2021年9月18日,由Coremail论客、奇安信集团、清华大学网络研究院、蚂蚁集团DataCon共同主办的2021 Coremail邮件安全大赛.

正式开幕并启动报名!

比赛目的是选择和培养积极型防御人才。 

竞赛的最大特点是重点“实战化”,模拟真实网络环境的攻防对抗场景,重点比赛选手利用新方法解决场景安全问题的能力。 

开幕式中, Coremail论客技术副总裁林延中与北京大学、清华大学、蚂蚁集团、奇安信集团等专家团在邮件安全、网络安全、大数据安全分析等研究领域的上进行了最新研究成果进行分享,共同探讨安全人才培养的实践经验。 

其中,Coremail论客CTO林延中先生进行了 《邮件安全协议Bypass:新型电子邮件发信人伪造攻击与防范的研究》。

演讲内容基于Coremail对邮件安全技术的实践,全面解析发信人伪造攻击的根本原因,并提出了一系列处置建议。 

EG:

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

本次邮件安全竞赛包括 邮箱账户异常登陆行为检测以及 邮件发件人伪造攻击靶场两道赛题。 

在赛题设置上,Coremail不仅提供 大型企业真实生产环境下的邮件服务器日志数据,鼓励选手挖掘数据中的安全威胁,更融合了经典CTF夺旗赛闯关形式,鼓励选手规避常见邮件安全防御措施。 

Coremail邮件安全分析竞赛以有趣,刺激,贴近实际的赛题,希望促进提升参赛选手在邮件安全领域的安全能力和实战经验。 

以下为Data Con邮件安全赛道的 详细介绍


1、赛程设置

报名时间:9月18日-10月12日

初赛时间:10月12日-10月26日

决赛时间:时间待定

决赛答辩+颁奖典礼:时间待定

研 讨 会:时间待定

报名网址:https://datacon.qianxin.com/datacon2021

 

2、赛题设置

1、邮箱账户异常登陆行为检测

2、邮件发件人伪造攻击靶场

考察能力:数据分析能力、邮件协议深入理解

 

3、奖项设置

一等奖:5万   

二等奖:3万

三等奖:2万

最佳创意奖 :5000

 

4、赛事亮点

赛题:融入最新研究成果(域名排名攻击)以及业界关注热点安全问题(软件供应链安全、加密流量识别、邮件伪造攻击、自动化固件漏洞挖掘等)

竞赛平台:平台更新迭代升级

开放数据:三年赛题数据沉淀 极速开放下载

 

5、参赛说明

A、参赛人员

1、高校:全国高等学校(本科类和高职高专类院校)具有正式学籍的全日制在校学生(本专科、研究生不限),以及教师团队;

2、科研院所:科研院所中从事信息技术类相关的科研工作者。

3、企业:网络安全研究人员、人工智能机器学习领域人员、恶意代码分析业务人员、网络安全管理相关人员。

B、组队规则

1. 参赛者以团队形式报名参加,可以是单人组队,每队最多不超过5人(可以跨学院跨学校),每人只能参加1支队伍。

2. 团队组建采用队长邀请制,只有队长能邀请已注册的成员进入团队。

3. 比赛开始后,团队不能修改成员、名称,开赛前队长需确定最终团队成员。

C、报名方式

1. 选手在DataCon官网完成注册后,可在赛事页面自助创建团队参赛,团队创建者即为队长,成员经队长邀请后确认可加入团队。队长身份不能转移。(推荐使用最新版Chrome浏览器访问,其它浏览器可能存在兼容问题。)

2. 所有参赛队员必须经过审核,如有特殊原因不能认证的,请联系赛事主办方。

D、评奖方式

1、评奖方式:按方向独立设立奖项。每方向下设多道题目,按一定权重累计,评分细则由赛题详情页具体说明。

2、答辩环节:评奖设答辩环节,进入答辩阶段的参赛队伍需提交详细的解题方案、验证代码参与答辩。

E、其他说明

1. 参赛选手不得对比赛的所有平台进行恶意攻击(包含但不限于拒绝服务攻击、恶意扫描等攻击手段)。一旦发现恶意攻击系统的用户,比赛组委会立刻取消其参赛资格。

2. 为了确保比赛的公平性,不同参赛队伍之间不得以任何方式分享代码、工具、解题思路和答案;一经发现有此类行为,立即取消其参赛资格,此项检查包括但不限于解题报告复查及其它人员举报。

3. 比赛组委会将会仔细检查所有已提交队伍的解题报告。如有发现抄袭等违反比赛要求的行为,或是队伍未能在规定时间内提交报告,则取消该队伍参赛资格和成绩。

4. 竞赛涉及的题目数据,仅供参赛选手比赛期间解题使用,不允许未授权传播、公开数据集或将数据用于商业用途,禁止将数据用于非法用途。比赛结束后,DataCon平台将面向科研开放部分数据集。

6、联系方式

联系电话:13718411604

咨询邮箱:[email protected]

赛事QQ交流群:962067583

2021年9月18日,由Coremail论客、奇安信集团、清华大学网络研究院、蚂蚁集团DataCon共同主办的2021 Coremail邮件安全大赛.

