中国企业邮箱安全性研究报告.pdf

中国企业邮箱安全性 研究报告 2021 年 8 月 编写组 组长 林延中 裴智勇 主要编写人员 刘川琦 刘佳雄 江嘉杰 中国企业邮箱安全性研究报告由 Coremail 论客科技（广州）有限 公司与奇安信集团联合为您提供，本联合报告的编撰获得了 Coremail 论客科技 CAC 邮件安全数据中心、 Coremail 论客科技产品实验室以 及奇安信集团行业安全研究中心相关专家的悉心指导和宝贵建议，在 此表示感谢。 摘 要 根据 Coremail 论 客 与奇安信行业安全研究中心的联合 监测， 同时 综合 网易、 腾讯 、阿 里巴巴等 主流企业邮箱服务提供商的公开数据 进行 分析评估， 截止 2020 年底 ， 国内注 册的企业邮箱独立域名约为 527万个，相比 2019年增长 1.3%。活跃的 国内企业邮箱用 户 规模 约 为 1.6亿，相比 2020年用户规模增长了 12.5%。 仅 就正常邮件而言 ， 统计 显示， 全国企业邮箱用户 在 2020 年共收发正常电子 邮件 约 2695.1亿 封 ，比 2019年增长 9.8%， 平均 每天 发送 正常 电子邮件 约 7.4 亿 封 ， 人均每天 发送电子邮件约 4.6封。相比 2019年人均每天发送 4.8封邮件，降低了 0.2封。 对中国政企机构独立邮箱域名的 抽样分析 显示 ， 从域名注册量来看，工业制造类企业 注 册的邮箱域名 最多 ，占 比 为 30.5%， 其次是交通运输 行业占比 11.0%，外资机构占比 8.7%； 还有互联网企业占比 7.1%， IT 信息技术占比 6.9%， 金融 行业占比 6.4%等，这些 都属 于 电子 邮箱 使用 独立域名较多的行业 。 统计显示，全国企业邮箱用户收发的邮件以境内收发为主。国内收发占 65.4%；海外收 发 34.6%。从服务器的所在 地 来看 ， 2020 年，国内企业邮箱服务器设在上海的数量排名 第一， 占比为 19.8%；北京 排第 二 ，占比为 15.9%；广州排名第三，占比 8.6%。 根据 Coremail 论客 与 奇安信行业安全研究中心的 联合监测 评估 ， 2020年 ，全国企业邮 箱用户共收到各类垃圾邮件 2859.2 亿封， 约占企业级用户邮件 收发 总量的 43.1% ， 是 企业级用户正常邮件数量的 1.1倍 。 相比 2019年下降了 6.0% 。 根 据 Coremail论客 与 奇安信行业安全研究中心 联合监测， 钓鱼邮件 的发送者遍布全球， 其中， 来自美国的 钓鱼 邮件最多 ，占 国内企业 用户收到的钓鱼邮件的 44.2% ； 其次是 中 国，约占 13.2% ；荷兰一跃 排名第三 ， 约占 4.2% 。 根据 Coremail 论客 与 奇安信行业安全研究中心联合 监测评估 ， 2020年 ，全国 企业级 用 户 共 收到约 492.1 亿 封带毒邮件 ，相比 2019 年收到的 424.3 亿封带毒邮件相比，同比 增长 了 16.0% 。越来越多的带毒邮件正在被发送给企业邮箱。 2020 年企业级用户收到 的带毒邮件量 约占用户收发邮件总量的 7.4% 。 平均每天 约有 1.3 亿 封带毒邮件被发出 和接收 。 关键词： 企业邮箱、垃圾 邮件、带毒邮件、 钓鱼邮件 目 录 研究背景 . 2 第一章 电子邮箱的使用与规模 . 3 一、 电子邮箱的使用规模 . 3 二、 电子邮箱用户行业分布 . 4 三、 电子邮件的地域分布 . 5 第二章 垃圾邮件 . 6 一、 垃圾邮件的规模 . 6 二、 垃圾邮件发送源 . 6 第三章 钓鱼邮件 . 8 一、 钓鱼邮件的规模 . 