11月23日，Coremail校園郵件安全防護交流會暨新技術應用分享直播舉辦。

Coremail作為國內TOP級郵件系統廠商，服務上百家高校，特邀以下重磅嘉賓參與了本次圓桌討論。

本次圓桌會主要探討校園典型釣魚郵件防範與新技術在校園郵件中的應用。

高校大咖們都分享了哪些精彩內容？

下拉檢視！

校園釣魚郵件威脅探討與防範

1、2022年校園典型釣魚郵件

Coremail在本次圓桌會上披露了2022年校園TOP20釣魚主題。

主要攻擊方式有兩種，第一是利用大量IP資源攻擊；第二則是盜號外發釣魚提高可信度。而主題也集中在“系統通知/升級”“工資補貼申領”“快遞到貨通知（DHL)”。

其中， CAC郵件安全大資料中心監測到“補貼主題詐騙郵件”自2021年底活躍至今。

黑產組織透過大量冒充財務部、稅務局、人社部等部門傳送《關於釋出2022最新補貼通知》主題的釣魚郵件，誘導師生輸入銀行卡賬密敏感資訊進行詐騙，影響非常惡劣。

面對以上惡意郵件的防範，高校技術專家們有何看法？

2、高校專家精彩觀點分享

觀點1：除了加大對安全技術及產品的投入，也要重視提升師生安全意識

分享專家：馬雲龍 清華大學 資訊化技術中心高階工程師

針對詐騙郵件防範，清華大學資訊化技術中心高階工程師馬雲龍指出， 除了需要加大對安全技術和產品的投入，從易被忽視的師生安全意識著手，定期進行反釣魚演練也是有必要的。

馬雲龍老師表示，清華最近半年來，發現釣魚郵件基本是被盜郵箱向域內通訊錄傳送，也就是域內對域內傳送釣魚郵件，令人非常頭疼。

甚至一個月以前就發生過使用者完美地按照釣魚郵件指示輸入銀行賬號密碼，最終導致銀行卡內3000多餘額被轉走的事件，儘管最後報案處理，但追回損失可能性渺茫。

清華大學之前有嘗試過某其他品牌廠商的開源釣魚演練系統，但在實際演練過程中才發現，傳送過程極其不順暢。

當有師生在閱讀“演練郵件”時，後續傳送的釣魚郵件就會卡頓，無法發出，經過覆盤發現與廠商使用的資料庫有關。

由於傳送過程不順利，慢慢地有師生意識到在做釣魚演練，圍觀看熱鬧的人比較多，導致最後意識提升效果就不太好。

Coremail解決方案專家劉騫補充道“這也提醒我們，對於反釣魚演練平臺，平臺的易用性和可靠性是很重要的，對於體量高達十萬+的客戶而言，傳送演練郵件的時間太長，會降低演練的效果。”

觀點2：治理盜號問題，推進雙因素認證是關鍵

分享專家 ：辛 毅 哈爾濱工業大學 網信辦高階工程師

關於防範域內盜號外發的釣魚郵件，哈爾濱工業大學辛毅老師也從安全的角度出發分享了自己觀點。

辛老師提到，“有一個比較悲觀的看法，就是在高校多主體低治理的環境下，釣魚郵件肯定是會成功的”。

圓桌會上，辛老師分享了一個釣魚郵件的溯源報告。

報告顯示， 駭客在盜取郵箱賬號時，變換不同的IP對特定賬號進行高達千次的攻擊，給封堵造成了很大的難度。除了常見的暴力破解，報告顯示，高校使用者被釣魚後洩露賬號密碼的行為也很常見。

為了治理盜號問題，哈爾濱工業大學下決心將郵件系統登入換成了雙因素認證登陸，推進完成後，儘管哈工大有10萬+使用者的體量，但盜號問題大有改善。

辛老師也強調，如果上了雙因素認證還是存在盜號問題，駭客就只剩下兩種途徑了， 第一種是感染終端使用者的主機；第二種則採用SIM卡交換攻擊，來獲取你的認證碼。

兩種途徑難度都很大，駭客做到這個程度，基本上是不會去針對普通師生，所以還是建議上雙因素認證治理盜號問題，是比較合適的措施。

觀點3：利用社群加快情報共享利用，一鍵舉報形成快速通道

分享專家：夏正偉 武漢大學 資訊中心副主任

對於Coremail披露的2022年釣魚郵件TOP20主題及攻擊手法，武漢大學資訊中心副主任夏正偉提出了三點防範方向。

第一，在防範釣魚郵件上， 可以加強Coremail社群、微信群的情報共享利用，對釣魚郵件的關鍵詞、釣魚傳送源IP形成更快地共享，便於管理員進行封控等操作。

第二，在防範釣魚郵件上，高校應有眾包思想來加快安全情報的迭代，可以考慮借鑑微信的一鍵式舉報功能， 鼓勵使用者舉報可疑郵件至集中的情報平臺，從舉報到封控處理形成快速通道，促使郵件安全資料庫高頻更新。

