你应该遵循的8个电子邮件安全最佳做法

​

来源

再看看有多少人 来自不同年龄段的人 依靠电子邮件进行沟通：

• Z世代的94%
• 98%的千禧一代
• 98% of Gen X
• 95%的繁荣者
• 甚至是沉默的一代的90%!

补充一点，就是 电子邮件营销被选为最有效的渠道 通过Hubspot的《2022年营销状况报告》中接受调查的营销人员，你可以看到为什么电子邮件营销正在蓬勃发展，尽管多年来有那么多人预测电子邮件会死亡。

为什么电子邮件安全很重要？

不幸的是，电子邮件也是犯罪分子攻击公司或窃取普通用户个人数据的最有价值的方法之一。 CISCO的2021年网络安全威胁趋势报告 发现大约有90%的数据泄露事件是由于电子邮件钓鱼而发生的。

而这还不是令人担忧的消息的结束：

• 每天发送34亿封网络钓鱼邮件
• 在2022年、 恶意网络钓鱼邮件增加了569%，公布的凭证钓鱼相关威胁报告增加了478%。
• 2022 年，商业电子邮件泄密 (BEC) 攻击增加了 81%
• 没有适当的安全培训、 每三个员工中就有一个会落入网络钓鱼的骗局

• 只有15%的IT 管理员强制使用双因素认证。

网络犯罪分子还利用人们现在收到的电子邮件太多这一事实，他们几乎没有足够的时间仔细阅读收到的每封邮件并检查是否有垃圾邮件。对于员工来说更是如此，他们平均每天会收到 100-120 封电子邮件。无论是商务邮件还是个人邮件，谁有时间检查每封邮件是否符合安全要求？

因此，犯罪分子只需利用社交工程，就能迅速让他们点击钓鱼链接或下载恶意附件。此外，黑客还将员工使用的商务电话作为攻击目标，如 VOIP 系统.

幸运的是，您可以做一些简单的事情来保护您的电子邮件收件箱，从而保护您的个人或企业数据。因此，让我们来看看 8 种电子邮件安全最佳做法，它们可以让网络犯罪分子的 "工作 "变得更加困难。

创建强大的密码

使用强大的密码是保护你的电子邮件账户和其中的私人信息免遭黑客攻击的最佳方法之一。以下是一些保持密码高安全标准的方法：

• 不使用任何明显的个人信息或常用词
• 是字母、数字和符号的混合体
• 至少拥有10个字符（专家建议14-16个）。 

来源 

不过，考虑到我们使用的在线账户（包括私人账户和与工作相关的账户）之多，创建并记住 20 个左右复杂的密码还是相当棘手的。

这里是 密码管理器工具 可以提供极大的帮助。这些工具可以为每个应用程序生成唯一的、极难暴力破解的密码，然后将其存储在数据库中，用户只需记住一个 "主密码 "即可解锁数据库。

现在另一个流行的选择是口令--由一串单词而不是随机字符组成的密码。由于它们通常比普通密码更长，因此更难被暴力破解。此外，有了口令，也更容易为账户创建易记而安全的密码。

要想知道自己的密码有多安全，你可以使用 Security.org的 我的密码有多安全》工具。 下面是我们一个账户的情况：

不要在不同账户中重复使用密码

密码重复使用是另一个普遍存在的安全问题。例如，First Contact的研究发现 51%的人在工作和个人账户中使用同一个密码。 

来源

更糟糕的是，有70%的用户，他们的 密码被破解 还在使用这些!

这是个坏主意的原因很简单。网络犯罪分子很清楚有多少人重复使用他们的密码，所以他们总是检查他们可以用一个密码解锁多少个账户。例如，如果你在5个个人账户上使用一个密码，那么如果密码泄露，所有5个账户都会受到影响。

在企业账户和私人账户中使用相同的密码尤其危险，因为黑客可以通过这种方式快速访问您的工作电子邮件收件箱及其中的数据。企业电子邮件的安全性与您用于个人需求的电子邮件大不相同，与工作相关的电子邮件中的恶意内容比您个人电子邮件中的尼日利亚诈骗更可怕。

使用多因素认证

说到确保账户安全，增加额外的验证措施也能明显提高账户的安全性。有了 2FA 和 MFA，即使黑客窃取了登录名和密码，在通过额外的安全检查确认身份之前，他们也无法访问电子邮件收件箱，而这可能足以让他们放弃。