8 二、 钓鱼邮件发送源 . 8 三、 钓鱼邮件受害者 . 8 第四章 带毒邮件 . 10 一、 带毒邮件的规模 . 10 二、 带毒邮件发送源 . 10 附件 1 COREMAIL 邮件安全网关产品介绍 . 11 附件 2 奇安信网神邮件威胁检测系统 . 13 2 研究背景 在中国当前网络空间形势下，社交网络日益发达，电子邮件发展至今已有几十年历史， 但仍是最重要的现代互联网应用之一。从个人生活到工作场景的使用，邮件都在现阶段人们 的生活中扮演者不可或缺的角色。近年来中国企业信息化办公 程度逐年升高，更是大大促进 了企业邮箱的使用， 同时也使 企业 邮箱系统成为黑客入侵机构内部网络 的 首选入口。 针对邮件系统在使用时存在的问题，奇安信行业安全研究中心联合 Coremail 论客，自 2016年起合作编撰中国企业邮箱安全性研究报告，截至今年已连续发布四年。报告数据 主要来自 Coremail 论客与奇安信集团联合监测，报告内容以电子邮箱的使用、垃圾邮件、 钓鱼邮件、带毒邮件为主体，从规模、发送源、受害者及典型案例等方面分析中国企业邮箱 安全性。 本报告结合了 Coremail 论客与奇安信集团多年在企业邮箱领域的丰富实践经验及研究 经验，相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位，开展以邮件 防护为基础，增强完善整体网络安全建设，提供一定参考。 3 第一章 电子邮箱的 使用 与 规模 一、 电子 邮箱 的使用 规模 根据 Coremail 论 客 与奇安信行业安全研究中心的联合 监测， 同时 综合 网易、 腾讯 、阿 里巴巴等 主流企业邮箱服务提供商的公开数据 进行 分析评估， 截止 2020 年底 ， 国内注册的 企业邮箱独立域名约为 527 万个，相比 2019年增长 1.3%。活跃的 国内企业邮箱用户 规模 约 为 1.6亿，相比 2020年用户规模增长了 12.5%。 从电子邮箱的使用情况来看， 2020年，全国企业邮箱用户共收发各类电子邮件约 6641.5 亿封， 相比 2019年企业及电子邮箱用户收发邮件数量增长 3.0%。 平均每天收发电子邮件约 18.2亿封 。 其中，正常邮件占比约为 40.6%，普通垃圾邮件占比 为 43.1%、 钓鱼邮件 6.9%、 病毒 邮件 7.4%、谣言邮件 1.3%，色情、赌博等违法信息推广邮件约 0.7%。也就是说， 2019 年，在邮件系统收发的邮件中，仅有 4 成左右 为正常邮件，垃圾邮件及其他各类非 法、恶意邮件等 非 正常邮件的数量，是正常邮件 数量 的 1.3 倍左右。 仅 就正常邮件而言 ， 统计 显示， 全国企业邮箱用户 在 2020 年共收发正常电子 邮件 约 2695.1亿 封 ，比 2019年增长 9.8%， 平均 每天 发送 正常 电子邮件 约 7.4 亿 封 ， 人均每天发送 电子邮件约 4.6封。相比 2019年人均每天发送 4.8封邮件，降低了 0.2封。 不同于 个人邮箱，企业邮箱 的 主要用途 是 办公 。因此 ，同一机构内部 邮件互发往往 会比 较频繁。 抽样统计显示 ， 企业 用户 发送 的电子邮件中， 约 35.4%为机构内部 邮件 ， 22.7%为 外部邮件， 41.9%为 内外通发邮件（ 收件人 既有 机构 内部，也有机构外部） 。 4 二、 电子 邮箱 用户行业分布 对中国政企机构独立邮箱域名的 抽样分析 显示 ， 从域名注册量来看，工业制造类企业 注 册的邮箱域名 最多 ，占 比 为 30.5%， 其次是交通运输 行业占比 11.0%，外资机构占比 8.7%； 还有互联网企业占比 7.1%， IT 信息技术占比 6.9%， 金融 行业占比 6.4%等，这些 都属于 电 子 邮箱 使用 独立域名较多的行业 。 