为什么我会收到自己发给自己发的邮件？

今天收到一封“自己”给自己发的邮件了，内容不是自己写的，但是发件人却是自己的企业邮箱，如下图：

这是怎么回事呢？

前不久，有媒体曾报道，目前全球多个主流电子邮箱的邮件服务器普遍存在漏洞——黑客无需攻入服务器内部，便可以直接伪造一封官方邮件寄给用户，邮件内携带钓鱼网站或木马病毒，用户稍有不慎，就会中招。

通过整合与调查后发现，这些邮件内容不仅与时下热点贴近，例如“万豪国际对于数据泄露的提醒”或是“苹果公司对于Apple ID的修改”，更同时使用了与真实邮箱相同的地址。

用户往往会在第一时间信以为真，加上这些主流邮箱很多都不具备识别域名真伪的能力，并给到用户警示。这样一来，用户便几乎无法分辨邮箱地址的真伪，也就在不知情的情况下悉数中招。

从希拉里的邮件门，到谷歌和脸书的诈骗案，这种通过伪造真实邮箱地址的钓鱼作案，愈加的频繁。

调查数据显示，37%的组织已成为以恶意软件成功感染系统的电子邮件网络钓鱼攻击的受害者，有24%的用户因为钓鱼邮件感染了勒索病毒，另有22%的用户或组织因此而泄露了敏感或机密信息。

事实上，在调查中，只有25%的用户没有成为以上显示的至少其中一种网络安全事件的受害者，更为重要的是，他们都未意识到自己是受害者。

在近期，针对各大主流邮箱进行了一系列钓鱼邮件的测试。测试结果显示，共32封伪造地址的邮件全部通过了邮箱检测机制的认证，成功发送到测试用邮箱的收件箱里。

这些主流邮箱包括含了苹果、万豪、Gmail、腾讯QQ邮箱、网易163邮箱、139手机邮箱等等，因此至少数亿用户的邮箱可能存在了安全隐患。

而这种将目标锁定在中高端人群，通过伪造邮箱地址骗取用户点击，盗取账号密码，且成功率和收获极高的手段，就叫“钓鲸鱼”。

事实上，伪造邮件地址的成本并不高，手段也算不上高明，那为什么邮箱运营商在识别邮件的事情上，却做得并不如人意呢？

这是因为邮箱服务器，通常会将DMARC校验设置为初始的none（不作任何处理）模式，这样一来，当收件箱收到邮件并询问服务器是否可以放行的时候，服务器在校验到邮箱地址并无异样的情况下，会选择允许接收。

更别说哪些没有设置DMARC校验的服务器了，只要地址名称没有问题，就不会再对信头的发件地址进一步检查，更容易让伪造的钓鱼邮件蒙混过关。

那么有没有办法对这些几乎可以以假乱真的“李鬼”们做到彻查呢？

一般邮件服务提供商会在网页版邮箱提供查看原始邮件/邮件头的功能。

有些邮箱在这方面做的比较好，提供了邮件信头信息查看功能，把SPF、DMARC的校验结果突出显示在了网页顶端，我们可以通过SPF校验结果来确定邮件是否是仿冒的。如下图邮件，它的校验结果是spf=none，而真实的来自Apple的邮件spf=pass，所以它是仿冒的。

除了查看校验结果，也可以根据发件方的IP地址来判断邮件是否伪造，因为有些邮件服务提供商并不会把校验结果写到信头。不过对于没有受过邮件安全意识培训的普通用户来说几乎不知道该如何操作。

如果不是通过技术手段专门对邮件进行验证，邮箱运营商想要对钓鱼邮件进行识别和拦截，仍然存在一定的困难。

与此同时，相对于技术手段的识别和拦截，其实对于防范钓鱼邮件的关键，还在于企业和用户本身的安全意识上。

当前有很多企业邮箱用户，对邮件安全的防范意识并不高。在日常的工作中，对涉密、敏感信息的邮件，没有做加密处理，通常会采用公共互联网邮箱传送，这样不仅容易遭到窃取和泄露，也会让用户逐渐形成看见地址名称一致的邮件，就习惯性地打开。

其次，企业也没有在邮件防伪上做到足够的防护，不具备对伪造地址的钓鱼邮件做到身份验证和检测的能力，也使得钓鱼邮件在溜入用户手里的第一道关卡就畅通无阻。

随着诈骗手段的日益多样，以及黑产规模的日益壮大，如果企业不能有效防范当前的钓鱼邮件，用户不能养成时刻提防的安全意识，在面对日后更加多样的诈骗手段面前，我们将变得更加无力抵抗。

针对这一现状，东莞菌建议：

1. 部署安全邮件网关并定期检验安全机制是否有效。对于邮件终端（Outlook客户端、手机邮件App、网页版邮箱等）需要做安全性测试。

2. 使用SPF、DMARC等方式做好企业自身身份认证信息的配置，建立响应流程、部署监控工具以便在邮件地址被仿冒后及时发现并处置。

3. 不要使用未经验证的邮件终端；

4 发送接收邮件时使用TLS/STARTTLS加密传输方式； 一旦邮件内容涉及到资金或者账号时，尽量通过其他方式验证发件人真实性。