正式开幕并启动报名!

比赛目的是选择和培养积极型防御人才。 

竞赛的最大特点是重点“实战化”,模拟真实网络环境的攻防对抗场景,重点比赛选手利用新方法解决场景安全问题的能力。 

开幕式中, Coremail论客技术副总裁林延中与北京大学、清华大学、蚂蚁集团、奇安信集团等专家团在邮件安全、网络安全、大数据安全分析等研究领域的上进行了最新研究成果进行分享,共同探讨安全人才培养的实践经验。 

其中,Coremail论客CTO林延中先生进行了 《邮件安全协议Bypass:新型电子邮件发信人伪造攻击与防范的研究》。

演讲内容基于Coremail对邮件安全技术的实践,全面解析发信人伪造攻击的根本原因,并提出了一系列处置建议。 

EG:

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

本次邮件安全竞赛包括 邮箱账户异常登陆行为检测以及 邮件发件人伪造攻击靶场两道赛题。 

在赛题设置上,Coremail不仅提供 大型企业真实生产环境下的邮件服务器日志数据,鼓励选手挖掘数据中的安全威胁,更融合了经典CTF夺旗赛闯关形式,鼓励选手规避常见邮件安全防御措施。 

Coremail邮件安全分析竞赛以有趣,刺激,贴近实际的赛题,希望促进提升参赛选手在邮件安全领域的安全能力和实战经验。 

以下为Data Con邮件安全赛道的 详细介绍


1、赛程设置

报名时间:9月18日-10月12日

初赛时间:10月12日-10月26日

决赛时间:时间待定

决赛答辩+颁奖典礼:时间待定

研 讨 会:时间待定

报名网址:https://datacon.qianxin.com/datacon2021

 

2、赛题设置

1、邮箱账户异常登陆行为检测

2、邮件发件人伪造攻击靶场

考察能力:数据分析能力、邮件协议深入理解

 

3、奖项设置

一等奖:5万   

二等奖:3万

三等奖:2万

最佳创意奖 :5000

 

4、赛事亮点

赛题:融入最新研究成果(域名排名攻击)以及业界关注热点安全问题(软件供应链安全、加密流量识别、邮件伪造攻击、自动化固件漏洞挖掘等)

竞赛平台:平台更新迭代升级

开放数据:三年赛题数据沉淀 极速开放下载

 

5、参赛说明

A、参赛人员

1、高校:全国高等学校(本科类和高职高专类院校)具有正式学籍的全日制在校学生(本专科、研究生不限),以及教师团队;

2、科研院所:科研院所中从事信息技术类相关的科研工作者。

3、企业:网络安全研究人员、人工智能机器学习领域人员、恶意代码分析业务人员、网络安全管理相关人员。

B、组队规则

1. 参赛者以团队形式报名参加,可以是单人组队,每队最多不超过5人(可以跨学院跨学校),每人只能参加1支队伍。

2. 团队组建采用队长邀请制,只有队长能邀请已注册的成员进入团队。

3. 比赛开始后,团队不能修改成员、名称,开赛前队长需确定最终团队成员。

C、报名方式

1. 选手在DataCon官网完成注册后,可在赛事页面自助创建团队参赛,团队创建者即为队长,成员经队长邀请后确认可加入团队。队长身份不能转移。(推荐使用最新版Chrome浏览器访问,其它浏览器可能存在兼容问题。)

2. 所有参赛队员必须经过审核,如有特殊原因不能认证的,请联系赛事主办方。

D、评奖方式

1、评奖方式:按方向独立设立奖项。每方向下设多道题目,按一定权重累计,评分细则由赛题详情页具体说明。

2、答辩环节:评奖设答辩环节,进入答辩阶段的参赛队伍需提交详细的解题方案、验证代码参与答辩。

E、其他说明

1. 参赛选手不得对比赛的所有平台进行恶意攻击(包含但不限于拒绝服务攻击、恶意扫描等攻击手段)。一旦发现恶意攻击系统的用户,比赛组委会立刻取消其参赛资格。

2. 为了确保比赛的公平性,不同参赛队伍之间不得以任何方式分享代码、工具、解题思路和答案;一经发现有此类行为,立即取消其参赛资格,此项检查包括但不限于解题报告复查及其它人员举报。

3. 比赛组委会将会仔细检查所有已提交队伍的解题报告。如有发现抄袭等违反比赛要求的行为,或是队伍未能在规定时间内提交报告,则取消该队伍参赛资格和成绩。

4. 竞赛涉及的题目数据,仅供参赛选手比赛期间解题使用,不允许未授权传播、公开数据集或将数据用于商业用途,禁止将数据用于非法用途。比赛结束后,DataCon平台将面向科研开放部分数据集。

6、联系方式

联系电话:13718411604

咨询邮箱:[email protected]

赛事QQ交流群:962067583

《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》正式施行!

