工业和信息化部网络安全管理局在1月13日发布了一篇名为《关于防范钓鱼邮件攻击的网络安全风险提示》的告警文章，指出：“利用仿冒电子邮箱发起的钓鱼邮件攻击事件频发。攻击者伪装成家人朋友、工作同事、合作伙伴等，发送特定主题的电子邮件，降低用户防备心理，诱使用户点击邮件中的恶意链接或者恶意程序，可能导致计算机、手机等终端设备被窃取信息或远程控制。”

看到这篇告警文章，笔者联想到前段时间 360 沙箱云和 360 安全情报中心监测到的通过邮件传播恶意程序的攻击事件，和近年来境外威胁组织针对中国境内敏感单位的相关人员使用邮件发起的鱼叉攻击事件，以及近年来因为电子邮件安全问题引起的恶性网络事件。种种这些都是以电子邮件为媒介进行的，而鉴于用于邮件传输的简单邮件传输协议（SMTP）本身不提供任何身份验证，所以拥有一个可靠的邮件安全网关守住网络边界就显得尤为重要，特别是在应对一些更高技术含量的攻击组织的入侵时。

现状

目前，大多数企业依然在使用较为传统的邮件安全网关来检测邮件的安全性。传统邮件安全网关通常采取以下方式来确保邮件的安全：

对邮件发件人身份进行验证，使用以下方法：

• SPF（发件人策略框架）身份验证

• DKIM（域密钥识别邮件）身份验证

• DMARC（基于域的邮件身份验证、报告和一致性）身份验证

  
  

对邮件内容进行审查，使用以下方法：

• 内容过滤

• 特征识别

• 脚本分析

• 链接黑白名单

• 附件黑白名单

• ...

  
  

传统邮件安全网关虽然在身份验证方面下了一番功夫，但是其维度单一，视角狭窄，形态固定的内容审查模式还是注定其只能够抵御一些低技术含量，低成本的垃圾邮件和钓鱼邮件攻击，在应对高技术含量，不计成本的攻击时就显得捉襟见肘了，比如现在颇具威胁的高级持续性威胁（APT）攻击、账号接管（ATO）攻击、高级商业邮件诈骗（BEC）攻击，特别是在需要保证邮件的最大送达率的情况下，传统邮件安全网关又不得不放宽身份验证和内容审查，这使得其可靠性被进一步降低。

“云邮件网关”服务

在此情况下，360 沙箱云的“云邮件网关”服务应运而生，我们除了具备传统邮件安全网关具备的检测能力，还针对更有检测意义（身份信息更易伪造或窃取）的邮件正文和附件提供以下能力。

一、针对邮件正文提供以下能力识别攻击意图：

1. 提供 URL 提取，威胁情报实时关联及投递360沙箱云自动动态分析能力。

   
   

相比传统邮件安全网关静态的、滞后的 URL、域名、IP 地址黑白名单过滤，我们提供时效性更高的动态的威胁检测能力。我们使用 360 威胁情报中心（TI）实时关联邮件正文中提取解析的 URL、域名、IP 地址的威胁指标，及时判断是否存在钓鱼或欺诈等威胁风险。我们依托 360 沙箱云高级威胁分析平台（ATA）强大的动静态检测能力，监控访问该 URL 时产生的所有恶意行为，时刻抵御最新出现的、已有威胁情报之外的恶意 URL。

2. 提供图片分析及图片中的 URL 提取能力。

   
   

相比传统邮件安全网关只能从文字中提取 URL，提取图片中的 URL 可以进一步封堵内容审查漏洞，防止攻击者以这种方式躲避邮件内容审查。

3. 提供所有链接包括但不限于域名、邮箱地址、ip 地址的关联分析能力。

   
   

相比传统邮件安全网关丰裕度较窄的黑白名单过滤，我们使用 360 TI 为其赋能，分析邮件正文中涉及到的所有链接，拓宽威胁视野让潜在威胁无所遁形。

二、针对邮件附件提供以下能力分析附件恶意程度：

1. 附件压缩包密码提取解析。

   
   

相比传统邮件安全网关的附件黑白名单过滤，提取压缩包密码解密压缩包获得内容文件才是真正的将检测利剑指向威胁核心。

2. 提供附件提取，威胁情报实时关联及自动投递行为分析能力。

   
   

相比传统邮件安全网关的恶意文件黑白名单过滤，我们使用 360 TI 实时关联邮件附件的威胁情报，及时判断文件信誉，同时依托 360 沙箱云强大的检测能力对附件进行分析，洞悉附件静态结构及运行后的所有动态行为。

三、360 沙箱云提供对邮件附件的多维、多阶、多态分析：

1. 静态分析：精确识别文件类型展示文件内容，结合邮件正文及时预见文件类型欺诈。

2. 行为分析：准确记录文件打开后产生的行为关系图及行为，并依托丰富的行为检测规则库实现对样本行为的检测与样本的评分。

3. 网络分析：除了依托丰富的流量规则库对样本产生的网络流量进行威胁检测，准确发现威胁流量，并对各种流量协议的进行分类与流量内容记录，同时具备对情报信息的再分析能力。

4. 释放文件：准确记录文件打开后释放的文件，并对释放文件进行静态分析与多引擎扫描判定。

5. 释放内存：对样本运行过程中的内存释放进行转储，真正地深入进程进行威胁检测，让威胁无所遁形。

6. 威胁指标：依托 360 威胁情报中心的支持，对样本自身、及样本运行过程中产生的衍生物情报指标进行威胁判定，深度分析样本威胁程度。

7. 关联分析：依托 360 沙箱云威胁知识图谱，对样本及样本运行过程中产生的情报指标进行任务关联分析，拓宽威胁视野。

总结

360 沙箱云的“云邮件网关”功能具备针对更具隐蔽性、更具欺诈性、更具威胁性的邮件攻击的检测能力与溯源能力，解决了传统邮件网关存在的维度单一，视角狭窄，形态固定的邮件检测问题，满足了客户对下一代邮件安全网关的需求，帮助客户严守网络安全边界，避免客户因遭受钓鱼、欺诈或更高威胁程度的以邮件为媒介的攻击而造成重大损失。

参考链接：

关于防范钓鱼邮件攻击的网络安全风险提示
https://wap.miit.gov.cn/jgsj/waj/gzdt/art/2023/art_5a740e94781142fe8c1bb7aa6383404d.html