【電子郵件安全防護解決方案總覽】借助各種技術之力，過濾威脅更有效率

論及電子郵件威脅的安全問題，過往企業最憂心的是垃圾郵件與病毒郵件影響，普遍企業懂得要搭配防垃圾郵件與防毒功能的設備，只是，近年的電子郵件威脅早已經不是那麼單純，不論是勒索軟體、APT攻擊、BEC詐騙、釣魚郵件與社交工程手法等，也都利用電子郵件管道來突破企業與政府機關防禦，帶來極大影響，而過去已知威脅防禦的垃圾郵件過濾與防毒機制，已不足以防禦全新威脅，希望使用者自行識別所有不同的潛在威脅，更是無法想像。

因此，運用郵件安全與進階威脅防護產品，強化過濾與偵測，就是幫助企業面對這些威脅的新防禦性武器，也是有效率的作法。現在市面上，已有許多資安與郵件安全廠商提供的產品，可協助企業因應這些新興的電子郵件威脅，幫助企業過濾掉大部分的惡意郵件、釣魚郵件，甚至詐騙郵件等。

進階郵件防護當道，各式技術加持並整合威脅情資，防護更即時

基本上，郵件資安防護設備的功能，一直在隨著攻擊手法不斷變化，新增加不同的防護技術。從過往的電子郵件安全相關產品來看，功能從垃圾郵件過濾、郵件防毒到郵件稽核等都有，利用各式技術來攔阻垃圾郵件，並加入防毒廠商的防毒引擎來偵測，同時透過原則管控的設定，不僅是防護企業資料外洩，建立內寄外的企業郵件安全政策過濾，也能利用來阻擋外寄內的相關威脅，透過設定過濾條件的方式，例如將附檔類型為EXE的檔案，隔離且不允許進入郵件伺服器。

隨著各式郵件威脅的演變，加上現有的病毒變種的速度非常快、釣魚網站存活時間都很短，造成傳統郵件防護機制無法即時有效偵測現有的攻擊與威脅。因此，現在這些郵件安全產品的功能又更豐富，並聚焦於進階郵件威脅防護上，幫助企業面對新興與未知攻擊的偵測與防護。

例如，它們使用了靜態特徵比對、動態沙箱模擬分析，也加入APT防護的相關功能，以及關鍵的URL偵測技術，支援即時威脅情報分析，並且應用機器學習、人工智慧與交叉分析等技術；即使像是BEC詐騙這樣的攻擊，現在也看到有偵測與警示的機制，來提醒使用者注意；甚至還有啟用多重防毒與附檔內容威脅解除與重組的作法，這些各式不同技術，都是為了協助企業進一步過濾掉大部分的郵件威脅。

即便像是現在主要的雲端郵件服務業者，不僅是將防垃圾郵件與防毒功能內建為基本功能，同時也會預設封鎖一些不安全的副檔名附件，像是.EXE、.JAR、.SCR、.VBS等，近年還增加了.JS，避免使用者直接收到這類檔案的風險，用戶也不用像傳統方式需要一一設定管控原則。

另外，關於釣魚郵件可能竊取企業郵件帳號，除了依靠系統攔阻這些釣魚信與釣魚網站，在網頁郵件帳號安全的保護上，也是企業不容忽視的一環。像是啟用雙因素認證，讓登入時需多一道驗證程序，還有像是設定合法連線的IP位置、異常登入警示等機制，都是讓企業能夠更主動去防範帳號遭盜用的機制。

還有像是為避免企業郵件遭冒名的風險，也可透過這些郵件及其安全防護產品，來增強電子郵件往來的安全性。舉例來說，像是可啟用郵件加密功能，將整封郵件或附件加密保護，以確保郵件的機密性；或是導入郵件簽章功能，確保郵件的完整性、身分鑑別及不可否認性，又或是使用SPF、DKIM、DMARC來驗證雙方電子郵件等進階機制。

設備部署方式彈性，價格門檻也比想像中要低

對於電子郵件威脅日益嚴峻，因此，不論企業規模大小，都應採取行動積極強化自身的郵件安全，現在市面上也有不少郵件安全閘道類型設備與雲端服務可以選擇，可以建置在企業內部，或是透過雲端部署整合Office 365、G Suite等企業雲端郵件服務，相當彈性。更值得注意的是，這類產品的價格如今也沒有想像中貴，即便小企業也應該有能力可以購買。