如果从正常 邮件 的 发送量上来看， 教育培训 和 工业制造行业 发送的邮件数量最多 ，教育 培训找 16.1%，排名第一；工业制造占比 15.6%，排名第二；其次 是 媒体 占比为 14.6%，交 通运输行业占比 10.9%； 还有 IT 信息技术占比 5.7%，科研机构、互联网、医疗卫生等 也都 是邮件发送量 较多 的行业。 具体占比如下图所示： 对比 独立 邮箱 域名注册量和 邮件 发送量， 可以 看出，就单个 政企机构 而言， 教育 培训， 工业制造与交通运输 等 行业 对 邮件 办公 的依赖度 最高。 特别的 ， 本次 报告对 .edu（教育 ） 、 （ 组织 机构） 和 .gov（政府 ） 三个 域名的 邮箱 使 5 用情况进行了分析。 其中 ， 邮箱 域名 在 全国占比为 0.22%， 的 邮箱域名占比 约 为 0.18%， 邮箱域名占比为 0.09%。而从正常 邮件发送量上来看， 邮箱占 4.26%， 邮箱占 0.13%， 邮箱 占 0.24%。 三、 电子邮件 的 地域 分布 统计显示，全国企业邮箱用户收发的邮件以境内收发为主。国内收发占 65.4%；海外收 发 34.6%。 从服务器的所在 地 来看 ， 2020 年，国内企业邮箱服务器设在上海的数量排名第一， 占 比为 19.8%；北京 排第 二 ，占比为 15.9%；广州排名第三，占比 8.6%。 6 第二章 垃圾邮件 一、 垃圾 邮件的规模 根据 Coremail 论客 与 奇安信行业安全研究中心的 联合监测 评估 ， 2020 年 ，全国企业邮 箱用户共收到各类垃圾邮件 2859.2 亿封， 约占企业级用户邮件 收发 总量的 43.1%， 是 企业 级用户正常邮件数量的 1.1倍 。 相比 2019年下降了 6.0%。 二、 垃圾 邮件发送源 Coremail 论客 与 奇安信行业安全研究中心对垃圾 邮件的发送源头 进行 了分析 。据统计， 因盗号导致发送垃圾邮件（正常 用户 邮箱 帐号被盗后，被黑客用来 发送 垃圾邮件 ）占所有垃 圾邮件总量的 25.4%。 从 发送 者邮箱 域名 归属情况来看， 来自国内 的垃圾邮件 最多 ， 占总数的 42.8%，来自 美 国 的 垃圾 邮件 次之 ，占总量 约 14.0%，第三 是 俄罗斯 ，约占 13.4%。 具体占比如下图所示： 与 2017 年垃圾邮件发送源邮箱域名归属地分布情况对比，来自境外的垃圾邮件占比由 近 7成减少至不足 5成左右， 2020年，更多的垃圾邮件仍来自境内。 对 发送垃圾邮件的邮箱域名进行抽样 行业 分析 显示 ，工业制造 行业占比最高，为 10.5%； 其次为 互联网企业，占比 5.8%；教育培训排名第三，占比 5.4%。下图 给出 了 国内 垃圾邮件 发送源行业分布。 7 8 第三章 钓鱼 邮件 一、 钓鱼 邮件的规模 在 本 章内容 中， 钓鱼邮件是指含有恶意欺诈信息的邮件，包括 OA钓鱼邮件、鱼叉邮件、 钓鲸邮件、 CEO 仿冒邮件 和其他各类钓鱼欺诈邮件 ， 但 不包括带毒邮件、非法邮件等 。 其中 ， 鱼叉 邮件是指 针对特定目标投递特定主题及内容的欺诈电子邮件。相比一般的钓 鱼邮件，鱼叉邮件往往更具迷惑性，同时也可能具有更加隐秘的攻击目的。而钓鲸邮件则 是 指 那些 专门针对企业高管或重要部门进行 的鱼叉 邮件攻击 。 在本报告中，我们 将钓鲸邮件和 一般的鱼叉邮件区别开来进行统计分析。而 CEO 仿冒邮件则 是指冒充企业高管对公司员工 或 某些部门进行的 鱼叉 邮件攻击。 