2022年中国企业邮箱安全性研究报告

中国企业邮箱安全性 研究报告 2023年3月 编写组 组长 林延中裴智勇 主要编写人员 刘川琦 朱腾蛟江嘉杰练奕余 《中国企业邮箱安全性研究报告》由广东盈世科技计算机有限公司与奇安信集团联合为您提供，本联合报告的编撰获得了Coremail邮件安全人工智能实验、CAC大数据中心以及奇安信行业安全研究中心相关专家的悉心指导和宝贵建议，在此表示感谢。 摘要 根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止2022年，国内注册的企业邮箱独立域名约为537万个。活跃的国内企业邮箱用户规模约为1.8亿。 从电子邮箱的使用情况来看，2022年，全国企业邮箱用户共收发各类电子邮件约7660.6亿封，相比2021年企业及电子邮箱用户收发邮件数量增长0.3%。平均每天收发电子邮件约21.0亿封。 正常邮件占比约为45.4%，普通垃圾邮件占比为40.6%、病毒邮件6.8%、钓鱼邮件5.6%、谣言邮件1.0%，色情、赌博等违法信息推广邮件约0.6%。 对中国政企机构独立邮箱域名的抽样分析显示，从域名注册量来看，工业制造类企业注册的邮箱域名最多，占比为30.8%，其次是交通运输行业占比11.9%，外资机构占比8.9%；还有互联网企业占比7.4%。从正常邮件的发送量上来看，工业制造类企业邮件正常发送量占比18.5%，排名第一；交通运输占比16.8%，排名第二；其次是媒体占比为15.3%。 统计显示，2022年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占75.2%；海外收发24.8%。从服务器的所在地来看，2022年，国内企业邮箱服务器设在北京的数量排名第一，占比为20.4%；上海排第二，占比为15.5%；杭州超越深圳排名第三，占比9.8%。 2022年，全国企业邮箱用户共收到各类垃圾邮件3111.7亿封，约占企业级用户邮件收发总量的40.6%，是企业级用户正常邮件数量的89.5%。 从发送者邮箱域名归属情况来看，全国企业邮箱收到的垃圾邮件中，来自国内的垃圾邮件最多，占总数的41.9%，来自美国的垃圾邮件次之，占总量约19.4%，第三是俄罗斯，约占6.7%。 2022年，全国企业邮箱用户共收到各类钓鱼邮件约425.9亿封，相比2021年收到各类钓鱼邮件的342.2亿封增加了24.5%。 2022年，全国企业级用户共收到约520.9亿封带毒邮件，相比2021年收到的609.5亿封带毒邮件相比，同比减少了14.5%。越来越多的带毒邮件正在被发送给企业邮箱。2022年企业级用户收到的带毒邮件量约占用户收发邮件总量的6.8%。平均每天约有1.4亿封带毒邮件被发出和接收。 关键词：企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件 目录 研究背景2 主要观点3 第一章电子邮箱的使用与规模4 一、电子邮箱的使用规模4 二、电子邮箱用户行业分布5 三、电子邮件的地域分布6 第二章垃圾邮件8 一、垃圾邮件的规模8 二、垃圾邮件发送源8 三、垃圾邮件受害者10 第三章钓鱼邮件11 一、钓鱼邮件的规模11 二、钓鱼邮件发送源12 三、钓鱼邮件受害者13 第四章带毒邮件14 一、带毒邮件的规模14 二、带毒邮件发送源14 第五章邮件安全应急响应案例16 一、多个安全漏洞致某交通企业服务器外发恶意邮件16 二、下属公司员工使用QQ邮箱导致被钓鱼攻击17 三、【工资补贴】主题钓鱼诈骗邮件泛滥18 附件1CACTER邮件安全网关产品介绍19 附件2奇安信网神邮件威胁检测系统21 研究背景 在中国当前网络空间形势下，社交网络日益发达，电子邮件发展至今已有几十年历史，但仍是最重要的现代互联网应用之一。从个人生活到工作场景的使用，邮件都在现阶段人们的生活中扮演者不可或缺的角色。近年来中国企业信息化办公程度逐年升高，更是大大促进了企业邮箱的使用，同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。 