舉例來說，本土廠商網擎的雲端產品MailCloud郵件安全防護包，每人每月價格只要50元，如果是一間50人的企業，每月就是2,500元，一年下來，3萬元也差不多是一臺電腦的價格；或是另一家本土廠商Cellopoint雲端產品COP的進階版，每人每月也只要100元，就能提供郵件網址與郵件附檔過濾的APT防護功能，而且，通常購買授權數越多也會有更多折扣。

當然，各廠商各有所長，功能面向也有大有小，就看客戶需求和能力的考量。接下來，我們也實際接觸一些廠商，將概略介紹他們產品的防惡意郵件、釣魚郵件的功能，以及相關特色。

本土廠商積極增加新防護技術，開始具備威脅情資整合，應用沙箱分析、機器學習等能力

基本上，提供郵件安全產品的臺灣本土廠商不少，例如這次我們介紹的4家廠商：Cellopoint、網擎、眾至、中華數位。

Cellopoint

電子郵件經常是許多APT攻擊所利用的主要管道，國內郵件安全防護廠商Cellopoint，也提供多種對應的防護方案，包括自建方案的Email UTM設備，以及雲端郵件安全服務Cellopoint Online Protection（COP）。

在防護特色上，CelloPoint強調五層縱深防禦，從防垃圾信功能，過濾大量廣告信、垃圾郵件、退信攻擊、DDoS攻擊，到防毒功能過濾已知病毒、惡意程式與勒索軟體，還包括防APT附件與連結，以及BEC詐騙偵測的功能。

其中，又以APT防護功能最受注目，主要分成郵件附件與郵件網址過濾兩大部分，像是透過雲端沙箱惡意程式，以及重寫未知可疑網址，導向CelloCloud即時比對，郵件內嵌URL的釣魚及偷渡式下載連結檢測。

網擎

長期發展郵件系統的廠商網擎資訊，除了自家Mail2000郵件伺服器與MailCloud雲端郵件產品外，也提供了電子郵件安全的閘道產品MailGates，以及具有雲端版本MailCloud郵件安全防護包，來增強電子郵件的安全防護功能。

對於惡意威脅的防護，網擎主要藉自家的Openfind Cloud Protection與MailCloud蒐集的信件樣本，對於惡意連結的防護，也與全球性釣魚網站資料庫同步更新，即時防止釣魚信件發生。較特別的是，他們提供了像是純文字遞送、移除JavaScript、顯示外部連結網址的功能，可減少使用者受到釣魚郵件欺騙的機率，並也能藉由點擊偵測並引導至警示頁面，

另外，對於釣魚網站變化之快的威脅，網擎未來也將開發連結點擊威脅紀錄的功能，讓收件人點擊的連結先導到MailGates並記錄，若經過一段時間資料庫更新發現該連結為釣魚網站，事後將發送信相關報表告知企業管理者。

降低郵件內的惡意網址威脅，作法多元

為了對抗惡意郵件與釣魚郵件，也有郵件安全產品提出不同的作法，例如可去除郵件中的連結，僅顯示網址文字，不讓使用者輕易點選，另外也能藉由點擊偵測並引導至警示頁面。（圖為網擎MailCloud郵件安全防護包方案的管理介面）

眾至

在本土廠商眾至提供的郵件伺服器MS-6430+產品中，也提供了多項防護機制，主要強調信件異常寄送偵測模式、內文URL解析、自動學習資料庫與郵件安全簽章。

其中較具特色的功能，像是利用了IP反解驗證、灰名單、系統黑白名單、SPF驗證，以及結合卡巴防毒機制與DKIM驗證來阻擋釣魚信件攻擊。並強調自家的信件異常寄送偵測模式，透過規則條例的設定，可針對主旨、副檔進行深入解析動作。他們也利用垃圾郵件分類引擎，自動學習SPAM和HAM（非垃圾信）的信件特徵，來協助識別各式惡意程式或病毒。