在实施2FA并要求他们的用户在每次登录时使用它之后、 谷歌表示，他们看到50%的账户违规事件有所减少。

你如何将其添加到你的账户中，例如，Gmail的账户？这其实很简单。要用2FA保护你的个人账户，你需要做的是：

1. 打开你的谷歌账户。
2. 在导航面板上，选择安全。
3. 在 "登录谷歌 "下，选择2-步骤验证，然后开始。
4. 按照屏幕上的步骤操作。

同时，对于商业账户、 你可以在你的管理控制台的菜单→下找到2FA选项。 安全性→ 认证→ 2步验证。 在那里，你还可以设置MFA是否应该对所有的用户都是强制性的，或者只是特定的群体，以及他们可以选择什么方法来进行验证。

Gmail 等电子邮件系统会标记可疑活动，并要求您进行双因素身份验证，然后才允许您查看任何电子邮件内容。如果您是真正的登录者，您可以在几秒钟内完成登录。这可以防止许多电子邮件威胁。

对员工进行电子邮件安全最佳实践的培训

如果员工不知道或不理解为什么保护他们的账户如此重要，那么即使是最复杂的密码和一些额外的安全检查也不会有什么帮助。 2023年Verizon数据泄露报告(DBIR) 发现，用户的粗心大意是造成 98% 数据泄露的原因，而网络犯罪分子正是知道如何利用这一点为自己谋利。

定期的网络安全培训是一个很好的方式，让员工了解数据泄露的后果，以及他们可以做什么来防止这些。你可以利用这些与他们谈论公司的电子邮件安全政策，他们可能遇到的电子邮件安全威胁，以及推荐的保护他们账户的最佳做法。

例如，您可以教他们了解电子邮件加密的价值、不要打开可疑的电子邮件或不要通过公共无线网络访问电子邮件。此外，不要打开未经请求的电子邮件，尽量使用杀毒软件，总之，要提防未知发件人。

网络安全培训也是一种很好的做法，可以培训员工在发现漏洞时应如何应对，以及应向谁报警。这样就能更快地控制漏洞，从而减少漏洞造成的损失。

对电子邮件附件和可疑链接保持警惕

94%的恶意软件是通过电子邮件传递的 - 无论是通过看似真实的附件还是看似信誉良好的网站链接。虽然 Gmail 算法和反恶意软件可以发现并阻止大多数可疑的附件或网站，但一些更复杂的攻击仍有可能被雷达发现。

这就是为什么普通用户和员工在收到带有附件或敦促他们点击所含链接的电子邮件时应保持谨慎。这里有一些迹象表明，附件或链接可能来自黑客：

• 文件扩展名与文件类型不匹配（例如，它以双扩展名结尾，如doc.exe，或者它只有一个可执行扩展名。如果你收到以exe、jar或rar/zip扩展名结尾的附件，你应该特别怀疑）。
• 发件人地址与您在其网站/您的电子邮件列表中找到的地址略有不同--这肯定是垃圾邮件的标志。
• 貌似来自可信来源（如你的银行）的电子邮件有拼写、语法、格式或互换错误。
• 该信息敦促你尽快打开附件或点击链接，因为否则，你可能会面临一些后果（臭名昭著的 "你的信用卡很快就会被封锁 "是这里最好的例子。）

为了安全起见，如果您有任何疑问，最好总是致电发件人询问有关电子邮件的情况，并扫描您收到的所有附件以查找病毒或恶意软件。或者，您可以复制发件人姓名、链接或部分邮件内容并将其输入搜索引擎，其他用户可能已经将其标记为危险信息。

定期更新你的反病毒或反恶意软件程序

现代反恶意软件解决方案可以保护您的设备免受病毒、木马、恶意软件、勒索软件和可疑网站等多种威胁。也就是说，只要它们定期更新。网络犯罪分子几乎每天都在发明攻击设备和窃取数据的新方法、 检测到56万个新的恶意软件。

如果您使用的杀毒软件没有定期更新，那么它们可能会忽略新的威胁，从而使您的电子邮件账户和整个设备处于危险之中。

不过，大多数流行的网络安全平台都有自动安装这些更新的选项，因此，如果你想确保你的平台始终是最新的，不妨勾选这个选项。

使用电子邮件认证协议

为您的工作域实施身份验证协议还能使您的账户更加安全，并通过各种形式的身份验证识别恶意意图。

电子邮件认证协议是为了防止网络钓鱼攻击、电子邮件欺骗和BEC攻击，通过验证电子邮件是否来自合法发件人。更简单地说，这些协议检查最新的营销活动邮件是否由你发出，或者是否有人冒充你的品牌。

