企業應用雲端郵件服務時，像是微軟Office 365平臺的Exchange Online與Google G Suite等，往往會擔心相關安全防護功能是否到位，就像企業自建郵件系統主機時，通常也會搭配硬體或軟體式郵件安全閘道，強化內建安全與外寄管控力，而在雲端郵件服務上，想要強化使用者收發信的安全，如今也有不少選擇。

隨著雲端安全應用日益盛行，現在一些電子郵件安全廠商，也以雲端方式提供服務，對於企業用戶來說，考量企業郵件上雲時，也就能有更多選搭第三方技術的組合性，而且，這類產品同屬雲端服務，因此也具有快速部署，並帶來簡化軟硬體維護的優勢。

因此，如果企業想要導入雲端郵件服務，又不想只依靠郵件服務商，所提供的內建安全功能與加值方案，或是想選擇其他專業電子郵件安全廠商的服務，就可透過搭配方式組合。

我們這次共介紹了5家廠商推出的電子郵件安全雲端服務，像是基點資訊Cellopoint Online Pretection、Sophos Central Email Standard、HDE One、趨勢科技Hosted Email Security與Cisco Cloud Email Security。讓你瞭解這些產品的防護面向與特色。

進階威脅防護成為普遍內建功能

以運作架構而言，簡單來說，這類電子郵件安全雲端服務的設置上，主要透過的方式，修改DNS的MX記錄指向，讓企業收發的電子郵件，都能多經過一層雲端安全閘道的防護。而且，這類電子郵件雲端安全服務都是SaaS應用，同樣不需企業編制專屬人力維護，要獲取最新防護技術與功能強化，也更容易。

就這次我們接觸的電子郵件雲端安全廠商而言，防護功能各有所長，涵蓋的面向也有不同差異。

像是趨勢、Cisco與網擎的雲端服務功能面向較廣，內寄外送都有管控原則可以設定，而基點與Sophos的產品著重在收信安全的防護，但沒有DLP相關功能。基本上，這些產品其實都能對應企業自建與SaaS郵件服務，應用範圍廣。

還有一些功能面向也很特別，像是HDE的產品，在郵件DLP與備份功能之外，還結合了存取管控的機制，以強化登入與裝置驗證的能力，並以企業雲端郵件服務為主要支援對象，而Sophos額外提供的釣魚測試信服務，也是市場上少有的解決方案。

接下來，讓我們逐一瞭解這些產品的功能與特色。

強化郵件APT抵抗力，可透過雲端安全服務防護

針對郵件APT防護，近年不少廠商應用雲端沙箱來防護，還有重寫郵件內連結的技術，並讓企業使用者能夠方便地查看APT資訊，了解詳細資訊。（圖中為Cellopoint Online Protection管理介面）

從存取控制防護企業雲端郵件的資訊洩漏

防止企業雲端郵件遭不當存取或登入，導致郵件資訊洩漏，也有廠商針對提供存取管控的防護，並搭配安全瀏覽器與裝置憑證的機制，相當特別。（圖中為HDE Access Control管理介面）

增加更多元的惡意郵件威脅防護技術，是近年各家業者發展的一大焦點

在這次介紹的5家郵件安全服務商中，有4家都能提供內寄郵件威脅防護功能，包括基點資訊、Sophos，以及趨勢科技與Cisco的產品，只有HDE產品不具備，強調面向較為不同。

對於近年的惡意郵件威脅，可說是近年企業關注的郵件安全問題，也是近年來企業在意的資安防護重點之一。

針對近年釣魚郵件與目標式攻擊的手法，以及郵件中帶有惡意連結與商用郵件冒用詐騙等，我們已經看到這些廠商開始提供對應機制。譬如說，在這些雲端防護服務的後面，各廠商也積極建立全球威脅情報網；針對郵件APT防護上，像是基點產品也針對可疑郵件連結與附檔，提供URL重寫與雲端沙箱偵測的方案，而在趨勢與Cisco的方案中，也具備雲端沙箱的防護技術，同時還針對變臉詐騙的攻擊提供偵測能力。

