收发电子邮件到底安全吗?

发表时间:2022-05-09 22:06

1971年,美国麻省理工学院博士Ray Tomlinson使用“@”符号隔开用户名与邮箱地址,并通过阿帕网发送了全球第一封E-mail,从此电子邮件诞生了。时至今日,尽管各类即时通讯软件不断涌现,电子邮件仍然是我们日常办公中最常用的互联网应用之一,具有旺盛的生命力。由于电子邮件诞生的太早以至于当时连Internet还没有出现,开发人员也不怎么重视信息安全,所以电子邮件具有一些先天的安全缺陷,可能会造成重大的信息安全隐患,这是我们在日常工作中要特别注意的。


2015年3月,美国前国务卿、民主党候选人希拉里和共和党候选人特朗普的总统竞选正打得如火如荼,突然被媒体曝光,希拉里在任职国务卿期间使用私人邮箱处理约6万封邮件,其中约3万封为涉及机密的公务邮件,涉嫌违反美国《联邦档案法》,导致美国国家机密存在泄露的可能。媒体称之为“邮件门”事件。特朗普批评“邮件门”比“水门事件”更严重,指责希拉里没有资格竞选总统。最终希拉里败选,黯然离场。这可能是电子邮件安全导致的全世界范围内最有影响力的信息安全事件了。

128220436_14419600702901n.jpg


那么,电子邮件的主要安全风险都有哪些呢?如何配置电子邮件客户端以降低安全风险?如何应对网络欺诈及钓鱼邮件?今天带大家来复习一遍。


一、了解电子邮件协议存在的安全问题

电子邮件用来发送和接受邮件的两个协议分别是SMTP和POP3,如果你配置过电子邮件客户端,对这两个单词应该不陌生。这两个协议非常古老,基本属于互联网考古研究的范畴,但是现在依旧在使用中。可以想象,在电子邮件诞生的那个年代,设计人员对信息安全还没有概念,所以SMTP和 POP3这两个协议都缺乏基本的安全机制。例如说,这两个协议在传输数据时,都是明文的。明文的意思就是说,在邮件从发出到接收的整个传输链路上的任意设备中,都可以看到你的邮箱用户名、密码和邮件内容,完全不设防,很容易泄密。这也就是希拉里邮件门事件引发极高的国家机密泄露风险的原因。

电子邮件协议另外一个BUG的地方就是发送邮件是不需要验证用户身份。也就是说,你随时可以以任何邮件地址发送电子邮件,服务器不会核实你是否就是这个电子邮件的拥有者。这导致了大量的垃圾邮件和欺诈邮件的出现,给电子邮件的应用带来了大量的安全问题。

虽然电子邮件这两个古老的协议存在安全问题,但毕竟现在还在使用中,那我们怎么确保我们收发电子邮件的安全呢?


二、在安全可靠的网络环境中收发邮件

首先,重要的办公邮件一定要在安全可靠的网络环境里收发。安全可靠的网络环境通常是指单位里有安全防护的办公网络、有一定安全防护的家庭网络以及自己手机的自建Wi-Fi热点等。与之相对应,不太安全、可靠的网络环境是指咖啡厅、机场等公共无线网络,网吧及宾馆中的网络等。如何判断公共网络是否安全可靠?咖啡厅的Wi-Fi能不能使用?这些可以参考本系列中的移动办公安全的文章。


三、配置电子邮件客户端

很多人在使用电子邮件时习惯用网页登录。但其实outlook、foxmail等邮件客户端软件的安全性是更好的。我们要学会配置电子邮件客户端的安全策略来降低安全风险。比如在配置电子邮件客户端时,一定要勾选“SSL支持”或者“安全连接”,这样邮件数据就会加密传输,解决了电子邮件SMTP和POP3协议明文传输数据的问题。

另外重要的电子邮箱尽量设置独立的密码,避免常用密码泄露导致邮箱泄密。


三、控制垃圾邮件

现在很多客户端都已经内置了对垃圾邮件和欺诈邮件的安全机制。我们要尽可能地启用并设置好这些机制。例如为了避免宏病毒的代码机自动执行,可以设置电子邮件客户端限制运行宏。为了避免包含恶意代码的脚本执行,可以设置对脚本的运行进行限制,设置使用纯文本格式阅读邮件等。

四、远离钓鱼邮件

收到陌生邮件一定要警惕,很多钓鱼邮件伪装成“这是昨天聚会的照片”、“周三会议纪要”等,很多人不仔细看就打开邮件并点开附件或者内文的超连接,导致电脑中毒。收到邮件要我们一定要谨慎判断,不明链接不点击查看。如果非要点击查看,可以将邮件内容复制出来,在文本文档中打开查看是否有隐藏链接地址,再通过有安全防护的终端设备进行打开链接小心查看。


关于邮件安全介绍到这里。想了解更多CISAT网络安全意识课程,欢迎持续学习。




CISP
CISP-PTE
CISSP
ITIL4
NISP
如需更多了解请致电 18410890065