1. Microsoft 365邮件应用介绍

Microsoft 365中的邮件相关应用主要包括Outlook和Exchange。它们在Microsoft 365套件中分别扮演着邮件客户端和服务器角色，为用户提供全面的邮件和团队协作解决方案。

Microsoft 365的Exchange和Outlook应用具有强大的功能和卓越的性能。无论是在个人用户还是在企业用户中，它们都得到了广泛的应用和认可。它们通过深度集成和高效的邮件管理功能提高了工作效率，同时提供了丰富的团队协作功能和出色的安全性保护。根据最新的统计数据，Microsoft 365在全球市场的占有率超过50%，这意味着每两封电子邮件中就有一封是通过Microsoft 365套件中的Outlook或Exchange发送的。

2. 微软内置安全特性

针对日益增长的邮件安全威胁，Microsoft 365 Exchange提供了EOP、ATP、DLP和MFA等安全特性，旨在保护邮件系统的安全性和稳定性。这些特性可以有效地防止垃圾邮件、恶意软件和其他电子邮件威胁的攻击，防止敏感数据泄露，并提高用户身份的安全性和可信度。

l  EOP（Exchange Online Protection）

EOP是一种基于云的筛选服务，可以保护组织免受垃圾邮件、恶意软件和其他电子邮件威胁的影响。EOP包含在具有Exchange Online邮箱的所有Microsoft 365组织中，它可以在云端进行邮件过滤和威胁检测，从而保护邮件系统的安全。

l  ATP（Advanced Threat Protection）

ATP是Exchange的另一个安全特性，旨在保护企业邮件系统免受高级威胁，如钓鱼攻击、恶意软件等。ATP利用机器学习和行为分析技术来检测和拦截潜在的恶意邮件，保护企业的邮件数据和系统资源。

l  DLP（Data Loss Prevention）

DLP是一种数据保护机制，可以帮助企业防止敏感数据泄露。Exchange的DLP功能可以对邮件内容进行扫描和识别，发现潜在的敏感数据，并采取相应的措施进行保护。用户可以自定义敏感数据类型和保护策略，实现对敏感数据的严格控制。

l  MFA（Multi-Factor Authentication）

MFA是一种身份验证机制，通过多种验证方式（如：手机短信验证、语音验证等）来确保用户身份的安全性和可信度。通过MFA，即使用户的密码被破解，攻击者也无法直接登录Office 365，因为还需要通过额外的验证方式才能获得访问权限。

3. O365邮件安全痛点

尽管微软提供了上述的EOP、ATP、DLP和MFA安全防护机制，但其邮件安全仍待加强。根据全球网络安全公司TrendMicro的统计，96%的社交工程攻击和超过90%的针对性攻击始于电子邮件，而Microsoft 365的内置邮件安全仅提供对已知恶意威胁的保护，这仅仅只占所有威胁的12%。

当前Microsoft 365存在如下邮件安全问题：

l   复杂钓鱼/BEC攻击

O365无法面对针对特定收件人的BEC钓鱼邮件攻击，并且无法处理含复杂手段的钓鱼邮件攻击（例如：二维码、图片等）

l  内部钓鱼邮件

当内部帐号被攻陷以后，O365无法检测并阻止从内部帐号发起的钓鱼攻击，导致黑客在内网畅通无阻。

l  归档管理/监管审计

O365未提供完善的归档管理和监管审计功能。按照法律法规要求，一些行业需要对邮件进行归档和邮件全生命周期管理，并接受监管部门的随时审计。

l  0-DAY最新攻击

O365未提供基于虚拟沙箱的高级威胁检测机制，因此无法阻拦最新的复杂病毒威胁攻击。

4. MailSec面向Microsoft 365的邮件安全解决方案

针对Microsoft 365邮件应用中存在的问题，网际思安向客户推出整体邮件安全解决方案。该方案覆盖了Microsoft 365的基础邮件安全，并通过复杂攻击检测、内部钓鱼检测、归档合规管理和未知0-DAY攻击检测，彻底解决上述微软尚未解决的痛点问题。

4.1. 复杂攻击检测

4.1.1. 图片检测

针对携带恶意图片的邮件，思安邮件安全网关内置 OCR 识别引擎，可以对邮正文或附件中的恶意图片进行文字识别，支持中文简体、中文繁体、英文和欧文等，整体识别率达95%以上，并支持动态图片分析。与此同时，针对嵌入在线图片以躲避检测的情况，思安邮件安全网关可准确识别并分析邮件中的在线图片，并对恶意的图床图片进行拦截；

4.1.2. 二维码综合防护体系

针对携带恶意二维码的图片，思安邮件安全网关推出多种检测方法相结合的“思安二维码综合防护体系”，分为四个层次，从下到上对二维码进行全面的识别、检测、过滤、警示、追踪、标识等，从而将恶意二维码拒之千里之外，或是持续追踪发现风险行为。

l  模拟人类行为识别二维码

识别邮件中是否含有二维码图片，并扫描提取其中的URL链接。整个过程结合了先进的图像处理和解码技术，为思安邮件安全网关对二维码的进一步检测、过滤、警示、追踪和标识提供了数据基础。

l  检测并拦截恶意二维码

基于对二维码图片的准确识别和解析，“思安邮件安全网关”可对二维码图片类型，以及扫描后的URL进行安全过滤，并结合“思安邮件安全综合评分机制”的其他检测技术一起，对一封邮件的风险性进行综合打分，以决定应该采取的安全防护动作。与此同时，网际思安建设了邮件威胁情报中心，通过基于全球的蜜罐、情报互换、用户上报等，搜集了海量的邮件威胁情报，包括恶意代码、钓鱼链接、垃圾邮件、攻击者行为模式等。这些情报数据可以帮助我们快速且准确识别出二维码图片背后的恶意URL链接。

l  钓鱼沙箱保护二维码访问

如果二维码图片在前期检测中无法直接判定其是否为恶意邮件时，“思安邮件安全网关”可通过“风险警示”告知员工警惕对二维码的扫描访问。与此同时，通过“钓鱼邮件沙箱”技术，可为每次的二维码访问构建一次性的“远程浏览器”容器运行环境，在隔离环境中安全访问二维码关联的链接。即使是恶意链接，也可以保证其远离员工计算机被访问，而不会影响员工计算机。