 基點資訊  Cellopoint Online Protection

以發展電子郵件安全的本土廠商基點資訊（Cellopoint），近年推出了Cellopoint Online Protection（COP）雲端安全服務，可幫助企業電子郵件提供垃圾郵件、病毒偵測。

強調從郵件發送特徵、行為趨勢，以動態方式偵測郵件威脅，提供即時防禦，防範傳統防護機制難以偵測的APT攻擊，像是可針對郵件連結與附件，提供未知威脅的偵測與攔截。

在販售方式上，COP可分成標準版（Standard）與進階版（Advanced），方便企業選擇所需防護功能，前者包含防垃圾郵件與病毒過濾的功能，建議售價是每人每月60元，後者則提供APT郵件攻擊防禦機制，每人每月100元。因此，企業可以同時選購兩者，也能只針對APT防護功能選擇後者，相當彈性。

基本的應用方式上，主要是使所有電子郵件，都能經過COP雲端安全服務的過濾。管理者不用太多設定，就能做到防護，企業登入Cellopoint提供的專屬後臺管理介面，即可檢視隔離郵件區、病毒郵件區、APT郵件區，以及惡意網址隔離郵件區的內容，另外也可設定是否自動通知收件人有信被隔離。

這背後的防護機制上，CelloPoint建立了電子郵件全球威脅情報分析平臺，以及多層次防護的架構。在基本防垃圾郵件功能上，提供可辨識正常的寄件端主機、阻擋自動發信程式、防止冒用他人郵件地址寄信等功能，以及防止DoS攻擊影響郵件系統運作，防字典攻擊等安全機制。

在病毒郵件偵測方面，COP標準版本身搭配的是Sophos防毒引擎，如果用戶有更多病毒防護需求，這裡還能支援其他防毒引擎，像是可額外選購Bitdefender防毒引擎。

這款產品的最大特點在於，具有APT防護功能，並且可以分成郵件網址與郵件附檔過濾兩大部分。

其中的郵件連結過濾，強調可偵測釣魚與惡意連結，像是透過CelloCloud即時更新的最新威脅情資，進行靜態比對，也會重寫未知可疑網址，導向未知URL檢查中心進行檢查。

因此，當收件人將滑鼠游標移至郵件連結上時，就可以看到原始連結前方多了一段前綴網址，可導向CelloCloud執行動態即時比對。如果發現該網址具有威脅性，就會跳出警告頁面，不讓使用者前往。

在郵件附檔的防護偵測上，COP提供雲端沙箱偵測能力，可運用本身的深層檢測DI（Deep Inspection）引擎拆解郵件標頭、本文與附檔，再將可疑郵件打包加密進行動態沙箱掃描，並透過全系統模擬技術，以觸發與誘捕潛藏的惡意程式，最後回傳至主控臺後，利用關聯式分析與威脅評分機制，以判別隔離或放行。

而且，這裡的防護效果也很直觀，COP後臺介面已提供鑑識報告。舉例來說，當COP偵測到一個最新的APT攻擊郵件後，會將郵件送至隔離區，企業管理者從後臺介面能夠檢視詳細的APT資訊，包括惡意威脅評分、惡意檔案名稱、網路活動、惡意行為、執行程序與Registry歷程等，相當實用。

Cellopoint Online Protection

● 原廠：基點資訊(02)8969-2558

● 建議售價：標準版每人每月60元，進階版每人每月100元

● 支援郵件系統：微軟Exchange Online/Office 365、Google G Suite，以及其他企業電子郵件伺服器平臺

透過Cellopoint Online Protection，可針對使用者收到郵件中夾帶的網址連結與附檔，提供安全檢查機制，防範未知攻擊行為；而在管理後臺的隔離區介面上，還能夠查看詳細的進階威脅資訊。

主要特色：

1. 可直接選購APT防護功能，相當彈性

2. 提供郵件內可疑URL重寫，用戶點擊即時檢測

3. 郵件附檔也有靜態檢測與動態沙箱分析，可進一步偵測全新未知威脅

 Sophos  Central Email Standard

由資安與防毒廠商Sophos推出的Sophos Central Email Standard，也是專攻郵件威脅防護的產品。

它是基於自家Sophos Central雲端平臺的服務，也可稱為Cloud Email Security，與基點Cellopoint Online Protection服務的功能面向類似，主要強化郵件接收的安全性。