根据 Coremail 论客 与 奇安信行业安全研究中心的 联合监测 评估 ， 2020 年 ，全国企业邮 箱用户共收到各类 钓鱼 邮 件 约 460.9 亿 封 ，相比 2019 年收到各类钓鱼邮件的 344.3 亿封增 长了 33.9%。 2020 年全国企业邮箱用户收到的钓鱼邮件数量 约占企业级用户邮件 收发 总量的 6.9%， 平 均每天 约有 1.3亿 封 钓鱼 邮件被发出和接收。 二、 钓鱼 邮件发送源 根据 Coremail论客 与 奇安信行业安全研究中心 联合监测， 钓鱼邮件 的发送者遍布全球， 其中，来自美国的 钓鱼 邮件最多 ，占 国内企业 用户收到的钓鱼邮件的 44.2%； 其次是 中国， 约占 13.2%；荷兰一跃 排名第三 ， 约占 4.2%。针对 国内 企业 级用户发送垃圾邮件最多的十个 国家及其发送钓鱼邮件数量的占比 情况 如下图所示 。 三、 钓鱼 邮件 受害者 9 国内钓鱼邮件受害者所在行业也比较集中，排名前十的行业收到的钓鱼邮件数量，占钓 鱼邮件总数的 70.6%。 其中，工业制造行业排名第一，约占钓鱼邮件总数的 27.7%；交通运 输排名第二，约占 11.6%；排名第三的行业为 IT 信息技术，占 6.4%。具体 TOP10行业排名 如下所示。 10 第四章 带毒 邮件 一、 带毒 邮件的规模 根据 Coremail 论客 与 奇安信行业安全研究中心联合 监测评估 ， 2020 年 ，全国 企业级 用 户 共 收到约 492.1亿 封带毒邮件 ，相比 2019年收到的 424.3亿封带毒邮件相比，同比增长 了 16.0%。越来越多的带毒邮件正在被发送给企业邮箱。 2020年企业级用户收到的带毒邮件量 约占用户收发邮件总量的 7.4%。 平均每天 约有 1.3亿 封带毒邮件被发出和接收。 二、 带毒 邮件发送源 Coremail 论客 与 奇安信行业安全研究中心对带毒 邮件的发送源头 进行 了分析 。据统计， 带毒邮件的发送者多集中于北美洲与欧洲。其中，来自美国的带毒邮件最多占全球带毒邮件 的 37.1%；荷兰排名第二，占 4.6%；德国排名第三，占 4.2%。针对 国内 企业 级用户发送 带 毒 邮件最多的十个国家及其发送 带毒 邮件数量的占比 情况 如下图所示 。 11 附件 1 Coremail 邮件安全网关产品介绍 Coremai论客科技（广州）有限公司是中国领先的电子邮件解决方案服务商，始创于 1999 年。公司专注于电子邮件技术及服务，产品涵盖邮件系统、企业邮箱、邮件归档系统、邮件 投递系统、海外加速系统、邮件安全管理系统、反垃圾网关系统等。 2000年首发中国第一套 中文邮件系统。 Coremail 论客邮件系统以安全、稳定、高效，为各行业客户提供个性化的解 决方案，尤其为中大型企业集团化管理的邮箱需求提供整体 安全解决方案。 CACTER 邮件安全网关介绍 2021 年 Coremail 邮件安全事业部推出了 CACTER 邮件安全网关，旨在为 Coremail 邮 件系统提供更安全的邮件防护外，也为服务第三方邮件系统创造可能。 CACTER 邮件安全网关是拥有二十年专业邮件系统开发经验的 Coremail 团队，基于原 CAC 反垃圾技术和邮件系统运维经验积累，根据客户实际需求精心研发的邮件安全网关产 品。 CACTER 邮件安全网关集成了反垃圾邮件、反钓鱼邮件、反病毒邮件功能，智能过滤邮 件，为企业机构提供强大的邮件安全保护服务。 CACTER邮件安全网关采用当今世界上最先进的十几种反垃圾邮件技术，包括 IP 信誉 评估机制、实时邮件指纹检查、邮件评分技术、发信行为分析、机器学习算法等等。