报告行业投资评级 未提及 报告的核心观点 - 国内企业级电子邮箱应用市场持续稳定发展，垃圾邮件、钓鱼邮件总量小幅增长，带毒邮件数量逐年下降，得益于邮件安全技术进步 [7] - 邮箱盗号问题严重，成为商业机密泄露、商业邮件诈骗等高危安全风险事件频发的重要诱因，“盗号”+“同域钓鱼”成流行攻击手段 [7] - 全球邮件安全威胁严峻，垃圾邮件源呈现“核心收缩、边缘扩张”态势，中美控制力减弱，东欧、东南亚等地区形成新的次级策源地 [7] - 邮箱账号盗取形成黑色产业，盗号测试信是黑产盗取账号成功的重要标志，黑产暴力破解使用的口令字典大部分通过目标邮箱账号名变形生成 [7] - 域名劫持技术被大范围应用于邮件攻击，预计未来几年此类攻击可能愈演愈烈，企业应谨慎设置邮箱域名白名单 [7] - 生成式AI成钓鱼邮件内容重要生产者，攻击者开始采用AI技术进行自动化邮件攻击 [7] 根据相关目录分别进行总结 研究背景 - 电子邮件是重要的现代互联网应用，企业信息化办公促进了企业邮箱的使用，也使企业邮箱系统成为黑客入侵的首选入口 [13] - 奇安信行业安全研究中心等自2016年起合作编撰《中国企业邮箱安全性研究报告》，报告数据来自联合监测，内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体 [13] 第一章 电子邮箱应用形势 - 电子邮箱的使用规模：截至2024年底，国内注册的企业邮箱独立域名约为530万个，活跃的国内企业邮箱用户规模约为2亿，2024年全国企业级邮箱用户共收发各类电子邮件约8188.4亿封，日均收发约22.4亿封 [15][17] - 电子邮箱用户行业分布：从域名注册量来看，工业制造类企业注册的邮箱域名最多，占比为31%；从正常邮件的发送量来看，工业制造和交通运输行业发送的邮件数量最多，分别占比18.7%和16.7% [24][25] - 电子邮件的地域分布：2024年全国企业邮箱用户收发的邮件以境内收发为主，国内收发占73%；海外收发27%。国内企业邮箱服务器设在北京的数量排名第一，占比为17.2% [29] - 电子邮件安全防护重要性：2024年全国企业邮箱日均收发量达22.4亿封，其中钓鱼邮件、带毒邮件等恶意内容占比近15%，日均威胁量超3.3亿封。强化邮件安全防护对维护企业持续运营、保护用户信息安全、保障社会网络空间稳定愈发重要 [31] 第二章 垃圾邮件形势分析 - 垃圾邮件的规模：2024年，全国企业邮箱用户共收到各类普通垃圾邮件3139.4亿封，约占企业级用户邮件收发总量的38%，是企业级用户正常邮件数量的82% [33] - 垃圾邮件发送源：2024年，全国企业邮箱收到的垃圾邮件中，来自国内的垃圾邮件最多，占总数的35.5%，来自美国的垃圾邮件次之，占总量约17.7%。全球垃圾邮件源呈现“核心收缩、边缘扩张”的态势 [35] - 垃圾邮件受害者：2024年北京用户收到的垃圾邮件最多，占全国的17.9%；其次为广东，收到了全国14.3%的垃圾邮件。国内垃圾邮件受害者所在行业也比较集中，排名前十的行业收到的垃圾邮件数量，占垃圾邮件总数的73.5% [41][44] 第三章 钓鱼邮件形势分析 - 钓鱼邮件的规模：2024年，全国企业邮箱用户共收到各类钓鱼邮件约755.0亿封，相比2023年增加了30.8%，平均每天约有2.1亿封钓鱼邮件被发出和接收 [47] - 钓鱼邮件发送源：钓鱼邮件的发送者遍布全球，其中，来自中国的钓鱼邮件最多，占国内企业用户收到钓鱼邮件总量的42.9%；其次是美国，约占13.9% [50] - 钓鱼邮件受害者：2024年北京用户收到的钓鱼邮件最多，有24.7%的钓鱼邮件被发送至北京的企业邮箱用户；国内钓鱼邮件受害者所在行业也比较集中，排名前十的行业收到的钓鱼邮件数量，占钓鱼邮件总数的75.3% [54][56] - 钓鱼邮件年度主题榜：当前钓鱼邮件攻击呈现以系统通知类主题为主导诱骗方式和日文语言类钓鱼邮件数量爆发式增长两个显著特征 [58] - 钓鱼邮件的类型：2024年流行的钓鱼邮件主要有8种类型，分别是补贴/退税、升级/扩容、身份验证/备案、银行卡信息诈骗、虚假发票、冒充询盘、虚假快递、系统退信，Top3之和占到了所有钓鱼邮件总量的72.7% [61] 第四章 带毒邮件形势分析 - 带毒邮件的规模：2024年，全国企业级用户共收到约444.6亿封带毒邮件，相比2023年同比减少了1.7%，平均每天约有1.2亿封带毒邮件被发出和接收 [81] - 带毒邮件发送源：带毒邮件的发送者多集中于北美洲与欧亚，其中，来自美国的带毒邮件最多占全球带毒邮件的28.2%；荷兰排名第二，占18% [83] - 