在 2021 年生日周期间,我们推出了 Email Routing 服务,该服务允许用户根据收件人地址或部门等标准将不同类型的电子邮件(例如营销、交易或管理)定向到单独的帐户。自推出以来,该服务的功能和路由的邮件量已大幅增长。
仅仅几个月后,在 2022 年 2 月 23 日,我们宣布有意收购 Area 1 Security,以保护用户免受电子邮件、Web 和网络环境中的网络钓鱼攻击。自 2022 年 4 月 1 日完成收购以来,Area 1 的电子邮件安全功能已集成到 Cloudflare 的安全访问服务边缘 (SASE) 解决方案组合中,现在每天处理数千万封邮件。
我们每天代表客户处理数百万封电子邮件,这让我们对恶意电子邮件、垃圾邮件数量、电子邮件身份验证方法(如 SPF、DMARC 和 DKIM)采用情况以及电子邮件服务器使用 IPv4/IPv6 和 TLS 所带来的威胁有了独到的见解。今天,我们在 Cloudflare Radar 上推出了一个新的电子邮件安全部分,与您分享这些观点。这个新部分中的见解可以帮助您更好地了解从各种指标角度看到的电子邮件安全状态,以及了解电子邮件传播威胁的实时趋势。(例如,将您组织内观察到的包含恶意链接的邮件数量的增长与 Cloudflare 观察到的类似增长联系起来。)下面,我们看一下 Radar 上现在提供的新指标。
跟踪恶意电子邮件
由于 Cloudflare 的电子邮件安全服务代表客户处理电子邮件,因此我们能够识别攻击型邮件并将其归类为恶意邮件。例如,恶意电子邮件可能会试图诱骗收件人分享个人信息(如登录详细信息),或者这些邮件可能会试图通过嵌入的图像、链接或附件传播恶意软件。Cloudflare Radar 上新的电子邮件安全部分现在可以提供全球层面的见解,让我们了解在选定时间范围内归类为恶意邮件的已处理邮件的总份额。如下图所示,在 2024 年 2 月,我们发现平均有 2.1% 的邮件被归类为恶意邮件。2 月 10 日和 11 日恶意电子邮件数量激增,占邮件总数的 29%。这些激增发生在超级碗开赛前夕,与之前观察到的比赛前一周恶意电子邮件数量增加的情况一致。2 月 13 日、15 日、17 日、24 日和 25 日也出现了其他显著(但较低)的峰值。可通过 Radar API 获取恶意电子邮件占比的摘要和时间序列数据。
威胁分类
Cloudflare Radar 2023 年度回顾重点介绍了攻击者在使用恶意电子邮件进行攻击时使用的一些技术。如上所述,这些技术可能包括指向恶意软件的链接或附件,以及身份欺骗(邮件看上去来自受信任的联系人)和品牌冒充(邮件看上去来自受信任的品牌)等方法。在分析恶意电子邮件时,Cloudflare 的电子邮件安全服务会对这些邮件中包含的威胁进行分类。(请注意,一封邮件可能包含多种类型的威胁——发件人可能冒充受信任的联系人,而电子邮件正文包含指向虚假登录页面的链接。)
根据这些评估,Cloudflare Radar 现在可以提供在几种不同威胁类型组中观察到的趋势的见解,包括“附件”、“链接”、“冒充”和“其他”。“附件”组包含攻击者在电子邮件消息中添加附件的单个威胁类型,“链接”组包含攻击者试图让用户点击某些内容的单个威胁类型,“冒充”组包含攻击者冒充受信任的品牌或联系人的单个威胁类型。“其他”组包括前三个未涵盖的其他威胁类型。
如下图所示,在 2024 年 2 月的“链接”分组中,基于链接的威胁毫无意外地最为常见,58% 的恶意电子邮件中都存在此类威胁。由于 HTML 中链接的显示文本(即超文本)可以任意设置,因此攻击者可以让 URL 看起来好像链接到一个良性网站,而实际上是恶意的。近三分之一的恶意电子邮件链接到旨在获取用户凭据的内容。可通过 Radar API 获取这些威胁类别的摘要和时间序列数据。
对于“附件”分组,在 2024 年 2 月,近 13% 的邮件被发现包含恶意附件,当在攻击环境中打开或执行时,该附件会包含号召性用语(例如诱使目标点击链接)或执行攻击者设置的一系列操作。该比例在整个月内飙升数次,最高达到 70%。近 6% 的邮件中的附件在打开后会尝试下载其他软件(可能是恶意软件)。
如果电子邮件看上去来自值得信赖的品牌,用户会更有可能打开它并采取行动,例如查看包裹的运输状态或查看金融交易。2024 年 2 月,平均有超过四分之一的恶意电子邮件是由试图冒充知名品牌的攻击者发送的。与其他威胁类别类似,这一类别也出现了多次显著的峰值,在 2 月 17 日高达 88%。超过 18% 的邮件被发现试图以某种方式勒索用户。从数据来看,此类活动在情人节(2 月 14 日)前一周非常活跃,不过峰值出现在 2 月 15 日,达到超过 95%。
