2024年15個電子郵件安全最佳做法

過去，電子郵件安全最佳做法可以快速總結為：不要相信電子郵件，因為電子郵件是一種未經身份驗證、不可靠的消息傳遞服務。在大多數情況下，這仍然是正確的說法，并且從1989年開始的員工電子郵件安全最佳實踐仍然適用：使用強密碼、阻止垃圾郵件發送者、不要相信好得令人難以置信的優惠，甚至來自受信任實體的驗證請求。

但是，隨著電子郵件對業務成功變得越來越重要，企業必須遵循一組更強大的電子郵件安全最佳做法。總結如下：

對員工進行電子郵件安全最佳做法培訓。
創建強密碼。
請勿跨帳號重復使用密碼。
考慮定期更改密碼-或不更改密碼。
使用多重身份驗證（MFA）。
認真對待網絡釣魚。
警惕電子郵件附件。
不要點擊電子郵件鏈接。
不要將企業電子郵件用于個人用途，反之亦然。
僅在批準的設備上使用公司電子郵件。
加密電子郵件、通信和附件。
避免使用公共 Wi-Fi。
使用電子郵件安全協議。
使用電子郵件安全工具。
注銷。

讓我們更詳細地探討每個最佳做法。

1. 對員工進行電子郵件安全最佳實踐培訓

定期安排的安全意識培訓使員工了解安全最佳做法，并讓用戶不僅了解公司安全策略及其在確保企業安全方面的作用，還了解他們可能遇到的威脅。

請務必在安全意識培訓期間討論電子郵件，并解釋公司的電子郵件安全策略、常見電子郵件安全威脅和建議的電子郵件安全最佳實踐。

2. 創建強密碼

最重要的電子郵件安全最佳實踐之一是使用強密碼。然而，密碼安全建議近年來發生了變化。以前的想法是復雜等于強大。但是，強迫員工創建復雜的密碼（例如}m}{4p#P@R9w），通常會導致用戶將密碼寫在便箋上或將其保存在桌面上的不安全文件中。

當前的NIST建議認為，密碼長度而不是復雜性是密碼強度的關鍵。密碼短語（將幾個單詞串在一起，例如kittEnsarEadorablE）是一種制作更長、易于記憶但難以猜測的密碼的方法，有助于防御使用字典攻擊來針對弱密碼的攻擊者。

如果你將這兩個示例放到Security.org的密碼安全檢測，你會發現}m}{4p#P@R9w，計算機需要400,000年才能破解，而kittEnsarEadorablE需要6萬億年。更強的密碼短語包括一串不相關的單詞。例如，根據Security.org的計算器，密碼kittEnsmErryvisitortrEE需要2年才能讓計算機猜測出來。

企業應創建密碼策略來傳達密碼要求和期望。

3. 不要跨帳戶重復使用密碼

密碼重用是主要的電子郵件安全威脅。如果攻擊者入侵了一個使用與其他帳戶相同登陸憑證的帳戶，則攻擊者可以輕松訪問這些其他帳戶。攻擊者知道，在被攻擊的系統上，嘗試與某人帳戶關聯的重復使用的密碼通常可以解鎖其他帳戶。當員工對公司和個人帳戶使用相同的密碼時，密碼重用尤其危險。

鼓勵員工遵循密碼安全最佳做法，例如為每個帳戶使用唯一的強密碼。對于很多用戶來說，這是一個痛點，尤其是那些需要記住數十或數百個賬號密碼的用戶。使用單點登錄或密碼管理器可以幫助緩解挑戰。

4. 考慮定期更改密碼 – 或不更改密碼

近年來，關于密碼更改頻率的指導一直存在爭議。每90天更改一次密碼曾經是常態。假設頻繁的密碼更改有助于確保系統安全，但它們通常會導致用戶感到沮喪和使用不太安全的密碼。通常情況下，密碼1將在90天后變成密碼 2。

NIST建議不要強制定期更改密碼。但是，在可疑的泄露或數據泄露后，請始終強制更改密碼。此外，某些合規性法規（如 PCI DSS）要求頻繁更改密碼。

企業必須權衡定期更改密碼的好處與用戶使用較弱密碼的傾向，這些密碼更容易記住，因此更容易被攻擊者利用。

5. 使用多重身份驗證

MFA 涉及使用多種方法來驗證用戶的身份。例如，用戶名和密碼與一次性密碼或指紋生物識別相結合。在身份驗證過程中添加第二個（或第三個或更多）因素可增加額外的防御層，并防御常見的電子郵件威脅，例如暴力攻擊和密碼破解。微軟預測，使用 MFA 鎖定帳戶可以阻止 99.9% 的帳戶泄露攻擊。

企業應強制使用 MFA。員工還應盡可能使用 MFA 來保護其個人帳戶。

6. 認真對待網絡釣魚

雖然電子郵件安全產品可以防止很多垃圾郵件到達用戶的收件箱，但仍有大量垃圾郵件會發送到用戶郵箱，其中可能包含網絡釣魚計劃，這些計劃正變得越來越復雜。這些可能包括標準網絡釣魚電子郵件，以及魚叉式網絡釣魚或捕鯨攻擊。用戶應注意網絡釣魚詐騙，并在打開任何潛在的惡意電子郵件時要小心。請勿打開、回復、點擊可疑電子郵件中的鏈接或打開其附件。

