随着网络钓鱼攻击的普遍存在，企业信息安全程序通常会培训如何避免电子邮件泄露。然而，在过去的几年里，电子邮件攻击的频率急剧上升。在最近的季度报告中，反网络钓鱼工作组报告了有记录以来最高级别的网络钓鱼活动：是2020年初以来攻击次数的四倍。其他组织报告称，在疫情开始时，利用不断变化的工作习惯，针对远程工作者的可疑电子邮件数量惊人地增加。

网络钓鱼活动对业务的影响并非无关紧要。2022年5月，联邦调查局发布了一份报告，记录了2016年至2021期间因商业电子邮件泄露造成的430亿美元国内和国际金融损失。

这种不断变化的环境提出了一个问题：如何使电子邮件收件人能够确定发件人身份和电子邮件内容的完整性？经过深思熟虑的数字信任策略可以将这一重要的安全层注入电子邮件通信，使电子邮件收件人能够轻松区分可信通信和可疑通信。

第一步：建立信任

电子邮件安全信任的基础是S/MIME数字证书。S/MIME代表安全/多用途互联网邮件扩展，这是大多数公司电子邮件客户端支持的电子邮件签名和加密的行业标准。S/MIME证书使用户能够对电子邮件进行数字签名，验证发件人的真实性，并表明电子邮件内容没有被更改。S/MIME数字证书还可以用于加密电子邮件，保护包含敏感信息的电子邮件通信免受数据拦截。

第二步：管理信任

下一个需要考虑的步骤是在组织内管理S/MIME证书。IT领导者指出，当提高安全性的措施是可选的或取决于非技术性公司用户所采取的行动时，采用这些措施可能是一个挑战。公司可以通过自动提供诸如S/MIME之类的数字证书来解决这个问题。为了实现这一点，公司可以利用直接与公司目录服务集成的PKI管理解决方案来自动化证书的安装、续订和吊销。这减少了IT技术支持的负担，确保遵守首选的安全措施或公司策略，并消除了可能影响生产力或安全性的任何资源调配或撤销缺口。“自动化证书设置将采用率从个位数提高到企业完全采用。此外，自动化使企业用户看不到证书处理。”–F100技术公司

当S/MIME用于加密时，还需要采取额外措施，以受益于PKI管理解决方案的自动化和集成功能。例如，当使用S/MIME进行加密时，用户需要在接收电子邮件的多个设备中持有相同的私钥来解密通信。否则，他们只能在有钥匙的桌面或设备上阅读电子邮件。此外，如果笔记本电脑或其他硬件发生故障或受到损害，最终用户需要保存关键历史记录以检索电子邮件记录。管理PKI基础设施的IT安全团队应支持密钥托管和恢复，以支持需要检索密钥或满足电子邮件历史记录法律请求的用户。PKI管理解决方案可以与统一端点管理（UEM）解决方案（如Microsoft Endpoint Manager）集成，并自动管理密钥托管，从而简化了证书生命周期管理的这些方面。

在通过电子邮件传输敏感数据的行业，如传递个人财务数据的金融服务公司或传递个人健康信息的医疗保健公司，可能需要加密。公司政策也可能要求对特定类型的内部或外部通信进行保护，以保护数据机密性或知识产权。

S/MIME管理中的最佳实践表明，当需要加密时，应将单独的证书用于数字签名和加密。这是因为加密的密钥托管要求可能会损害数字签名电子邮件的不可否认性。公司还可以决定其业务需求是否需要在个人用户级别进行加密，或者是否最好在电子邮件网关处加密通信。

第 三步：扩展信任

数字信任架构师接下来可以考虑是需要在组织内部还是组织之间保护电子邮件。如果电子邮件通信停留在公司域内，IT专业人员可以使用链接到私有CA或中间证书的私有S/MIME证书。

如果公司正在保护在公司边界之外发送的电子邮件，则必须使用公共S/MIME证书，该证书链接到公共信任的根，如DigiCert。公司还可以考虑建立一个公共专用的中间CA，该CA可以使用其组织名称进行标记。ICA可以链接到公共信任的根，但将允许证书继承组织的ICA品牌

DMARC和VMC

公司还可以采取其他措施来打击组织内的网络钓鱼，例如实施基于域的消息验证、报告和一致性（DMARC）。DMARC是一种电子邮件身份验证、策略和报告协议，有助于防止组织遭受网络钓鱼。

采用DMARC的公司可以使用验证标志证书（VMC）在电子邮件旁边显示经过验证的组织标志。VMC验证一家公司已经实施了DMARC，并且显示的标志是该组织的商标实体。带有品牌标识的电子邮件信息表明发件人已满足DMARC和VMC的强大安全和身份验证要求。

品牌标志的存在增加了消费者对发送的电子邮件的信任，并将其与没有品牌标志指示器的电子邮件区分开来。一些电子邮件客户端，如苹果，更进一步，在与VMC相关的电子邮件标题中加入了“数字认证”。

随着时间的推移，VMC的广泛采用可能成为另一种工具，使电子邮件收件人能够轻松区分数字认证的电子邮件和商业电子邮件冒名顶替者。

DNS流量监控

最后，公司可以将其DNS服务视为其电子邮件信任计划的另一个关键组成部分。DNS流量是一个丰富的数据来源，可以使用机器学习进行分析，以显示域的正常情况和不正常情况。流量异常检测可以检测和预测可疑或异常活动，使IT专业人员能够阻止定向攻击。

随着电子邮件攻击的增加，企业培训计划本身可能不足以使员工充分保护其组织的机密或敏感数据或个人凭据。随着网络钓鱼策略变得越来越复杂，消费者可能越来越难知道他们何时与可信品牌或电子邮件冒名顶替者互动。在电子邮件通信中实现强大的数字信任基础有助于防止凭据、敏感数据或财务泄露。

本文由 聚力诚信 根据 Digicert 博客

SECURING EMAIL: DIGITAL TRUST IN COMMUNICATIONS 编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。