近期,Coremail举办了邮件安全网关V7.0直播发布会,Coremail CTO林延中和清华大学马云龙老师莅临直播间,为大家分享讲解域内安全问题和域内互发需求与挑战,直播更有Coremail邮件安全网关产品经理为大家详细介绍网关V7.0的功能亮点。
本次直播的嘉宾们都分享了哪些干货内容呢?
下拉查看直播精彩内容回顾!
域内安全与业务流畅性的抉择
Coremail CTO林延中指出域内补贴诈骗是今年高发的邮件安全事件,域内投递诈骗邮件的通达率高、不容易被拦截且中招率高的原因有两个,一个是员工之间的高信任度,另外一个是实现域内拦截的技术难度大。
据Coremail邮件安全攻防团队发现,黑产团伙之间可能存在数据互换之类的现象。从今年起,一旦一个账号被盗,有可能短时间内就会遭受多个黑产团伙攻击。
域内安全检测的挑战
域内安全检测在邮件领域的应用并不广泛的原因有很多,其中的主要原因是难以掌握好可疑邮件拦截率和正常邮件误判率的平衡点,也就是内域安全性和业务流畅性的取舍问题。
如何制定合适的域内拦截策略是邮件安全厂商近年遇到的难题。在传统的反垃圾策略中,只需要过滤来自外部的可疑邮件,那么它的发信人信誉以及邮件的行文规范一定会和用户的正常邮件有明显差别,我们只需要分析出这些差别就可以有比较好的拦截效果。但在域内安全问题上,传统的方法就明显不适用了。
域内安全检测整体方案
Coremail邮件安全团队经过一年多的调研和测试发现存在部分流量能够做到自动拦截垃圾邮件又不引起误判,并且Coremail邮件安全团队为此验证了好几个月,终于将其运用到CACTER邮件安全网关V7.0。
新版本的邮件网关能够通过更多维度的数据联动和分析,从传统反垃圾算法中跳脱出来,解决上面所描述的“困境”。它不再是进行“单打独斗”,而是选择了联动更多的“帮手”协助进行域内邮件的判断。
为了实现长期有效的安全防护措施,面对无孔不入的黑产团伙,我们需要在黑产团伙进攻的每个环节都做好设防。通过开启二次认证和使用客户端专用密码,给账号加上一道保险栓。同时,使用防暴卫士和邮件安全网关,为邮箱账号加上层层护盾。此外,还需要选择反钓鱼演练提升用户安全意识,从而让黑产团伙无隙可乘。
清华大学:
域内互发垃圾邮件负面影响大
亟需域内垃圾邮件检测
本次直播还邀请到了清华大学信息化技术中心高级工程师马云龙老师为我们分享清华大学的电子邮件系统规划及安全运维体验。
清华大学邮件系统现状
马老师表示邮件系统是学校最重要的基础设施之一,在邮件系统的运维中所面临的最大难点和痛点是大量的垃圾邮件和钓鱼邮件。清华大学本年度单日峰值超过6kw封垃圾邮件,校内邮箱频发被盗,黑产团伙紧跟学校热点事件,实施精准式钓鱼。
马老师认为域内互发垃圾邮件所造成的经济财产损失最大。域内邮件投递是白名单机制,邮件会直接进到用户收件箱,用户对此的信任度高,容易误信,这是清华大学邮箱运维人员特别苦恼的问题。
因此,清华大学与Coremail正在沟通CACTER邮件安全网关V7.0的试用,网关V7.0能够支持域内垃圾邮件检测,同时还不影响邮件召回和邮件状态的读取。
教育行业面临的邮件安全问题和解决措施
马老师分析教育行业普遍面临的三大问题是邮箱用户安全意识不足、运维管理压力大和政策性支持少。
结合多年的邮箱运维经验,马老师分享以下几点解决措施。一是加强技术培训,提高运维水平;二是加强宣传,提高用户的安全防范意识,可通过钓鱼演练进行安全意识的培训提升;三是加强电子身份年审;四是启用邮件安全网关,通过邮件分类和设置不同的执行策略可以有效加强垃圾邮件的检测拦截;五是双因子认证,启用双因子认证能够保障邮箱即使失窃也难以被盗取者所利用。最后马老师希望Coremail能够协助企业院校提升安全防范能力。
解决域内垃圾邮件检测难题:
不影响邮件召回和投递状态的显示
Coremail邮件安全解决方案专家刘骞从解决方案的角度讲述域内安全问题。域内安全问题的核心是账号安全,虽然有有效的防护手段但在实际操作中很难推动,只能采取迂回的解决方案减小域内安全风险。
邮件系统自带云检测模块,当云检测检测到域内邮件存在问题时,会将该邮件放在垃圾箱中,但云检测存在着一定的局限性。
云检测只能检测邮件系统上传的链接,无法检测到图片二维码、附件类的垃圾邮件。云检测本质上是邮件分类器,当检测到域内垃圾邮件时,会投递至用户垃圾箱,用户仍可以自由查看。
目前的解决方案采取的是本地检测,对于邮件检测有着更高的自由度,能够检测图片、二维码、附件、链接等多类型的垃圾邮件,并且会将检测到的垃圾邮件进行拦截隔离,安全把控力大大提升。