身份欺骗是指攻击者或恶意人士发送一封声称是其他人的电子邮件,无论是通过使用相似的域名还是显示名称操纵。这是“其他”类别中最大的威胁类别,在 2024 年 2 月期间,这种威胁出现在超过 36% 的恶意电子邮件中。下图显示了使用这种技术的三个明显“浪潮”——第一波始于本月初,第二波始于 2 月 9 日左右,第三波始于 2 月 20 日左右。超过 11% 的邮件被归类为恶意邮件,因为它们来自的网络(自治系统)的声誉不佳;一些网络提供商是众所周知的恶意和垃圾邮件来源。
危险域
顶级域名(也称为 TLD)位于主机名的最右侧部分。例如,radar.cloudflare.com
位于 .com
通用顶级域名 (gTLD) 中,而 bbc.co.uk
位于 .uk
国家代码顶级域名 (ccTLD) 中。截至 2024 年 2 月,IANA 根区数据库中列出了近 1600 个顶级域名。在过去 15 年左右的时间里,已经发布了多份报告,研究“最危险的 TLD”——即哪些 TLD 最受威胁行为者的青睐。这些报告中的主要顶级 TLD 通常是较小国家的 ccTLD 和较新的 gTLD 的混合。在 Radar 上,我们现在分享了我们对这些危险 TLD 的看法,重点介绍了我们观察到恶意和垃圾邮件占比最大的那些。分析基于发送域的 TLD,位于电子邮件消息的 From:
标头中。例如,如果邮件来自 joe@example.com
,则 example.com
是发送域,而 .com
是关联的 TLD。
在 Radar 上,用户可以查看垃圾邮件和恶意电子邮件的占比,还可以按时间范围和 TLD 的“类型”进行筛选,可以选择查看全部(完整列表)、ccTLD(国家代码)或“经典”TLD(RFC 1591 中指定的原始 gTLD 集)。请注意,此处显示的垃圾邮件百分比可能低于其他行业分析中发布的百分比。Cloudflare 云电子邮件安全客户可能在邮件到达 Cloudflare 以供进行处理之前执行初始垃圾邮件过滤,从而导致被 Cloudflare 识别为垃圾邮件的邮件百分比较低。
回顾 2024 年 2 月,我们发现新 gTLD associates
和 ccTLD zw
(津巴布韦)是恶意电子邮件来源占比最大的 TLD,各占 85% 以上。新 TLD academy
、directory
和 bar
在关联域名发送的电子邮件中占垃圾邮件的比例最高,高达 95%。
2024 年 2 月恶意电子邮件百分比最高的 TLD
2024 年 2 月垃圾邮件百分比最高的 TLD
下图对 ccTLD 进行了详解,我们发现来自 zw
(津巴布韦,85%)和 bd
(孟加拉国,50%)域名的邮件中至少有一半被归类为恶意邮件。虽然恶意电子邮件的份额远远超过来自 zw
域名的垃圾邮件份额,但 bd
和 pw
(帕劳)的份额要均衡得多。2024 年 2 月,共有 80 个 ccTLD 中被归类为恶意邮件的邮件不到 1%。
__2024 年 2 月恶意电子邮件百分比最高的 ccTLD__
在“经典”TLD 中,我们可以看到恶意电子邮件和垃圾邮件的份额相对较低。作为最大的 TLD,com 在 2024 年 2 月的份额最大,这并不令人意外。而即使注册 int 和 gov 域存在诸多限制,在来自关联域的邮件中,也有 2% 被归类为恶意邮件,这一点十分耐人寻味。
2024 年 2 月恶意电子邮件百分比最高的经典 TLD。
一些顶级域名 (TLD) 造成大量恶意和/或垃圾邮件的原因各不相同:有些可能具有宽松的注册要求或根本不存在注册要求,有些可能对所谓的“域名尝试”更友好,有些可能收取特别低的域名注册费。可通过 Radar API 获取每个顶级域名 (TLD) 的恶意和垃圾邮件占比摘要。
电子邮件身份验证方法的采用情况
SPF、DKIM 和 DMARC 是三种电子邮件身份验证方法,当结合使用时,它们有助于防止垃圾邮件发送者、网络钓鱼者和其他未经授权的各方代表他们不拥有的域发送电子邮件。
发件人策略框架 (SPF) 是一种让域列出其发送电子邮件的所有服务器的方法,DNS 中的 SPF 记录会列出允许从该域发送电子邮件的所有服务器的 IP 地址。接收电子邮件的邮件服务器可以在将其传递到收件人的收件箱之前根据 SPF 记录对其进行检查。域名密钥识别邮件 (DKIM) 使域所有者能够使用数字“签名”自动“签署”来自其域的电子邮件,该签名使用加密技术以数学方式验证电子邮件是否来自该域。基于域的消息身份验证报告和一致性 (DMARC) 会根据检查 SPF 和 DKIM 后的结果告诉接收电子邮件服务器该做什么。域的 DMARC 策略存储在 DMARC 记录中,可以通过多种方式设置,指示邮件服务器隔离未通过 SPF 或 DKIM(或两者)的电子邮件、拒绝此类电子邮件或发送这些邮件。
