中国企业邮箱安全性 研究报告 2022年9月 编写组 组长 林延中裴智勇 主要编写人员 刘川琦 朱腾蛟江嘉杰练奕余 《中国企业邮箱安全性研究报告》由广东盈世科技计算机有限公司与奇安信集团联合为您提供,本联合报告的编撰获得了Coremail科技CAC邮件安全大数据中心、Coremail邮件安全实验室以及奇安信行业安全研究中心相关专家的悉心指导和宝贵建议,在此表示感谢。 根据Coremail与奇安信行业安全研究中心的联合监测,同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估,截止2021年,国内注册的企业邮箱独立域名约为535万个,相比2020年增加1.5%。活跃的国内企业邮箱用户规模约为1.8亿,与2020年用户规模相比增加了12.5%。 仅就正常邮件而言,统计显示,全国企业邮箱用户在2021年共收发正常电子邮件约3379.7亿封,比2020年增长25.4%,平均每天发送正常电子邮件约9.3亿封,人均每天发送电子邮件约5.1封。相比2020年人均每天发送4.6封邮件,增加了0.9封。 对中国政企机构独立邮箱域名的抽样分析显示,从域名注册量来看,工业制造类企业注册的邮箱域名最多,占比为31.5%,其次是交通运输行业占比11.7%,外资机构占比8.5%;还有互联网企业占比7.4%,IT信息技术占比7.0%,金融行业占比6.1%等,这些都属于电子邮箱使用独立域名较多的行业。 统计显示,全国企业邮箱用户收发的邮件以境内收发为主。国内收发占73.8%;海外收发26.2%。从服务器的所在地来看,2021年,国内企业邮箱服务器设在北京的数量排名第一,占比为21.7%;上海排第二,占比为15.0%;深圳排名第三,占比11.1%。 根据Coremail与奇安信行业安全研究中心的联合监测评估,2021年,全国企业邮箱用户共收到各类垃圾邮件3042.1亿封,约占企业级用户邮件收发总量的39.8%,是企业级用户正常邮件数量的90.0%。这是近五年来普通垃圾邮件收发量第一次少于正常邮件。 根据Coremail与奇安信行业安全研究中心联合监测,钓鱼邮件的发送者遍布全球,其中,来自美国的钓鱼邮件最多,占国内企业用户收到的钓鱼邮件的41.0%;其次是中国,约占11.7%;新加坡排名第三,约占5.3%。 根据Coremail与奇安信行业安全研究中心联合监测评估,2021年,全国企业级用户共收到约609.5亿封带毒邮件,相比2020年收到的492.1亿封带毒邮件相比,同比增长了23.9%。越来越多的带毒邮件正在被发送给企业邮箱。2021年企业级用户收到的带毒邮件量约占用户收发邮件总量的7.98%。平均每天约有1.7亿封带毒邮件被发出和接收。 关键词:企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件 研究背景2 主要观点3 第一章电子邮箱的使用与规模4 一、电子邮箱的使用规模4 二、电子邮箱用户行业分布5 三、电子邮件的地域分布6 第二章垃圾邮件8 一、垃圾邮件的规模8 二、垃圾邮件发送源8 三、垃圾邮件受害者10 第三章钓鱼邮件11 一、钓鱼邮件的规模11 二、钓鱼邮件发送源11 三、钓鱼邮件受害者12 第四章带毒邮件14 一、带毒邮件的规模14 二、带毒邮件发送源14 第五章邮件安全应急响应案例15 一、下载破解软件,导致内网终端自动发送恶意邮件15 二、APT组织利用钓鱼邮件进行攻击16 三、能源行业某客户内网收到钓鱼邮件应急事件处置17 四、【补贴】主题钓鱼邮件泛滥18 五、BEC(BUSINESSEMAILCOMPROMISE)商业邮件诈骗20 附件1CACTER邮件安全网关产品介绍22 附件2奇安信网神邮件威胁检测系统24 研究背景 在中国当前网络空间形势下,社交网络日益发达,电子邮件发展至今已有几十年历史,但仍是最重要的现代互联网应用之一。从个人生活到工作场景的使用,邮件都在现阶段人们的生活中扮演者不可或缺的角色。