從防護機制來看，Sophos Central Email Standard的功能相當精簡，主要強調垃圾郵件過濾，以及釣魚與惡意程式防護，平臺本身主要應用Sophos自身的垃圾郵件過濾與防毒引擎，同時也透過自家SXL（Sophos Extensible List）技術，從SophosLab取得最新的安全威脅資訊，像是防範最新垃圾郵件與動態檢查網址等，攔截可疑內容或網址。它的建議售價是每人每年1,168元。

在這次介紹的電子郵件雲端安全產品中，Sophos Central Email Standard的功能最單純，方案也只有一種，企業用戶管理設定也很簡易，透過Sophos Central電子郵件閘道的儀表板介面，以及日誌記錄與報告項目，可以檢視所有郵件處理動作與安全狀態，也提供記錄，便於查詢郵件動向。

這裡也提供AD同步程式，方便針對公司網域使用者套用政策，在電子郵件安全防護的內容篩選上，也有不同內容種類設定與處置動作。

值得注意的是，Sophos Central雲端平臺上的郵件防護功能，並不像自家硬體式郵件閘道產品那樣豐富，但仍有一些獨有的特色。

像是緊急收信匣，舉例來說，當企業使用的郵件系統發生問題，Sophos Central Email平臺將能夠為使用者保留寄來的信件，而不會退信，在這段期間當中，使用者就可以登入自助服務網頁來檢視電子郵件，確保郵件接收不至於中斷。

另外，在提升使用者面對釣魚郵件的防護意識上，Sophos Central平臺中，也針對這樣的需求提供了，可寄送釣魚測試信件的雲端服務Central Phish Threat，企業可獨立選購租用，相當特別且少見，它的建議售價是每人每年1,330元。

Central Phish Threat的功能也很簡單，可供企業不定期寄送釣魚測試信，並內建不少釣魚郵件範本，管理者透過報告可以檢視哪些員工開了信件、點了連結，並且，能夠立即警示並跳出影片，讓使用者立即知道錯在哪，做到即時教育的目的。

在電子郵件安全之外，其實Sophos Central平臺本身也綜合了多種面向的安全防護，像是防毒軟體、網頁安全閘道、企業行動管理、無線網路，以及電腦硬碟加密等，橫向整合性高，而這也是Sophos與其他廠商的一大差異。

Sophos Central Email Standard

● 原廠：Sophos(02)7709-1980

● 建議售價：每人每年1168元

● 支援郵件系統：微軟Exchange Online/Office 365、Google G Suite，以及微軟Exchange 2003等

Sophos Central Email Standard的防護功能很單純，強調垃圾郵件過濾，以及釣魚郵件與惡意程式防護，另外也提供郵件記錄能查詢郵件動向，並有緊急收信匣的機制能確保收信不中斷。

主要特色：

1.阻擋垃圾郵件、防毒設定不複雜

2.提供緊急收信匣，可在郵件系統服務中斷時，保留寄來的信件，而不會退信。

3.另有可供企業寄送釣魚測試信的雲端服務，並提供報告與即時教育機制

 趨勢  Hosted Email Security

如果企業用戶想要更為豐富的電子郵件安全雲端服務，資安大廠趨勢科技推出的Hosted Email Security（HES）是一種選擇，它的防護功能豐富且販售方式單純，範圍涵蓋防垃圾郵件、防毒，兼具APT防護技術與DLP資料外洩防護，功能相當全面。它的建議售價是每人每年1,500元，一次最少需購買50個授權數。

在Hosted Email Security提供的安全機制中，最大特色就是包含許多趨勢自家的資安防護技術，像是搭配動態網路層郵件信譽評等服務Email Reputation Services（ERS），以及網頁信譽評等服務（WRS），因此可在建立郵件連線時，偵知發信主機的安全等級，以及檢視電子郵件中的惡意連結，而預設處置方式會放在隔離區。

