随着云计算、大数据、AI等技术逐渐进入高校，建设数字化、智能化的信息系统成为高校信息化发展的目标之一。电子邮件系统作为传统的信息化基础设施，在数字环境下面临新的挑战。信息安全厂商卡巴斯基实验室发布的一份统计报告中指出，2021年源于中国的垃圾邮件在全球占比达到8.73%，比2020年提升2.52个百分点，居全球第四。目前，在邮件发送的过程中，通过结合大数据和AI技术对可疑邮件进行过滤或者拦截成为普遍做法。然而，电子邮件的安全攻击类型繁多，特别在高校领域，师生往往因点击钓鱼邮件造成账户窃取等损失，所以建立高校电子邮件安全体系成为趋势。

一、电子邮件管理面临挑

电子邮件系统作为高校信息化的基础设施，为高校师生提供学术交流的载体。由于高校特殊性，一些安全攻击和钓鱼往往以电子邮件为切入口实施诈骗，所以高校电子邮件安全性至关重要。目前，高校场景下电子邮件管理运维主要面临以下三个问题。

第一，邮箱账户盗用频繁。目前，不法分子利用邮箱账户信息实施项目申请、课题申报诈骗等行为时有发生，这些行为是高校高危安全风险事件频发的重要诱因。同时，“盗号”+“熟人钓鱼”的攻击方式也已经成为钓鱼邮件攻击的流行手段。所以，梳理高校邮件账户信息，对不常用的账户及时进行停用，对毕业离校账户进行实时监控反馈，对异常登录账户信息进行实时追踪等成为保护账户的有效手段。

第二，钓鱼邮件泛滥。新型邮件攻击技术的应用给高校邮件安全工作带来了严峻挑战。基于人工智能的钓鱼邮件，钓鱼样本更加多样化、更具场景化，针对高校的场景化主题包含“绩效”“退税”“教学”“论文”“基金申报”等，一方面使管理难度更加严峻，另一方面使高校用户财产安全面临更大威胁。以华中科技大学为例，当日平均邮件数20余万封，有80%的邮件为垃圾/钓鱼邮件，这对邮件日常运维管理提出更高要求，如何降低钓鱼邮件的安全风险需要从技术、管理、业务多个维度进行权衡考量。

第三，业务日志类型繁杂。电子邮件业务日志种类繁多，涉及Web端日志、客户端日志、安全设施日志以及业务日志，如何有效整合日志资源形成对业务管理的合力是目前邮件系统运维过程中的难点和痛点，只有将生产环境服务器日志按照业务类型SMTP、IMAP、POP、Web对日志进行分类，分别通过日志脚本按照时间周期过滤到账户级别外发数量，再根据4个类型对账户取并集，根据这个并集集合账户依次对主题、IP进行归类，最后通过调用业务系统的API实现同业务的联动，这样才能有效降低账户安全风险，实现自动化账户级别运维管理。

二、建立邮件安全体系策略

电子邮件的安全体系建设是至上而下的建设过程，在硬件层面涉及网络拓扑结构的规划，在软件层面涉及邮件安全规则的建设，在应用层面涉及邮件应用部署形式。

优化网络拓扑结构实现双向监控

随着邮件安全越来越被重视，很多高校通过部署邮件安全网关硬件基础设施来提高邮件安全性。邮件安全网关部署方式一般有两种形式，一种是通过串行方式串到邮件应用系统中，这样部署的缺点是一旦安全网关设备出问题会直接影响整个邮件业务的收发，其容错性较差；另一种是通过旁路形式部署在邮件业务系统中，这样部署的优势是可以便捷地排查多点故障，方便管理员进行动态调整网络策略，网络结构比较灵活可控，但是旁路部署要实现双向监控，需要邮件安全网关设备分为接入层、协议层、数据层进行管理。

首先，在接入层，MX用于接收外部邮件，Web端用于访问邮件网关的Web管理后台。邮件网关对外开放的端口也与接入层相关。其中，25、465端口用于MX收信，9443端口用于网关Web管理界面。9443端口一般需要做ACL控制，仅提供内网访问。

其次，在协议层，邮件安全网关支持标准的SMTP协议，用于邮件认证的跳转与邮件的收发信。HTTP与HTTPS主要用于网关Web界面的访问与数据传输，默认使用HTTPS。

再次，数据层主要用于读写邮件网关的各项默认配置与用户自定义规则，包括但不限于IP频率限制、垃圾邮件拦截阈值、发信人规则、内容过滤规则等。

动态调整邮件外发参数实现动态拦截

电子邮件在高校领域的应用特点是，在院系层面聚焦于学术和项目，在职能部门层面聚焦于工作群发，在常规业务层面聚焦于同高校其他信息系统的联动。高校动态规则建立一般遵循“一分类、二定参、三反馈、四联动”的闭环机制，一分类是针对邮件业务服务场景进行业务分类，二定参是根据业务分类确认不同场景下的参数，三反馈是根据使用场景动态反馈细化垂直领域，四联动是对于特定场景的使用和邮件业务进行联动，对邮件账户进行实时监管。