经过多 层次过滤， CACTER邮件安全网关可以高达 99.7%的垃圾邮件拦截率，低于 0.03%的误判率。 全面的邮件安全防护 拥有上亿的垃圾邮件样本，并每日实时更新，全网收集新型垃圾邮件。 使用针对性优化的机器学习算法模型，高效识别各类垃圾邮件。 创新性使用基于图像视觉的钓鱼邮件检测算法，精准识别钓鱼邮件。 实时更新反病毒引擎，快速识别新型病毒邮件。 12 灵活的部署方式 可提供云 /软件 /硬件多种部署方式，支持如微软 Exchange、 domino 等自建邮件 系统，满足客户实际场景和需求。 13 附件 2 奇安信网神邮件威胁检测系统 奇安信网神邮件威胁检测系统 是奇安信集团面向政府、企业、金融、军队等大型企事业 单位推出的针对邮件场景的高级威胁检测及处置的解决方案。 邮件威胁检测系统采用多种的 病毒检测引擎，结合威胁情报以及 URL 信誉库对邮件中的 URL 和附件进行恶意判定，并使 用动态沙箱技术、邮件行为检测模型、机器学习模型发现高级威胁及定向攻击邮件。通过对 海量数据建模、多维场景化对海量的邮件进行关联分析，对未知的高级威胁进行及时侦测。 强大的侦测技术和全面的处置手段，对电子邮件系统进行全面的安全防御。 用户价值 为客户提供更高级的邮件安全防护 通过定制化沙箱分析，发现传统邮件安全产品无法侦测的附件高级威胁。 通过专业的机器学习模型，发现更隐蔽的钓鱼邮件等社交工程邮件。 提供 更灵活的安装和部署方式 提供多种部署方式，可适应不同的用户场景和需求。 可以和现有的邮件安全解决方案无缝协同工作，建造完整的应用、防护于一体 的综合邮件办公系统。 与现有天眼高级威胁检测方案联动，实现更全面的威胁检测和分析。 看得见的投入产出比 阻止社交工程邮件，避免昂贵的事后补救措施。 通过阻止、隔离、移除威胁、通知收件人等方式减少恶意邮件威胁。 更炫酷的展示效果 产品支持将邮件外部攻击态势在 4K 的屏幕上投屏展示，满足日常巡检需求。 产品介绍 14 威胁情报 邮件威胁检测系统结合了奇安信强大的威胁情报数据，使产品对邮件威胁的检测能力如 虎添翼。 高效的沙箱分析模块 邮件威胁检测系统沙箱模块可针对文件进行深度检测，采用静态检测、漏洞利用检测、 行为检测多层次手法，构建基于沙箱技术的文件深度检测分析能力。静态检测模块通过多种 检测引擎互为补充增强静态检测能力。动态检测模块以硬件模拟器作为动态沙箱环境，分析 过程中所有的数据获取和数据分析工作都在虚拟硬件层实现，全面分析恶意代码恶意行为， 细粒度检测漏洞利用和恶意行为。 基于机器学习的钓鱼邮件识别 机器学习引擎基于云端海量邮件数据进行训练，通过自适应学习引擎、综合检测引擎及 URL 增强判定引擎进行综合检测，能够在不同的企业环境下自适应 学习，保持低误报的同 时，准确高效的检出钓鱼 URL。 丰富的邮件异常场景 能够通过大量邮件数据进行分析，深入 挖掘潜在的威胁行为与线索。 包括 发件异常 、 收件异常 、 暴力破解 、单个 IP 登陆多个邮箱、异地登陆等异常场景， 支持全面分析仿冒邮件场景，并可根据需求自定义异常场景的检测条件。 邮件多维分析功能 产品提供基于联系人之间的收发关系的多维分析模块以及基于恶意文件 /URL 的传输路 径的多维分析模块。 通过关键信息的检索生成的邮件数据之间的多维关系网，使错综复杂的 数据展现一目了然。 海量数据存储和检索能力 奇安信网神邮件威 胁检测能够 快速检索匹配邮件主题或者正文中的关键字 ， 结合统计学 相关理论 ，达到快速精准内容过滤和关键字分析，配套了大量的检索和分析软件以对数据做 到高效分析。 联系我们 官方网站： 服务 热线： 4008-136-360 微信咨询：奇安信集团