过去，电子邮件安全最佳做法可以快速总结为：不要相信电子邮件，因为电子邮件是一种未经身份验证、不可靠的消息传递服务。在大多数情况下，这仍然是正确的说法，并且从1989年开始的员工电子邮件安全最佳实践仍然适用：使用强密码、阻止垃圾邮件发送者、不要相信好得令人难以置信的优惠，甚至来自受信任实体的验证请求。

但是，随着电子邮件对业务成功变得越来越重要，企业必须遵循一组更强大的电子邮件安全最佳做法。总结如下：

1. 对员工进行电子邮件安全最佳做法培训。
2. 创建强密码。
3. 请勿跨帐号重复使用密码。
4. 考虑定期更改密码-或不更改密码。
5. 使用多重身份验证 （MFA）。
6. 认真对待网络钓鱼。
7. 警惕电子邮件附件。
8. 不要点击电子邮件链接。
9. 不要将企业电子邮件用于个人用途，反之亦然。
10. 仅在批准的设备上使用公司电子邮件。
11. 加密电子邮件、通信和附件。
12. 避免使用公共 Wi-Fi。
13. 使用电子邮件安全协议。
14. 使用电子邮件安全工具。
15. 注销。

让我们更详细地探讨每个最佳做法。

1. 对员工进行电子邮件安全最佳实践培训

定期安排的安全意识培训使员工了解安全最佳做法，并让用户不仅了解公司安全策略及其在确保企业安全方面的作用，还了解他们可能遇到的威胁。

请务必在安全意识培训期间讨论电子邮件，并解释公司的电子邮件安全策略、常见电子邮件安全威胁和建议的电子邮件安全最佳实践。

2. 创建强密码

最重要的电子邮件安全最佳实践之一是使用强密码。然而，密码安全建议近年来发生了变化。以前的想法是复杂等于强大。但是，强迫员工创建复杂的密码（例如}m}{4p#P@R9w），通常会导致用户将密码写在便笺上或将其保存在桌面上的不安全文件中。

当前的NIST建议认为，密码长度而不是复杂性是密码强度的关键。密码短语（将几个单词串在一起，例如kittEnsarEadorablE）是一种制作更长、易于记忆但难以猜测的密码的方法，有助于防御使用字典攻击来针对弱密码的攻击者。

如果你将这两个示例放到Security.org的密码安全检测，你会发现}m}{4p#P@R9w，计算机需要400,000年才能破解，而kittEnsarEadorablE需要6万亿年。更强的密码短语包括一串不相关的单词。例如，根据Security.org的计算器，密码kittEnsmErryvisitortrEE需要2年才能让计算机猜测出来。

企业应创建密码策略来传达密码要求和期望。

3. 不要跨帐户重复使用密码

密码重用是主要的电子邮件安全威胁。如果攻击者入侵了一个使用与其他帐户相同登陆凭证的帐户，则攻击者可以轻松访问这些其他帐户。攻击者知道，在被攻击的系统上，尝试与某人帐户关联的重复使用的密码通常可以解锁其他帐户。当员工对公司和个人帐户使用相同的密码时，密码重用尤其危险。

鼓励员工遵循密码安全最佳做法，例如为每个帐户使用唯一的强密码。对于很多用户来说，这是一个痛点，尤其是那些需要记住数十或数百个账号密码的用户。使用单点登录或密码管理器可以帮助缓解挑战。

4. 考虑定期更改密码 – 或不更改密码

近年来，关于密码更改频率的指导一直存在争议。每90天更改一次密码曾经是常态。假设频繁的密码更改有助于确保系统安全，但它们通常会导致用户感到沮丧和使用不太安全的密码。通常情况下，密码1将在90天后变成密码 2。

NIST建议不要强制定期更改密码。但是，在可疑的泄露或数据泄露后，请始终强制更改密码。此外，某些合规性法规（如 PCI DSS）要求频繁更改密码。

企业必须权衡定期更改密码的好处与用户使用较弱密码的倾向，这些密码更容易记住，因此更容易被攻击者利用。

5. 使用多重身份验证

MFA 涉及使用多种方法来验证用户的身份。例如，用户名和密码与一次性密码或指纹生物识别相结合。在身份验证过程中添加第二个（或第三个或更多）因素可增加额外的防御层，并防御常见的电子邮件威胁，例如暴力攻击和密码破解。微软预测，使用 MFA 锁定帐户可以阻止 99.9% 的帐户泄露攻击。

企业应强制使用 MFA。员工还应尽可能使用 MFA 来保护其个人帐户。

6. 认真对待网络钓鱼

虽然电子邮件安全产品可以防止很多垃圾邮件到达用户的收件箱，但仍有大量垃圾邮件会发送到用户邮箱，其中可能包含网络钓鱼计划，这些计划正变得越来越复杂。这些可能包括标准网络钓鱼电子邮件，以及鱼叉式网络钓鱼或捕鲸攻击。用户应注意网络钓鱼诈骗，并在打开任何潜在的恶意电子邮件时要小心。请勿打开、回复、点击可疑电子邮件中的链接或打开其附件。

