企業郵件上雲端,帶來使用與管理的方便性,隨著雲端化的發展,要串連起郵件相關的功能,比過去自建方式容易許多,不論是在功能性與安全性兩個面向,都已經有不小的發展。然而,企業最擔心的部分,仍在於這些郵件雲端服務的安全功能是否齊全。

因此,這次我們檢視了市場上4家廠商提供的雲端郵件服務,包括國際大廠微軟Exchange Online、Google G Suite,以及本土廠商網擎MailCloud,以及碩琦JingoMail,並聚焦在郵件安全功能的介紹。

雲端服務下的郵件平臺,功能與安全性都有極大擴展

雲端服務的優勢在於功能擴展容易,以現在的雲端郵件服務而言,所包含的內容不只是單純的郵件收發,像是微軟、Google與網擎,都讓郵件服務平臺可整合即時通訊與企業檔案雲的應用,成為更豐富的溝通平臺。

其中微軟產品拆分較細,可以單獨購買郵件服務Exchange Online,也能選擇Office 365的綜合方案,Google與網擎產品都是搭成綜合方案一併提供,即便是另一家本土廠商碩琦的產品,也有整合網路硬碟功能。

安全性相關功能的擴展也是如此,現在郵件雲服務多半會內建防護特色,像是登入安全的機制,提供基本的垃圾信過濾與病毒信掃描,或是直接就有對應的進階方案或選購項目,讓企業雲端上直接啟用,這包括了資料外洩防護、進階威脅防護,備份與封存,還有像是稽核與法規遵循等,以及更多的進階管控功能。

值得注意的是,在這次我們介紹的4家雲端郵件服務中,我們看到在安全性強化特色,有了重大突破。

舉例來說,除了能過濾傳統病毒與垃圾郵件,現在的郵件雲端服務也開始強調能主動防禦APT郵件、勒索病毒,提高未知惡意攻擊的偵測能力,像是微軟產品提供了可選購的進階威脅防護方案,就是透過重寫網址連結,以及沙箱機制防護惡意程式入侵,提供安全連結與安全附件。

同時,我們也看到業者改變使用者在網頁介面檢是郵件內容的形式,郵件內若夾帶或嵌入連結網址時,只顯示文字,將連結自動移除,讓使用者無法在第一時間直接點擊連結,而圖片夾帶的連結也會以文字形式,直接顯示在圖片周圍。

在郵件DLP功能上,我們也看到新的進展,像是掃描範圍更廣,不僅是針對郵件內文,以及郵件附檔中的文件內容,今年我們已經看到微軟與Google,均開始加入OCR文字辨識功能,因此也能偵測到郵件內含的圖片的文字,像是JPG、PNG、GIF與TIFF檔案格式,提升資料外洩防護能力。

另外,像是網擎與碩琦的雲端郵件服務,也已經提供簡易的郵件加密的功能,讓符合條件的信件會加密成PDF與ZIP或轉發連結方式,才能寄送,讓收件方需要透過密碼,才能檢視郵件內容與附件,增加寄件資料的保護。

至於信箱容量方面,目前外商服務仍然有一定優勢,最低階方案都有30GB以上的大容量,雖然本土廠商的雲端服務信箱容量較小,但能提供比較便宜的租用價格。這也突顯出,一些外商與本土雲端郵件服務的不同特性。

接下來,讓我們逐一瞭解這4家雲端郵件服務的安全特色。

 微軟  Exchange Online

微軟推出的Exchange Online,包含於Office 365平臺之中,是他們最早搬上雲端的產品,也是近年企業所熟知的企業雲端郵件服務,方案類型可分成Exchange Online方案1、Exchange Online方案2,也有各式Office 365綜合方案可選,可增加不同服務面向。另外還有一些進階防護功能,也能以額外選購方式來搭配應用,像是APT威脅防護與ASM進階安全管理等方案。