中華數位

中華數位也是不少國內企業都很熟悉的郵件安全廠商，在郵件安全產品SPAM SQR之中，強調可快速更新惡意網址資料庫，針對郵件內容及附件內容進行掃描，也具有置換可疑超連結的機制，同時還加入智慧型詐騙郵件行為特徵檢測，可針對像是匯款詐騙、冒名偽造網域的社交郵件防禦等做到郵件警示。

較特別的是，不僅是透過威脅行為控管的功能，將惡意連結和惡意附檔隔離在系統上，SPAM SQR還能提供威脅指標統計和威脅帳號的資訊揭露，像是外發郵件異常、外發威脅郵件、點擊惡意連結、密碼強度不足等行為，方便資安弱點評估。

國際級廠商整合的威脅情報遍及全球，對於延伸的上網安全防護也更為周延

對於郵件安全防護，許多國際級廠商也都有提供相關解決方案，例如這次我們介紹的6家廠商：Cisco、FireEye、Forcepoint、微軟、Sophos，與趨勢科技。

Cisco

網路設備大廠Cisco提供了可建置在企業內部Email Security Appliance，有實體與VM版本，另外也提供Cloud Email Security雲端服務，提供彈性部署的環境。

由於Cisco先前併購了市面上知名的安全技術廠商IronPort，因此產品本身也延續了既有的電子郵件與網頁安全功能，且，而且後來也併購了威脅情報研究公司Talos，每天可分析6千億封郵件，而能具備強大的威脅偵測及反應能力。

近年他們主打的是進階惡意程式防護功能（Advanced Malware Protection，AMP），主要針對郵件附檔的安全，提供動態沙箱分析，強調以實體環境偵測，防止反沙箱的技術，並透過檔案信譽與分析檔案指紋，同時與Cisco Talos全球威脅情報服務比對，同時還有兩個引擎可分析檔案子從關係，以及分析檔案特徵值與行為。

特別的是，還具有業界少見的事後防護機制，可針對放行的郵件附檔持續分析與記錄檔案活動，日後系統若察覺同樣檔案發作情形，可主動通知或移除。

BEC詐騙偵測成為近年郵件安全防護新特色

針對近年的BEC詐騙，現在許多郵件安全產品也會強調BEC詐騙的偵測能力，像是可在偵測到高階主管信件可能有冒名問題時，會在郵件標題自動添加「Possibly Forged」的提示，可提醒用戶注意。（圖中為Cisco Cloud Email Security管理介面）

FireEye

國際資安大廠FireEye也提供了EX系列和Email Threat Prevention Cloud，強項是利用沙箱技術，判斷釣魚或APT等攻擊。它們主要分析項目包括：Live模式的惡意連結檢測、偽造網站檢測、加密／壓縮檔案檢測，以及APT攻擊檔案檢測，並藉助自家DTI動態情報威脅平臺，以及Mandiant的調查結果，來加強防護準確度。

特別的是，FireEye還強調提供了保留郵件Metadata 24小時的機制，如果其他地方發現該郵件有問題，則能夠在系統上標註該郵件為威脅郵件。另外，他們也強調與全球威脅情報資訊iSight Partners公司合作，整合多種情報來源。

Forcepoint

以網頁安全防護聞名的Forcepoint（前身為Websense），也提供電子郵件安全的產品Email Security，並具有雲端版本Email Security Cloud。他們產品的主要功能特色是，整合Forcepoint網址分類情資庫，當郵件內含指定阻擋的網址類別，則將郵件予以隔離，可辨識是否為釣魚網站或惡意網站。

基本上，這幾套產品具有防垃圾郵件、防假冒郵件、防病毒郵件的功能，提供內嵌網址過濾、真實附檔類型過濾、動態沙箱等郵件威脅防護技術，較特別的是，並在惡意程式偵測引擎機制中，具有Raytheon公司的國防等級先進威脅情資，能憑藉在國防領域蒐集的大量攻擊樣本，強化阻擋進階變形APT郵件的偵測效果。未來產品功能的強化面向，也將放在BEC防護、雲端部署，以及整合UEBA。

微軟

近年主打Office 365平臺的軟體大廠微軟，在雲端郵件威脅防護上，他們也強調內建Exchange Online Protection（EOP），可以做到基本的自動垃圾郵件篩選與病毒過濾。