带毒邮件受害者：2024年北京用户收到的带毒邮件最多，全国占比高达33.6%；国内带毒邮件受害者所在行业也比较集中，排名前十的行业收到的带毒邮件数量，占带毒邮件总数的78.2% [86][88] - 带毒邮件的类型：通过对带毒邮件附件文件的后缀分析发现，.rar和.zip两种压缩格式最为常见，占比分别为24.7%和13.5% [90] 第五章 电子邮箱账号安全 - 邮箱盗号的规模：2024年，国内电子邮箱账号被盗规模高达1074万个，占全年活跃邮箱账号总量的5.37%，邮箱盗号问题仍在持续加剧 [93] - 暴力破解的形势：暴力破解是邮箱盗号最主要的手段，占到2024年邮箱异常登录行为检出总量的53.7%，“防爆破”仍然是电子邮箱账号安全的最大威胁 [95][97] - 邮箱盗号的影响：邮箱盗号问题导致垃圾邮件、钓鱼邮件、带毒邮件数量增加，2024年由被盗号的电子邮箱发出的垃圾邮件占国内企业邮箱收到的所有垃圾邮件总量的26.2%，共计约822.5亿封 [98] - 基于盗号测试信的黑产攻击分析：邮箱账号盗取已形成专门的黑色产业，盗号测试信是黑产盗取账号成功的重要标志，黑产暴力破解使用的口令字典大部分通过目标邮箱账号名变形生成，占比达到73.2% [103][119] 第六章 邮件攻击典型案例 - 变化多端的二维码补贴诈骗类邮件：2024年以补贴、报税、年终奖等主题的二维码诈骗类邮件依然大行其道，此类邮件大多打着人力资源部或财政部的名义发放“补贴”，扫码后钓鱼网站会套取身份信息和银行卡信息 [128] - 最为常见的系统升级/扩容钓鱼邮件：以系统升级、扩容、备案为话题的钓鱼邮件是最为常见的类型，对于此类邮件可以通过认清发信人域名、识别钓鱼话术、谨慎处理垃圾邮件箱中的邮件等方法鉴别 [138] - 贼喊捉贼的身份验证钓鱼邮件：企业防范邮箱盗号最好的方法是部署双因子认证，对于撒网式钓鱼邮件，可以通过认清发信人域名、识别“安全网站”域名、了解系统安全机制等方法进行防范 [144] - 突然爆发的日语银行卡诈骗邮件：2024年日文的银行卡诈骗邮件数量激增，此类型邮件通常仿冒日本知名银行，以银行卡交易确认、银行卡将被冻结为话术，引导用户进入钓鱼网站泄露银行卡信息 [148] 第七章 邮件风险趋势分析 - 域名劫持技术被大范围应用于邮件攻击：2024年“SubdoMailing”组织发动大规模广告欺诈活动，利用域名注册机制恶意抢注域名，用于发送垃圾邮件或欺诈邮件，预计未来几年此类攻击可能愈演愈烈，企业应谨慎设置邮箱域名白名单 [153][154] - 邮件系统成为APT攻击活动的重要目标：2024年多起APT攻击事件表明，越来越多的APT组织开始将邮件系统本身作为攻击目标，批量盗取邮件系统中的数据资料，并通过对供应链企业邮件服务系统的控制，间接入侵目标机构 [155] - 邮件成为通往巨额商业诈骗的高速公路：2024年两起从邮件攻击开始的巨额商业诈骗事件引起业界关注，一家印度公司被骗5.2亿卢比，一家中国香港的跨国公司被骗2亿港币，由邮件安全事件带来的商业风险正在显著提升 [157] - 生成式AI成钓鱼邮件内容重要生产者：生成式AI成为各类恶意邮件的重要生产者，攻击者使用生成式AI制作恶意邮件文案内容，部分带毒邮件的恶意附件疑似使用生成式AI编写，攻击者还开始采用AI技术进行自动化邮件攻击 [159][160] 附件相关产品介绍 - CACTER邮件安全品牌：由Coremail孵化，提供一站式邮件安全解决方案，产品涵盖邮件安全网关、反钓鱼防盗号、安全海外中继等，核心技术依托自研国产反垃圾引擎和邮件安全大数据中心，客户涵盖国务院新闻办公室等 [161] - CACTER邮件安全网关：基于自主研发神经网络平台，实时拦截多种恶意邮件，反垃圾准确率高达99.8%，支持多种邮箱系统，具有独家域内安全解决方案、检测能力实时更新等优势 [164][165] - CACTER邮件数据防泄露EDLP：基于深度内容识别技术，对敏感数据通过邮件系统外发的行为提供事后审计和提醒，以及事中审批和拦截，具备多维度涉敏感检测、多模态内容识别等功能 [175][176] - 奇安信网神邮件威胁检测系统：面向大型企事业单位，采用多种病毒检测引擎，结合威胁情报和URL信誉库，对邮件中的URL和附件进行恶意判定，通过动态沙箱技术等发现高级威胁及定向攻击邮件 [180] - 奇安信观星实验室：致力于互联网、各行业领域、政企以及关键信息基础设施的攻防技术研究，在安全漏洞挖掘、实网攻防演习等方面取得了显著成果 [194]