这也标志着网络安全迎来了新的机遇与挑战。

各行各业各单位都应该在国家法律合规引导下,系统性做好企业网络安全工作,共建网络信息生态安全。

1630483607192205.png

至此,2021年我国有望完成4部关于国家信息安全法律法规的实施:除了已于今日施行的《数据安全法》、《关基单位保护条例》,还有目前正在向社会公开征集意见的《网络安全审查办法(修订草案征求意见稿)》,以及将于11月1日施行的《中华人民共和国个人信息保护法》。

面对愈发完善网络安全国家制度管理,Coremail近年来也做了一些探索与实践:

基于20年的反垃圾邮件能力,围绕内容安全、账号安全、应用安全三个层面,发布一系列邮件安全产品与服务,致力于一站式解决客户所有邮件安全问题。

从目前的邮件安全现状分析,各关基单位及企业主要面临三方面的风险,分别是外在威胁-钓鱼邮件态势、内在需求-人员安全意识薄弱、法律合规性要求。

邮件安全必注意的法律合规性要求

Coremail邮件安全团队提醒您,在各项国家信息安全法律法规的实施后,企业在提升自身信息安全建设水平时,必须需要注意以下条例

1、关基单位运营者必须做好重要数据出境安全管理

违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
《中华人民共和国数据安全法》的第四十六条规定

2、关基单位收集和产生的个人信息重要数据应当在境内存储

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
《中华人民共和国网络安全法》第三十七条规定

3、关基单位采购的网络安全产品与服务应通过网络安全审查

运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
《关键信息基础设施安全保护条例》第十九条规定

而目前中国市场上充斥着大量的国外邮件安全网关,其中美国品牌占据其中主流,如您目前使用了国外品牌的邮件安全网关,Coremail邮件安全团队必须提醒您:

这存在着巨大的数据安全风险。


《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》正式施行!

这也标志着网络安全迎来了新的机遇与挑战。

各行各业各单位都应该在国家法律合规引导下,系统性做好企业网络安全工作,共建网络信息生态安全。

1630483607192205.png

至此,2021年我国有望完成4部关于国家信息安全法律法规的实施:除了已于今日施行的《数据安全法》、《关基单位保护条例》,还有目前正在向社会公开征集意见的《网络安全审查办法(修订草案征求意见稿)》,以及将于11月1日施行的《中华人民共和国个人信息保护法》。

面对愈发完善网络安全国家制度管理,Coremail近年来也做了一些探索与实践:

基于20年的反垃圾邮件能力,围绕内容安全、账号安全、应用安全三个层面,发布一系列邮件安全产品与服务,致力于一站式解决客户所有邮件安全问题。

从目前的邮件安全现状分析,各关基单位及企业主要面临三方面的风险,分别是外在威胁-钓鱼邮件态势、内在需求-人员安全意识薄弱、法律合规性要求。

邮件安全必注意的法律合规性要求

Coremail邮件安全团队提醒您,在各项国家信息安全法律法规的实施后,企业在提升自身信息安全建设水平时,必须需要注意以下条例

1、关基单位运营者必须做好重要数据出境安全管理

违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
《中华人民共和国数据安全法》的第四十六条规定

2、关基单位收集和产生的个人信息重要数据应当在境内存储

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
《中华人民共和国网络安全法》第三十七条规定

3、关基单位采购的网络安全产品与服务应通过网络安全审查

运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
《关键信息基础设施安全保护条例》第十九条规定

而目前中国市场上充斥着大量的国外邮件安全网关,其中美国品牌占据其中主流,如您目前使用了国外品牌的邮件安全网关,Coremail邮件安全团队必须提醒您:

这存在着巨大的数据安全风险。


8月26日,2021北京网络安全大会(简称BCS2021)以云峰会形式盛大启幕。

Coremail作为邮件行业领军者受邀参会,Coremail技术副总裁林延中在线上进行了主题为《邮件安全协议Bypass:新型电子邮件发信人伪造攻击与防范的研究》的分享。此次的分享,指出了当前的一系列新型发件人伪造攻击问题,并给出了关键的处理建议。

Coremail具有丰富的邮件安全经验。从2000年开始,Coremail一直致力于邮件反垃圾工作。CAC云安全中心每日支撑服务客户数量高达25000家,日均反垃圾分析请求量高达3千万封,日均截获高危恶意邮件超过100万。

我们看到,邮件安全正面临着严峻的形势!根据Coremail论客与奇安信统计的2020年全国企业级邮箱用户收到钓鱼邮件、病毒邮件的监测数据:

2020年共收到垃圾邮件约3,946.4亿封,约占企业级用户邮件收发总量的59.42%,其中包括病毒和钓鱼邮件,仅有4成为正常邮件。

2017-2020年,钓鱼邮件与病毒邮件的数量均呈逐年上升的趋势;2020年收到钓鱼邮件460.92亿封,病毒邮件492.16封;预计2021年,两者均会超过500亿封!

