Gartner® Market Guide for Email Security——Gartner对邮件安全市场的洞察

https://www.gartner.com/doc/reprints?id=1-2DVHQRLR&ct=230531&st=sb

看最关键的，邮件安全厂商，三大类：

A companion tool is also available that includes a larger set of 42 representative vendors and their capabilities (see Tool: Vendor Identification for Email Security).

Table 1: Representative SEG Vendors--邮件安全网关

Enlarge Table

 

Vendor	Product Names
Barracuda Networks	Barracuda Email Protection Advanced Barracuda Email Protection Premium Barracuda Email Protection Premium Plus Barracuda Email Gateway Defense Barracuda Impersonation Protection Barracuda Incident Response Barracuda Security Awareness Training
Broadcom (Symantec)	Symantec Email Security.cloud Symantec Email Threat Detection and Response Symantec Messaging Gateway
Cisco	Cisco Secure Email Threat Defense Cisco Secure Email Cloud Gateway Cisco Secure Email Gateway Cisco Secure Email Domain Protection Cisco Secure Email Encryption Service Cisco Secure Awareness Training
Fortinet	SaaS — FortiMail Cloud — Gateway SaaS — FortiMail Cloud — Gateway Premium Physical Appliances — FortiMail
Microsoft	Exchange Online Protection Microsoft Defender for Office 365 Plan 1 Microsoft Defender for Office 365 Plan 2
Mimecast	Email Security, Cloud Gateway Email Security, Cloud Integrated
Proofpoint	P0 Core Threat Protection P1 Advanced Threat Protection P1+ Complete Threat Protection PX Microsoft 365 Protection Proofpoint Enterprise Data Loss Prevention Proofpoint Managed Service for Email Security
Sophos	Sophos Email
Trellix	Trellix Email Security
Trend Micro	Trend Micro Cloud App Security Trend Micro Email Security Trend Micro Smart Protection for Office 365 Trend Micro XDR for Users Deep Discovery Email Inspector

 

Source: Gartner (February 2023)

 

Table 2: Representative ICES Vendors——云电子邮件安全（ICES），通常通过邮件服务器的开放API来访问邮件数据，以实现其安全功能

Enlarge Table

 

Vendor	Product Names
Abnormal Security	Abnormal Cloud Email Security Platform
Armorblox	Inbound Email Protection Outbound Email Protection
Cellopoint	Secure Microsoft Office 365 Secure On-Premises Email Platform
Check Point Software Technologies (Avanan)	Anti-Phishing Software Anti-Malware and Ransomware Software Full-Suite Protection
Cloudflare	Cloudflare Area 1 Email Security (formerly Area 1 Horizon)
Cofense	Cofense Reporter Cofense PhishMe Cofense Intelligence Cofense Triage
Darktrace	Darktrace Antigena Email
Egress	Egress Defend Egress Prevent Egress Protect
Fortra (Agari)	Agari Phishing Defense Agari Phishing Response Agari Brand Protection Agari Active Defense
GreatHorn	GreatHorn Cloud Email Security Platform GreatHorn Account Takeover Protection GreatHorn Mailbox Intelligence GreatHorn Extended Monitoring Managed Services
INKY	INKY Phish Fence INKY Internal Mail Protection
IRONSCALES	Ultimate IRONSCALES email security
Perception Point	Advanced Email Security Advanced Internal Email Security Advanced Collaboration Security
Tessian	Tessian Cloud Email Security Platform Tessian Defender Tessian Guardian Tessian Enforcer Tessian Architect
Vade	Vade for M365

 

Source: Gartner (February 2023)

 

Table 3: Representative EDP Vendors——电子邮件数据保护 (EDP)，通常是在SEG里，为DLP额外功能

Enlarge Table

 

Vendor	Product or Service Names
Echoworx	Echoworx Email Encryption Platform
Trustifi	Trustifi Outbound Shield Trustifi Inbound Shield Trustifi Account Compromise Detection
Zivver	Zivver Secure Email Zivver Secure File Transfer
Zix	Secure Cloud

 

Source: Gartner (February 2023)

 

电子邮件安全市场指南

2023 年 2 月 13 日- ID G00760247-阅读 21 分钟

作者： Ravisha Chugh 、Peter Firstbrook和 其他 1 人

---

随着网络钓鱼攻击数量的显着增加，向云电子邮件平台的迁移仍在继续。安全和风险管理领导者应评估云电子邮件系统提供的本机功能，并确保它们足以防止复杂的攻击。

概述

 

