深度揭秘|你所不知道的邮件安全面临的风险

电子邮件越来越多地应用于社会生产、生活、学习的各个方面，在不同领域发挥着举足轻重的作用，在享受电子邮件带来便利的时候，不法分子常常通过篡改邮件、病毒邮件、垃圾邮件、邮件炸弹等对邮件系统进行攻击破坏。

在安恒公司自己的邮件系统，就经常发现冒充范总的钓鱼邮件，一不小心就有可能使企业资料泄露、员工被诈骗等，造成直接或者间接的经济损失。真的是防不胜防！

图：AiLPHA邮件安全审计平台发现冒充范总的钓鱼邮件

在最近一次某公司邮件安全分析中，AiLPHA邮件审计平台发现某境外IP段持续访问邮件系统，根据下图我们可以看到5.188.207.X这个ip段在7.2-7.8六天时间内对邮件系统进行了上万次的访问。

图：AiLPHA邮件安全审计平台境外访问检测

通过安恒的威胁情报我们可以发现这个ip段已经被打了scanner（扫描）、malicious sites（恶意网站）的标签，我们可以基本判定为恶意行为。

图：安恒威胁情报对5.188.207.5分析结果

AiLPHA邮件安全审计平台还发现某发件人发送邮件主题、客户端信息相对复杂，邮件频度极高，我们还在sheXXX帐号发送邮件的客户端工具进行分析的时候发现：infraware Polaris mobile mailer v2.5，可能与垃圾邮件有关，疑似被盗号成为垃圾邮件的发送端，存在较大风险。

图：AiLPHA邮件审计平台跨域邮件过多预警

我们在其他行业也发现过此类问题，结果是导致他们企业的邮件服务器被多家邮件服务器拉入黑名单，企业用户在发送邮件时常常被拒，影响正常业务。

接来下我们在看看另外一种安全风险，暴力破解是网络安全最常见、最耗时也是最有可能成功的一种攻击方式，从下图我们可以看到不同的账号都遭受了几百次甚至几千次的暴力破解。

图：AiLPHA邮件审计平台暴力破解告警

这里不得不提一个AiLPHA邮件审计平台的创新点，平台会根据暴力破解的字典库（攻击者尝试攻击的密码库）去匹配所有邮件用户的密码，当发现两者匹配，平台会产生弱口令的告警。因为当用户密码与攻击者的字典库匹配，这次侥幸没有被破解，下次可就不一定喽！

邮件安全审计支持的安全场景(持续更新.....)