微軟雲端郵件服務的最大特色,提供50GB的信箱空間,並具有豐富的產品組合與搭售方式,可以說是彈性,也可以說是複雜,企業可依需求來搭配產品組合。

以最基本的Exchange Online方案1而言,建議售價是每人每月130元,如果用戶選用Exchange Online方案2,將增加郵件稽核與資料外洩防護等功能,售價是每人每月255元,大約比方案1的費用貴一倍,而APT進階威脅防護功能則是每人每月65元。

Exchange Online本身提供的防護機制其實很簡單,在郵件帳號安全管理上,提供帳號管理與密碼管理等機制,管理者也能隨時要求指定使用者重設密碼。企業管理者還可以啟用雙因素認證機制,讓使用者透過簡訊、電話與自家App接收認證碼,接收方式相當多元。同時,後臺提供所有登入動作的稽核列表記錄供查詢。

在郵件收信安全方面,方案1也內建Exchange Online Protection(EOP)功能,已經可以做到基本的自動垃圾郵件篩選與病毒過濾,並透過多層次的篩選器和掃描引擎,找出已知惡意程式碼。

而在更進階的方案2中,企業能夠增加法規遵循方面的功能,以及資料外洩防護的管控。

其中的eDiscovery機制,可針對特定使用者,實施所有動作全程記錄的措施,即便使用者刪除信件,雖然他只是自己看不到信,系統上仍然保留。

在資料外洩防護的功能上,這裡可以強調的特色並不少。像是在郵件流程管理中,透過原則提示的設定,讓企業建立滿足特定條件時的郵件,採取相應動作,方便管控內部信件的寄送。特別的是,還有文件指紋的偵測設定,能識別文件中的獨特文字模式,並根據該模式建立文件指紋並偵測。微軟並表示,最近新加入OCR文字辨識的功能,將進一步提升郵件內圖片的過濾能力。

同時,郵件流程管理上,也提供郵件仲裁(Moderator)機制,像是針對指定員工寄出或收到的郵件,都要經過主管檢查,而使用者自己不會知道。

對應更高層次的郵件威脅防護,為了補足在EOP上的不足,微軟也額外提供了進階選購項目Exchange Online ATP(Advanced Threat Protection),它屬於EOP模組的進階防護功能,可針對未知惡意攻擊提供進一步的偵測能力,防護零時差攻擊。

郵件ATP是微軟近年特別強調的防護功能,主要是透過重寫網址連結與沙箱機制,防護惡意程式入侵,提供安全附件與安全連結的機制。

舉例來說,可疑的附件會在寄達收件者信箱之前,先經過沙箱處理來偵測,當我們將滑鼠移到郵件夾帶的網址連結上時,會看到連結已經重寫,點擊後會帶到另一個安全的檢查網站,如有問題也會跳出警告網頁,避免使用者誤按惡意連結。同時,管理者也能從洞察報告去追蹤每一個惡意連結,像是檢視按下連結的使用者,以及按下連結的時間。

另外,APT防護功能內也提供了詐騙偵測,以及透過機器學習偵測網路釣魚的郵件的能力。

若企業還想要更主動的異常登入警示與防護,也能額外選購微軟的進階安全性管理功能(Advanced Security Management,ASM)。這裡包含整體Office 365的異常偵測與安全性警示,因此當使用者Exchange Online服務遭異常存取時,像是前一秒在臺灣地區IP位址登入,下一秒在其他國家地區登入,就能做到限制與警示,企業也能設定合法連線的IP位置。

另外值得一提的是,如果企業想要強化郵件外寄檔案的管控能力,在郵件流程的設定上,Exchange也能橫向結合微軟自家另一項產品Azure Information Protection(AIP)的檔案加密機制,只要用戶有購買AIP服務,郵件流程條件中就能設定自動透過RMS加密。讓對方收件人,需要是RMS確定的對象才能夠開啟。

業者藉由APT進階方案提供安全附件與連結

為了強化郵件安全,現在雲端郵件廠商本身提供了進階威脅防護的相關技術,讓企業能夠額外選購搭配,透過郵件APT防護功能,將可針對郵件連結與附檔,提供安全檢查機制,防範未知攻擊行為。(圖為微軟Exchange Online選購APT功能的管理介面)