近年来中国企业信息化办公程度逐年升高,更是大大促进了企业邮箱的使用,同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。 针对邮件系统在使用时存在的问题,奇安信行业安全研究中心联合Coremail,自2016年起合作编撰《中国企业邮箱安全性研究报告》,截至今年已连续发布六年。报告数据主要来自Coremail与奇安信集团联合监测,报告内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体,从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。 本报告结合了Coremail与奇安信集团多年在企业邮箱领域的丰富实践经验及研究经验,相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位,开展以邮件防护为基础,增强完善整体网络安全建设,提供一定参考。 主要观点 邮件用户规模快速增长,以业务为基础的正常邮件收发量也在快速增长,且增速显著高于普通垃圾邮件的增速。从而使得近五年来正常邮件收发量首次超过普通垃圾邮件的收发量。 随着邮件识别技术的持续进步,越来越多的其他恶意邮件(如钓鱼邮件、带毒邮件等)可以被精准识别,其他恶意邮件的增长速度也在迅速增长,值得关注。 普通垃圾邮件发送源境内最多,占比47.8%;钓鱼邮件与带毒邮件的发送源均为美国最多,占比分别为41.0%与36.8%。 钓鱼邮件受害者最多的三个行业及占比分别为:工业制造26.2%、交通运输12.0%和教育培训7.5%。 僵尸网络、挖矿木马通过电子邮件进行传播的活动仍然十分猖獗,这给很多政企机构造成了巨大的困扰。以“财务补贴”、“工资补贴”为代表的针对政企机构员工的网络诈骗正处于历史高发期,甚至很多知名的互联网企业也成为了被攻击目标。针对企业财务及管理人员的“高级邮件诈骗”活动呈现出打击精准、手段多样且极具迷惑性的特点。这给很多企业造成了巨大的甚至不可挽回的损失。 第一章电子邮箱的使用与规模 一、电子邮箱的使用规模 根据Coremail与奇安信行业安全研究中心的联合监测,同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估,截止2021年,国内注册的企业邮 箱独立域名约为535万个,相比2020年增加1.5%。活跃的国内企业邮箱用户规模约为1.8亿,与2020年用户规模相比增加了12.5%。近五年国内企业级电子邮箱活跃用户规模变化如下图所示: 从电子邮箱的使用情况来看,2021年,全国企业邮箱用户共收发各类电子邮件约7637.7亿封,相比2020年企业及电子邮箱用户收发邮件数量增长15.0%。平均每天收发电子邮件约20.9亿封。 其中,正常邮件占比约为44.3%,普通垃圾邮件占比为39.8%、钓鱼邮件4.5%、病毒 邮件8.0%、谣言邮件2.8%,色情、赌博等违法信息推广邮件约0.6%。也就是说,2021 年,在邮件系统收发的邮件中,仅有4成左右为正常邮件,垃圾邮件及其他各类非法、 恶意邮件等非正常邮件的数量,约是正常邮件数量的1.3倍。 仅就正常邮件而言,统计显示,全国企业邮箱用户在2021年共收发正常电子邮件约 3379.7亿封,比2020年增长25.4%,平均每天发送正常电子邮件约9.3亿封,人均每天发送 电子邮件约5.1封。相比2020年人均每天发送4.6封邮件,增加了0.5封。 不同于个人邮箱,企业邮箱的主要用途是办公。因此,同一机构内部邮件互发往往会比较频繁。抽样统计显示,2021年企业用户发送的电子邮件中,约34.7%为机构内部邮件,22.9%为外部邮件,42.4%为内外通发邮件(收件人既有机构内部,也有机构外部)。 二、电子邮箱用户行业分布 对中国政企机构独立邮箱域名的抽样分析显示,从域名注册量来看,工业制造类企业注册的邮箱域名最多,占比为31.5%,其次是交通运输行业占比11.7%,外资机构占比8.5%; 还有互联网企业占比7.4%,IT信息技术占比7.0%,金融行业占比6.1%等,这些都属于电子邮箱使用独立域名较多的行业。 