主要发现

• 随着组织继续采用云电子邮件系统，通信方式已从电子邮件转向其他协作平台，从而引入了现有电子邮件安全工具可能无法保护的威胁。
• 通过商业电子邮件泄露 (BEC) 进行的冒充和帐户接管攻击正在增加，并造成直接的财务损失，因为用户过于信任与电子邮件相关的身份，而电子邮件本身很容易受到欺骗和社会工程的影响。
• 供应商将电子邮件安全与其他安全工具（例如安全服务边缘 [SSE] 和端点检测和响应 [EDR]）进行整合和集成，作为扩展检测和响应 (XDR) 的一部分，可以改进安全威胁的检测和响应能力。==》在EDR上做邮件安全相关的特性，目前看，不是主流的方案。

 

建议

作为负责电子邮件安全的安全和风险管理领导者，您应该：

• 使用第三方安全解决方案补充现有云电子邮件解决方案的本机功能，为协作工具提供网络钓鱼防护，并解决移动和 BEC 类型的网络钓鱼场景。
• 使用电子邮件安全解决方案，其中包括用于有针对性的 BEC 保护的反网络钓鱼技术，该保护使用AI 来检测通信模式和对话式异常，以及用于检查可疑URL 的计算机视觉。选择能够提供强大的供应链和人工智能驱动的联系链分析以进行更深入检查的产品，并能够检测社会工程、假冒或 BEC 攻击。
• 优先考虑电子邮件安全解决方案 API 的集成，以便将电子邮件事件集成到更广泛的 XDR 或安全信息和事件管理 (SIEM)/安全编排、分析和报告 (SOAR) 策略中。

 

战略规划假设

到 2025 年，20% 的反网络钓鱼解决方案将通过 API 与电子邮件平台集成来提供，而目前这一比例还不到 5%。

到 2026 年，凭证丢失将成为网络钓鱼攻击的第一大影响。==》在网络钓鱼攻击事件中，最严重的后果通常是用户的登录凭证（如用户名和密码）被盗取。网络钓鱼攻击是指攻击者通过伪造看似合法的电子邮件、短信、网站等，欺骗用户输入个人信息，如登录凭证、银行账户信息等，从而达到盗取个人信息、资金等不法目的的一种网络攻击手段。

市场定义

本文档于 2023 年 12 月 20 日进行了修订。有关更多信息，请参阅gartner.com 上的更正页面。 

电子邮件安全统指用于为电子邮件提供攻击防护和访问保护的预测、预防、检测和响应框架。电子邮件安全涵盖网关、电子邮件系统、用户行为、内容安全以及各种支持流程、服务和相邻安全架构。有效的电子邮件安全不仅需要选择具有所需功能和配置的正确产品，还需要制定正确的操作程序。

市场描述

电子邮件安全解决方案通过阻止网络钓鱼攻击和防止数据泄露来提供入站和出站电子邮件安全。电子邮件安全解决方案的核心能力包括垃圾邮件防护、恶意软件防护、恶意链接和附件防护以及BEC防护。许多人还可以通过电子邮件数据丢失防护 (DLP) 和电子邮件加密功能来解决出站电子邮件安全用例。其他功能包括安全意识培训、基于域的消息身份验证报告和一致性 (DMARC) 以及电子邮件加密。

 

本市场指南重点关注三种主要类型的电子邮件安全解决方案（见图1 ）：

• 安全电子邮件网关 (SEG) —入站和出站电子邮件的电子邮件安全传统上由SEG解决方案作为本地设备、虚拟设备或云服务提供。SEG 处理和过滤 SMTP 流量，并要求组织更改其邮件交换 (MX) 记录以指向SEG 。
• 集成云电子邮件安全 (ICES) —提供内置电子邮件安全卫生功能的云电子邮件提供商（例如Microsoft和Google ）的采用率正在不断增长。补充这些本机功能的高级电子邮件安全功能越来越多地部署为集成云电子邮件安全解决方案，而不是网关。这些解决方案使用对云电子邮件提供商的 API 访问来分析电子邮件内容，而无需更改MX记录。集成解决方案不仅仅是阻止已知的不良内容，还向用户提供内联提示，帮助加强安全意识培训，并提供对受损内部帐户的检测。最初，这些解决方案被部署为现有网关解决方案的补充，但云电子邮件提供商的本机功能和 ICES 的组合越来越多地取代了传统的 SEG。
• 电子邮件数据保护 (EDP) —电子邮件数据保护解决方案添加加密功能，以在电子邮件内容发送之前或之后跟踪并防止未经授权的访问。EDP​​ 还可以帮助防止由于收件人错误而导致的意外数据丢失。