普遍支援雙因素認證,防護企業雲端郵件登入安全

使用雲端服務帳號登入安全很重要,在帳號管理與密碼管理之外,各雲端郵件服務基本就提供了雙因素認證與OTP驗證方式,讓使用者在輸入帳號與密碼後,還要從手機取得動態驗證碼,強化身分認證管理。(圖為微軟Exchange Online的使用者登入介面)

DLP功能再進化,OCR文字辨識功能也納入

這次介紹的4家雲端郵件服務中,都已經在進階方案或額外選項項目中,提供郵件資料外洩防護(DLP)的管控功能,值得注意的是,今年我們看到微軟與Google的產品開始加入OCR文字辨識能力,讓郵件中的圖片內容也能被偵測。(圖為微軟Exchange Online方案2的管理介面)

微軟Exchange Online

● 原廠:微軟(02)3725-3888

● 建議售價:Exchange Online方案1,每人每月130元;Exchange Online方案2,每人每月255元;Office 365商務進階版,每人每月400元。額外可選購安全服務包括APT、ASM

微軟Exchange Online包含於自家Office 365平臺,可與Office 365所有方案整合搭配,並提供進階方案可強化法規遵循與資料外洩防護的管控。特別的是,還具有APT防護的額外選購項目。

主要特色:

1. 搭售方案選擇豐富,雲端郵件服務可與自家多項Office 365應用整合

2. 提供APT進階威脅防護的選購方案

3. 進階方案提供法規遵循與資料外洩防護的防護機制

 

 Google  G Suite

提到全球化的企業雲端郵件服務,許多人會考慮的另一個平臺是Google,他們的方案現稱為G Suite,舊稱是Google Drive for Work。主要分成3種版本,分別是基本版、商用版與企業版,建議售價則是5美元、10美元與25美元。

G Suite的最大特色,是整合雲端郵件、行事曆、雲端硬碟與即時通訊功能一起販售,個方案的功能差異上,基本版每人可享有30GB線上儲存空間,商用版與企業則是無限容量,前者多提供保管箱機制,後者則提供DLP與更多進階管控能力。

基本上,G Suite已經提供了基本威脅防護功能,像是內建垃圾郵件處理機制,一旦收到可疑電子郵件,系統也會自動歸類為垃圾郵件;同時也內建病毒掃描功能,當使用者收到附件及開啟郵件時,Gmail可以自動掃描附件中是否包含病毒。而且,近年Google也針對疑似含有危險性的釣魚連結等,可檢查該郵件內網址連結安全性,當用戶點擊該連結時,系統會跳出警示標語。

針對使用者帳號安全,管理者也能強制啟用兩步驟驗證機制,可要求設定密碼長度要求,或是隨時要求用戶重設密碼。而且,G Suite也能根據使用者的登入位置,如IP位址是不常出現的地點,發送通知信警告使用者。

若企業有更多安全性需求,企業用戶也可選擇G Suite所提供的商用版與企業版,裡面有更多安全防護功能。

基本上,G Suite商用版提供封存電子郵件、稽核報表功能,以及電子蒐證用的Google保管箱機制。

至於頂級的G Suite企業版,將提供更進階的管控能力。像是能支援實體安全性金鑰,作為使用者登入時的第二認證因素,進一步強化登入安全;同時,提供進階行動裝置管控功能,當使用者螢幕解鎖失敗多次時,可以封鎖帳戶;也支援外寄電子郵件加入S/MIME簽章,以保證寄件者身分的真實性。

DLP資料遺失防護的功能,也是G Suite企業版的一大特色。像是在郵件安全的進階選項設定中,提供限制傳送、不當內容,以及附件規範的管理設定項目,並在內容規範項目當中,具備預先定義的內容偵測工具,因此也能夠偵測出像是信用卡或身分證字號等資訊。

而且,企業管理者可以針對使用者群組套用不同的政策,並依照寄出、接收的信件分別設定管控措施,讓系統偵測到符合條件的內容時,做出應採取的處理方式,例如隔離、拒絕或修改郵件,而隔離的郵件也能經管理者審核。