针对邮件系统在使用时存在的问题，奇安信行业安全研究中心联合Coremail，自2016年起合作编撰《中国企业邮箱安全性研究报告》，截至今年已连续发布七年。报告数据主要来自Coremail与奇安信集团联合监测，报告内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体，从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。 本报告结合了Coremail与奇安信集团多年在企业邮箱领域的丰富实践经验及研究经验，相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位，开展以邮件防护为基础，增强完善整体网络安全建设，提供一定参考。 主要观点 正常邮件收发量近六年一直处于持续增加的趋势，可见邮件服务商持续的技术进步与邮箱用户越来越高的邮件策略，使垃圾邮件或其他恶意邮件越来越难抵达目的人群。近三年，尽管普通垃圾邮件数量持续增加，但增速在越来越低，其他恶意邮件也在近三年中首次实现负增长。 普通垃圾邮件发送源境内最多，占比41.9%；钓鱼邮件与带毒邮件的发送源均为美国最多，占比分别为31.5%与22.4%。 钓鱼邮件数量由2021年的342.2亿封增长至2022年425.9亿封，同比增长24.5%。钓鱼邮件伪装越来越完美，普通员工很难识别，企业级邮件安全网关部署越来越重要。 钓鱼邮件受害者最多的三个行业及占比分别为：工业制造23.8%、交通运输12.3%和教育培训9.6%。 由于不可抗力近年部分企业将更多的预算投入实际营收业务而降低了邮件安全的预算，黑客却持续进行技术更新升级，二者叠加，2023年全球邮件安全防护将面临更大的挑战。 2022年“工资补贴”类钓鱼邮件仍旧猖獗，无论是互联网公司、大型企业还是攻防演练此类钓鱼邮件均是网络攻击的首选。针对企业员工及管理人员的“高级邮件诈骗”活动呈现出打击精准、手段多样且极具迷惑性的特点。这给很多企业造成了巨大的甚至不可挽回的损失。 第一章电子邮箱的使用与规模 一、电子邮箱的使用规模 根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止2022 年，国内注册的企业邮箱独立域名约为537万个，相比2021年增加0.4%。活跃的国内企业 邮箱用户规模约为1.8亿，与2021年用户规模相比基本持平。2017年至2022年国内企业级电子邮箱活跃用户规模变化如下图所示： 从电子邮箱的使用情况来看，2022年，全国企业邮箱用户共收发各类电子邮件约7660.6 亿封，相比2021年企业及电子邮箱用户收发邮件数量增长0.3%。平均每天收发电子邮件约 21.0亿封。 其中，正常邮件占比约为45.4%，普通垃圾邮件占比为40.6%、病毒邮件6.8%、钓鱼 邮件5.6%、谣言邮件1.0%，色情、赌博等违法信息推广邮件约0.6%。2022年，在邮件系统收发的邮件中，正常邮件、普通垃圾邮件、钓鱼邮件数量占比均有小幅增加，病毒邮件占比与2021年相比减少了1.2%。 仅就正常邮件而言，统计显示，全国企业邮箱用户在2022年共收发正常电子邮件约 3478.7亿封，比2021年增长2.9%，平均每天发送正常电子邮件约9.5亿封，人均每天发送 电子邮件约5.3封。相比2021年人均每天发送5.1封邮件，增加了0.2封。 不同于个人邮箱，企业邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，2022年企业用户发送的电子邮件中，约34.9%为机构内部邮件，22.6%为外部邮件，42.5%为内外通发邮件（收件人既有机构内部，也有机构外部）。 二、电子邮箱用户行业分布 对中国政企机构独立邮箱域名的抽样分析显示，从域名注册量来看，工业制造类企业注册的邮箱域名最多，占比为30.8%，其次是交通运输行业占比11.9%，外资机构占比8.9%； 还有互联网企业占比7.4%，IT信息技术占比7.1%，金融行业占比6.2%等，这些都属于电子邮箱使用独立域名较多的行业。 