芯盾时代邮箱二次认证解决方案助力企业应对钓鱼邮件

早上开工，某互联网大厂的员工小A照例打开企业邮箱，一封来自“财务部”的邮件瞬间让他精神抖擞，比喝了三杯冰美式都兴奋——《关于发放05月份工资补贴的通知》。

还有这等好事?小A仔细查看了邮件发件人，正是财务部的小B。小A正想问邻座的小C这事是真是假，却看见小C点开了附件里的链接，开始输入银行卡号……小A不再怀疑，麻利的点开链接，输入银行卡号、身份证号、手机号，不一会就收到了银行发来的验证码。小A赶忙输入验证码，手机马上收到了短信提示。小A心想，补贴到账真快，“财务部”效率真高。他拿起手机一看，赫然是银行的提醒短信，您的账户转出××元……小A眼前一黑，心里暗呼，难道我遭遇了电信网络诈骗?

不一会，小A就在公司大群里看到了公告——小B的邮箱被盗，黑客向全公司群发了钓鱼邮件，大家不要上当。小A欲哭无泪，谁能想到来自“财务部”的邮件会是钓鱼邮件呢?

这件看似荒诞的事件是发生在某互联网大厂的真实案例。虽然这次“盗取员工企业邮箱发动钓鱼邮件”事件没有造成多大损失，却还是让很多企业惊出了一身冷汗。原因有二：一是企业邮箱是最基础的办公应用，一旦邮箱有失，后果不堪设想;二是邮箱的防护看似简单、实则复杂，就连公认简单有效的邮箱二次认证，也成了“老大难”问题。

01邮箱二次认证为何成了“老大难”?

想要实施邮箱二次认证的企业，往往面对以下三大难题：

1.使用场景不可控

作为最基础、最常用的办公应用，企业员工需要在任何地点、任何时间，通过各种网络，使用不同的设备，以不同的方式登录企业邮箱、收发邮件。这导致邮箱的使用场景异常复杂，为企业实施二次认证增加了难度：

网络环境复杂：员工不但会通过内网访问企业邮箱，还会通过公共WiFi、家庭网络、移动互联网访问邮箱，甚至需要通过国外网络发起访问;

设备环境复杂：随着远程办公、移动办公的普及，员工不但会使用公司配发的终端登录邮箱，还会使用自有电脑、智能手机登录邮箱;

登录方式复杂：有的员工会使用Outlook、Foxmail、网易邮箱大师等邮箱客户端登录邮箱，有的员工倾向于直接使用浏览器访问Web邮箱。

2.邮箱应用难改造

企业所使用的邮箱多为标准化应用，难以按照企业需求进行改造。为了提升邮箱的安全性，企业不得不部署邮箱安全产品。但各种各样的邮件协议(SMTP、POP3、IMAP)、邮箱服务(Exchange)，却对安全产品的兼容性构成了巨大挑战。

3.安全体验难平衡

为了提升企业邮箱的安全性，部分企业采取了限制密码长度与字符组成、强制定期修改密码等手段。但这些手段往往只能覆盖登录环节，难以覆盖收件、发件环节，还会增加员工学习与操作成本，引发员工抵触情绪，导致安全措施难以100%落实。

02芯盾时代邮箱二次认证解决方案

芯盾时代作为领先的零信任业务安全产品方案提供商，基于自主研发的零信任业务安全平台(SDP)，打造了邮箱二次认证解决方案。方案采用软件定义边界架构，将数据平面与控制平面分类，采用零信任安全网关代理邮箱访问流量、实施访问控制，采用动态访问控制引擎监测安全态势、生成访问控制策略，采用认证中心管理身份信息、访问权限，采用移动App实施多因素认证。

芯盾时代邮箱二次认证解决方案具备“邮箱零改造、场景全覆盖、协议强兼容、体验性更佳”四大优势，能够帮助企业轻、快、好的实现邮箱二次认证，在提升邮箱安全性的同时保证员工操作体验，更好的防范钓鱼邮件。

借助邮箱二次认证解决方案，企业能够一站式实现以下功能：

1.实施邮箱多因素认证

借助芯盾时代自主研发的移动App，企业能够在邮箱零改造的情况下，为邮箱设置指纹识别、手势认证、扫码认证、动态口令、一键登录、短信口令等认证方式，与原有的密码认证相配合，实现邮箱多因素认证，有效消除弱口令等风险因素，更好的防范撞库攻击、喷射攻击等网络攻击。

当员工进行登录邮箱、收件、发件等重要操作时，企业可强制要求员工使用App进行二次认证，避免黑客利用员工邮箱进行非法操作，有效防范钓鱼攻击。

2.动态自适应访问控制动态访问引擎能够智能感知全域风险，综合设备、IP、时间、行为、账号、位置等维度的风险信息，对用户访问邮箱过程中的操作行为实施动态访问控制。

当用户采用认证过的设备，在企业内网登录邮箱、收件、发件时，可采取免认证策略，保证员工的操作体验。当员工的设备、IP、行为、位置等存疑时，可采取强化认证策略，要求员工采取指纹识别、人脸识别、动态口令等高强度的身份认证方式，保证邮箱由员工本人操作。当访问者的操作行为被判定为风险行为时，直接阻断访问，保障邮箱的安全。

3.环多协议多场景全面兼容

凭借强大的自主研发能力、丰富的项目经验，芯盾时代邮箱二次认证解决方案具备全面的兼容性，能够与企业邮箱无缝对接，在各种登录环境、使用场景下，保证员工访问邮箱。无论员工通过浏览器使用Web邮箱，还是通过Foxmail、Outlook、网易邮箱大师等PC端邮箱客户端登录邮箱，或者通过智能手机中的邮件服务App进行操作，方案都能自适应执行二次认证，实现全终端、全场景覆盖。

方案全面支持SMTP、POP3、IMAP等邮件协议，能够与Exchange服务无缝对接，企业无需对原有邮箱应用进行改造，能够快速上线、弹性扩容，帮助企业缩短改造周期、保证业务运转。

随着AI技术的全面普及，黑客发送钓鱼邮件、创建钓鱼网站的门槛越来越低，企业面对的钓鱼邮件风险持续升高。芯盾时代邮箱二次认证解决方案，能够帮助企业轻、快、好的实现邮箱服务的安全升级，是企业应对钓鱼邮件的理想选择。