 

通常与电子邮件安全重叠且本市场指南未涵盖的相邻市场包括：

• 安全意识培训
• 信息归档
• 电子邮件连续性服务

 

图 1：电子邮件安全子市场

 

 

市场方向

电子邮件仍然是恶意软件和通过网络钓鱼窃取凭证的重要攻击媒介。据估计，40% 的勒索软件攻击是通过电子邮件发起的。¹云的采用仍在继续，估计有 70% 的组织使用云电子邮件解决方案（请参阅注释 1 ）。微软和谷歌继续主导市场，它们提供的功能不错，但不足以应对某些复杂的攻击。

 

尤其是Microsoft ，继续在提高保护有效性和提供更好的配置指导方面进行大量投资。这使得 SEG 供应商更难区分，尤其是比较检测率既困难又耗时，而且独立有效性测试很少。可以将Microsoft Defender for Office 365与其他现有的第三方解决方案进行评估。但这只是评估的一半，因为它没有确定现有解决方案阻止了哪些Microsoft不会阻止的内容。

 

使用 API 检查电子邮件的集成解决方案正在获得发展势头，增强了现有的 SEG 产品或内置保护。其中许多解决方案都使用复杂的异常检测技术，例如自然语言理解 ( NLU)、自然语言处理 (NLP) 和图像识别。直接集成使这些解决方案易于评估和证明价值，并且由于它们位于现有控制的后面，因此可以快速看到价值（参见注释2 ）。该解决方案还受益于内部流量的可见性，并且可以使用历史电子邮件历史记录来快速构建机器学习 (ML) 基线以改进检测。最近， Proofpoint 、Mimecast等一些SEG厂商也开始提供ICES解决方案，并声称提供增强的人工智能（AI）/ML能力。然而，与其他核心 ICES 供应商相比，这些供应商没有提供额外的功能。IBM的 2022 年数据泄露成本报告强调，总数据泄露中有 19% 是由于凭证泄露和被盗造成的，平均造成 450 万美元的损失。²因此，大多数 ICES 供应商也关注账户接管检测和修复。

 

越来越多的邮件安全编排自动化和响应 (MSOAR)功能被提供来快速分类用户报告的网络钓鱼消息作为托管服务，直接来自供应商或通过托管安全服务提供商 (MSSP)。此外，现在大多数解决方案都包含条件横幅，通知用户以帮助他们做出决策。这加强了安全意识培训并简化了跨所有设备类型报告可疑消息的过程。

 

随着向远程和混合工作的转变，与组织外部用户的沟通不再仅限于电子邮件，还包括LinkedIn、Microsoft Teams 、Slack等协作工具。攻击者可能会利用这些进行网络钓鱼和恶意软件分发。尽管电子邮件仍然是最常见的攻击媒介，但许多攻击者使用电子邮件开始通信，然后将其转移到 Slack、Teams或任何其他协作平台。一些供应商的解决方案可以使用其 API 集成到协作平台中来过滤恶意内容或可疑交互。其中许多解决方案使用 ML 和 NLU 功能来分析多个渠道的通信并防止攻击。

 

入站威胁是实施电子邮件安全的主要驱动力，但出站数据丢失，尤其是意外数据丢失（误导的电子邮件）越来越令人担忧。事实上，人为错误仍然是电子邮件数据泄露的最常见原因。合规性和隐私问题不仅仅是阻止出站个人身份信息 (PII)，还可能包括因知识产权 (IP) 分发不慎而造成的声誉损害。使用机器学习分析通信模式以防止入站网络钓鱼的解决方案也用于检测潜在的误导电子邮件。

 

如今，大多数电子邮件在邮件系统之间使用传输级加密，但随着越来越多的敏感信息被共享，保护消息存储中的通信安全的需求变得越来越重要。电子邮件加密工具已经存在很长时间了，但由于可用性问题，仅被大约 40% 的组织采用。SEG 通常包括加密，但可用性差异很大。提供端到端加密的较新解决方案优先考虑可用性。