要想做到域内垃圾检测,需要解决两个难题。一个是邮件环路问题,需要让邮件系统主动终止循环;另外一个是邮件唯一标识发生改变。
以前的解决方案虽可以检测域内垃圾邮件,但会影响到邮件系统的邮件状态查看功能和邮件召回功能。
CACTER邮件安全网关V7.0已经解决上述的两大难点,在做到域内垃圾邮件检测的同时还能不影响邮件召回功能和邮件投递状态的显示。
邮件安全网关V7.0:
独家支持域内垃圾邮件检测
CACTER邮件安全网关V7.0是基于网关V6.0研发的新一代智能邮件安全网关。相比传统的邮件安全网关而言,网关V7.0在域内垃圾邮件检测,高级威胁自动处置,异常发信行为检测等方面有着突出的检测功能,且拥有CACTER邮件安全网关产品独家解决方案,针对拥有多域名且不同域名有着不同的反垃圾策略需求的企业,CACTER网关V7.0也支持多租户功能。
扩充邮件安全管控范围:
独家支持域内安全管控
传统的邮件安全网关只能做到对接收和外发邮件进行过滤检测,而CACTER网关V7.0扩充了邮件安全管控范围,能够支持域内垃圾邮件检测,且解决域内邮件检测两大困难点——保证邮件系统“邮件召回”功能和邮件投递状态的正常使用。
CACTER邮件安全网关V7.0和Coremail邮件系统进行深度的联动,统一了邮件唯一标识,跨越了技术壁垒,真正做到用户级召回功能的使用和不影响邮件投递状态的显示,这也正是其他邮件安全网关品牌不能涉及域内检测所面对的困难点。
只有Coremail邮件安全网关才可以做Coremail邮件系统的域内垃圾邮件检测。
优化发信行为检测模型:
引入发信行为检测新模型
Coremail安全专家发现,外部发信人员和内部发信人员的行为画像存在较大差异,这一差异可作为重要特征,用来监控和识别内部企业用户的异常发信行为。
CACTER邮件安全网关V7.0在网关V6.0的基础上优化发信行为检测模型,引入“企业内部员工发信行为画像”模块,对内部人员发信行为进行深度的学习和记忆。
当内部人员账号被盗,发信行为出现异常,CACTER邮件安全网关V7.0可以及时检测到异常,并进行拦截和告警。
升级高可用解决方案:支持多集群部署
CACTER网关V7.0除了支持单、双机部署模式,还支持集群多节点部署,可提高网关系统的可靠性和可用性。同时集群部署模式可使网关系统有更高级别的可扩大性和弹性,意味着网关可以处理更多的邮件流量。
升级高级威胁事后处置策略:
独家支持自动召回
今年3月份CACTER邮件安全网关推出独家高级恶意威胁时候处置方案:邮件召回功能,广受好评。
新型高级威胁邮件可能会绕过反垃圾引擎检查,反病毒引擎甚至云沙箱检测引擎,投递至邮件系统,无法撤回邮件,危害极大。市面邮件安全网关品牌解决方案基本为“事后反馈”:要求管理员举报,反垃圾引擎学习新型恶意威胁特征后,在“下一次”拦截。
有别于其他邮件安全网关品牌的传统解决方案,CACTER邮件安全网关邮件召回功能可以做到“当次”解决:可在首次遭遇高级恶意威胁绕过时,进行召回处置,立即消除威胁。
CACTER邮件安全网关V7.0在网关V6.0的基础上,全方位的升级新型高级恶意威胁事后处置方案:由手动召回升级为程序自动召回。
CACTER邮件安全网关V7.0增加了情报来源,对接Coremail邮件安全大数据中心的情报中心。当情报中心收到恶意威胁情报,会下发给网关,网关再向邮件系统下发自动召回邮件的指令,同时将处置结果反馈至管理员,“争分夺秒”,极大缩短高级恶意威胁邮件处理时间。
策略分级解决方案:支持多租户模式
有些企事业单位组织架构复杂,子单位使用不同邮件系统域名甚至不同邮件系统。接入邮件网关时,对接方案存在差异,而且邮件安全需求侧重点不同,管理员权限以及反垃圾规则策略需要分级管理,但是想要集中管理邮件安全业务。
针对这个业务场景,CACTER邮件安全网关V7.0推出多租户产品解决方案:
1)支持不同子公司、子单位的对接方式统一接入同一套网关;
2)支持高效协同管理,超级管理员拥有管控所有租户邮件安全的权限,不同租户管理员分开管理相应租户的规则;
3)支持反垃圾规则策略灵活管理,各租户间数据进行隔离,且各租户间的邮件收发正常运行,不同组织可设置不同反垃圾规则,且超级管理员可以界面统一管理。
(预计2023年年底发布)
CACTER邮件安全网关V7.0已经正式发布,欢迎各位客户朋友联系CACTER小助手或者商务同事进行更详细的了解!
关于更多邮件安全网关V7.0直播发布会的精彩内容,欢迎登录Coremail管理员社区查看完整回放。
社区还有2023重保HVV行动资料,欢迎各位新老客户朋友上管理员社区领取资料!
管理员社区登录地址:https://ncloud.icoremail.net/