目前的网络邮件结构是由多个保护层组成的,通常包括一个高性能的拥有安全准入技术和加密能力的代理服务器、智能分析工具、以及攻击检测与拦截功能的搭配。这些特点可以独立地与网络邮件系统相结合,或者作为一个综合的网络邮件安全包一起发送。
尽管用户教育是每项安全策略的基础,但尤其重要的是拥有网络邮件用户执行每条规则的技术。通过组合工具可以传送策略,这些工具包括关键信息流咽喉要地的内容过滤器,该过滤器可以阻止恶意软件、间谍软件和垃圾邮件。由于大多数网络钓鱼攻击可以通过如下路径实现:电子邮件、使用网络扫描器和入侵监测系统扫描受感染代码或跨网络的恶意链接,膜通常可以阻止在其到达用户之前阻止这些基于电子邮件的供给。
网络邮件允许信息流通过标准的HTTP和HTTPS连接,而不是SMTP,使得网络邮件成为僵尸网络成熟的目标,僵尸网络使用已被攻陷的主机,来加强垃圾邮件或受到病毒感染信息的屏障,然而,合理安置代理器,就可以对信息加码,同时确定并分析网络邮件通信量,减少缓冲器溢流和拒绝服务攻击的机会。
如果无法控制终端,网络邮件系统经理必须担当起确保公开HTTP和HTTPS的进程时间,或者用户一旦退出登陆网络邮件的应用程序时,就得结束进程。电子邮件证书不是本地缓冲的,这一点也很重要。执行这些控件,进而阻止下一个启动浏览器的人使用后端按钮或历史列表,防止其查看上一个用户的网络邮件页面。
启动带有加密登录和进程功能的网络邮件服务,企业就可以加强其基于浏览器的访问。然而,现在,一些电子邮件客户提供了这样一种能力:通过普通界面进入网络邮件。一定要确定你的网络邮件应用程序有能力对登录和SMTP所驱动的进程进行加密,这些都已经由非浏览器界面启动了。
有了网络邮件,攻击者通常使用浏览器脚本来盗窃cookies、劫持进程、并获得用户的证书。尽管具有代表性的是该由用户来申请安全设备,但是罪犯会使用偷窃来的证书,经常性地验证安全的网站,这样做可以确保好的补丁方法减少罪犯验证的机会。
浏览器的漏洞修补不当,以及越来越多地使用Javascript、Asynchronous JavaScript、XML (Ajax)、以及其它先进代码,带来了复杂的自动攻击:比如跨站脚本攻击,一个使用恶意链接来盗取信息的黑客策略;以及跨站点请求伪造,一种使用某个用户的身份威胁Web服务器的攻击。新种类的威胁已经迫使企业转向了先进的安全工具,比如Web应用程序防火墙。该工具使用大量的方法来阻止恶意代码穿过合法的网络通道。WAF可以在应用层检测所有进入和流出的信息流,检查数据包的有效载荷,并提供比传统的包过滤式防火墙更强大的内容过滤能力。
当然,还没有这样的尚方宝剑,可以通过浏览器界面来保护基于网络的电子邮件访问。然而,通过将一些简单的安全方法结合到现有基础结构中,以及为用户提供关于可能存在的威胁和漏洞方面的信息,企业就能以一种可以处理普通风险的方式来配置网络邮件。