市场分析

将现有功能与Google和Microsoft提供的本机功能进行比较

Google和Microsoft都提供基本的电子邮件安全功能，包括：

• 阻止来自已知不良发件人的电子邮件
• 使用防病毒软件扫描附件
• 阻止含有已知不良 URL 的电子邮件
• 内容分析以识别垃圾邮件

Google Workspace 提供了简单的三层模型，这对于许多选择 Google Workspace 作为协作平台的组织来说非常有吸引力。Microsoft 的许可可能很复杂，并且包含Microsoft Defender for Office 365 的E5 许可证价格昂贵。但是，有各种不同的捆绑包和附加组件可用于添加高级功能。Exchange Online Protection (EOP) 包含在所有计划中，并提供基本的反垃圾邮件、反网络钓鱼和反恶意软件功能。

 

Microsoft 继续投资 Microsoft Defender for Office 365，其中包括更高级的保护功能，包括安全链接和安全附件，以及与 Microsoft 的其他安全工具的集成。它还涵盖 Microsoft SharePoint、Teams 和其他 Office 客户端。80% 的组织正在寻求整合安全供应商，Microsoft 365、Microsoft Azure Active Directory (Azure AD)、Microsoft Purview 信息保护和 Microsoft Defender for Endpoint 之间的紧密集成可以提供改进的整体可见性和安全性，构成 Microsoft XDR 的一部分战略。

 

其他安全供应商也在电子邮件安全功能方面进行投资，作为其自己的 XDR 战略的一部分。Cisco 、WithSecure ( F-Secure) 、Trend Micro和其他公司最近都更新或添加了电子邮件安全组件。通常，这些是基于 API 的 ICES 解决方案。

SEG

SEG 仍然是最常见的电子邮件安全部署。SEG 部署为设备或虚拟设备，但最常见的是作为云服务。SEG 解决方案提供基本的电子邮件卫生功能以及更高级的保护功能，例如：

• 网址重写
• 多重防病毒 (AV) 扫描
• 沙盒集成
• 垃圾邮件隔离与最终用户摘要
• 灰色邮件处理
• BEC保护
• 交货后回拨

 

SEG 还提供出站功能，例如：

• 防止数据泄露以确保合规性，阻止或报告发送的 PII
• 电子邮件加密、传输层安全 (TLS) 或推式或拉式加密
• 通过安全门户发送大消息，通常与加密相关

 

DMARC可防止针对员工、合作伙伴和客户的精确域名欺骗，但部署、配置和维护可能具有挑战性，具体取决于组织中域的大小和数量。通常需要专业服务来协助 DMARC 的实施和持续监控。一些供应商还提供相关服务，例如电子邮件存档、连续性服务和安全意识培训。

 

许多 SEG 供应商添加了基于 API 的集成，作为现有解决方案的替代方案或增强功能，从而可以更好地了解内部电子邮件、添加上下文感知横幅的能力以及创建关系图和 ML 模型以改进检测。

集成云电子邮件安全

随着微软和谷歌内置安全性的提高，威胁行为者也变得越来越复杂，通常使用虚假登录页面作为获取凭据的方式来针对最终用户。复杂的电子邮件威胁包括受损的网站和用于部署恶意软件的武器化文档。许多勒索软件即服务团伙使用电子邮件作为初始入口点。除了恶意软件之外，企业电子邮件泄露和帐户接管威胁持续上升，从而造成重大财务损失。这些通常很难检测，因为它们不包含链接或附件，并且依靠社会工程来欺骗收件人。在帐户被盗用的情况下，邮件标题中甚至没有任何指示，因此，无论出于何种意图和目的，它都是合法的电子邮件。

 

为了解决这些问题，电子邮件安全解决方案使用了各种更先进的检测技术，包括 NLU、NLP、社交图分析（电子邮件通信模式）和图像识别。ICES 解决方案还提供帐户接管保护，分析用户行为和各种其他因素，如登录行为、位置、身份验证方法等。它们检测并警告哪个帐户已被盗用，并在需要时采取补救措施。补救措施可能包括阻止帐户、重置密码或其他客户定义的操作手册等。

 

ICES 产品可以是预交付或后交付的，具体取决于使用的 API。预递送通常作为连接器实现，并在电子邮件到达用户收件箱之前拦截电子邮件。投递后会在电子邮件投递后对其进行分析，某些产品会有效地“隐藏”邮件，以防止用户在扫描邮件之前将其打开。其他人只是依赖于能够在用户阅读电子邮件之前对其进行扫描。交付后可以单独使用 API 来实现，也可以结合使用 API 和日志记录来实现。

 