分类分级分层建立规则库实现规则聚合

电子邮件规则库的建立是过滤钓鱼或者垃圾邮件的有效手段。一般采用二级规则模式，第一级规则通过黑名单、关键词以及IP按照业务类型分类建立通用规则；第二级规则通过建立链接保护、标记投递特定规则同邮件业务进行联动，有效形成从业务到账户的闭环管理。通过规则集合的建立，有效沉淀符合高校自身特点的规则库，对邮件过滤和账户防护起着至关重要的作用。

三、建设邮件安全网关

优化部署

2台机器组成双机集群（接收+外发），管理外部至内部的邮件接收+内部至外部的邮件外发。邮件网关自带负载轮询投递，可直接投递至业务服务器。接收和外发的数据集中在同一个集群里，需要查询数据时，登录两台机器任意一台，都可查询所有的邮件投递数据。

双机邮件架构的优点在于：查看数据时，接收和外发的数据统一管理，不需要额外登录两个不同的管理平台；设置规则时，接收和外发的规则都统一在一个集群中管理，不需要额外登录两个不同的管理平台。

链接保护

根据日志分析，众多命中钓鱼攻击的用户都有一个特点是点击或者访问过邮件里面的钓鱼链接，华中科技大学结合实际业务场景，针对过滤到垃圾邮箱里面的邮件进行链接保护，其技术本质是对外链开启代理访问和弹框提醒，效果如图1所示。作为第二道安全检测手段，通过该功能,管理员可以快速追踪收到钓鱼邮件的用户操作情况，包括哪些用户访问的链接为钓鱼链接、域内点击量最高的钓鱼链接情况，形成业务上的闭环管理，有效降低用户命中钓鱼的风险。

图1 链接保护弹框提示

标签投递

在高校业务场景中邮件投递至关重要，因为投递的邮件关系着师生的论文投稿、项目申报、基金申请以及出国交流等，如果投递出现问题会对师生日常工作学习带来影响。一般投递过程中最常见问题是由于错误的规则导致拒收或者拦截。针对这一棘手的使用场景，华中科技大学采取外松内紧策略，对于不确认或者可疑邮件全部在邮件头打标记，采取标记投递方式投递到账户特定目录中，这样最大限度把选择权交给用户，让用户去判断少量可疑邮件，避免因为误操作造成拒收。标记投递效果如图2所示。

图2 标记投递效果

业务联动

通过合并邮件系统和邮件安全网关日志，按照业务类型SMTP、IMAP、POP、Web对日志进行分类，通过调用业务系统的API实现同业务的联动。

第一步，电子邮件分为电子邮件安全网关和电子邮件应用服务器两个日志来源。其中，安全网关主要记录客户端邮件外发记录，而邮件应用服务器记录Web端的外发记录，按照发送业务类型对日志进行归类聚合。

第二步，利用邮件接口将别名全部替换成学号，同时利用脚本将外发主题和账号进行关联，最后以{账号：单位时间外发数量，主题}JSON格式输出到前端进行展示。

第三步，根据JSON中的账号去关联是否有校内外发。

第四步，获取对应账户的登录IP和发信IP，同时对收到校内转发的账户与IP进行批量封禁，这样极大减少人工干预，实现出口邮件数量关联到主题并匹配到账号级别的监控，极大降低垃圾邮件的外发。

误拦误报

误拦误报是邮件系统针对垃圾邮件拦截的一个普遍问题，为降低误拦误报概率，应该采取“分类、隔离”策略，分类是指针对垃圾邮件进行明确分类，对于特征明显的钓鱼或者病毒邮件直接进行拒收，对于普通垃圾邮件或者特征不明显的钓鱼邮件采取隔离，隔离是指在邮件网关区域建立隔离缓冲区，对可疑邮件进行隔离存放，防止因为误报拒收影响师生的正常学术交流。

以华中科技大学为例，整体邮件投递情况如图3所示，邮件安全网关日均处理邮件20余万封，对典型病毒或者钓鱼邮件日均隔离2.2余万封，通过链接保护形式防止用户点击非法链接造成盗号或者经济风险2.4万人次，利用标签投递机制投递可疑邮件日均12万余封，最大程度改善了因拒收导致师生无法正常工作和学习交流的情况。

图3 邮件投递情况

四、总结与讨论

面对大数据、人工智能技术的发展，电子邮件系统作为传统的信息化基础设施，在钓鱼邮件拦截、账户预警、系统监控上主要体现在以下几个方面。

第一，利用大数据，多样本进行整合分析，特别是对于高校的特殊性以及数据的敏感性，建立多高校样本集和规则集是发展趋势。

第二，账户预警需要同业务系统进行深度融合，避免因为时间差造成钓鱼邮件外发影响电子邮件出口IP信誉。

第三，系统监控需要从硬件和业务两个层面做到闭环监控，硬件层面主要关注网络与服务器的稳定性，业务层面主要关注不同场景下邮件业务规则的设置与调整。

基金项目：2024年华中科技大学实验技术研究项目支持（项目编号：HZKJSYJSXM2024M054）。

来源：《中国教育网络》2024年4月刊

作者：李凯、孙晶晶、郑競力、吴驰（华中科技大学网络与信息化办公室）

责编：陈永杰