HES本身也內含今年趨勢科技主打的XGen防護技術，以機器學習能力偵測那些更難偵測的未知威脅，像是即時防禦勒索軟體的威脅，也可以針對釣魚網址精準封鎖。

HES也利用自家發展的進階威脅掃描引擎（ATSE），來偵測文件漏洞攻擊碼，像是Adobe PDF、微軟Office等文件中的進階惡意程式，透過靜態及行為分析邏輯來偵測；至於雲端沙箱機制，HES也有，能針對可疑郵件進一步分析，做到惡意附檔的模擬執行與分析，並強調很多元件都可與之搭配，提供動態即時掃描防護。

值得一提的是，HES還提供了新的社交工程攻擊防護技術，內建了商業郵件詐騙（Business Email Compromise，BEC）的防護選項，可對應近年橫行的變臉詐騙攻擊威脅。一旦偵測到有問題，系統預設動作就會在郵件內加上文字戳記（Stamp），提醒使用者注意。這項社交工程攻擊防護技術的背後，係藉由偵測與交叉分析，針對像是郵件標題、內文與遞送資訊等，進而找出這類魚叉式網路釣魚郵件。

而在安全防護的設定上，HES的原則設定很方便，其中的郵件接收部分，已經預設了多項政策，可簡化操作，管理者也可直接進入原則修改調整。只是，不像其他產品提供中文化管理介面。

值得一提的是，原本是HES選購項目的DLP功能，今年也改為內建，可協助檢測郵件外寄內容，以攔阻機敏資料不至透過電子郵件管道外洩。這裡的處置方式上，也提供了以密件副本方式發送給指定相關人員，以及隔離區的機制，讓主管審核通過才能放行，並可設定一天3次的通知信提醒。

趨勢Hosted Email Security

● 原廠：趨勢科技(02)2378-3666

● 建議售價：每人每年1500元

● 支援郵件系統：微軟Exchange Online/Office 365、Google G Suite，以及其他企業電子郵件伺服器平臺

趨勢Hosted Email Security的管理上，針對內寄、外送的政策管理預設豐富的過濾設定，像是針對商用郵件冒用詐騙的手法，也提供了相關原則設定選項。

主要特色：

1. 結合趨勢自家多種資安防護技術

2. 可檢視郵件中的惡意連結，支援雲端沙箱掃描附檔，具APT防護，並內建DLP功能

3.新加入社交工程攻擊防護技術，可對應變臉詐騙攻擊的威脅

 Cisco  Cloud Email Security

由網路設備大廠Cisco推出的Cloud Email Security（CES），與趨勢HES同屬防護功能較豐富的產品。

CES基本方案內建垃圾郵件、防毒功能，也提供了特殊的內容過濾機制，還有3個可額外選購的功能項目，像是進階惡意程式防護，以及DLP與金鑰加密等，讓企業能彈性搭配。可惜，原廠並未提供建議售價，不像一般雲端服務那樣價格透明。

就基本安全防護特色而言，CES內建了併購自IronProt的防垃圾郵件等功能，並提供內文脈絡自我適應的掃描引擎（Context Adaptive Scanning Engine，CASE），強化垃圾郵件過濾與網址分析的偵測技術。在防毒機制上，這裡採用的是Sophos防毒引擎，並提供搭配McAfee防毒引擎的額外選項。

在CES的郵件防護功能中，有幾個獨到的機制相當值得一提，像是在內建的內容過濾技術當中，提供了Forged Email Detection，以及Macro detection技術，前者可對應商業郵件詐騙攻擊，後者是能偵測內含巨集的Office檔案。

舉例來說，偵測到高階主管信件可能有冒名問題時，CES會在郵件標題自動添加「Possibly Forged」的提示；若是附檔Office文件格式包含巨集，CES將透過設定條件執行過濾，可讓使用者在收信開啟附檔時，只會看到檔案內容已經被系統清除的提示，相當實用。

對應更高層次的郵件防護面向，CES則提供了進階惡意程式防護、DLP與金鑰加密等功能，作為額外選購的項目。

這裡所謂的進階惡意程式防護功能（Advanced Malware Protection，AMP），主要針對郵件附檔的安全，以Cisco Talos全球威脅情報服務為基礎，並整合了併購自ThreatGRID而得到的技術，提供檔案信譽、動態沙箱分析與追溯安全等功能。

