tǒng)被攻擊，郵箱密碼泄露，內(nèi)部員工疏忽大意或有意，都會將企業(yè)的機密數(shù)據(jù)泄露，造成企業(yè)巨額損失。

案例一

2014年1月24日，王華向某供應(yīng)商發(fā)送郵件時，王華因操作失誤將維美德公司的所有產(chǎn)品報價單及客戶資料泄露給了供應(yīng)商。

維美德公司認為，王華曾系維美德公司標準件采購部主管，掌管維美德公司的報價清單及全部客戶資料等商業(yè)秘密，王華應(yīng)對維美德公司承擔保密義務(wù)。

王華多次將維美德公司的價格清單及全部客戶資料通過電子郵件發(fā)送至外部郵箱，泄露了公司的商業(yè)秘密。維美德公司將王華告到了西安中院，要求王華賠償公司損失50萬元。

案例二

2017年9月26日， 全球四大會計公司之一德勤被黑，大量客戶郵件遭泄露。

Deloitte(德勤)公司認為這個身份不明的攻擊者，也許早在2016年10月或11月份就已經(jīng)入侵了他們的電子郵件系統(tǒng)。這名攻擊者通過使用一個管理員賬號成功獲取到了Deloitte(德勤)公司電子郵件服務(wù)器的訪問權(quán)，且該系統(tǒng)并沒有部署任何的雙因素身份認證機制(2FA)，從而導(dǎo)致攻擊者能夠不受任何限制地訪問Deloitte(德勤)的微軟郵箱。

致使Deloitte(德勤)24.4萬員工與客戶之間的往來郵件都處于危險之中。在此期間，德勤內(nèi)部郵件中交流的安全政策，審計日志以及各種法務(wù)和財務(wù)信息，都處于黑客監(jiān)控之下。

由此可見，企業(yè)郵件存在著諸多安全隱患，造成的損失將可能是無法彌補的，因此其安全防護必須受到足夠重視，企業(yè)又該防范的呢?

1. 隨時更新操作系統(tǒng)在開發(fā)操作系統(tǒng)時，大多數(shù)組織的重點是開發(fā)高級安全功能，以保護用戶信息。谷歌，微軟和蘋果等頂級操作系統(tǒng)公司在軟件工程師的幫助下，保持了以前版本的安全級別。更新版本確保保護用戶的數(shù)據(jù)，并通過利用技術(shù)防止網(wǎng)絡(luò)犯罪分子竊取數(shù)據(jù)。因此，請確保企業(yè)的PC“正確修復(fù)和更新”以確保企業(yè)的數(shù)據(jù)安全。定期刷新企業(yè)的項目將幫助企業(yè)填補任何安全漏洞，從而按時解決潛在問題。

2. 加強員工培訓(xùn)讓所有新員工接受數(shù)據(jù)安全方面的培訓(xùn)，并要求所有員工在每年年初參加進修課程，以確保最新的安全準則能夠讓他們牢記于心。盡管這類培訓(xùn)可能很乏味，但卻是必不可少的，而且只需很短時間即可涵蓋基本細節(jié)。例如，員工應(yīng)當：要將所有設(shè)備(例如臺式機、筆記本電腦、平板電腦、電話)視為能夠借此侵入組織系統(tǒng)的跳板;切勿寫下或留下密碼記錄，以防被別人尋獲;對來自未經(jīng)驗證的人的電子郵件或電話進行安全驗證，要求輸入密碼或其他認證信息等等。還應(yīng)包括建立一些最新的違規(guī)統(tǒng)計信息，以幫助員工理解威脅的嚴重程度和普遍性，以及可能對組織帶來的嚴重后果。

3. 模擬網(wǎng)絡(luò)釣魚攻擊許多安全問題是由人為錯誤導(dǎo)致的，例如員工無意間單擊惡意電子郵件中的鏈接。魚叉式網(wǎng)絡(luò)釣魚攻擊(即針對特定目標的網(wǎng)絡(luò)釣魚攻擊)導(dǎo)致員工中招的可能性更高，因為它們針對的是特定人員。這些消息可能引用了與某些部門或常規(guī)工作職能高度相關(guān)的信息，例如財務(wù)部門收到來自假冒某銀行的關(guān)于組織財務(wù)方面的郵件，人力資源部門收到來自招聘網(wǎng)站的特定的人才招聘信息的郵件等等，更容易蒙蔽員工并誘導(dǎo)其點擊這類的釣魚郵件鏈接。

免費或付費的網(wǎng)絡(luò)釣魚模擬器可以讓組織通過發(fā)送某些特定的電子郵件來測試員工對網(wǎng)絡(luò)釣魚電子郵件的辨別能力，當有人點擊了這些消息時，組織將對其進行警告。通過使用這類模擬器，組織可以對員工進行積極的培訓(xùn)，以幫助他們提高對網(wǎng)絡(luò)釣魚攻擊的應(yīng)對能力。切記，要提醒員工如果遇到無法100%確保郵件絕對安全的情況下，都要慎之再慎。而如果員工遇到熟悉的發(fā)件人發(fā)來的郵件，看上去有些不正常時，那么就要及時通知組織的IT人員來進行檢查。

4. 做好基礎(chǔ)安全防護例如企業(yè)網(wǎng)站部署SSL安全證書，企業(yè)郵件部署郵件證書等等，做好最基礎(chǔ)的安全防護工作，避免因小失大。相比于通信方身份和數(shù)據(jù)完整性無法驗證的HTTP協(xié)議，HTTPS是一個基于HTTP的安全通信通道，它運用安全套接字層(SSL)進行信息交換，具有身份驗證、信息加密和完整性校驗的功能，可以保證傳輸數(shù)據(jù)的機密性和完整性，乃至服務(wù)器身份的真實性，進而有效避免HTTP被劫持的問題。

同樣的，郵件證書對電子郵件進行數(shù)字簽名并加密傳輸，一方面可以保證郵件發(fā)送者身份真實性，另一方面保障了郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進行驗證，確保電子郵件內(nèi)容的完整性。