對於更進階的郵件威脅防護，微軟也提供了Advanced Threat Protection（ATP）的技術，這是一項屬於EOP模組的選購功能，主要強化對於未知惡意攻擊的偵測能力，像是郵件附件與郵件網址過濾，並強調使用了各種的機器學習與分析技術。另外，現在還有看到有詐騙偵測功能，以及進階反釣魚功能。

Sophos

防毒大廠Sophos也有郵件安全防護相關的解決方案，像是Sophos Email Protection強調具有多樣偵測技術防範最新惡意攻擊，可透過自家SXL（Sophos Extensible List）技術，從SophosLab取得最新的安全威脅資訊，且單一設備整合防病毒郵件、防垃圾郵件、郵件加密、沙箱防護的功能。另外，值得一提的是，不少廠商的郵件安全產品中，也都會搭配搭配Sophos防毒引擎。

趨勢科技

國際資安大廠趨勢科技對應郵件安全防護的產品提供，可說是最為豐富，包括像是郵件閘道產品InterScan Messaging Security Virtual Appliance（IMSVA）、Deep Discovery Email Inspector（DDEI）、以及雲端郵件防護產品Hosted Email Security與Cloud App Security for Office 365。

透過這些產品，可以提供基本的病毒碼比對、執行檔攔阻、惡意網址比對能力，也帶來了沙箱技術的惡意檔案分析、惡意連結分析、壓縮密碼猜測、惡意連結改寫，還有像是加入機器學習。而且，這些系統本身皆具備商業郵件詐騙BEC防護的能力。

針對郵件附檔的清除重組技術，開始興起

對於郵件安全防護，近年我們還看到了另一種作法，有廠商運用檔案內容威脅解除與重組（CDR）技術，並提供對應的郵件安全產品。在此機制之下，提供了不同於傳統的特徵碼偵測作法，像是將郵件附檔格式中的每個組成元件拆解，把其中可能執行程式碼的元件清除，如果沒法清除的部分則以注入亂數的方式，使之無法執行，而不向過去的防毒技術，僅能做到攔截、隔離，可以因此影響使用者所要存取的檔案。

同時，應用這類技術的廠商，也強調具有多重防毒的能力，不像多數郵件安全產品，通常只提供1到2種防毒引擎。

OPSWAT

在臺灣市場最早開始引進CDR產品，是資安公司OPSWAT提供的郵件安全軟體Metadefender Email Security，可主動將附檔文件內的任意Scripts指令碼與巨集移除，防止透過文件及圖檔偷渡各種威脅，同時重組還原文件內容，維持郵件附檔的正常使用性，目前支援超過100種檔案格式。

它所具備的複合式掃描技術，最多可同時支援30種防毒引擎掃描，並藉由自家特製的最佳化技術，加速掃描時間，結合多家不同的防毒軟體之所長，增加對於已知型威脅的防護偵測率。而且，只要一家防毒偵測出問題，系統就會依據預設處置動作隔離或刪除。另外，這套產品也內建超連結檢測的機制，像是顯示的網址文字與實際超連結不符，系統就會自動移除超連結，僅保留文字。

Votiro

另一家主打CDR的新興資安公司Votiro，近期主打Secure Email Gateway（SEG）郵件安全閘道產品，可清除PDF內夾帶的JavaScripts指令碼、Office文件的巨集與使用的OLE嵌入物件等。

而且，更是強調自家專有CDR技術的支援性與防護能力，像是已經能夠支援超過130種檔案格式，不論是一般文件類型微軟Office與PDF檔、壓縮檔、圖檔與電子郵件系統所產生的MSG與EML檔，甚至AutoCAD圖檔格式也能做到防護。同時，這款產品也有強調多重防毒引擎偵測，目前提供6種防毒引擎供選擇，可同時搭配掃描。

檔案內容威脅清除與重組技術興起，協助郵件附檔安全

針對郵件附檔安全，現在也有業者運用檔案內容威脅清除與重組技術（CDR），來針對微軟Office、PDF、圖檔文件等類型，自動移除任何檔案指令碼與巨集等潛在威脅，並還原成可用的檔案。（圖為Votiro SEG的SMD-Admin管理介面）