另外,報告項目中也同樣有安全性方面的查詢,可以快速檢視使用者是否註冊兩步驟驗證、各使用者帳戶的狀態,還有像是每個使用者在郵件協定POP、IMAP,以及網路的使用狀態。

Google G Suite

● 原廠:Google

● 建議售價:基本版每人每月5美元、商用版每人每月10美元、企業版每人每月25美元。

Google G Suite是整合雲端郵件、即時通訊與雲端硬碟的綜合方案,並提供進階方案,可強化封存、稽核,以及DLP與更多進階防護管控功能。

主要特色:

1. 方案整合雲端郵件、雲端硬碟與即時通訊功能

2. 進階方案內建郵件封存與稽核功能,並提供電子蒐證用的Google保管箱機制

3. 高階版本包含資料外洩防護,以及更多進階管控能力,像是支援實體安全性金鑰與進階行動裝置管控

 

 網擎  MailCloud

除了微軟與Google這兩大巨頭提供的企業雲端郵件服務,也有臺灣本土廠商致力雲端郵件的發展,網擎資訊提供的MailCloud就是一例,近年並將雲端分享硬碟與商務即時通訊的功能,也都一併與郵件平臺整合。

MailCloud主要分成三種版本,分別是經濟版、商務版與旗艦版,其中經濟版的建議售價是每人每月88元,信箱空間為5GB,商務版則多提供郵件歸檔備份功能,容量增為15GB,旗艦版又增加可觀察員工郵件內容的主管信箱,以及確認兩岸收發通暢機制的功能,容量是30GB。另外,網擎也提供了可額外選搭的郵件安全防護包,可增加郵件內寄、外送與信箱安全的防護管控能力。

在登入安全方面,MailCloud提供異地登入警示,以及弱密碼分析、密碼週期管理功能,也具備OTP驗證機制,用戶可下載@Mail2000 App接收驗證碼。較特別的是,還有一個特別的個人安全碼機制,讓使用者要設定密碼或自動轉寄時,都需要輸入此碼來驗證。

整體而言,MailCloud內建了基本的垃圾郵件過濾與防毒功能,其他更多郵件內寄與外送的防護功能,則是集中在郵件安全防護包的方案之中,像是在外部威脅防護上,也有防止惡意人士猜帳號等字典檔與DoS網路攻擊。

在收信安全上,為防止惡意程式透過郵件的管道入侵,MailCloud在內容防護上提供幾個特別的機制,像是能啟用純文字遞送的設定,讓郵件會先經過處理再進到收件件信箱,這時郵件中所夾帶的網址連結,都會去除連結並以純文字方式顯示,讓使用者不能輕易點擊。即使郵件內的圖片有附加網址連結,也能顯示真實網址於該圖片旁,讓使用者能夠容易查看是否偽造。

另外,企業也能設定移除JavaScript,以及顯示外部連結網址,讓郵件中夾帶的連結網址,都會在顯示文字後方現形,也能開啟外部連結警示頁面,當系統偵測到已知惡意網站時自動跳出。

而在附檔安全性強化的部分,MailCloud可設定副檔名的過濾條件,可偵測附檔類型與附檔名不一致的情況,加以攔阻,強化郵件附檔的安全。

在郵件外寄安全防護上,針對機敏檔案與個人資料的偵測,是這款產品的一大特色。而在稽核條件設定的處理方式上,MailCloud這裡的設定也很多元,像是偵測到個資風險的郵件時,可以跳出警示給寄件者;也提供審核信的機制,並發送待審核明細通知信給指定主管,才能決定是否放行。

這裡還有一些外寄防護的特殊機制,像是大量外寄偵測防護的機制,以及偵測包含圖檔的郵件;為避免員工信件外寄時,並無知會他人,外洩重要資訊,也能警示未寄給主管或同仁的信件;也提供使用者等級的管理方式,可限制使用功能,增加使用者權限管理彈性。