ICES 解决方案不仅仅是阻止电子邮件，还添加了上下文感知横幅警告用户。这意味着误报的门槛可以更高，也可以加强安全意识培训。通常，包含报告网络钓鱼的机制，作为电子邮件客户端的一部分或作为插入电子邮件正文的另一个横幅。然后， MSOAR工具可以处理用户报告的电子邮件，以帮助自动重新分类电子邮件并将其从收件箱中删除。尽管这简化了报告电子邮件的处理，但仍然会给不堪重负的 IT 安全团队带来负担。许多供应商现在将这种 MSOAR 功能作为托管服务提供，并将其集成到其他 SOAR 工具中。我们也看到中国大陆对安全产品有隐私和立法的要求（见注3）。

 

ICES 工具能够将邮件移动到内置分类邮箱中，例如“促销”或“垃圾”文件夹。有些能够根据用户是否将邮件从一个文件夹移动到另一个文件夹来学习或修改分类，从而消除了复杂的策略管理的需要。

电子邮件数据保护

数据泄露预防规则多年来一直是 SEG 的一部分：可以根据对其内容的分析来阻止、重定向或加密电子邮件。这些功能通常是更广泛的 DLP 产品组合的一部分。保护、跟踪和可能编辑与合作伙伴、客户和/或客户在电子邮件中共享的敏感数据的能力变得很重要，特别是考虑到持续的法规和隐私法。

 

尽管电子邮件加密已经存在多年，但工作流程通常很差，这意味着加密电子邮件的打开率历来较低。验证收件人身份一直是一个挑战，要求用户在消息门户上创建新帐户，导致打开率非常低。随着云电子邮件的广泛采用，对同一平台（例如Microsoft 365 ）上的用户进行身份验证简化了流程，但一旦收件人位于不同的平台上，问题仍然存在。一些专注于电子邮件数据保护的供应商正在寻求通过简化的工作流程和第二因素身份验证来解决这个问题。将敏感信息与电子邮件分开存储的安全消息传递门户是一种解决方案，但这引发了有关数据驻留和密钥存储位置的问题。

 

电子邮件仍然是最常见的数据泄露媒介，尤其是意外数据丢失。误导收件人是主要原因。目前几乎没有专门解决此问题的解决方案，但随着用于分析 BEC 电子邮件的AI /ML模型的发展，相同的技术也被应用于检测和警告用户误发的电子邮件。这些警告要么在用户撰写电子邮件时出现在电子邮件客户端中，要么作为“退回”消息发送，要求用户确认预期收件人是否正确。退回邮件并不那么用户友好，但它们不需要部署和管理电子邮件客户端的插件，并且移动设备上存在相同的工作流程。

 

另一个常见风险是电子邮件存储库中存储的敏感信息。攻击者和恶意内部人员可以直接利用存储在微软和谷歌电子邮件服务器中的电子邮件。Material Security 等供应商通过识别和编辑邮箱中包含敏感数据的邮件来解决此问题。此外，用户可以在身份验证步骤后按需访问经过编辑的电子邮件。这有助于管理存储的电子邮件数据丢失的风险。

代表厂商

本市场指南中列出的供应商并不意味着详尽的列表。本节旨在提供对市场及其产品的更多了解。

 

市场介绍

根据以下一项或两项选择代表性供应商：

• 通过在 Gartner.com 上进行搜索以及客户对电子邮件安全供应商的询问来了解客户的兴趣
• 供应商以独特、创新和/或具有前瞻性产品策略的方式提供电子邮件安全功能

 

下面描述的类别中提供了代表性供应商的列表（参见表 1、表 2 和表 3）。这不是，也无意成为该市场中所有供应商或产品的列表。它也不是、也无意对所讨论的供应商进行竞争分析。

 