在運作方式上，郵件附檔會先經過檔案信譽的比對，可疑檔案還會再以沙箱來偵測其行為。原廠也強調採用實體沙箱環境，非以虛擬環境模擬，具有降低惡意程式反制沙箱偵測的能力。

與一般郵件APT防護的不同之處在於，Cisco在這裡具備了檔案回溯（File Retrospection）的技術，可針對放行的郵件附檔持續分析與記錄檔案活動。日後CES一旦察覺到惡意行為，若使用者郵件服務採用的是微軟Exchange Online，系統還能使用檔案追蹤能力，自動透過微軟開放的API，將原本沒發現的威脅檔案移除，相當特別。

至於DLP資料外洩防護功能，也是CES可額外選購的項目。像是可設定符合條件的機敏資訊無法寄到外部信箱，也提供隔離區的做法，讓管理者可以決定放行與否。而在整體安全管理上，CES的管理後臺介面上，也提供儀表板介面可針對郵件內寄與外發檢視報告。

Cisco Cloud Email Security

● 原廠：Cisco (02)8758-7100

● 建議售價：廠商未提供

● 支援郵件系統：微軟Exchange Online/Office 365、Google G Suite，以及其他企業電子郵件伺服器平臺

在Cisco Cloud Email Security的管理後臺中，企業管理者可針對郵件的內外收發制訂不同管理政策，這裡預設的過濾條件已經很豐富，其中AMP進階惡意程式防護與內容過濾功能，是一大特色。

主要特色：

1.提供內容過濾功能可偵測變臉詐騙與巨集附檔

2.提供進階惡意程式防護（AMP），可針對郵件附檔持續分析與記錄檔案活動，還能搭配郵件回溯機制自動刪除。

3. 同時提供資料外洩防護選購項目

針對郵件資料外洩防護是另一條路線，甚至可擴及存取安全

針對企業郵件資料外洩防護，也是過去幾年也常被強調的防護重點，偵測郵件是否夾帶機敏資訊或個人資料，如郵件違反DLP 原則，系統會阻擋郵件寄出，或是需經審核通過才能放行。

在這5家郵件安全服務商中，有3家廠商提供，包括前面提到的趨勢與Cisco產品，還有一家尚未介紹的廠商是HDE。它的防護不僅是運用DLP，特別是還提供了存取管控的機制，進一步強化資料外洩防護的涵蓋範圍，相當特別。

 HDE  HDE One

來自日本的HDE One郵件安全解決方案，主要搭配多款雲端服務而成，包含了存取管控Access Control、郵件資料外洩防護Email DLP、郵件歸檔備份Email Archive，以及檔案安全傳輸服務Secure Transfer。

而整體HDE One的搭售方式上，又可分成標準版與商用版，後者的差異是在存取管控服務中，多了裝置憑證的功能。只可惜原廠並未提供建議售價，與Cisco作法相同，價格並不透明。

不同於多數電子郵件雲端安全服務，都會提供郵件接收安全的防護，HDE One的主要應用是，提供存取管控與資料外洩防護的加值應用。其中的存取管控機制，更是一般主打郵件安全雲端服務少有的功能面向，相當特別。

在存取管控功能方面，HDE主要針對Office 365與G Suite雲端郵件服務，提供用戶連線的進階管理，以防止未經授權的存取或登入。同時，此管控機制也能應用在多項雲端服務，並能帶來SSO單一登入的便利性。

從這裡的管控原則來看，HDE One提供了IP位置限制、OTP二階段身分驗證與安全瀏覽器的功能，企業管理者可制訂原則，並套用在不同使用者及群組。

舉例來說，像是限制使用者登入企業郵件服務時，所使用的電腦必須是在公司IP位置才能存取，一旦不符合存取規則，將出現無法登入的提示，同時也能啟用安全瀏覽器的政策，當員工在公司外的網路登入時，就必須用HDE提供的安全瀏覽器，才能連上郵件服務，並還能夠限制郵件附檔無法下載，相當實用。看起來，這裡也像是結合了企業行動管理產品的概念。

除了上述管制之外，今年HDE又增加了裝置憑證的進階功能，讓使用者裝置預先安裝憑證在手機或電腦上，並提供個人憑證、多人憑證的登入類型，強化未知裝置連線的防護，每人最多可配發5個裝置憑證，當裝置遺失時也能隨時讓裝置憑證失效。