如果从正常邮件的发送量上来看，工业制造和交通运输行业发送的邮件数量最多，工业制造类企业邮件正常发送量占比18.5%，排名第一；交通运输占比16.8%，排名第二；其次是媒体占比为15.3%；教育培训、IT信息技术、科研机构等也都是邮件发送量较多的行业。具体占比如下图所示： 对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，工业制造与交通运输等行业对邮件办公的依赖度最高。 特别的，本次报告对.edu（教育）、.org（组织机构）和.gov（政府）三个域名的邮箱使用情况进行了分析。其中，.edu.cn邮箱域名在全国占比为0.08%，.org.cn的邮箱域名占比约为0.08%，.gov.cn邮箱域名占比为0.04%。而从正常邮件发送量上来看，.edu.cn邮箱占3.13%，.gov.cn邮箱占1.02%，.org.cn邮箱占0.21%。 三、电子邮件的地域分布 统计显示，2022年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占75.2%；海外收发24.8%。 从服务器的所在地来看，2022年，国内企业邮箱服务器设在北京的数量排名第一，占比为20.4%；上海排第二，占比为15.5%；杭州超越深圳排名第三，占比9.8%。 第二章垃圾邮件 一、垃圾邮件的规模 根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，2022年，全国企业邮箱用户共收到各类垃圾邮件3111.7亿封，约占企业级用户邮件收发总量的40.6%，是企业级用户正常邮件数量的89.5%。 从近六年情况来看，正常邮件收发量的增速近两年始终保持高于垃圾邮件收发量的增速，但其他恶意邮件的收发量有所减少。具体分布如下图所示： 正常邮件收发量近六年一直处于持续增加的趋势，可见邮件服务商持续的技术进步与邮箱用户越来越高的邮件策略，使垃圾邮件或其他恶意邮件越来越难抵达目的人群。近三年，尽管普通垃圾邮件数量持续增加，但增速在越来越低，其他恶意邮件也在近三年中首次实现负增长。 二、垃圾邮件发送源 Coremail邮件安全人工智能实验室与奇安信行业安全研究中心对垃圾邮件的发送源头进行了分析。据统计，因盗号导致发送垃圾邮件（正常用户邮箱帐号被盗后，被黑客用来发送垃圾邮件）占所有垃圾邮件总量的31.6%。 从发送者邮箱域名归属情况来看，全国企业邮箱收到的垃圾邮件中，来自国内的垃圾邮件最多，占总数的41.9%，来自美国的垃圾邮件次之，占总量约19.4%，第三是俄罗斯，约占6.7%。具体占比如下图所示： 仅就国内情况来看，根据发送者的域名归属地来看，来自安徽的垃圾邮件发送者最多，占国内垃圾邮件发送总量的18.7%，其次为江苏省，占12.5%，江西省，占11.8%。下图给出了国内垃圾邮件发送源域名归属省份TOP10及其垃圾邮件发送量占比情况。 对发送垃圾邮件的邮箱域名进行抽样行业分析显示，2022年，国内垃圾邮件发送源中教育培训行业占比最高，为9.1%；其次为工业制造，占比7.9%；互联网企业排名第三，占比5.3%。下图给出了国内垃圾邮件发送源行业分布。 三、垃圾邮件受害者 从收到垃圾邮件的受害者服务器所在地来看，2022年北京用户收到的垃圾邮件最多，共收到了占比高达全国18.5%的垃圾邮件；其次为广东省，收到了全国16.4%的垃圾邮件；浙江省排名第三，收到了全国13.3%的垃圾邮件。下图给出了国内企业邮箱用户中垃圾邮件受害者的省级行政分布TOP10。 第三章钓鱼邮件 一、钓鱼邮件的规模 在本章内容中，钓鱼邮件是指含有恶意欺诈信息的邮件，包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、非法邮件等。 其中，鱼叉邮件是指针对特定目标投递特定主题及内容的欺诈电子邮件。相比一般的钓鱼邮件，鱼叉邮件往往