固阳县某国有企业(下称"A企业")是一家从事地方基础设施建设的县属国企,员工约120人,日常通过企业邮箱与政府主管部门、合作单位进行业务往来。2025年9月,A企业财务部遭遇了一起精心策划的钓鱼邮件攻击,攻击者伪装成公司法人,发送邮件要求财务人员向指定账户转账"合同保证金"38万元。财务人员在未经电话核实的的情况下,完成了转账操作。
事件还原
攻击过程分析:
- 攻击者通过某种渠道获取了A企业组织架构和员工邮箱地址(可能来自公开的企业年报或招标公告)
- 攻击者注册了域名qbt-govt.com(与A企业域名高度相似),搭建了邮件服务器
- 伪造邮件发件人显示为"公司法人-张总",实际发件地址为admin@qbt-govt.com
- 邮件内容措辞正式,附带了伪造的合同扫描件PDF(含企业公章,PS合成),极具欺骗性
事件发生后,A企业立即报案,公安机关介入调查。不舍昼夜技术受A企业委托,对事件进行全面分析,并完成安全加固。
邮件系统安全审计
技术团队对A企业邮件系统(自建Postfix+Dovecot邮件服务器,10年前部署)进行了全面安全审计,发现多个严重问题:
- 无SPF/DKIM/DMARC配置:任何人都可以伪造@aqjtw.com的邮箱发信,完全无法验证邮件真伪
- 邮件服务器无SPF硬拒绝:仅有SoftFail设置,攻击邮件能正常投递
- 无邮件内容过滤:邮件服务器未安装ClamAV杀毒引擎,恶意附件可直接投递
- 弱密码策略:抽查发现12个邮箱账号密码为"123456"或与用户名相同
- 无邮件归档:转账记录仅存在于邮件中,无独立存档,事后取证困难
安全加固方案
一、邮件身份验证体系(SPF + DKIM + DMARC)
- 配置SPF记录:v=spf1 ip4:企业公网IP -all,仅企业邮件服务器IP可以发送@aqjtw.com邮件,其他一律拒绝
- 配置DKIM签名:在邮件服务器部署OpenDKIM,为企业邮件域名添加公钥签名
- 配置DMARC策略:v=DMARC1; p=reject; rua=mailto:dmarc@aqjtw.com,收到伪造邮件直接退回并收集报告
二、邮件安全网关部署
在邮件服务器前端串联MailSwan邮件安全网关(国产品牌,支持细粒度策略):
- 启用恶意附件沙箱检测:可疑PDF/EXE自动上传至沙箱执行并报告行为
- 启用SPF/DKIM/DMARC强校验,非认证邮件直接隔离不投递
- 启用仿冒域名检测:维护企业关联域名黑名单(如qbt-govt.com、aqjt-w.com等),检测到立即拦截
- 配置"大额转账"关键词策略:邮件中出现"保证金""转账""合同款"等词汇时,自动抄送至财务主管邮箱
三、全员网络安全意识培训
技术加固之外,团队为A企业设计了全员网络安全培训计划:
- 每月发送模拟钓鱼邮件测试(内嵌水印追踪),统计点击率
- 制定了《企业邮件安全使用规范》,明确要求:任何涉及转账的邮件,必须通过电话或当面核实
- 针对财务部专项培训:假冒老板类钓鱼邮件识别要点、异常邮件特征判断
加固效果
安全加固完成后3个月内:
- 拦截伪造邮件47封(DMARC + 仿冒域名检测双重拦截)
- 模拟钓鱼测试点击率从34%降至3%
- 所有邮件均有SPF/DKIM签名,可追溯发件源
【不舍昼夜技术 · 包头IT一站式服务】
- 电脑/服务器:重装系统、硬件升级、服务器Linux/Windows环境部署
- 数据安全:硬盘/U盘/数据库数据恢复、网络安全加固、病毒清理
- 弱电安防:监控安装、机房建设、综合布线、门禁人脸识别
- 办公耗材:打印机维修、硒鼓墨盒配送、复印机租赁
- 软件开发:企业官网、小程序开发、APP定制、ERP系统
服务单位:内蒙古不舍昼夜技术有限公司
业务涵盖:电脑维修/系统重装/数据恢复/监控安防/弱电布线/打印耗材
技术热线:17704868686(包头本地团队,随叫随到!)