在这样严峻的背景下,钓鱼邮件、病毒邮件如果伪装成可信的发件人,攻击力度将更为严重!

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

此前,Coremail与清华大学、奇安信等合著的论文《Weak Links in Authentication Chains: A Large-scale Analysis of Email SenderSpoofing Attacks》(译作《验证链中的薄弱环节研究: 电子邮件发件人伪造攻击的大规模分析》)已对伪造发信人的钓鱼邮件攻击进行过研究。

值得一提的是,这一成果已发表于国际网络安全领域顶级会议USENIX Security 2021上。

该研究通过对30个目标电邮服务端的发件人攻击实验,发现30家电子邮件服务商,以及多个邮件客户端,都存在不同程度的缺陷,无法正确识别发信人伪造攻击。

对于这一项研究结论,多个邮件服务商均给予了积极的回应!

#1、阿里云:

对这些研究中提到的攻击很感兴趣,并且现在已经认识到在没有验证的情况下就添加DKIM签名的风险,并承诺会评估和修复此类问题。

#2、新浪邮箱:

将我们研究中提出的问题评估为高风险的脆弱性,并在内部评估相应的保护措施。并给予了一定的奖励。

#3、Gmail:

对我们的研究内容表示赞同,并将在随后的更新中修复相关问题。并且表示后续会联系我们,讨论这些安全问题背后的基本原因。

#4、163、QQ邮箱

感谢我们在研究中的工作,并告知我们将通过反垃圾邮件策略来解决这些安全问题。

大会上,Coremail技术副总裁林延中先生基于Coremail对邮件安全技术的实践,全面解析发信人伪造攻击的根本原因,并提出了一系列处置建议。

Coremail研究发现,邮件发信人能伪造成功的根本原因有以下3点:

1、多协议之间的弱关联

SPF、DKIM和DMARC被提出和标准化,以防止来自不同方面的电子邮件欺骗攻击。然而,只有当所有协议都执行良好时,电子邮件系统才能防止电子邮件欺骗攻击。在此基于链的身份验证结构中,任何链路的失败都会导致身份验证链无效

2、多角色之间的弱关联

身份验证发件人的身份是一个复杂的过程。它涉及四个重要的角色:发件人、接收人、转发器和UI渲染器。许多电子邮件服务并没有在所有四个角色中实施正确的安全策略。

3、多服务之间的弱关联

不同的电子邮件服务通常有不同的配置和实现。一些服务禁止发送标题不明确的电子邮件,但可以接收它们。相反,另一些邮件允许发送标题含糊的电子邮件,但在接收验证阶段进行非常严格的检查。安全策略之间的差异使得攻击者能够从具有松散发送策略的服务,向具有松散接收策略的服务发送欺骗电子邮件

基于以上问题,我们需要:

1、更确切的标准

提供更准确的电子邮件协议描述,以消除多方协议实践中的不一致性。例如,DKIM标准应指定何时应向转发的电子邮件中添加DKIM签名。转发商添加DKIM签名以提高电子邮件的可信度是合理的;但是,他们不应该向从未通过DKIM验证的电子邮件中添加DKIM签名。

2、更好的用户界面通知

电子邮件UI需要呈现更多的身份验证细节,帮助普通用户很难判断电子邮件的真实性。

所以,Coremail的建议防御方案如下:

1)针对Mail From和From的不一致,由管理员配置是否允许

2)若邮件来源为空,SPF严格支持对HELO的校验

3)可设置拒绝多个From的邮件,严格的协议解析

4)UI显示邮件验证的异常提示

目前, Coremail 已经采用了此方案,并在邮件的网页端和客户端为用户实施了该方案。此外,研究团队还在 Github 上发布了测试工具,供电子邮件管理员评估和提高他们的安全性。

当然,想要更全面地防御邮件安全攻击,需要形成安全生态体系,没有任何一家企业能够独立解决全部安全问题。同时,要形成全球同感知,需要更多研究者加入进来,共同研究邮件安全的状态与趋势。

8月26日,2021北京网络安全大会(简称BCS2021)以云峰会形式盛大启幕。

Coremail作为邮件行业领军者受邀参会,Coremail技术副总裁林延中在线上进行了主题为《邮件安全协议Bypass:新型电子邮件发信人伪造攻击与防范的研究》的分享。此次的分享,指出了当前的一系列新型发件人伪造攻击问题,并给出了关键的处理建议。