第三，夏主任強調，除了提升使用者意識及使用郵件安全產品，保護終端使用者避免成為駭客的攻擊傀儡也是非常重要的，需要規避師生郵箱賬號被盜號成功後被劫持傳送釣魚郵件。

這種情況下，可以利用郵件系統的本地日誌，如登入頻次、傳送頻次、接收頻次等異常特徵進行識別處置。對此，Coremail微信群及社群有老師貢獻了一些高質量的指令碼，也可以提高處置的效率。

最後，夏主任提到，高校郵件系統在科研領域中是非常重要的應用，除了加大對安全裝置的購置投入， 也需要高校與郵件安全廠商加強協同合作，形成良性迴圈，促進郵件安全生態環境的良好發展。

觀點4： 可疑郵件交由使用者判斷，對自動鎖定仍有疑慮

分享專家：李凱 華中科技大學 網路與計算中心工程師

圓桌會上，各高校技術專家暢所欲言，華中科技大學 網路與計算中心工程師李凱也提出了自己的疑慮

“華中科技大學在2017年的時候也購置了某其他品牌郵件安全閘道器，將可疑郵件歸類到緩衝隔離區，但基本交由老師進行判斷和放行。

如果由管理員進行稽核，遇到的很大一個難點在於，使用者會覺得管理員在窺探他的郵件資訊，這樣會導致我們接到一些投訴。”

基於使用其他品牌閘道器的經驗，李凱老師也建議Coremail郵件閘道器做一個大類標記功能，比如對於可疑郵件交由老師判斷，明確是典型詐騙或病毒的才進行拒收。

對於這個建議， 目前Coremail已推出針對教育行業的訂閱過濾解決方案。

高校師生普遍有訂閱學術期刊的習慣，而訂閱類郵件等具有“輕量”垃圾郵件特徵。

如果擔心訂閱類郵件被CACTER郵件安全閘道器“誤攔”，可選擇將訂閱類郵件打上垃圾郵件的標籤直接投遞至【郵件系統的垃圾郵件資料夾】。

師生可隨時在【郵件系統的垃圾郵件資料夾】找回訂閱郵件。

李凱老師的第二個疑慮則是關於異常賬號自動鎖定，主要擔心準確率問題，萬一誤判自動鎖定了高層領導的賬號，影響是很大的。

為了規避這類情況，目前華中科技大學採用人工稽核的手段。

比如，在監控到某賬號每小時外發超過100+，華科大則會單獨提取該賬號日誌，人工稽核外發記錄，確定有問題才會進行鎖定操作。

對於李凱老師提出的疑慮，高校技術專家們進行了更為深入的措施討論，有興趣可登入Coremail雲服務中心，檢視圓桌會完整回放

二、校園郵件暨新技術應用分享

1、Pv6新技術分享

在《新技術在高校安全郵件系統的探索》中，清華大學馬雲龍老師為觀眾朋友們介紹了關於郵件系統IPv6的改造經驗。

為了更好地分享，馬雲龍老師後續也將在Coremail管理員社群上傳《電子郵件系統IPv6改造客戶端測試》的方案。

武漢大學夏主任則為觀眾們介紹了IPv6的兩種技術路線。

第一種是將其理解為外掛的實現，透過反代理在外圍進行實現IPv6改造。第二種則是原生的Coremail郵件系統實現不同元件對IPv6進行支援，從而完成整體郵件系統IPv6改造。

關於兩位專家的更多技術細節，歡迎各位有興趣的朋友登入Coremail管理員社群，觀看完整回顧。

2、Coremail SOAR新技術分享

本次圓桌會多次談及盜號問題導致的衍生威脅事件， Coremail也分享了對其最新的課題研究SOAR（安全編排、自動化及響應）。

Gartner在2017年將SOAR 定義為一系列技術的集合，它使組織能夠收集不同來源的安全威脅資料和告警，並藉助人工與機器的組合操作進行事件分析和分診，進而按照某種標準的工作流去幫助定義、確定優先順序並推動標準化的事件響應活動。

目前Coremail郵件安全實驗室正對SOAR的 四個細分方向，威脅分析本地化、條件式自動處置、雲情報本地應用及安全問題事件進行研究攻關。

結合當前研究成果，Coremail擬推出SMC 2.0，它是一款具備自動處置（鎖定賬號、郵件召回、告警、審計等）、 雲端情報賦能的內網安全產品。

SMC 2.0 即將在2023年與客戶朋友們見面，成為Coremail郵件安全防護體系新成員！

更多圓桌會精彩內容，歡迎登入Coremail雲服務中心社群檢視完整回放。