在郵件資料外洩防護服務的管控上，HDE One可針對外寄郵件進行機密敏感過濾、電子郵件審核與自動附件加密的功能，也提供延遲寄送的機制。這裡的規則條件設定，主要是透過輸入關鍵字與正規表示式來偵測，讓符合條件的機敏郵件，可以經過審核程序才能放行，或是自動將郵件附檔ZIP加密、密件副本給指定主管。

另外，對於郵件備份與大檔傳輸的需求，HDE One也提供雲端服務。前者具有容量無限制、不可刪除的收發信即時備份空間，內建簡易的搜尋介面與彈性管理權限設定；後者提供郵件附檔過大時的檔案分享應用，平臺內建F-Secure掃毒功能，上傳的檔案也將壓縮成ZIP檔並加上密碼防護，也有檔案傳輸請求機制。

HDE One

● 原廠：HDE(02)2736-3223

● 建議售價：廠商未提供

● 支援郵件系統：微軟Exchange Online/Office 365、Google G Suite

在HDE One Access Control的後臺管理介面中，這裡提供了豐富的存取控制原則設定，相當特別。同時，HDE One還搭配了郵件歸檔備份，以及資料外洩防護等雲端服務。

主要特色：

1.提供郵件存取控制、DLP、備份歸檔與大檔傳輸服務

2.存取管控可搭配安全瀏覽器與裝置憑證等機制，強化資料外洩防護

3.存取管控功能還能擴及各種類型的雲端郵件服務

雲端郵件安全服務日益風行，有越來越多業者投入

在上述這些郵件防護面向之外，若是企業對於郵件安全有更高的條件需求，你也可以注意這些產品的郵件安全支援性，像是DKIM、SPF與DMARC寄件網域驗證安全的郵件簽署機制，或是S/MIME、PKI等加密以及簽章技術，讓寄收件者雙方確保郵件未在寄件途中遭到竄改。另外，各服務商提供的雲端服務水準協議（SLA），能否滿足企業需其，也是在導入時可以多了解的部分。

綜合來看，對應企業郵件上雲這樣的趨勢，現在不少廠商都會強調，能夠支援微軟與Google企業郵件服務，並藉由各廠商擅長的技術，協助企業強化郵件安全與管控能力。

而在雲端技術的加持下，尤其是威脅防護功能，將可憑藉各廠商的雲端威脅情報中心，以及應用雲端的延展性和運算能力，提供更即時有效的威脅防護。

除了之前介紹的雲端郵件廠商網擎，以及這裡提到的基點、趨勢、Cisco、HDE與Sophos，在國外市場上還有不少廠商投入，像是賽門鐵克Email Security.Cloud、Forcepoint Email Security Cloud、The Email Laundry、Proofpoint Essentials、Mimecast Email Security等。

顯然，雲端時代的郵件安全防護，可供選擇的服務大幅增加，已經不像早期那樣選擇太少，不僅是新興雲端廠商加入戰局，不少傳統郵件閘道設備廠商、資安廠商，也都開始提供相關雲端安全方案。

針對商業郵件詐騙BEC，已有郵件安全廠商提供偵測功能

近年，俗稱「變臉詐騙」的商務商業郵件詐騙（Business Email Compromise，BEC）威脅，是企業正在關注的議題，像是利用假冒高層主管通知財務匯款的手法，誘騙使用者移轉資金到詐騙者名下帳戶，一不小心就造成數百萬元損失。

我們在趨勢Hosted Email Security與Cisco Cloud Email Security產品中，已經看到BEC相關的偵測功能，像是可交叉分析寄送電子郵件的各個環節，當系統偵測到有問題時，可以在郵件內文加上警示戳記，或是在郵件標題前方，加上Forged Email Detection的警示。

當使用者經系統提醒，察覺郵件可能有問題，最好透過其他管道跟對方再次確認。（上圖為Cisco Cloud Email Security管理介面、下圖為趨勢Hosted Email Security管理介面）

 相關報導  企業雲端郵件安全解決方案採購大特輯