Question

站在恶意内部人员的视角，他需要将一份敏感资料拿走。这资料可能是某某系统的设计文档及源代码，也可能是从生产系统导出来的客户资料，也可能是内部的规章制度，也可能是内部员工通讯录等等，总之就是想要拿出去，而邮件外发是个很好的通道。

1.邮件外发审计与拦截

有敏感数据保护要求的企业会针对邮件外发启用 DLP 进行拦截或检测，有些企业做得更加严格，外发邮件权限还需要审批，默认不能外发邮件。

邮件外发检测，一种是基于流量的旁路检测，即将邮件流量镜像到 DLP 设备，DLP 根据相应的策略对邮件流量进行分析，此方案最大的好处是不改变网络结构，但遇到 SMTP 启用 TLS 加密就不行了。还有一种是将邮件路由到 MTA，在 MTA 上进行检测，然后再发出去。更多关于邮件 DLP 的相关技术，我们在第 14 章已经讲过，就不再赘述。

在实际运营过程中，需要关注的是敏感邮件外发的检测策略是否都能生效？是否有自动化的验证以保障有效性？敏感邮件拦截后的处理流程是走审批还是外发加密处理？DLP 事件处置如何跟进，怎么闭环？这些问题都需要细细考虑，由于各企业内部组织结构、管理方式都不一样，也没有一个统一的标准。图 16-23 是针对 DLP 模块的自动化验证事件。

图 16-23　自动化验证事件

自动化验证事件由程序自动发起，模拟发送能触发不同规则的邮件，查看邮件网关 DLP 功能是否根据所设定的正常起到拦截、审计、加密外发等功能。

而 DLP 事件的跟进、调查和处置，更多是融合了流程管理，最终目的是使事件收敛，使已有事件形成闭环。

2.TLS 通道加密

SMTP 在网络上是明文传输的，不怀好意的人可以在网络上截获并发现邮件中的秘密。主流的方案是启用 TLS 对通道进行加密，比如一些境外组织（如 VISA）会强制求邮件走 TLS 通道加密。现在主流的邮件网关都支持 TLS 通道加密了，只是在实际使用过程中，各家的方案不一样。有的需要指定域名路由；有的可以做到自适应—对方邮件服务器如果支持 TLS 则走 TLS 通道，如果不支持 TLS 则走明文，这的确不失为一个好办法。

3.禁止自动转发

邮件系统通常都提供了自动转发功能，员工为了工作方便，可能会将自己企业邮箱收到的邮件自动转发到外网邮箱（例如 QQ 邮箱）。

以常用的 exchange 为例，如果用户配置了自动转发而且没有勾选“Keep a copy of forwarded messages”之类的选项，邮件将直接转发出去，本地邮件系统是不会留档的。

为防止敏感信息泄露，我们需要禁止自动转发功能，并对其重点监控。如何禁止，微软博客上有详细的文章供读者参考 ^[1] 。图 16-24 展示了在 Exchange 管理控制台上的设置界面。

图 16-24　Exchange 管理控制台设置禁用自动转发

怎么确认禁止自动转发生效了？除了测试之外，还建议在网络上对 SMTP 流量进行检查，看数据包里是否包含 X-Auto-Forward 特征字样，如果有就表示还存在漏网之鱼。

4.禁用 ActiveSync 协议

移动设备自带客户端收取邮件也很普遍，但风险也很大。一方面，通过这种方式收取邮件，会因邮件系统后台记录不完善导致事后很难追查；另一方面，邮件附件直接存在设备上，基本上处于完全失控状态。

移动设备自带邮件客户端基本都要利用 ActiveSync 协议，建议有条件的企业可以自行开发 APP 对接邮件系统，这样就可以直接禁用 ActiveSync 协议了。禁用默认协议，在服务级别禁用比较省事，但有时候会遇到一些特殊场景，比如海外分支机构要按当地监管要求不允许使用总部统一开发的 APP，需要视情况而定，可以针对性地按用户进行限制，如图 16-25 所示。

图 16-25　用户级别限制 ActiveSync 协议

5.自己发给自己或存草稿

禁止了自动转发和 ActiveSync 协议，对邮件外发做了 DLP 检测与拦截，但还不够。因为聪明的员工会利用自己发给自己、存草稿等功能，在公司将文档发到邮件系统，在家通过邮件系统下载，绕过 DLP 审查。

针对此类问题，我们建议的方案是：对邮件附件进行大小限制，防止大批量泄密；对自己发给自己然后在公司外部下载的行为进行重点监控，必要时将文件提取分析。

6.出站防护体系小结

笔者建议的邮件出站防护技术体系是：首先，在邮件系统上进行配置，将一些诸如自动转发、ActiveSync 协议等禁用；其次，通过邮件网关开启 DLP 功能，对外发邮件进行拦截或审计；最后，通过对网络流量进行检测以确保策略生效。在运营上应重点关注 DLP 策略的有效性、事件处置的闭环。

[1] 链接：https://blogs.technet.microsoft.com/exovoice/2017/12/07/disable-automatic-forwarding-in-office-365-and-exchange-server-to-prevent-information-leakage/。