Coremail具有丰富的邮件安全经验。从2000年开始,Coremail一直致力于邮件反垃圾工作。CAC云安全中心每日支撑服务客户数量高达25000家,日均反垃圾分析请求量高达3千万封,日均截获高危恶意邮件超过100万。

我们看到,邮件安全正面临着严峻的形势!根据Coremail论客与奇安信统计的2020年全国企业级邮箱用户收到钓鱼邮件、病毒邮件的监测数据:

2020年共收到垃圾邮件约3,946.4亿封,约占企业级用户邮件收发总量的59.42%,其中包括病毒和钓鱼邮件,仅有4成为正常邮件。

2017-2020年,钓鱼邮件与病毒邮件的数量均呈逐年上升的趋势;2020年收到钓鱼邮件460.92亿封,病毒邮件492.16封;预计2021年,两者均会超过500亿封!

在这样严峻的背景下,钓鱼邮件、病毒邮件如果伪装成可信的发件人,攻击力度将更为严重!

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

此前,Coremail与清华大学、奇安信等合著的论文《Weak Links in Authentication Chains: A Large-scale Analysis of Email SenderSpoofing Attacks》(译作《验证链中的薄弱环节研究: 电子邮件发件人伪造攻击的大规模分析》)已对伪造发信人的钓鱼邮件攻击进行过研究。

值得一提的是,这一成果已发表于国际网络安全领域顶级会议USENIX Security 2021上。

该研究通过对30个目标电邮服务端的发件人攻击实验,发现30家电子邮件服务商,以及多个邮件客户端,都存在不同程度的缺陷,无法正确识别发信人伪造攻击。

对于这一项研究结论,多个邮件服务商均给予了积极的回应!

#1、阿里云:

对这些研究中提到的攻击很感兴趣,并且现在已经认识到在没有验证的情况下就添加DKIM签名的风险,并承诺会评估和修复此类问题。

#2、新浪邮箱:

将我们研究中提出的问题评估为高风险的脆弱性,并在内部评估相应的保护措施。并给予了一定的奖励。

#3、Gmail:

对我们的研究内容表示赞同,并将在随后的更新中修复相关问题。并且表示后续会联系我们,讨论这些安全问题背后的基本原因。

#4、163、QQ邮箱

感谢我们在研究中的工作,并告知我们将通过反垃圾邮件策略来解决这些安全问题。

大会上,Coremail技术副总裁林延中先生基于Coremail对邮件安全技术的实践,全面解析发信人伪造攻击的根本原因,并提出了一系列处置建议。

Coremail研究发现,邮件发信人能伪造成功的根本原因有以下3点:

1、多协议之间的弱关联

SPF、DKIM和DMARC被提出和标准化,以防止来自不同方面的电子邮件欺骗攻击。然而,只有当所有协议都执行良好时,电子邮件系统才能防止电子邮件欺骗攻击。在此基于链的身份验证结构中,任何链路的失败都会导致身份验证链无效

2、多角色之间的弱关联

身份验证发件人的身份是一个复杂的过程。它涉及四个重要的角色:发件人、接收人、转发器和UI渲染器。许多电子邮件服务并没有在所有四个角色中实施正确的安全策略。

3、多服务之间的弱关联

不同的电子邮件服务通常有不同的配置和实现。一些服务禁止发送标题不明确的电子邮件,但可以接收它们。相反,另一些邮件允许发送标题含糊的电子邮件,但在接收验证阶段进行非常严格的检查。安全策略之间的差异使得攻击者能够从具有松散发送策略的服务,向具有松散接收策略的服务发送欺骗电子邮件

基于以上问题,我们需要:

1、更确切的标准

提供更准确的电子邮件协议描述,以消除多方协议实践中的不一致性。例如,DKIM标准应指定何时应向转发的电子邮件中添加DKIM签名。转发商添加DKIM签名以提高电子邮件的可信度是合理的;但是,他们不应该向从未通过DKIM验证的电子邮件中添加DKIM签名。

2、更好的用户界面通知

电子邮件UI需要呈现更多的身份验证细节,帮助普通用户很难判断电子邮件的真实性。

所以,Coremail的建议防御方案如下:

1)针对Mail From和From的不一致,由管理员配置是否允许

2)若邮件来源为空,SPF严格支持对HELO的校验

3)可设置拒绝多个From的邮件,严格的协议解析

4)UI显示邮件验证的异常提示

目前, Coremail 已经采用了此方案,并在邮件的网页端和客户端为用户实施了该方案。此外,研究团队还在 Github 上发布了测试工具,供电子邮件管理员评估和提高他们的安全性。

当然,想要更全面地防御邮件安全攻击,需要形成安全生态体系,没有任何一家企业能够独立解决全部安全问题。同时,要形成全球同感知,需要更多研究者加入进来,共同研究邮件安全的状态与趋势。