越来越多的企业将网络钓鱼意识培训纳入其安全意识培训计划，以帮助员工识别有问题的邮件，并教他们如何避免单击错误的链接或打开错误的附件。

7. 警惕电子邮件附件

很多电子邮件攻击依赖于发送和接收包含恶意可执行代码的附件的能力。 电子邮件安全网关和反恶意软件可以检测恶意来源并阻止大多数恶意附件。但是，这些附件也可能来自攻击者利用的受信任来源。

无论来源如何，即使企业使用电子邮件扫描和恶意软件阻止软件，员工也应提防附件。在打开具有与可执行程序关联的扩展名的附件之前，请格外小心，例如（EXE可执行文件）、JAR（Java 应用程序文件）或 MSI（Windows Installer）。Word文档、电子表格和PDF等文件也可能携带恶意代码，因此请小心处理任何类型的附件。使用反恶意软件程序扫描文件或避免完全打开它们。

8. 不要点击电子邮件链接

电子邮件中的超链接通常可以连接到与它们看起来所代表的域不同的 Web 域。某些链接可能会显示可识别的域名（例如 www.amazon.com），但实际上会将用户定向到不同的恶意域。攻击者还使用国际字符集或拼写错误来创建看似知名品牌的恶意域。

始终通过将鼠标指针悬停在链接上来查看链接内容，以查看实际链接是否与显示的链接不同。请注意，即使这样也可能是欺骗的，但是，尽管大多数现代电子邮件程序都应该捕获此类链接。如有疑问，请直接在浏览器中键入域，以避免单击电子邮件中的链接。

9. 不要将企业电子邮件用于个人用途，反之亦然

虽然员工使用公司电子邮件帐户处理个人事务可能很诱人且很方便，但企业电子邮件安全最佳做法是禁止这种做法。同样，不要从个人帐户发送与工作相关的电子邮件。将业务和个人事务混为一谈可能会导致鱼叉式网络钓鱼等威胁。

请明确可接受的电子邮件使用策略和公司电子邮件策略中的任何限制。

10. 仅在批准的设备上使用公司电子邮件

人们几乎可以从任何地方和任何连接互联网的设备上访问电子邮件。虽然对员工来说很方便，但这可能会成为组织的安全灾难。如果在没有适当安全控制的设备上打开公司电子邮件，攻击者可能会泄露用户的凭据、电子邮件和数据。

要求员工仅在公司批准和受信任的设备上访问电子邮件。

11. 加密电子邮件、通信和附件

有人说，电子邮件就像一张明信片：它接触到的每个人和系统都可以看到所写的内容。这就是电子邮件加密如此重要的原因。加密是将明文转换为密文的过程，可确保拦截电子邮件的任何人都无法阅读其内容。这有助于防止许多电子邮件安全问题，例如中间人和企业电子邮件入侵攻击。大多数主要的电子邮件服务都具有加密功能。

但是，仅靠加密消息是不够的。还要加密组织与电子邮件提供商之间的通信。也加密附件，即使它们附加到的电子邮件是加密的。

12. 避免使用公共无线网络

员工可能会将公共Wi-Fi视为便利，但应该提醒他们，这些连接很容易受到攻击。如果员工在公共 Wi-Fi 上登录公司电子邮件，则该网络上的任何人都可以访问其电子邮件。恶意行为者可以使用开源数据包嗅探器（例如 Wireshark）来监控并通过电子邮件访问个人信息。即使用户不会主动在公共Wi-Fi上查看电子邮件，几乎每个系统都设置为在设备连接到网络时自动更新收件箱。如果用户使用的是Wi-Fi，那么他们的电子邮件也是如此，从而使帐户凭据面临风险。

仅使用安全的已知 Wi-Fi 网络来检查电子邮件。

13. 使用电子邮件安全协议

以下三个电子邮件安全标准是过滤垃圾邮件的关键：

• DomainKeys Identified Mail。 DKIM 标准使用非对称加密来防止电子邮件欺骗。添加到电子邮件的数字签名可验证邮件在发送后未被更改。如果签名与电子邮件域的公钥不匹配，则会阻止该签名。如果匹配，则交付。
• Sender Policy Framework。 SPF 验证电子邮件来自其来源，并有权从该域发送电子邮件。如果经过验证，电子邮件将被传递。否则，电子邮件将被阻止。
• Domain-based Message Authentication, Reporting and Conformance。 DMARC协议扩展了DKIM和SPF。使用 DMARC，域名所有者可以发布他们的 DKIM 和 SPF 要求，并指定当电子邮件未能满足这些要求时会发生什么，例如向发送域报告。

请注意，这些技术控件可防止欺骗性电子邮件，但不会阻止所有不需要的邮件。

14. 使用电子邮件安全工具

除了部署适当的协议外，电子邮件安全策略还应包括多种有助于维护电子邮件安全的工具。应考虑反恶意软件、反垃圾邮件、防病毒、电子邮件过滤、电子邮件安全网关、电子邮件监控系统、防火墙和端点保护。

15. 注销

企业应要求员工在电子邮件不使用时以及完成一天的工作时退出电子邮件账号。在其他人可以访问的设备上保持电子邮件打开状态可能会导致安全问题。