还提供了一个配套工具，其中包括 42 个代表性供应商及其功能（请参阅工具：电子邮件安全供应商识别）。

见上

市场建议

负责电子邮件安全的SRM领导者应该：

• 寻找使用基于 ML 和 AI 的反网络钓鱼技术进行 BEC 保护的电子邮件安全解决方案，以分析对话历史记录以检测异常情况。
• 评估云电子邮件系统提供的内置电子邮件安全功能，并通过第三方解决方案对其进行增强，以处理复杂的攻击。
• 确保解决方案具有针对凭据盗窃的多方面保护，以及用于分析模拟常见登录页面的 URL 的计算机视觉功能。
• 评估电子邮件安全解决方案时包括基于 API 的 ICES 解决方案。评估的简单性以及对内部流量和其他通信渠道的额外可见性可以降低风险，因为这些解决方案可以创建通信图和基线用户活动来检测可疑行为。
• 投资可将 API 集成到协作平台中来过滤恶意内容或可疑交互的解决方案。
• 投资于用户教育，特别关注无有效负载的 BEC 类型攻击，并实施标准操作程序来处理通常成为假冒攻击目标的财务和敏感数据交易。
• 通过情境感知横幅和内联提示加强培训，以帮助教育用户。
• 确保集成的MSOAR功能自动解决用户报告的不需要的电子邮件。
• 通过选择与这些安全工具集成的供应商，将电子邮件事件集成到更广泛的 XDR 或 SIEM/SOAR 策略中。
• 通过实施 DMARC 来保护企业品牌，防止针对合作伙伴和客户的精确域欺骗攻击。寻找可以监控 DMARC 拒绝并托管发件人策略框架 ( SPF ) 记录的提供商。
• 考虑该解决方案在数据安全治理框架中的作用，以通过 DLP、加密和存储数据发现来保护敏感数据共享。

证据

这项研究的结果和建议来自 2021 年 10 月至 2022 年 12 月期间 1,500 多个 Gartner 客户的互动。

 

随着勒索软件成为国家安全重点，^{第二季度赎金支付金额下降}，Coveware。  

² 2022 年数据泄露成本报告，IBM。  

 

 

补充：

电子邮件安全与EDR集成==》具体如何做?

文章中提到了将电子邮件安全解决方案与端点检测和响应（EDR）等其他安全工具集成为扩展检测和响应（XDR）策略的一部分，以提高对安全威胁的检测和响应能力。具体如何实施这种集成，虽然文章没有详细说明，但可以提供一些一般性的指导思想和步骤：

1. 选择支持API集成的电子邮件安全和EDR解决方案：首先，确保你选择的电子邮件安全解决方案和EDR工具都支持通过API进行集成。这是实现两者之间数据共享和操作协同的基础。

2. 利用API进行数据共享：通过API，电子邮件安全解决方案可以将检测到的威胁信息（如恶意邮件、钓鱼尝试、异常行为等）共享给EDR系统。同样，EDR系统也可以将端点上检测到的威胁信息共享给电子邮件安全解决方案，实现数据的双向流动。

3. 实现联合分析和响应：将电子邮件安全和EDR系统的数据集成到一个中央分析平台（如SIEM或SOAR系统），可以对来自不同源的安全事件进行联合分析，以识别复杂的攻击活动。此外，可以设计自动化的响应策略，例如，当电子邮件安全系统检测到钓鱼邮件时，自动触发EDR系统在受影响端点上进行深入扫描。

4. 优化配置和策略：根据组织的具体安全需求和威胁情报，定期调整和优化电子邮件安全和EDR系统的配置和策略，以提高检测准确性和响应效率。

5. 持续监控和评估：实施集成解决方案后，需要持续监控其效果，定期评估安全态势，并根据新的威胁情报和组织需求进行调整。

通过这种集成，组织可以实现跨不同安全领域的威胁检测和响应，提高整体安全防御能力。

 

 

安全电子邮件网关 (SEG) 是什么？如何实现呢？

安全电子邮件网关（SEG，Security Email Gateway）是一种防护解决方案，旨在保护组织免受电子邮件威胁，如垃圾邮件、钓鱼邮件、恶意软件、病毒以及更高级的目标攻击等。SEG的主要功能是在电子邮件到达用户邮箱之前，对其进行检查和过滤，从而阻止恶意内容和未经授权的数据传输。

如何实现安全电子邮件网关：

实现安全电子邮件网关通常涉及以下几个步骤和组件：

1. 邮件过滤规则：通过定义一系列复杂的规则来识别和过滤垃圾邮件和钓鱼邮件。这些规则可以基于发件人的信誉、邮件中的特定关键词、邮件的结构和格式等因素。

2. 签名基础的威胁检测：利用已知的恶意软件和病毒签名数据库来扫描邮件附件和链接，以识别和阻止已知的威胁。

3. 行为分析和启发式检测：使用先进的技术（如机器学习和人工智能）来分析电子邮件的行为和属性，识别新出现的和未知的威胁。这种方法不依赖于已知的恶意软件签名，而是寻找与恶意活动相关的行为模式。