2021北京网络安全大会(BCS 2021)于8月26日-28日在国家会议中心举行。大会上,奇安信集团联合Coremail发布《中国企业邮箱安全性研究报告》。

报告显示,企业邮箱是黑客对企业发动网络攻击的首先途径,将危及企业的财产安全和商务合作。

本联合报告的编撰获得了CAC邮件安全数据中心、Coremail邮件安全联合实验室以及奇安信集团行业安全研究中心相关专家的支持。

以下由Coremail邮件安全专家团队为您解读《2020中国企业邮箱安全性研究报告》(以下简称报告)。

平均每天发送正常电子邮件约7.4亿封,人均每天发送电子邮件约4.6封。

2020年,全国企业邮箱用户共收到各类垃圾邮件2859.2亿封,约占企业级用户邮件收发总量的43.1%,是企业级用户正常邮件数量的1.1倍。

国内钓鱼邮件受害者所在行业也比较集中,排名前十的行业收到的钓鱼邮件数量,占钓鱼邮件总数的70.6%。

越多的带毒邮件正在被发送给企业邮箱,2020年企业级用户收到的带毒邮件量约占用户收发邮件总量的7.4%,平均每天约有1.3亿封带毒邮件被发出和接收。

据统计,因盗号导致发送垃圾邮件(正常用户邮箱帐号被盗后,被黑客用来发送垃圾邮件)占所有垃圾邮件总量的25.4%。

从发送者邮箱域名归属情况来看,来自国内的垃圾邮件最多,占总数的42.8%,来自美国的垃圾邮件次之,占总量约14.0%,第三是俄罗斯,约占13.4%。

从行业上分析,对发送垃圾邮件的邮箱域名进行抽样行业分析后显示,工业制造行业占比最高,为10.5%,下图给出了国内垃圾邮件发送源行业分布。

钓鱼邮件:指含有恶意欺诈信息的邮件,包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈邮件,但不包括带毒邮件、非法邮件等。

2020年,全国企业邮箱用户共收到各类钓鱼邮件约460.9亿封,相比2019年收到各类钓鱼邮件的344.3亿封增长了33.9%。

形势严峻!

而值得注意的是,2020年新冠疫情期间,从收到钓鱼邮件的受害者服务器所在地来看,湖北收到的钓鱼邮件最多,有37.9%的钓鱼邮件被发送至湖北的企业邮箱用户;

2020年,全国企业级用户共收到约492.1亿封带毒邮件,相比2019年收到的424.3亿封带毒邮件相比,同比增长了16.0%。Coremail与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。

带毒邮件的发送者多集中于北美洲与欧洲。其中,来自美国的带毒邮件最多占全球带毒邮件的37.1%;占据第一;

从收到带毒邮件的受害者所在地来看,北京收到的带毒邮件最多,有41.2%的带毒邮件被发送至北京的企业邮箱用户;另有约14.7%的带毒邮件被发送给广东用户;约7.6%的带毒邮件被发送给上海用户。国内带毒邮件受害者数量TOP10省级行政区分布如下图所示:

CACTER邮件安全、Coremail均属于广东盈世计算机科技有限公司旗下品牌。

以上内容由Coremail邮件安全专家团队为您解读。

2021北京网络安全大会(BCS 2021)于8月26日-28日在国家会议中心举行。大会上,奇安信集团联合Coremail发布《中国企业邮箱安全性研究报告》。

报告显示,企业邮箱是黑客对企业发动网络攻击的首先途径,将危及企业的财产安全和商务合作。

本联合报告的编撰获得了CAC邮件安全数据中心、Coremail邮件安全联合实验室以及奇安信集团行业安全研究中心相关专家的支持。

以下由Coremail邮件安全专家团队为您解读《2020中国企业邮箱安全性研究报告》(以下简称报告)。

平均每天发送正常电子邮件约7.4亿封,人均每天发送电子邮件约4.6封。

2020年,全国企业邮箱用户共收到各类垃圾邮件2859.2亿封,约占企业级用户邮件收发总量的43.1%,是企业级用户正常邮件数量的1.1倍。

国内钓鱼邮件受害者所在行业也比较集中,排名前十的行业收到的钓鱼邮件数量,占钓鱼邮件总数的70.6%。

越多的带毒邮件正在被发送给企业邮箱,2020年企业级用户收到的带毒邮件量约占用户收发邮件总量的7.4%,平均每天约有1.3亿封带毒邮件被发出和接收。

据统计,因盗号导致发送垃圾邮件(正常用户邮箱帐号被盗后,被黑客用来发送垃圾邮件)占所有垃圾邮件总量的25.4%。

从发送者邮箱域名归属情况来看,来自国内的垃圾邮件最多,占总数的42.8%,来自美国的垃圾邮件次之,占总量约14.0%,第三是俄罗斯,约占13.4%。

从行业上分析,对发送垃圾邮件的邮箱域名进行抽样行业分析后显示,工业制造行业占比最高,为10.5%,下图给出了国内垃圾邮件发送源行业分布。

钓鱼邮件:指含有恶意欺诈信息的邮件,包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈邮件,但不包括带毒邮件、非法邮件等。

2020年,全国企业邮箱用户共收到各类钓鱼邮件约460.9亿封,相比2019年收到各类钓鱼邮件的344.3亿封增长了33.9%。

形势严峻!

