作为连续博客系列的第一篇，本文开始探讨企业和组织可能面临的电子邮件威胁、部署 S/MIME 技术如何提供帮助，以及保持遵守 GDPR 和 HIPAA 等信息安全法规的必要性。 随着越来越多的组织采用 S/MIME 技术，了解它的众多应用程序将有助于更全面地了解它的价值以及它如何帮助保护您的企业免受电子邮件安全威胁。

电子邮件威胁的类型

没有电子邮件就无法开展业务。 这是一个简单的事实。 各行各业的企业都依赖电子邮件作为不可或缺的沟通方式，让员工与客户、合作伙伴、供应商，当然还有彼此保持联系。

但是电子邮件通信有其缺点。 电子邮件和附件的常见威胁包括它们被监视、更改和伪造的能力，使企业和组织容易受到各种可能的网络攻击。 与此相关的最常见策略之一是​​网络钓鱼攻击​​。 网络钓鱼电子邮件看似来自合法来源，但包含恶意链接或有害附件。

这种类型的攻击可以有多种形式。 最常见的一种是​​鱼叉式网络钓鱼攻击​​，它通过冒充组织内的某个人（可能是 CEO、CFO 或其他领导人物）来针对特定的个人和帐户。 财务或人力资源等部门的员工可能会收到一封紧急电子邮件，要求他们做一些事情，例如处理付款或传递机密信息，发件人声称无法确认请求的真实性。

这可能看起来简单明了，但网络犯罪分子可能非常狡猾。 您可能听说过域名仿冒之类的方法，在这种方法中，黑客注册与合法域相差一两个字母的域，并使用它们来注册乍看之下看似真实的电子邮件地址。 事实上，在许多情况下，这甚至没有必要。 电子邮件欺骗很容易，而且往往很有效。 这种方法涉及欺骗“发件人”电子邮件地址——这意味着网络钓鱼者可以简单地将他们想要出现在“发件人”字段中的电子邮件地址放入电子邮件标题中的适当位置，这就是收件人将看到的内容。 即使是对域名仿冒和其他简单的网络钓鱼方法保持警惕的眼尖的人也可能无法识别看似来自合法来源的欺诈性电子邮件。

损坏的可能性

这些攻击可能导致行业机密、机密信息、敏感数据甚至公司账户资金的丢失。 更糟糕的是，这些事件还可能使企业处于不符合强制性监管要求的状态。

这里的潜在损坏是非常真实的。 美国联邦调查局最近的一份​​报告​​表明，自 2020 年 4 月以来，由于商业电子邮件妥协 (BEC) 攻击（一种特定形式的鱼叉式网络钓鱼攻击，最终会向鱼叉式网络钓鱼者汇款），欺诈损失已达 20 亿美元。 这些只是报道的事件，表明真实数字可能要高得多。 事实上，BEC 攻击造成的损失高于任何其他形式的网络犯罪，这清楚地表明电子邮件安全意识必须成为任何企业的主要网络安全问题之一。

损害赔偿也可能超过最初的欺诈损失。 遭受数据泄露可能会削弱公众和客户的信任，对您公司的声誉和底线造成潜在的无法弥补的损害。

S/MIME 如何提供帮助

别担心——有个好消息。​​WoTrus​​提供安全/多用途 Internet 邮件扩展 ​​(S/MIME) 电子邮件证书​​技术可以解决电子邮件固有的问题和漏洞，从而提高组织对间谍活动的保护并保护其员工免受依赖于电子邮件的社会工程攻击。 S/MIME 通过验证发件人，而不是在收到电子邮件后简单地分析威胁，将自己与标准电子邮件保护（例如防病毒程序）区分开来。 它还在传输过程中保护电子邮件的内容。

S/MIME 如何解决电子邮件的漏洞？ 它可以通过三种不同的方式提高电子邮件通信的安全性。

• 它验证发件人的真实性，确认发件人是该人声称的人。
• 它对电子邮件中的所有内容和附件进行加密，防止恶意软件拦截传输中的电子邮件通信并读取其内容。
• 该协议还提供完整性保证，确保传输的电子邮件未被更改，并让收件人放心他们收到的消息和附件与发送的内容相同