4. 沙箱技术：沙箱是一种隔离环境，用于运行和分析可疑的电子邮件附件和链接，以观察它们的行为而不影响主系统。如果在沙箱中发现恶意行为，相应的邮件就会被阻止。

5. 数据泄露防护（DLP）：通过监控和阻止敏感信息（如财务数据、个人身份信息等）通过电子邮件非法传输，来保护组织的数据安全。

6. 加密和认证：实施电子邮件加密和使用诸如SPF（发件人策略框架）、DKIM（域名密钥识别邮件）、DMARC（域名基准邮件认证报告和遵从性）等认证技术，以确保电子邮件的真实性和完整性。

7. 用户培训和意识提升：虽然不是技术措施，但培训用户识别潜在的电子邮件威胁也是防御策略的重要组成部分。

通过上述方法和技术的综合应用，安全电子邮件网关能够有效地减少电子邮件相关的安全威胁，保护组织的信息安全。然而，随着网络攻击手段的不断演进，持续更新和维护SEG系统以对抗新兴威胁也同样重要。

 

 

安全电子邮件网关 (SEG) 是如何部署的？

安全电子邮件网关（SEG）的部署可以根据组织的具体需求和网络架构采取不同的方式。主要的部署方式包括本地部署（On-premises）、云部署（Cloud-based）、以及混合部署（Hybrid）。下面详细介绍这几种部署方式：

1. 本地部署（On-premises）

在本地部署模式中，安全电子邮件网关作为硬件或软件形式安装在公司的内部网络中。这种部署方式允许企业完全控制其电子邮件安全解决方案，并且可以根据需要定制安全策略。

• 优点：提供更高级别的控制和定制能力；数据保留在本地，有助于满足特定的合规要求。
• 缺点：需要较大的初始投资用于硬件和软件；需要内部专家进行维护和更新；扩展性和灵活性较低。

2. 云部署（Cloud-based）

云部署模式下，安全电子邮件网关由第三方服务提供商在云中托管。企业将其电子邮件流量重定向到云服务，由服务提供商负责过滤恶意邮件和攻击。

• 优点：快速部署和易于管理；成本效益高，因为通常基于订阅模式；具有良好的可扩展性和灵活性；服务提供商负责更新和维护。
• 缺点：对第三方服务提供商的依赖较高；可能存在数据隐私和合规性的考虑。

3. 混合部署（Hybrid）

混合部署结合了本地部署和云部署的优点。在这种模式下，一部分安全电子邮件网关功能在本地部署，而另一部分功能由云服务提供。

• 优点：提供灵活的部署选项，结合了本地控制的优势和云部署的灵活性；适合需要同时满足特定的安全和合规要求的企业。
• 缺点：可能需要更复杂的配置和管理；成本可能会因同时使用本地和云资源而增加。

部署过程中的考虑因素

无论选择哪种部署方式，部署安全电子邮件网关时都应考虑以下几个关键因素：

• 安全需求：评估组织面临的具体威胁和安全需求。
• 合规要求：确保解决方案符合行业标准和法规要求。
• 成本：考虑预算和总体拥有成本（TCO）。
• 可扩展性和灵活性：确保解决方案能够适应未来的增长和变化。
• 维护和支持：评估内部资源和能力，确定是否需要外部支持。

选择合适的部署方式和考虑上述因素将有助于确保安全电子邮件网关能够有效地保护组织免受电子邮件威胁。

 

 

SEG 处理和过滤 SMTP 流量==》是说专门解析和处理邮件协议流量吗？

是的，当我们说到安全电子邮件网关（SEG）处理和过滤SMTP流量时，意味着SEG专门解析和处理基于简单邮件传输协议（SMTP）的邮件协议流量。SMTP是互联网上发送电子邮件的标准协议，几乎所有的电子邮件服务和服务器都使用这个协议来发送和接收邮件。

SEG通过对SMTP流量进行深入的检查和分析，能够识别和过滤出潜在的威胁，如垃圾邮件、钓鱼邮件、恶意软件、病毒等，从而保护组织的电子邮件通信免受这些威胁的影响。具体来说，SEG在处理SMTP流量时会执行以下操作：