目前，我们有三种认证协议：

• SPF（发送方策略框架）- 检查发件人的 IP 地址，确保每封邮件都来自可信的 IP 地址。
• DKIM（域密钥识别邮件） - 使用公钥/私钥加密来签署电子邮件信息，并证明信息没有被篡改。
• DMARC（基于网域的报文验证报告和一致性） - 确保电子邮件在交付前符合SPF和DKIM。

通过使用这些协议，你可以向你的客户和订户保证，你的域名不会成为电子邮件欺骗的受害者，因此他们收到的电子邮件肯定是来自你。我们在另一篇文章中提到了这些协议的一些其他好处，关于 认证方法所以你可能也想读一读。

在邮寄活动时，确保你的名单是干净的

我们的最后一个建议--定期 清洁你的电子邮件列表。

好吧，您听说过电子邮件列表刷新可以提高送达率、改善域名声誉并带来更好的投资回报率，但它与安全有什么关系呢？其实关系很大！通过检查电子邮件列表中的地址，您可以发现不活跃和过期的电子邮件地址，还可以发现可能属于垃圾邮件发送者或互联网服务提供商的可疑地址、 目的是找到并惩罚垃圾邮件发送者。

如果您被发现向这些域名发送电子邮件，您的域名声誉很可能会受到影响，最糟糕的情况是，您甚至会被列入黑名单。

不过，你如何能在不花几天（或更多）时间手动验证的情况下，发现你名单上的所有这些有毒邮件呢？ 保镖的电子邮件验证 工具可以在这里向你伸出援手。

只要把你的电子邮件列表（最多25万个地址）添加到应用程序中，Bouncer就会显示哪些电子邮件属于真正的用户，电子邮件被退回的可能性有多大，但也会向你展示：

• 被破坏或被黑客攻击的电子邮件地址
• 无效的地址或域名
• 垃圾邮件陷阱，等等。

Bouncer还将对邮件的毒性进行评分（从1到5），这样你就会知道哪些地址你应该直接删除。

这听起来很有用，对吗？那么、 使用Bouncer怎么样 为您的下一次电子邮件活动提供服务？有了一个干净的电子邮件列表，使你的下一次活动获得成功，同时也保护你的电子邮件域名将比以往更容易。

是时候强化你的电子邮件账户了

为了让您的私人和企业电子邮件账户（及其中的数据）远离网络罪犯，您需要采取一切可能的安全预防措施，告别对恶意活动、潜在威胁和可疑邮件的担忧。

强密码和定期更改密码、添加多因素身份验证、定期更新杀毒工具，以及警惕任何网络钓鱼或感染企图，这些都是保护账户安全的重要措施。

有了强化的账户安全，你就能轻松地抵御任何网络钓鱼攻击或违规企图。

常见问题：电子邮件安全的最佳做法

如何保护我的专业电子邮件帐户？

让账户更安全的最佳方法是为您使用的每个账户使用强大而独特的密码，您可以使用密码管理器来实现这一点。一个聪明的办法是启用双因素（或更多）身份验证，以增加一层安全性。如果您使用 Exchange Online 电子邮件，请考虑使用可靠的 Microsoft 365 数据备份解决方案 以防止潜在的数据丢失或损坏。

如何识别和避免网络钓鱼攻击？

虽然它们第一眼看上去可能和真正的电子邮件完全一样，但实际上钓鱼信息有几个特点，使它们很容易被识别。最有特点的是它们紧急要求提供个人或财务信息，威胁说如果你不遵守，你可能会面临严重的后果。

当您收到此类电子邮件时（例如，声称来自您的银行），您应首先检查发件人的电子邮件是否正确--犯罪分子通常使用与知名域名相似但有一个或多个不同点（例如，域名不同）的电子邮件。

如果电子邮件有拼写或语法错误，或者标志看起来不对，这也应该引起你的怀疑。

什么是多因素认证，为什么我应该在电子邮件中使用它？

多因素认证 (MFA) 通过在登录时要求两种或两种以上不同类型的验证因素，为您的电子邮件账户增加了一层额外的安全保护。例如，密码和一次性验证码、来自可信设备的确认或指纹扫描。

使用MFA大大降低了即使你的密码被泄露，也会有人进入你的电子邮件收件箱的风险。

对企业来说，是否有任何具体的电子邮件安全做法？

为企业电子邮件账户制定网络安全政策，并定期对员工进行安全意识培训，是确保所有员工知道如何保护他们的账户和设备免受网络威胁的一个好方法。

在政策中，你可以概述他们如何创建强大的密码，何时以及如何使用私人设备进行工作，或者打开收到的附件的准则是什么。