如果从正常邮件的发送量上来看,工业制造和交通运输行业发送的邮件数量最多,工业制造类企业邮件正常发送量占比18.3%,排名第一;交通运输占比16.9%,排名第二;其次是媒体占比为14.0%;教育培训、IT信息技术、科研机构等也都是邮件发送量较多的行业。具体占比如下图所示: 对比独立邮箱域名注册量和邮件发送量,可以看出,就单个政企机构而言,教育培训,工业制造与交通运输等行业对邮件办公的依赖度最高。 特别的,本次报告对.edu(教育)、.org(组织机构)和.gov(政府)三个域名的邮箱使用情况进行了分析。其中,.edu.cn邮箱域名在全国占比为0.08%,.org.cn的邮箱域名占比约为0.08%,.gov.cn邮箱域名占比为0.04%。而从正常邮件发送量上来看,.edu.cn邮箱占3.95%,.gov.cn邮箱占1.26%,.org.cn邮箱占0.15%。 三、电子邮件的地域分布 统计显示,2021年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占73.8%;海外收发26.2%。 从服务器的所在地来看,2021年,国内企业邮箱服务器设在北京的数量排名第一,占比为21.7%;上海排第二,占比为15.0%;深圳排名第三,占比11.1%。 第二章垃圾邮件 一、垃圾邮件的规模 根据Coremail与奇安信行业安全研究中心的联合监测评估,2021年,全国企业邮箱用户共收到各类垃圾邮件3042.1亿封,约占企业级用户邮件收发总量的39.8%,是企业级用户正常邮件数量的90.0%。这是近五年来普通垃圾邮件收发量第一次少于正常邮件。 从近五年情况来看,正常邮件收发量的增速高于垃圾邮件收发量的增速,同时其他恶意邮件的收发量近年来也有较快增长。具体分布如下图所示: 分析其原因有四点:第一,反垃圾邮件技术在持续进步。第二,境内机构(包括主管部门与邮件服务商)对境内垃圾邮件的源头的持续打击在相当程度上抑制了垃圾邮件的增长。第三,新增邮件用户多为企业用户,通常会配置较高的反垃圾邮件策略,从而使垃圾邮件更加难以有效的抵达目的人群。第四,邮件服务商通过持续的技术进步,将更多危害性强的恶意邮件监测并区分出来。未来此类型邮件的监测和防护也将成为邮件安全领域的主战场。 正是由于这些对垃圾邮件的抑制因素使得垃圾邮件的增长速度远不及新增用户的增长速度与正常收发邮件数量的增长速度。 二、垃圾邮件发送源 Coremail与奇安信行业安全研究中心对垃圾邮件的发送源头进行了分析。据统计,因盗号导致发送垃圾邮件(正常用户邮箱帐号被盗后,被黑客用来发送垃圾邮件)占所有垃圾邮件总量的30.2%。 从发送者邮箱域名归属情况来看,全国企业邮箱收到的垃圾邮件中,来自国内的垃圾邮件最多,占总数的47.8%,来自美国的垃圾邮件次之,占总量约18.1%,第三是俄罗斯,约占6.3%。具体占比如下图所示: 仅就国内情况来看,根据发送者的域名归属地来看,来自安徽的垃圾邮件发送者最多,占国内垃圾邮件发送总量的18.2%,其次为江苏省,占17.2%,北京,占11.6%。下图给出了国内垃圾邮件发送源域名归属省份TOP10及其垃圾邮件发送量占比情况。 对发送垃圾邮件的邮箱域名进行抽样行业分析显示,2021年,国内垃圾邮件发送源中教育培训行业占比最高,为11.3%;其次为工业制造,占比7.6%;互联网企业排名第三,占比4.9%。下图给出了国内垃圾邮件发送源行业分布。 三、垃圾邮件受害者 从收到垃圾邮件的受害者服务器所在地来看,广东省用户收到的垃圾邮件最多,共收到了占比高达全国20.0%的垃圾邮件;其次为北京,收到了全国18.3%的垃圾邮件;浙江省排名第三,收到了全国12.2%的垃圾邮件。下图给出了国内企业邮箱用户中垃圾邮件受害者的省级行政分布TOP10。 第三章钓鱼邮件 一、钓鱼邮件的规模 在本章内容中,钓鱼邮件是指含有恶意欺诈信息的邮件,包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