《Coremail&CACTER&奇安信：2024中国企业邮箱安全性研究报告（55页）.pdf》由会员分享，可在线阅读，更多相关《Coremail&CACTER&奇安信：2024中国企业邮箱安全性研究报告（55页）.pdf（55页珍藏版）》请在三个皮匠报告上搜索。

1、编写组组长林延中 裴智勇主要编写人员朱腾蛟 江嘉杰 黄楚斯中国企业邮箱安全性研究报告 由广东盈世计算机科技有限公司与奇安信集团联合为您提供，本联合报告的编撰获得了 Coremail邮件安全人工智能实验室、Coremail 邮件安全大数据中心以及奇安信行业安全研究中心相关专家的悉心指导和宝贵建议，在此表示感谢。主要观点不论是从企业邮箱注册域名数、活跃用户数、还是邮件收发量等方面来看，国内企业级电子邮箱应用市场，都呈现出持续、稳定发展的态势。尽管垃圾邮件、钓鱼邮件的总量也有小幅增长，但带毒邮件数量已经呈现出逐年下降的趋势。这主要得益于邮件安全技术，特别是邮件反病毒技术的持续进步。邮箱盗号问题仍然十

2、分严重。2024 年，全国被盗企业邮箱账户多达 1074 万个，占全年活跃企业邮箱账号总量的 5.37%。由被盗企业邮箱账号发出的垃圾邮件多达 822.5 亿封。特别值得关注的是，邮箱盗号问题已经成为商业机密泄露、商业邮件诈骗等高危安全风险事件频发的重要诱因。同时，由“盗号”+“同域钓鱼”的攻击方式，也已经成为钓鱼邮件攻击的流行手段。来自全球的邮件安全威胁仍然十分严峻。整体而言，全球垃圾邮件源呈现“核心收缩、边缘扩张”的态势，中美虽仍为主导但控制力减弱，东欧、东南亚等地区逐渐形成新的次级策源地，除 Top5 外的中小规模垃圾邮件源国在加速扩容，反监测技术扩散趋势明显。邮箱账号盗取已形成了专门的

3、黑色产业，盗号测试信是黑产盗取账号成功的重要标志；黑产暴力破解使用的口令字典，大部分通过目标邮箱账号名变形生成，其他占比达到73.2%。域名劫持技术被大范围应用于邮件攻击，预计未来几年内，此类攻击还有可能愈演愈烈。企业想要减少此类攻击造成的损害，应当在邮件防护系统中谨慎设置邮箱域名的白名单。生成式 AI 成钓鱼邮件内容重要生产者，越来越多的攻击者正在使用生成式 AI，更加快速地制作更有针对性的恶意邮件文案内容。邮件攻击者，开始采用 AI 技术进行自动化的邮件攻击，主要体现在目标人群选择、投放策略制定和口令爆破攻击等方面。摘要截至 2024 年底，国内注册的企业邮箱独立域名约为 530 万个，活

4、跃的国内企业邮箱用户规模约为 2 亿。2024 年，全国企业邮箱用户共收发各类电子邮件约 8188.4 亿封。其中，正常邮件占比46.8%、普通垃圾邮件 38.3%、钓鱼邮件 9.2%、带毒邮件 5.4%、谣言邮件 0.08%，色情、赌博等违法信息推广邮件约 0.17%。从正常邮件的发送量上来看，工业制造类企业全年发送的邮件数量最多，约为全国邮件发送总量的 18.7%，排名第一；交通运输占比 16.7%，排名第二；其次是媒体占比为 12.6%；教育培训、IT 信息技术、互联网等也都是邮件发送量较多的行业。从域名归属来看，国内企业邮箱收到的所有垃圾邮件、钓鱼邮件和带毒邮件，美国都是最大的海外发送

5、源。同时，自 2022 年以来，俄罗斯、乌克兰也成为头部的恶意邮件发送源。2024 年，由于某些中文邮件黑产团伙的突然活跃，国内企业邮箱收到的钓鱼邮件数量同比大幅增长 30.8%。年度最为流行的三种钓鱼邮件类型分别是补贴/退税（32.1%）、升级/扩容（25%）和身份验证/备案（15.6%），三者之和占到了所有钓鱼邮件总量的72.7%。2024 年，国内电子邮箱账号被盗规模高达 1074 万个，占全年活跃邮箱账号总量的 5.37%；暴力破解是邮箱盗号最主要的手段，占到 2024 年邮箱异常登录行为检出总量的 53.7%；由被盗号的电子邮箱发出的垃圾邮件，占到国内企业邮箱收到的所有垃圾邮件总量的

6、26.2%。黑产暴力破解最常使用的工具为 sanmao SmtpCracker.exe，占 54.9%。同时该工具应为国内黑产使用的最主要暴力破解工具。黑产暴力破解使用的 IP 国内和国外数量接近。黑产国内 IP 资源呈现明显的地区聚集性，集中于江苏、湖北、辽宁三个省份，其中江苏省达 45.8%。除了生成式 AI 钓鱼内容之外，监测显示，已经有越来越多的邮件攻击者，开始采用 AI技术进行自动化的邮件攻击，主要体现在目标人群选择、投放策略制定和口令爆破攻击等方面。关键词：关键词：企业邮箱、垃圾邮件、钓鱼邮件、带毒邮件、暴力破解、生成式 AI、域名攻击目录研究背景.1第一章 电子邮箱应用形势.2一