邮件系统是政企单位最经常使用的网络应用之一。邮件系统中一般有关键信息,一旦邮件系统瘫痪或被黑客掌控,那么就会给企业带来重大损失。尤其是掌握核心技术的高科技企业、军工企业及政府机构,在境外间谍情报机关的网络攻击中,其邮箱是重点攻击目标。
如何防止邮箱被爆破攻击及钓鱼邮件等安全事件发生?在《信息安全等级保护管理办法》《互联网政务应用安全管理规定》等法律法规中明确要求企业应采取有效措施进行防护,如利用商用密码技术对邮件数据存储、访问等进行安全保护。
以利用商用密码技术对邮件数据访问进行安全防护为例,最常用且效果显著的手段是为邮箱集成 RADIUS 认证服务,开启 MFA 多因素认证,即 OTP 动态口令二次身份验证。然而,邮件系统厂商众多,所支持的认证协议有所不同,在对接 MFA 多因素认证系统时无外乎通过 RADIUS、LDAP、SSO 协议或调用 API 接口来完成。本文将列举几个常见的邮箱对接 MFA 多因素认证效果,为政企单位邮箱安全防护提供参考。
1、腾讯、阿里、网易等企业邮箱多因素认证
Web版的企业邮箱如腾讯、阿里、网易等本身不支持通过 RADIUS、LDAP 协议或调用 API 接口的方式实现MFA 多因素认证,因此可通过SSO协议来对接。在统一身份安全认证平台中添加 SSO 应用——网易、腾讯、阿里企业邮箱,并根据指示进行账号映射,其中企业还需要根据邮箱接口文档进行配置。
2、Coremail、亿邮等企业邮箱多因素认证
这两类企业邮箱(客户端、Web端)可通过 LDAP 协议对接MFA 多因素认证实现动态口令二次验证。具体对接效果可点击文字查看:身份目录携手Coremail联合发布国产邮箱认证安全解决方案
3、Exchange邮件系统Outlook、OWA多因素认证
Exchange 邮件系统与 AD 域深度绑定,基于域账号实现 Exchange 邮件系统的多因素认证是大部分企业的需求。要满足Exchange 邮件系统电脑端(Outlook)和 Web 端(OWA)的多因素认证需调用API 接口来完成。
其实现原理是:用户在设备上打开 Outlook 邮箱添加新账户或在异常设备上登录 Outlook 邮箱账户,将触发二次验证机制,多因素认证服务器会向用户手机端发送认证授权链接,点击链接确认授权后,Outlook 邮箱客户端将成功连接 Exchange 邮件服务器,即可正常使用。
认证授权链接支持自动配置发送渠道,如企业微信、飞书、钉钉或者短信下发授权链接。Web 端可使用动态令牌形式。采用了MFA 多因素认证授权后,用户设备和邮箱账号会被自动绑定,在多因素认证系统内加白。加白有效期内无需重复授权认证,有效期时长可由企业 IT 管理人员自行设置。当用户设备不在白名单内,会触发二次授权认证。
具体效果可点击文字查看:客户端、移动端、网页版,Outlook邮箱2FA双因素认证宝藏合集整理(建议收藏)
以上是几类常见邮箱对接MFA 多因素认证场景。通过为邮箱登录开启二次验证以增强账号安全防护,防止因弱口令、账号被盗引起爆破攻击、钓鱼邮件等安全风险。利用MFA 多因素认证,可以快速、立竿见影地防止邮箱被“黑”,提高邮箱安全性。
