據互聯網統計,截止2019年年底,全球電子郵件用户數量39億,電子郵件帳户55.9億個,每天有2930億封電子郵件活躍在互聯網上,85%的電子郵件用户使用手機收發電子郵件,入侵電子郵件並獲取其承載信息成為網絡攻擊的主要目標之一,因此,掌握基本的電子郵件安全常識顯得尤為重要,本文就電子郵件安全講一些常識。
一、絕不能觸碰保密工作紅線。“涉密不上網,上網不涉密”是國家秘密安全底線,電子郵件作為互聯網應用之一,絕不能存儲、傳輸涉密信息和敏感重要的工作信息,無論是郵件標題、內容還是郵件附件,都禁止涉密。
二、不能隨意確定郵箱名稱。郵箱名稱中不得含有地域、單位名稱、區號、郵編、車牌號、座機號、手機號等有利於入侵者進一步分析電子郵件的關聯性信息。
三、重視維護郵箱密碼。密碼是安全工作的第一道防線,也往往是最後一道防線。密碼既要滿足複雜性要求,更要重視更新的及時性。一般地,郵箱密碼應是10位以上大小寫字母、數字和特殊符號的組合,保持每月更換一次,對於半年以上不更換密碼的郵箱應該予以及時註銷。
四、及時清理電子郵件。電子郵件中存在不少垃圾郵件和廣告郵件,它們在佔用郵箱存儲空間的同時,還可能成為入侵者的刺探工具,所以要養成定期清理電子郵件的習慣,及時刪除過期無用的電子郵件,並徹底清空郵箱中的回收站文件夾。
五、關閉郵件預覽功能。郵件預覽功能可以在不打開郵件的情況下,方便用户預覽郵件的內容,但這個功能經常被入侵者利用,在郵件中植入病毒、木馬和惡意程序,在郵件預覽功能的幫助下,不依賴用户打開郵件就可以自主運行,發作感染,因此,應該關閉郵件預覽功能。
六、慎重點擊網址鏈接。網址鏈接的背後可以是一個網站、一張正常網頁,也可以是一段惡意代碼、一個木馬代理服務器。一般地,不應該直接點擊郵件中的網址鏈接,應將網址鏈接複製後,經人工確認安全後,粘貼到安全瀏覽器中打開。
七、慎重打開郵件附件。電子郵件附件可以是任何文件格式,並不限於文檔格式,惡意應用可以偽裝成正常的文檔圖標,甚至是壓縮包文件,欺騙用户點擊,一旦打開運行,木馬病毒運行,入侵者就得逞了。郵件附件下載後,應人工識別文件格式,確保計算機設置為“顯示文件完整擴展名”。
八、關閉郵件客户端收發功能。一些電子郵件服務商默認開啓了POP3和IMAP協議,允許用户使用電子郵件客户端軟件收發郵件,而電腦、手機面臨的安全漏洞和潛在網絡威脅更加豐富且複雜,電子郵件客户端軟件可能成為入侵者攻擊電子郵件的中間目標,而電子郵件客户端的安全加固需要額外的安全防禦措施,因此,建議關閉電子郵件的相關協議。
九、保持電子郵件的獨立性。一些電子郵件帳號同時又作為其他網絡應用的帳號名稱,比如:微信帳號與騰訊郵箱都與QQ號碼緊密相關,無論哪個應用出現安全漏洞,另外兩個都會受到影響,因此,應該避免出現這種相關性,儘量選擇單一的電子郵件服務商。此外,不應將電子郵件作為申請其他網絡服務的郵箱,維持電子郵件單一郵件用途,保持獨立性,可以大大降低安全風險。
十、重要電子郵件應具有可驗證安全性。如果電子郵件服務商提供二次驗證安全功能,建議打開相關功能,與手機綁定。另外,要養成經常檢查電子郵件登錄情況的習慣,一旦發現非法登錄情況,比如在新的IP地址、新的設備或瀏覽器上的登錄行為,説明電子郵件密碼很可能已經泄露,入侵者故意不修改密碼,以達到麻痹用户安全意識,長期窺探利用的目的。
十一、保持良好安全收信習慣。對於收到的電子郵件,要養成首先確認發件人,再查看郵件內容的安全習慣,很多釣魚郵件通過偽造發件人信息騙取電子郵件用户信任,使得電子郵件成為入侵者進一步攻擊的助力跳板,一些有明確目標和計劃、步驟的入侵者,往往對目標用户的業務相當熟悉,偽造的電子郵件極具迷惑性。
十二、不能將安全性完全託付給電子郵件服務商。電子郵件服務端收集用户信息並非個例,因此,電子郵件相關的證書和公鑰不應上傳至網絡,特別是解密郵件用的私鑰更不能上傳到網絡,暴露給服務商,必要時,可使用第三方加密軟件加密信息內容後,再上傳至電子郵件進行發送。