4.1.3. BEC检测

BEC攻击是一种商业电子邮件诈骗，旨在通过冒充或欺诈手段骗取资金。这种攻击通常针对企业高管、财务人员或其他具有决策权的人员。黑客通过伪造或篡改电子邮件账户、钓鱼链接或其他手段，诱导受害人进行资金转账或提供敏感信息。因为BEC攻击通常只针对数量极少的收件人，因此很难被Microsoft内置的邮件安全检测机制所发现。

思安邮件安全网关的BEC检测功能可检测邮件，并及时发现“伪造发件人显示名称”、“冒充相似域名”等风险行为。

4.2. 内部钓鱼检测

内部钓鱼攻击是指黑客通过欺骗手段获取员工的O365邮箱帐号，并进一步通过该员工邮箱帐号对公司其他员工发送恶意邮件，而获取机密信息或诈骗钱财。因为Microsoft只针对从外部收取到的邮件进行检测，而不对内部员工之间的邮件交流进行检测，因此当前Microsoft的邮件安全机制无法发现内部钓鱼邮件。

思安邮件安全网关针对该场景，提供了两种方式对内部钓鱼邮件进行检测：

l  密送检测

配置Microsoft 365 Exchange应用密送内部邮件到思安邮件安全网关进行风险检测。当检测出钓鱼邮件后，网关调用Microsoft 365 Exchange应用的API来删除该封内部邮件。

l  拉取邮件检测

设置邮件安全网关通过标准协议或接口从Microsoft 365 Exchange应用拉取邮件进行风险检测。当检测出钓鱼邮件后，网关调用Microsoft 365 Exchange应用的API来删除该封内部邮件。

注：在2019年9月20日， Microsoft宣布将来不再支持Exchange Online API的     基本身份验证。        新版邮件安全网关引通过OAuth 2.0和OpenID Connect支持最新身       份验证方法以及相应的存  档配置文件。

4.3. 归档合规管理

 《萨班斯法案》、《信息安全等级保护管理办法》、《企业内部控制基本规范》等一系列法规法案都对上市公司及各企事业单位电子邮件的保存期限和保密性有明文规定；金融行业如《银行业金融机构信息系统风险管理指引》、《商业银行信息科技风险管理指引》银行业及证券、保险等行业法规对金融行业企业的邮件使用及合规提出了更高的要求。

网际思安邮件归档管理系统能有效地从Microsoft 365 Exchange应用归档历史邮件，帮助用户遵循国际国内相关法规的要求。同时，该系统集邮件归档、邮件审计、邮件恢复等功能为一体，提供强大的数据恢复功能，支持过往邮件的快速检索、调阅，可满足用户应对上级监管部门审查的要求，还可以为用户提供有效的电子举证。

4.4. 未知威胁检测

Microsoft的邮件安全检测机制主要依赖特征及信用发现威胁邮件/垃圾邮件。然而随着黑客技术的不断演进，目前典型的邮件攻击融合了社交工程，0-day攻击，APT攻击等攻击手段，电子邮件威胁已成为多种威胁技术的组合，新型邮件威胁往往可以逃避传统邮件安全检测引擎。据全球网络安全公司TrendMicro的统计，Microsoft 365的内置邮件安全仅提供对已知恶意威胁的保护，这仅仅只占所有威胁的12%。

思安邮件安全沙箱可有效检测通过电子邮件方式进入网络的已知和未知的恶意软件，发现利用0-day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。思安邮件安全沙箱是对Microsoft邮件安全机制很好的补充，能弥补其在未知威胁和APT攻击防御方面的不足。

威胁检测是产品的核心功能，产品综合利用多种威胁检测技术对邮件进行己知威胁检测和未知威胁检测，覆盖网络攻击的完整攻击链。思安邮件安全沙箱通过6大技术对邮件安全性进行深度检测：

l  文件信誉：基于文件的MD5信誉

l  静态特征：双杀毒引擎异构组合，含国内和国外的TOP3杀毒引擎

l  AI人工智能引擎：基于常见风险行为进行建模，从而可快速对未知威胁进行检测

l  启发式分析：基于通讯和文件特征，进行特征匹配

l  动态行为分析：在虚拟机中运行邮件附件，并观察触发的相关网络行为、文件行为、API调用行为等

l  威胁情报：基于思安麦赛安全实验室的全球威胁情报，实时查询IP、域名、URL的风险程度

5.网际思安介绍

北京网际思安科技有限公司成立以来18年专注于电子邮件安全、电子邮件统一威胁管理、电子邮件风险防范控制领域，汇集了一批10+工作经验的行业专家，目前服务3000+家各个行业领域的典范客户，获得客户的广泛赞誉。与此同时，旗下麦赛邮件安全实验室MailSec Lab积极与国际和国内知名信息安全厂商合作，广泛开展电子邮件的威胁情报互换、共同研究等合作，构建共同防御的威胁防护体系。