另外,網擎還提供了郵件加密的功能,管理者可預先設定要針對整封郵件或附件加密,加密方式則有PDF與ZIP加密兩種,當系統偵測到符合管理者制訂的原則時,就能自動加密,而密碼通知信也可以設定發送給寄件者。當對方收到郵件時,就要打電話來詢問密碼,才能看到郵件內容或附檔。而且,使用者也能自行從MailCloud的寫信介面上,執行加密功能,相當特別。

而在其他信箱安全功能方面,網擎也提供郵件流向確認機制,管理者可以透過郵件擴散行為,找出特殊郵件。在管理安全機制上,也提供稽核報表排名與處理記錄,並可檢視管理者操作軌跡的Log紀錄。

另外,MailCloud也提供最長30分鐘的郵件延遲設定,可讓寄出信件後才察覺有錯的使用者,多一道反悔、取回郵件的關卡。

附帶一提的是,網擎MailCloud郵件安全防護包,其實也是獨立可選購的雲端服務,因此也能搭配Office 365、G Suite與其他自建或雲端郵件服務,提供進階防護能力。

強化夾帶網址的電子郵件安全,不讓使用者輕易點選

為了防止惡意程式透過電子郵件入侵,現在也有郵件服務提供的內容防護功能,可讓郵件經過濾轉成純文字遞送,像是可讓原本郵件中的網址連結,去除連結僅顯示網址文字。(圖為網擎MailCloud郵件安全防護包方案的管理介面)

網擎 MailCloud

● 原廠:網擎(02)2553-7272

● 建議售價:經濟版每人每月88元、商務版每人每月128元、旗艦版每人每月168元。額外可選購郵件安全防護包,每人每月50元。

在網擎MailCloud郵件服務中,已整合通訊錄與行事曆,以及檔案分享與即時通訊功能,並可額外選購自家DLP方案服務,增加郵件外寄、接收與信箱安全等多方面的防護功能。

主要特色:

1. 雲端郵件平臺本身也整合提供檔案分享雲與即時通訊服務

2. 郵件中的連結可以純文字方式遞送,防止使用者誤點外部連結

3. 郵件DLP功能豐富,並提供稽核與加密功能,且使用者在寄信時可自主選擇加密

 

 碩琦  JingdoMail

另一家臺灣廠商碩琦推出的雲端郵件服務JingdoMail,也可統稱為Box Solutions企業雲端郵件服務,也有強調安全電子郵件防護。它的基本方案是每人每年1,000元,信箱空間為2GB;進階方案是每人每年1,500元,信箱空間30GB,並提供電子郵件歸檔稽核服務,供企業額外選購。

在郵件安全防護上,JingdoMail本身也提供基本的垃圾郵件防護、郵件病毒掃描防護功能,服務登入也支援OTP安全金鑰,可以App接收認證碼,並提供帳號登入記錄,使用者可以檢視每次登入的IP地址與相對國別。

這裡主要採用碩琦自家SpamTrap威脅防護技術,藉以阻擋不明使用者的郵件騷擾與字典攻擊,並提供雲端信譽黑名單、雙認證白名單與惡意檔案雲端鑑識的功能。在郵件處理模式上,提供了拒絕退信、直接刪除,以及移至垃圾郵件隔離區的方式。同時,JingdoMail也主打內建威脅防禦功能,採用自家SpamTrap駭客行為解析技術,來偵測過濾帶有惡意連結或惡意附件的郵件。

另外還有一些功能也是JingoMail獨有的機制,像是使用者寄信時,可以設定「群發單顯」,讓多個收件者不會看到其他收件者的電子郵件信箱位址;也能夠設定郵件在內部禁止轉寄,像是主管不希望這封信件轉寄,再寄出信件時就能勾選這項功能,多一層保護與限制;並有內部信件的已讀追蹤與郵件回收的機制,強化企業內部郵件溝通與誤發回收的功能。另外,也有提供延遲寄信的功能,減少誤寄的機率。