1. 连接管理：在邮件服务器之间建立SMTP连接时，SEG可以检查发件人的IP地址，对其进行信誉评估，以决定是否接受或拒绝连接。

2. 邮件接收：在SMTP会话中，SEG接收邮件头和正文，对其进行分析，以识别潜在的垃圾邮件和钓鱼邮件等威胁。

3. 内容分析：通过对邮件内容的深入分析，包括附件和链接，SEG能够检测恶意软件和病毒。这可能包括使用沙箱技术来执行可疑附件和链接，以观察其行为。

4. 过滤和拦截：基于预定义的策略和检测到的威胁，SEG会决定是否允许邮件通过、将其标记为垃圾邮件或直接拦截。

5. 报告和日志记录：SEG记录处理过程中的详细信息，包括检测到的威胁、采取的行动等，以便于事后分析和审计。

通过这些步骤，SEG确保了只有安全、无害的邮件能够到达最终用户的邮箱，从而大大降低了电子邮件相关威胁的风险。

 

 

如果是加密的邮件协议呢？SEG如何处理

 

当处理加密的邮件协议（例如，通过TLS（传输层安全）加密的SMTP）时，安全电子邮件网关（SEG）需要采取特定的措施来确保它能够解密、检查和再次加密邮件，而不破坏其安全性。这个过程通常被称为TLS解密、内容检查和重新加密。以下是SEG处理加密邮件协议的基本步骤：

1. TLS解密

• 中间人（MITM）部署：为了检查加密流量，SEG通常以“中间人”的形式部署。这意味着所有进出组织的加密邮件流量首先会被SEG解密。为了做到这一点，SEG需要拥有用于解密流量的适当密钥。
• 证书管理：SEG使用一个与组织的邮件服务器信任的证书，这样它就可以在不引起终端用户警报的情况下解密、检查和重新加密邮件流量。

2. 内容检查

• 邮件分析：一旦邮件被解密，SEG就会对邮件内容进行分析，包括附件和链接，以识别垃圾邮件、钓鱼邮件、恶意软件、病毒等威胁。
• 策略执行：基于组织的安全策略，SEG会决定是否允许邮件通过、将其标记或拦截。

3. 重新加密

• 邮件加密：在邮件内容被检查并清除任何威胁之后，SEG会使用接收方的公共密钥重新加密邮件，确保其在传输过程中的安全性。
• 发送邮件：重新加密后的邮件将被发送到最终目的地，保证了邮件在传输过程中的保密性和完整性。

安全考虑

• 隐私和合规性：处理加密邮件时，需要确保遵守数据保护法律和规定，如GDPR（一般数据保护条例）等，保护用户隐私。
• 密钥管理：密钥的安全管理是至关重要的，需要确保密钥的安全存储和访问控制，避免未授权访问。

通过这种方式，即使是加密的邮件流量，SEG也能有效地执行其安全策略，保护组织免受电子邮件威胁的影响，同时又能保持邮件通信的机密性和完整性。

 

 

ICES是通过邮件服务器的开放API来访问邮件数据吗？

是的，集成云电子邮件安全（ICES）通常通过邮件服务器的开放API来访问邮件数据，以实现其安全功能。这种方式允许ICES解决方案无缝地集成到现有的电子邮件基础设施中，而无需对邮件服务器进行重大更改或干预正常的邮件流程。

如何工作：

1. API集成：ICES解决方案通过使用电子邮件服务提供商（如Microsoft Office 365、Google Workspace等）公开的APIs，与邮件服务器建立连接。这些APIs提供了一种方式来读取、发送、删除和管理邮件等操作，而不需要直接访问服务器。

2. 数据访问：通过APIs，ICES可以访问邮件内容、附件、邮件头信息等，以便进行安全检查。这包括对垃圾邮件、钓鱼邮件、恶意软件的检测，以及执行数据泄露预防（DLP）策略等。

3. 威胁检测和响应：一旦检测到潜在威胁或违反策略的行为，ICES可以采取预定的响应措施，如隔离邮件、删除恶意附件或通知管理员等。

4. 安全策略执行：ICES还可以通过APIs执行安全策略，比如强制实施邮件加密、管理访问权限和应用数据保护规则等。

优势：

• 无缝集成：通过APIs，ICES可以轻松集成到各种邮件系统中，无需复杂的配置或改动现有架构。
• 实时保护：API集成允许ICES实时监控和分析邮件流量，快速响应新出现的威胁。
• 灵活性和扩展性：基于API的集成提供了高度的灵活性，使得ICES能够支持从小型企业到大型企业的不同规模需求。
• 维护和更新简便：当邮件服务提供商更新其服务时，通过API集成的ICES解决方案可以更容易地进行适配和更新，确保持续的兼容性和安全性。

通过利用邮件服务器的开放API，ICES为组织提供了一种强大、灵活且易于部署的电子邮件安全解决方案，帮助保护其免受各种电子邮件威胁的影响。