而值得注意的是,2020年新冠疫情期间,从收到钓鱼邮件的受害者服务器所在地来看,湖北收到的钓鱼邮件最多,有37.9%的钓鱼邮件被发送至湖北的企业邮箱用户;

2020年,全国企业级用户共收到约492.1亿封带毒邮件,相比2019年收到的424.3亿封带毒邮件相比,同比增长了16.0%。Coremail与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。

带毒邮件的发送者多集中于北美洲与欧洲。其中,来自美国的带毒邮件最多占全球带毒邮件的37.1%;占据第一;

从收到带毒邮件的受害者所在地来看,北京收到的带毒邮件最多,有41.2%的带毒邮件被发送至北京的企业邮箱用户;另有约14.7%的带毒邮件被发送给广东用户;约7.6%的带毒邮件被发送给上海用户。国内带毒邮件受害者数量TOP10省级行政区分布如下图所示:

CACTER邮件安全、Coremail均属于广东盈世计算机科技有限公司旗下品牌。

以上内容由Coremail邮件安全专家团队为您解读。

2021北京网络安全大会(BCS 2021)于8月26日-28日在国家会议中心举行。大会上,奇安信集团联合Coremail发布《中国企业邮箱安全性研究报告》。

报告显示,企业邮箱是黑客对企业发动网络攻击的首先途径,将危及企业的财产安全和商务合作。

本联合报告的编撰获得了CAC邮件安全数据中心、Coremail邮件安全联合实验室以及奇安信集团行业安全研究中心相关专家的支持。

以下由Coremail邮件安全专家团队为您解读《2020中国企业邮箱安全性研究报告》(以下简称报告)。

平均每天发送正常电子邮件约7.4亿封,人均每天发送电子邮件约4.6封。

2020年,全国企业邮箱用户共收到各类垃圾邮件2859.2亿封,约占企业级用户邮件收发总量的43.1%,是企业级用户正常邮件数量的1.1倍。

国内钓鱼邮件受害者所在行业也比较集中,排名前十的行业收到的钓鱼邮件数量,占钓鱼邮件总数的70.6%。

越多的带毒邮件正在被发送给企业邮箱,2020年企业级用户收到的带毒邮件量约占用户收发邮件总量的7.4%,平均每天约有1.3亿封带毒邮件被发出和接收。

据统计,因盗号导致发送垃圾邮件(正常用户邮箱帐号被盗后,被黑客用来发送垃圾邮件)占所有垃圾邮件总量的25.4%。

从发送者邮箱域名归属情况来看,来自国内的垃圾邮件最多,占总数的42.8%,来自美国的垃圾邮件次之,占总量约14.0%,第三是俄罗斯,约占13.4%。

从行业上分析,对发送垃圾邮件的邮箱域名进行抽样行业分析后显示,工业制造行业占比最高,为10.5%,下图给出了国内垃圾邮件发送源行业分布。

钓鱼邮件:指含有恶意欺诈信息的邮件,包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈邮件,但不包括带毒邮件、非法邮件等。

2020年,全国企业邮箱用户共收到各类钓鱼邮件约460.9亿封,相比2019年收到各类钓鱼邮件的344.3亿封增长了33.9%。

形势严峻!

而值得注意的是,2020年新冠疫情期间,从收到钓鱼邮件的受害者服务器所在地来看,湖北收到的钓鱼邮件最多,有37.9%的钓鱼邮件被发送至湖北的企业邮箱用户;

2020年,全国企业级用户共收到约492.1亿封带毒邮件,相比2019年收到的424.3亿封带毒邮件相比,同比增长了16.0%。Coremail与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。

带毒邮件的发送者多集中于北美洲与欧洲。其中,来自美国的带毒邮件最多占全球带毒邮件的37.1%;占据第一;

从收到带毒邮件的受害者所在地来看,北京收到的带毒邮件最多,有41.2%的带毒邮件被发送至北京的企业邮箱用户;另有约14.7%的带毒邮件被发送给广东用户;约7.6%的带毒邮件被发送给上海用户。国内带毒邮件受害者数量TOP10省级行政区分布如下图所示:

CACTER邮件安全、Coremail均属于广东盈世计算机科技有限公司旗下品牌。

以上内容由Coremail邮件安全专家团队为您解读。

今天!Coremail正式发布!