这些身份验证方法最近变得越来越重要,因为 Google 和 Yahoo! 都宣布,在 2024 年第一季度,作为减少垃圾邮件的更积极努力的一部分,他们将要求批量发件人遵循最佳实践,包括使用 SPF、DKIM 和 DMARC 等标准实施更强大的电子邮件身份验证。当使用这三种方法评估给定的电子邮件消息时,可能的结果为 PASS、FAIL 和 NONE。前两个是不言自明的,而 NONE 表示没有与邮件发送域关联的 SPF/DKIM/DMARC 策略。
回顾 2024 年 2 月的平均占比,我们发现超过 93% 的邮件通过了 SPF 身份验证,只有 2.7% 的邮件未通过。在考虑这一指标时,FAIL 的结果更受关注,因为 SPF 比 DKIM 更容易被欺骗,而且失败可能是由“影子 IT”情况导致的,例如当公司的营销部门使用第三方代表公司发送电子邮件,但未能将该第三方添加到相关的 SPF 记录中时,就会发生这种情况。2 月份平均有 88.5% 的邮件通过了 DKIM 评估,只有 2.1% 的邮件未通过。对于 DKIM,重点应该放在 PASS 上,因为存在给定签名可能无法验证的潜在非恶意原因。对于 DMARC,86.5% 的邮件通过了身份验证,而 4.2% 的邮件未通过,PASS 和 FAIL 的组合是重点,因为对于此指标,是否存在相关策略是最受关注的,邮件是否通过则不那么受关注。对于本节中的所有三种方法,NONE 表示缺少相关策略。可通过 Radar API 获取 SPF(摘要、时间序列)、DKIM(摘要、时间序列)和 DMARC(摘要、时间序列)数据。
协议使用情况
Cloudflare 长期以来一直在大力推广 IPv6,尽管它主要致力于通过这个并不算新的协议版本提供 Web 资源。然而,其他互联网服务也开始支持和使用 IPv6 也很重要,而我们最近的研究表明,提供商可能在这方面有所欠缺。
通过分析从发件人的邮件服务器到 Cloudflare 的电子邮件服务器的入站连接,我们可以深入了解这些连接在 IPv4 和 IPv6 中的分布情况。查看 2024 年 2 月的分布情况,我们发现 95% 的连接是通过 IPv4 建立的,只有 5% 的连接使用了 IPv6。这种分布与对支持 IPv6(双栈)Web 内容的 IPv6 请求份额形成鲜明对比,后者在同一时间段内为 37%。可通过 Radar API 获取 IPv4/v6 分布的摘要和时间序列数据。
Cloudflare 也是安全连接的长期倡导者,并在 2014 年生日周期间推出了 Universal SSL,以便在所有客户站点(当时约有 200 万个)上实现最终用户与 Cloudflare 之间的安全连接。在过去的 10 年中,SSL 已完成向 TLS 的演变,尽管许多人认为 TLS 仅适用于 Web 内容(这可能是因为多年来我们被告知要在浏览器的地址栏中寻找 🔒 挂锁),但 TLS 还用于加密跨其他协议的客户端/服务器连接,包括 SMTP(电子邮件)、FTP(文件传输)和 XMPP(消息传递)。
与上面讨论的 IPv4/v6 分析类似,我们还可以计算使用 TLS 的 Cloudflare 电子邮件服务器的入站连接的占比。通过 TLS 建立连接时,邮件在传输过程中会被加密,而通过未加密连接发送的邮件可能会在传输过程中被读取或修改。幸运的是,Cloudflare 电子邮件服务器收到的绝大多数邮件都是通过加密连接发送的,2024 年 2 月期间只有 6% 的邮件未加密发送。可通过 Radar API 获取 TLS 使用情况的摘要和时间序列数据。
总结
尽管年轻的互联网用户可能会放弃使用电子邮件而选择通过各种消息应用程序进行通信,但电子邮件仍然是个人、企业、线上和线下零售商、政府等必不可少的互联网服务。然而,由于电子邮件如此普遍、重要且价格低廉,它也成为了一种有吸引力的威胁载体。Cloudflare 的电子邮件路由和安全服务可帮助客户管理和保护他们的电子邮件,而 Cloudflare Radar 的新电子邮件安全部分可以帮助安全研究人员、电子邮件管理员和其他相关方了解以下最新趋势:恶意电子邮件中的威胁、垃圾邮件和恶意电子邮件来源以及旨在防止滥用电子邮件的技术的采用情况。
如果您对这个新板块有任何疑问,可以通过 radar@cloudflare.com 联系 Cloudflare Radar 团队,或通过社交媒体 @CloudflareRadar (X/Twitter)、cloudflare.social/@radar (Mastodon) 和 radar.cloudflare.com (Bluesky) 联系 Cloudflare Radar 团队。
敬请关注更多新闻、公告和引人深思的讨论。请勿错过 Security Week 中心页面的完整内容。