早上開工，某互聯網大廠的員工小A照例打開企業郵箱，一封來自“財務部”的郵件瞬間讓他精神抖擻，比喝了三杯冰美式都興奮——《關于發放05月份工資補貼的通知》。

還有這等好事?小A仔細查看了郵件發件人，正是財務部的小B。小A正想問鄰座的小C這事是真是假，卻看見小C點開了附件里的鏈接，開始輸入銀行卡號……小A不再懷疑，麻利的點開鏈接，輸入銀行卡號、身份證號、手機號，不一會就收到了銀行發來的驗證碼。小A趕忙輸入驗證碼，手機馬上收到了短信提示。小A心想，補貼到賬真快，“財務部”效率真高。他拿起手機一看，赫然是銀行的提醒短信，您的賬戶轉出××元……小A眼前一黑，心里暗呼，難道我遭遇了電信網絡詐騙?

不一會，小A就在公司大群里看到了公告——小B的郵箱被盜，黑客向全公司群發了釣魚郵件，大家不要上當。小A欲哭無淚，誰能想到來自“財務部”的郵件會是釣魚郵件呢?

這件看似荒誕的事件是發生在某互聯網大廠的真實案例。雖然這次“盜取員工企業郵箱發動釣魚郵件”事件沒有造成多大損失，卻還是讓很多企業驚出了一身冷汗。原因有二：一是企業郵箱是最基礎的辦公應用，一旦郵箱有失，后果不堪設想;二是郵箱的防護看似簡單、實則復雜，就連公認簡單有效的郵箱二次認證，也成了“老大難”問題。

01郵箱二次認證為何成了“老大難”?

想要實施郵箱二次認證的企業，往往面對以下三大難題：

1.使用場景不可控

作為最基礎、最常用的辦公應用，企業員工需要在任何地點、任何時間，通過各種網絡，使用不同的設備，以不同的方式登錄企業郵箱、收發郵件。這導致郵箱的使用場景異常復雜，為企業實施二次認證增加了難度：

網絡環境復雜：員工不但會通過內網訪問企業郵箱，還會通過公共WiFi、家庭網絡、移動互聯網訪問郵箱，甚至需要通過國外網絡發起訪問;

設備環境復雜：隨著遠程辦公、移動辦公的普及，員工不但會使用公司配發的終端登錄郵箱，還會使用自有電腦、智能手機登錄郵箱;

登錄方式復雜：有的員工會使用Outlook、Foxmail、網易郵箱大師等郵箱客戶端登錄郵箱，有的員工傾向于直接使用瀏覽器訪問Web郵箱。

2.郵箱應用難改造

企業所使用的郵箱多為標準化應用，難以按照企業需求進行改造。為了提升郵箱的安全性，企業不得不部署郵箱安全產品。但各種各樣的郵件協議(SMTP、POP3、IMAP)、郵箱服務(Exchange)，卻對安全產品的兼容性構成了巨大挑戰。

3.安全體驗難平衡

為了提升企業郵箱的安全性，部分企業采取了限制密碼長度與字符組成、強制定期修改密碼等手段。但這些手段往往只能覆蓋登錄環節，難以覆蓋收件、發件環節，還會增加員工學習與操作成本，引發員工抵觸情緒，導致安全措施難以100%落實。

02芯盾時代郵箱二次認證解決方案

芯盾時代作為領先的零信任業務安全產品方案提供商，基于自主研發的零信任業務安全平臺(SDP)，打造了郵箱二次認證解決方案。方案采用軟件定義邊界架構，將數據平面與控制平面分類，采用零信任安全網關代理郵箱訪問流量、實施訪問控制，采用動態訪問控制引擎監測安全態勢、生成訪問控制策略，采用認證中心管理身份信息、訪問權限，采用移動App實施多因素認證。

芯盾時代郵箱二次認證解決方案具備“郵箱零改造、場景全覆蓋、協議強兼容、體驗性更佳”四大優勢，能夠幫助企業輕、快、好的實現郵箱二次認證，在提升郵箱安全性的同時保證員工操作體驗，更好的防范釣魚郵件。

借助郵箱二次認證解決方案，企業能夠一站式實現以下功能：

1.實施郵箱多因素認證

借助芯盾時代自主研發的移動App，企業能夠在郵箱零改造的情況下，為郵箱設置指紋識別、手勢認證、掃碼認證、動態口令、一鍵登錄、短信口令等認證方式，與原有的密碼認證相配合，實現郵箱多因素認證，有效消除弱口令等風險因素，更好的防范撞庫攻擊、噴射攻擊等網絡攻擊。

當員工進行登錄郵箱、收件、發件等重要操作時，企業可強制要求員工使用App進行二次認證，避免黑客利用員工郵箱進行非法操作，有效防范釣魚攻擊。

2.動態自適應訪問控制動態訪問引擎能夠智能感知全域風險，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對用戶訪問郵箱過程中的操作行為實施動態訪問控制。

當用戶采用認證過的設備，在企業內網登錄郵箱、收件、發件時，可采取免認證策略，保證員工的操作體驗。當員工的設備、IP、行為、位置等存疑時，可采取強化認證策略，要求員工采取指紋識別、人臉識別、動態口令等高強度的身份認證方式，保證郵箱由員工本人操作。當訪問者的操作行為被判定為風險行為時，直接阻斷訪問，保障郵箱的安全。

3.環多協議多場景全面兼容

憑借強大的自主研發能力、豐富的項目經驗，芯盾時代郵箱二次認證解決方案具備全面的兼容性，能夠與企業郵箱無縫對接，在各種登錄環境、使用場景下，保證員工訪問郵箱。無論員工通過瀏覽器使用Web郵箱，還是通過Foxmail、Outlook、網易郵箱大師等PC端郵箱客戶端登錄郵箱，或者通過智能手機中的郵件服務App進行操作，方案都能自適應執行二次認證，實現全終端、全場景覆蓋。

方案全面支持SMTP、POP3、IMAP等郵件協議，能夠與Exchange服務無縫對接，企業無需對原有郵箱應用進行改造，能夠快速上線、彈性擴容，幫助企業縮短改造周期、保證業務運轉。

隨著AI技術的全面普及，黑客發送釣魚郵件、創建釣魚網站的門檻越來越低，企業面對的釣魚郵件風險持續升高。芯盾時代郵箱二次認證解決方案，能夠幫助企業輕、快、好的實現郵箱服務的安全升級，是企業應對釣魚郵件的理想選擇。