《Coremail 2021年第二季度邮件安全报告》!

Coremail邮件安全季度报告.jpg

2021年 Q2邮件安全形势如何?下半年各关基单位及企业该如何做好邮件安全防护工作?请下拉查收报告!

一、2021 Q2 邮件安全宏观态势

持续增长、高压态势

1、2021Q2垃圾邮件宏观态势

《2020 Q2--2021Q2 CAC 识别垃圾邮件数量》.png

《2020 Q2--2021Q2 CAC 识别垃圾邮件数量》

2021年第二季度整体垃圾邮件数量较上一季度增长了15.22%,同比去年同期增长11.72%。

2、2021Q2钓鱼邮件宏观态势

《2020 Q2--2021Q2 CAC 识别钓鱼邮件数量》.png

《2020 Q2--2021Q2 CAC 识别钓鱼邮件数量》

2021年第二季度,钓鱼邮件数量较上一季度增长了21.2%。同比去年同期增长171.52%。钓鱼邮件数量整体呈现翻倍上升趋势。

二、数据分析及解读

安全、可控、趋势分析

1、钓鱼邮件季环比增长五分之一

2021年Q2相比于Q1,钓鱼邮件数量增加21.27%。

随着疫情的缓和、新年假期的结束,社会整体全面复工,Q2 季度钓鱼邮件的数量突破攀升至4055.3万封。

Q2期间,国家级及地区性HW行动陆续展开,各关基单位收到的钓鱼邮件数量也有所上升。

2、境外攻击高居不下

第二季度的钓鱼邮件有近83%是来自境外IP,国内防御局势仍然十分严峻。

3、疫情主题钓鱼邮件持续发酵

Q2季度期间,Coremail邮件安全发现部分黑客紧跟国家推广新冠疫苗大规模人群接种的时事热点,发起了钓鱼攻击。

其中以链接型钓鱼邮件为主,企图利用人员邮件安全意识低下为弱点进行个人信息的窃取,整个第二季度CAC共计截获识别了近5万封与疫情相关的钓鱼邮件,其中在4月份和6月份的攻击态势较为猛烈。

4、域名伪造问题依然突出

根据Coremail邮件安全团队分析,域名伪造仍然是识别钓鱼邮件的难题之一。Coremail安全解决方案专家刘骞介绍道:

“攻击者利用钓鱼邮件欺骗的首要条件是制造一个可信的发信人,使用户在阅读邮件的第一时间产生信任感,进而阅读邮件内容并点击链接或下载附件。

制造可信发信人主要有两种手段:盗取真实的发信人或伪造发信人。

2020年被盗账号占所有账号的2.97%,但却外发了25.38%的垃圾邮件。

目前虽有SPF、DKIM和DMARC协议对邮件来源进行校验,但由于各邮件服务商与各协议的弱关联性,导致仍然有许多手段能绕过邮件来源校验,进行发信人伪造。

所以邮件使用者需要更有效的手段去预防盗号和监控账号的异常情况,并且对于一些来源看似可信的邮件,也需要提高警惕。”

三、典型案例

提高安全意识、避免损失

1、广撒网式的低级钓鱼邮件

低级案例 1.png

常见式样的钓鱼邮件

此类广撒网式样的钓鱼邮件一般通过冒充系统管理员、快递包裹、快递等信息,诱导用户进入钓鱼网站输入用户名密码,进而盗取用户的邮箱信息。

2、结合实事的高级钓鱼邮件

高级案例 2.png

高级钓鱼邮件类型

Q2季度为年度个人所得税汇缴时间,黑客利用此时间节点,通过冒充个人所得税年度汇算清缴通知,使用正常邮箱服务商提供的免费邮箱(yahoo.com)发送内容正常的通知邮件。

黑客仅将邮件内的链接修改为bit.ly的短链接指向到钓鱼网站,通过这样的伪装使邮件企图绕过CAC云安全中心的反垃圾检查。该链接点击访问后,会指向到以下网站

“https://braised-employees.000webhostapp.com/********/index.html”

这是国外一个免费的虚拟主机供应商,该钓鱼链接的网站页面为某高校的邮件系统登录首页,具有较高的迷惑性。若用户未能鉴别出此为钓鱼网站,轻易输入账号密码,将产生极大的风险。

3、恶意附件攻击:

攻防案例3.png

某攻防演练期间发现的恶意附加攻击

攻击者伪装成实习生投递简历,通过邮件投递恶意附件。

这类EXE后缀的附件一般会使用一个WORD的图标作为伪装,部分附件甚至名称即为“****.doc.exe”,如果收件人不注意看附件后缀,很容易会误以为是一个DOC文档而直接执行。

另一部分的恶意附件文件名会添加一长串空格字符,推测是为了增加文件名长度从而绕过某些反病毒引擎或沙箱的检测。