您的密碼安全就等於電子郵件安全?!

下一個故事

您的密碼安全就等於電子郵件安全?!     

高強度密碼(字母加數字)是一個很好的開始,但有更多方法可以確保您的電子郵件是安全的。

電子郵件是大多數人日常生活中至關重要的一部分,但除了輸入密碼登入帳戶外,很少有人會考慮如何保護電子郵件,ESET資安專家對於保護電子郵件的建議如下~

什麼是電子郵件安全?

在此將電子郵件安全性定義為與郵件內容以及人們用於登入其電子郵件的帳戶相關,而電子郵件安全不是驗證登入的帳戶身份就結束了,可以驗證和保護郵件內容、可以驗證發信者身份並維護電子郵件發信者授權,以及能更好地保護電子郵件應用程序本身的完整性和功能都是屬於”電子郵件安全”之範疇。
 

保護郵件內容

您知道嗎?發送電子郵件一樣有機會被竊聽!!!但別擔心,有很多方法可以在發送電子郵件的過程中增加安全防護。首先是類似於將電子郵件內文放入信封中保護,人們仍然可以看到消息來自何處,以及消息發送到何處,以及如果竊聽者在傳輸過程中嘗試攔截它(特別是在信封打開後),取得內文,這類型的保護被認為是“傳輸層”,因為它有助於保護透過Internet傳輸的消息。

還可以從“端點到端點”保護電子郵件內文,這意味著電子郵件內文在它到達網路之前在寄件者發送前被加密,然後由收件者解密。這縮短了即使被竊聽者也可以讀取電子郵件內文的時間,因為它在傳輸過程中時其內容是加密無法讀取。竊聽者還需要具有解密用密鑰以及用於登入截取的電子郵件內文中的資料的電子郵件。

管理員通常選擇使用傳輸層保護,因為它是對用戶來說是最簡單的方式,而且通常不需要用戶直接操作。所以如果需要端點到端點加密,最好選擇使此這類簡單的防護技術。 

確保有效,適當的內容

現代生活中的一個事實是,收件匣中的大部分電子郵件都不是我們想要收到的。當您收到大量的垃圾郵件,詐騙,網路釣魚和惡意軟體時,會有大量網路流量造成管理者的困擾。大多數企業和電子郵件服務供應商已經採用某種方式過濾這樣的電子郵件,以幫助網路有效使用。

大多數電子郵件供應商都會運行一個簡單的黑名單,列出已知的垃圾郵件,網路釣魚和惡意軟體,以減少客戶的不喜歡的惡意電子郵件數量,還可以按附件類型限制惡意郵件;不只允許來自被允許的更安全或更常見附加檔案類型列表的文件,並排除異常或風險更高的附加檔案類型。

雖然許多流行的附加檔案類型可能看起來更安全,但它們仍然可以包含惡意的巨集或惡意程式的嵌入式檔案,所以不應將常見的附加檔案類型視為完全安全,應時不時檢查附加檔案類型,除了可以減少潛在性的危險外,還可避免威脅風險等級所造成工作流程的潛在影響。


另外也有公司會對網路發送電子郵件前進行篩選,利用閘道式反惡意軟體掃描程序並將進階設置依照需求設定這樣的方式很有用,因為經過閘道式防護電子郵件,掃描去附加檔案時有可能收發電子郵件的速度會慢,但是不會造成用戶端有太明顯收發電子郵件的困擾或收到夾帶惡意程式所造成的破壞。


電子郵件授權和身份驗證

電子郵件授權和身份驗證

對於不法分子來說,寄發釣魚電子郵件是很容易的,故建議企業部署授權和身份驗證技術,這些技術有助於驗證郵件內容,指明哪些用戶和帳戶有權從您的網域發送,並且可以幫助驗證電子郵件標頭是否內部一致。進而協助保護公司形象品牌完整性或防止商業電子郵件洩密。另外基於稽核目的,還可以使用它們記錄無法正確驗證的電子郵件。使用電子郵件身份驗證和授權也是管理電子郵件安全的重要方法之一,例如它可以及時刪除(或至少定時更改密碼)不再使用的帳戶(例如以前員工)等 。

帳戶保護

大多數人都知道進入電子郵件帳戶時要做身份驗證,在前面的段落中討論過的幾個保護電子郵件安全的方法,主要是為了減輕被盜登入所造成的損害,但多重式身份驗證是登入電子郵件帳戶的一個非常有效的保護機制,多重式身份驗證將帳密與另一種更安全的方法相結合,而不僅僅是提供用戶名和密碼,這是驗證您是誰的其中一個“因素”。第二種方法的最常見範例是一次性密鑰 - 通常通過電子郵件或SMS發送,或由應用程式或硬體token建立 - 在您成功輸入用戶名和密碼後輸入一次性密碼。多重式身份驗證可以直接綁定到電子郵件應用程式的登入過程,也可以綁定到網路登入過程,具體取決於您的需求。

 

軟體保護

最後但同樣重要的是,通過定期更新您使用的軟體來保護您的電子郵件也很重要,包括您的作業系統以及用於登入電子郵件的應用程式或瀏覽器。這有助於解決可能允許攻擊者登入您的電子郵件的漏洞。您可以使用軟體本身或操作系統中的自動更新功能,或直接登入相關廠商的網站進行下載。

 

結語

無論您是以何種方式來防護電子郵件及電腦設備安全,選擇自動套用或易於使用的解決方案,還有定時的教育訓練用戶(公司員工)都將使企業造成的損失降到最低。

 

原文出處:https://www.welivesecurity.com/2019/01/22/email-security-does-not-end-with-password/

 

 

【ESET電子郵件安全之解決方案】

<個人用戶> ESET Internet Security 

https://www.eset.hk/estore/

ESET Internet Security與您的電子郵件用戶端整合,針對電子郵件內容中的惡意代碼,增加其防護層級;ESET Internet Security工具列會直接插入電子郵件用戶端 (不插入較新版的Windows Live Mail工具列) ,以便更有效進行電子郵件防護。**整合設定位於進階設定(F5) > Web和電子郵件 > 電子郵件用戶端防護 > 電子郵件用戶端下方

 

<企業用戶>目前ESET支援的電子郵件用戶端包括 Microsoft Outlook、Outlook Express、Windows Mail 和 Windows Live Mail

電子郵件防護是以外掛程式的形式在這些程式中運作。外掛程式的主要優勢為其獨立於所使用的通訊協定。當電子郵件用戶端接收到加密的郵件,它會將其解密並傳送到病毒掃描器。即使未啟用整合,電子郵件通訊仍會受到電子郵件用戶端防護模組 (POP3、IMAP) 保護。購買或查詢在辦公時間內致電 (852) 2893 8186 

 

ESET Secure Authentication

https://www.eset.hk/business/two-factor-authentication/

 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。


關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。