異常郵件分發：未登錄地址接收威脅郵件之安全分析與防禦

近年來，企業郵件系統常被利用作為初始入侵路徑。當攻擊者偽造自己的帳號，將惡意郵件投遞至未登錄（或被忽略）之收件人，往往能突破傳統防禦層級，直接威脅內部資安與業務連續性。

1. 目前威脅概況

• 垃圾郵件佔全球郵件流量的 45% 以上，且經常作為釣魚或惡意附件的載體 (Zoho Mail)。
• 「自己寄給自己的勒索電郵」案例顯示，攻擊者已能偽造發件人並誘使收件人點擊連結，進而執行社交工程攻擊 (Microsoft Q&A)。
• 若未設定 SPF、DKIM、DMARC，攻擊者可輕易繞過郵件驗證，導致「未登錄地址」也能收到偽造郵件。

MITRE ATT&CK 對應

• T1566.001 – Spearphishing via Email (社交工程與偽造發件人)
• T1078 – Valid Accounts (利用被盜或偽造的帳號)
• T1189 – Drive-by Compromise (附件或連結執行惡意程式)

2. 攻擊流程拆解

1. 取得目標組織或個人帳號資訊（如憑證或社群工程）。
2. 利用 SMTP 伺服器或 API 以偽造的 From/Reply-To 與 Return‑Path 發送郵件。
3. 收件人未登錄或未啟用安全檢查時，郵件直接進入收件箱。
4. 若郵件包含惡意附件或連結，受害者點擊後即可執行攻擊向量（如 ransomware）。

3. 防禦策略與最佳實踐

3.1 郵件驗證技術堆疊

SPF: v=spf1 include:example.com -all
DKIM: selector1._domainkey.example.com
DMARC: v=DMARC1; p=reject; rua=mailto:dmarc-agg@example.com

結合三者可確保僅允許授權來源發送，並在偽造郵件時自動拒絕或隔離。

3.2 端點與郵件防護配置

• 啟用高安全級別的「郵件威脅防護」(Kaspersky)，確保即使郵件已到達郵件伺服器也能進行深度掃描。
• 針對 IMAP/POP3 用戶，設定「附件過濾」與「啟用病毒掃描」。
• 使用雲端安全平台（如 Huawei Cloud SecMaster）定期掃描基線設定，確保 DMARC、SPF 等標頭未被意外修改。

3.3 使用者教育與多因素驗證 (MFA)

即使偽造郵件被送達，若使用者必須透過 MFA 才能登入，即可阻斷「Valid Accounts」攻擊。

3.4 監控與事件回應

• 實施郵件流量分析（如 Microsoft Defender for Office 365）以偵測異常送信模式。
• 建立「偽造發件人」警示規則，將相關郵件自動移至隔離區。
• 在發現被偽造的郵件後，立即執行帳號恢復流程，並將相關資訊上報內部 SOC。

4. 實務案例：自我發送勒索郵件

在 Microsoft Q&A 的案例中，使用者報告收到「來自自己帳號」的勒索郵件，且帳戶未被登入。經檢查郵件標頭可發現：

Return-Path: <real_sender@example.com>
From: <user@example.com>
Delivered-To: user@example.com

此即為典型的“Return‑Path”偽造，可透過 DMARC 的「p=reject」策略即時阻擋。

5. 結語

未登錄地址接收偽造威脅郵件已成為常見且危險的攻擊手段。結合郵件驗證技術、端點防護、使用者教育與即時監控，能有效降低此類攻擊造成的風險。企業應將這些防禦層級納入日常安全治理，並持續審視郵件基線設定，以確保防禦效能不被攻擊者繞過。

參考資料與原文來源

• 應對電子郵件危害：垃圾郵件的特徵、影響與預防策略 – Zoho Mail (https://www.zoho.com.cn/mail/articles/mailsecurity.html)
• 我收到一封自己的電郵地址寄出給我的勒索電郵 – Microsoft Answers (https://learn.microsoft.com/zh-tw/answers/questions/4737970/question-4737970)
• 启用和禁用邮件威胁防护 – Kaspersky (https://support.kaspersky.com/keswin/12.9/zh-Hans/128208.htm)
• 如果你收到一封來自你自己的電子郵件，說你的帳戶被駭了 … – Reddit (https://www.reddit.com/r/YouShouldKnow/comments/9z7tk3/ysk_how_to_react_if_you_get_an_email_from/?tl=zh-hant)
• 内置检查项_经验包_产品介绍_安全云脑SecMaster – 华为云 (https://support.huaweicloud.com/productdesc-secmaster/secmaster_01_0021.html)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。