越來越多的企業將網絡釣魚意識培訓納入其安全意識培訓計劃，以幫助員工識別有問題的郵件，并教他們如何避免單擊錯誤的鏈接或打開錯誤的附件。

7. 警惕電子郵件附件

很多電子郵件攻擊依賴于發送和接收包含惡意可執行代碼的附件的能力。電子郵件安全網關和反惡意軟件可以檢測惡意來源并阻止大多數惡意附件。但是，這些附件也可能來自攻擊者利用的受信任來源。

無論來源如何，即使企業使用電子郵件掃描和惡意軟件阻止軟件，員工也應提防附件。在打開具有與可執行程序關聯的擴展名的附件之前，請格外小心，例如（EXE可執行文件）、JAR（Java 應用程序文件）或 MSI（Windows Installer）。Word文檔、電子表格和PDF等文件也可能攜帶惡意代碼，因此請小心處理任何類型的附件。使用反惡意軟件程序掃描文件或避免完全打開它們。

8. 不要點擊電子郵件鏈接

電子郵件中的超鏈接通常可以連接到與它們看起來所代表的域不同的 Web 域。某些鏈接可能會顯示可識別的域名（例如 www.amazon.com），但實際上會將用戶定向到不同的惡意域。攻擊者還使用國際字符集或拼寫錯誤來創建看似知名品牌的惡意域。

始終通過將鼠標指針懸停在鏈接上來查看鏈接內容，以查看實際鏈接是否與顯示的鏈接不同。請注意，即使這樣也可能是欺騙的，但是，盡管大多數現代電子郵件程序都應該捕獲此類鏈接。如有疑問，請直接在瀏覽器中鍵入域，以避免單擊電子郵件中的鏈接。

9. 不要將企業電子郵件用于個人用途，反之亦然

雖然員工使用公司電子郵件帳戶處理個人事務可能很誘人且很方便，但企業電子郵件安全最佳做法是禁止這種做法。同樣，不要從個人帳戶發送與工作相關的電子郵件。將業務和個人事務混為一談可能會導致魚叉式網絡釣魚等威脅。

請明確可接受的電子郵件使用策略和公司電子郵件策略中的任何限制。

10. 僅在批準的設備上使用公司電子郵件

人們幾乎可以從任何地方和任何連接互聯網的設備上訪問電子郵件。雖然對員工來說很方便，但這可能會成為組織的安全災難。如果在沒有適當安全控制的設備上打開公司電子郵件，攻擊者可能會泄露用戶的憑據、電子郵件和數據。

要求員工僅在公司批準和受信任的設備上訪問電子郵件。

11. 加密電子郵件、通信和附件

有人說，電子郵件就像一張明信片：它接觸到的每個人和系統都可以看到所寫的內容。這就是電子郵件加密如此重要的原因。加密是將明文轉換為密文的過程，可確保攔截電子郵件的任何人都無法閱讀其內容。這有助于防止許多電子郵件安全問題，例如中間人和企業電子郵件入侵攻擊。大多數主要的電子郵件服務都具有加密功能。

但是，僅靠加密消息是不夠的。還要加密組織與電子郵件提供商之間的通信。也加密附件，即使它們附加到的電子郵件是加密的。

12. 避免使用公共無線網絡

員工可能會將公共Wi-Fi視為便利，但應該提醒他們，這些連接很容易受到攻擊。如果員工在公共 Wi-Fi 上登錄公司電子郵件，則該網絡上的任何人都可以訪問其電子郵件。惡意行為者可以使用開源數據包嗅探器（例如 Wireshark）來監控并通過電子郵件訪問個人信息。即使用戶不會主動在公共Wi-Fi上查看電子郵件，幾乎每個系統都設置為在設備連接到網絡時自動更新收件箱。如果用戶使用的是Wi-Fi，那么他們的電子郵件也是如此，從而使帳戶憑據面臨風險。

僅使用安全的已知 Wi-Fi 網絡來檢查電子郵件。

13. 使用電子郵件安全協議

以下三個電子郵件安全標準是過濾垃圾郵件的關鍵：

DomainKeys Identified Mail。 DKIM 標準使用非對稱加密來防止電子郵件欺騙。添加到電子郵件的數字簽名可驗證郵件在發送后未被更改。如果簽名與電子郵件域的公鑰不匹配，則會阻止該簽名。如果匹配，則交付。
Sender Policy Framework。 SPF 驗證電子郵件來自其來源，并有權從該域發送電子郵件。如果經過驗證，電子郵件將被傳遞。否則，電子郵件將被阻止。
Domain-based Message Authentication, Reporting and Conformance。 DMARC協議擴展了DKIM和SPF。使用 DMARC，域名所有者可以發布他們的 DKIM 和 SPF 要求，并指定當電子郵件未能滿足這些要求時會發生什么，例如向發送域報告。

請注意，這些技術控件可防止欺騙性電子郵件，但不會阻止所有不需要的郵件。

14. 使用電子郵件安全工具

除了部署適當的協議外，電子郵件安全策略還應包括多種有助于維護電子郵件安全的工具。應考慮反惡意軟件、反垃圾郵件、防病毒、電子郵件過濾、電子郵件安全網關、電子郵件監控系統、防火墻和端點保護。

15. 注銷

企業應要求員工在電子郵件不使用時以及完成一天的工作時退出電子郵件賬號。在其他人可以訪問的設備上保持電子郵件打開狀態可能會導致安全問題。