另一方面,碩琦也提供了電子郵件歸檔稽核雲端服務,供企業額外選購。讓用戶從JingdoMail寄出的信件,都將能夠透過歸檔稽核服務過濾,審核與放行。而且,這個電子郵件歸檔稽核服務也可單獨販售,因此也能搭配Office 365、Google G Suite來使用,與網擎產品相同。

值得注意的是,這裡的郵件加密功能也很豐富,可增加外寄郵件時的安全防護性,發布形式則包含PDF、ZIP與HTTPS這3種,讓對方收到的郵件,都需要額外輸入一道密碼才能開啟。其中HTTPS是指將附件存成連結,並以通知信說明鏈結位置,讓對方前往一個專屬的網址連結,輸入密碼,才能讀信。

更特別之處在於,這裡還提供了密碼資料庫的機制,應用上,可在寄出加密信件時,系統能夠自動針對不同收件人套用不同密碼。

碩琦 JingdoMail

● 原廠:碩琦(03)551-8787

● 建議售價:基本方案是每人每年1,000元、進階方案是每人每年1,500元。額外可選購電子郵件歸檔稽核功能,每人每年900元

碩琦JingdoMail內建電子郵件威脅防禦功能,提供隔離中心與惡意檔案雲端鑑識機制,並可額外選購郵件歸檔稽核服務,增加資料外洩防禦與加密保護。

主要特色:

1. 內建威脅防禦功能,採用自家駭客行為解析技術

2. 提供內部郵件寄信管控機制,可做到群發單顯、禁止轉寄,以及讀信通知與回收的功能

3. 可設定讓符合條件的信件自動加密,並提供密碼資料庫的機制

建構安全的雲端電子郵件環境,也可藉由不同雲端服務搭配而成

綜合來看,目前各雲端服務業者都已經提供不少的進階方案,以及安全相關功能。值得注意的是,像是前面提到的網擎MailCloud郵件安全防護包,以及碩琦的JingdoMail電子歸檔稽核服務,都是能夠單獨選購的項目,並能微軟與Google的雲端郵件服務一起搭配使用,提供額外的電子郵件安全功能。

這也表示,企業考量雲端郵件服務的安全防護時,可不限於同一服務商的方案。另外,我們也有詢問網路服務廠商匯智資訊,他們表示,由於每家企業都有自己的需求,各雲端服務也都有其優勢,在提供方案時,就可能有不同的搭配。

譬如說,如果客戶需求集中在郵件本質上,那麼郵件備份、與便利的操作環境,就是選擇的首要條件,像是可以選擇他們的OfficeMail企業郵件(也就是網擎MailCloud的方案),如果用戶的使用情境需要不同,像是他們也可以提供微軟Exchange Online加上另一套HDE的電子郵件安全雲端方案,並不限於單一廠商的方案。

這裡所謂的另一套電子郵件安全雲端方案,也就如同前面提到的網擎MailCloud郵件安全防護包,以及碩琦的JingdoMail電子歸檔稽核服務,它們與Office 365與G Suite一樣同樣是雲端服務,但能以雲對雲的方式,為雲端郵件服務提供防護。

因此,企業要導入安全的雲端郵件服務時,可以評估郵件服務商本身的加值方案,也能考慮選搭其他廠商的技術,來做到電子郵件安全。

而像是本土廠商網擎與碩琦,就等於兼具了兩種身分,既是雲端郵件服務商,也是電子郵件雲端安全服務商。

綜合來說,過去企業在評估雲端郵件服務時,通常都是聚焦於這些服務商所提供的解決方案,像是這次介紹的微軟、Google、網擎與碩琦。但隨著雲端安全應用發展趨勢,現在企業已經有更多選擇性,不僅是同時兼具電子郵件雲端安全服務商的網擎與碩琦,市面上也還有不少郵件安全相關廠商,都已經推出電子郵件安全雲端服務。

下一篇文章,我們將繼續介紹5家電子郵件安全的雲端服務,包括基點資訊(Cellopoint)、趨勢科技,以及Cisco、HDE與Sophos,各家產品都有不同的著眼點,讓你瞭解這類電子郵件安全服務的各自特色。


Advertisement

更多 iThome相關內容