我們大多數人現在大概都曾遇過某種形式、以電郵為基礎的網絡犯罪。事實上,如果我們大部分人 此刻真的 打開自己的私人收件箱,很可能會發現 某種 釣魚詐騙,誘使我們在虛假藉口下輸入資料。感覺幾乎每天都要避開一顆新的「釣魚」子彈。
但當你是企業時,風險只會更高。你需要追蹤的事情更多,而且你的許多資訊都是公開可見的(無論是透過商業登記,還是就在你的網站上)。這些資訊可能令某些類型的騙徒更容易說服你相信他們有正當目的,或乾脆冒充你的企業。而且問題也不只限於釣魚攻擊。
例如,值得記住的是,你經常會透過電郵向客戶發送有關其帳戶或訂單的敏感資訊。任何黑客入侵或資料外洩,都有可能令他們的資料以及你的資料一併曝光。一旦資料落入錯誤的人手中,便可能被武器化,進而導致向資料外洩受害者發送詐騙電郵。這令安全性成為企業尋找電郵服務供應商時更不可或缺的一部分。
事實上,利用企業牟利這種事(毫不意外地)早在互聯網出現之前就已存在。即使到了今天,大多數企業仍會收到所謂稅務顧問(以及類似人士)寄來的實體信件,假裝代表政府,或提及如果你不使用他們的服務便會被處以政府罰款。電郵只是令類似攻擊更容易無限量地轟炸你。
網絡犯罪與小型企業
毫無疑問,超過 77% 的小型企業曾遭受與電郵相關的網絡攻擊,而當你想到自己可能是多麼吸引人的目標時,這也很合理。從攻擊者的角度來看,由於財務和人手限制,你的安全措施很可能不如大型企業那麼穩固——但你仍可能擁有值得竊取的寶貴資源或資料。
但事情還不止於此。網絡罪犯甚至會利用小型企業的名稱,建立虛假的電郵地址來冒充它們。這些訊息甚至可能包含真實員工、聯絡人或供應商的姓名和職位,以增加可信性。像 LinkedIn 這類服務對此並沒有幫助。雖然它們對僱主和員工同樣是非常寶貴的資源,但本質上它們就是資料庫,收錄了原本難以找到的資訊。
凡事皆然,網上資料越多,可被武器化的方式就越多。最好把你公開發佈的、關於你本人或業務任何部分的資訊減到最少。
但安全電郵服務供應商可以幫到你……
最好的電郵服務供應商會以安全為先,保障在電郵中交換的敏感資訊。基於前面提到的原因,這對像你這樣的商業客戶來說確實是一大優勢,而我們最近進行的一項客戶調查也證實了這一點。超過 83% 的人表示,安全性是他們選擇電郵服務供應商的主要原因。
其中一項必須時刻納入考量的關鍵措施是加密。在同一項調查中,88.7% 的受訪者表示,加密是所有功能中最重要的一項。加密可以有多種形式。對儲存中的資料進行加密往往容易被忽略,但這很重要。如果資料是以加密形式儲存,任何入侵郵件伺服器的人都只會看到毫無意義的內容。作為小型企業,你其實也應該尋找提供自毀訊息或受密碼保護訊息的服務供應商,以協助保密。
商務電郵常見的安全功能組合,通常有助它們遵守 GDPR 和 HIPAA 等資料保護法規。
更高程度的安全功能自訂化
在選擇商務電郵時,請留意那些可提供更高程度自訂化的功能。例如,能幫助你按主題或類型分類郵件的增強工具。當你需要整理大量訊息時,這些功能確實很有幫助。
同樣地,建立像 info@ 或 admin@ 這類可重新導向至特定團隊或人員的通用郵箱,也是另一項實用功能。這些稱為 電郵別名,而大多數優質的商務電郵服務供應商都會讓你建立多個。它們可讓你把來自上述通用郵箱的訊息轉寄到多個郵箱,額外好處是可讓多人共同監察這些郵箱,同時保護他們的身分。
安全與反垃圾郵件
與個人相比,垃圾郵件對小型企業構成更高風險。但究竟甚麼是反垃圾郵件保護?
簡單來說,它可讓你封鎖你認為不可信的寄件者所發出的訊息。但優秀的方案提供的遠不止這些。 頂級反垃圾郵件篩選器 會利用機器學習等工具,根據你過往的分類預測哪些郵件可能是垃圾郵件,自動把有害的釣魚詐騙安全地隔離,遠離你和你的員工。
可調整的篩選功能對於妥善管理商務電郵同樣不可或缺。需要更改規則,或在垃圾郵件中發現了不應該被歸類到那裡的內容嗎?你應該能夠輕鬆調整設定。手動覆寫是選擇垃圾郵件篩選器時必須留意的重要功能。
當你決定哪個是最佳商務電郵服務供應商時,除了垃圾郵件防護外,還有其他安全功能值得留意。其中之一是雙重驗證(2FA)。你大概已經在銀行應用程式中使用過。它是指你需要第二部裝置(例如智能手機)來驗證登入。確保你選擇的服務供應商具備 電郵 2FA,代表你無須擔心有人在你不知情下存取你的帳戶。
活動記錄和裝置記錄亦有助顯示帳戶活動。活動記錄會列出每次登入,而裝置記錄則顯示所有目前裝置。這使它們成為檢查一切是否正常的方便方法,尤其當你懷疑帳戶有異常活動時。
取得 DMARC、SPF 和 DKIM 保護
但那些冒充你企業的討厭傢伙又怎麼辦?有沒有方法可以阻止他們?
問題在於,事情比單純認為帳戶安全就等於安全更複雜。這些冒充者往往甚至不需要入侵你的帳戶,也能偽造看起來像你自己的電郵地址。這正是以下這些聰明的安全電郵功能派上用場的地方:
1. SPF:寄件者政策框架(Sender Policy Framework)是一種協定,讓網域擁有者可指定哪些郵件伺服器獲授權代表其網域發送電郵。它的運作方式,是在 DNS(網域名稱系統)中發佈一條列出獲授權郵件伺服器的特定記錄。當電郵被接收時,收件人的郵件伺服器可檢查寄件者網域的 SPF 記錄,以驗證發送郵件的伺服器是否獲准代表該網域發送電郵。如果 SPF 檢查失敗,表示該電郵是由未獲授權的伺服器發出,便可被標記或拒收。
2. DKIM:DomainKeys Identified Mail 會為電郵訊息加入數碼簽章。此簽章使用與寄件者網域相關聯的私密金鑰產生,並會(以不可見方式)加入到電郵標頭中。然後,收件人的郵件伺服器會使用由寄件者網域在 DNS 中發佈的公開金鑰(方式與 SPF 類似)來驗證該簽章。如果簽章有效,便可證明該電郵是真實的,同時也確認它在傳輸途中未被更改。如果簽章驗證失敗,則表示可能曾遭篡改或來自不合法來源。
3. DMARC:基於網域的訊息驗證、報告與一致性(Domain-based Message Authentication, Reporting, and Conformance,名字很長,但請繼續看)建立在 SPF 和 DKIM 之上,讓網域擁有者可決定收件人的郵件伺服器應如何處理未能通過驗證檢查的電郵。他們可選擇將電郵隔離或拒收。此外,DMARC 亦讓網域擁有者可從電郵接收方收到有關哪些電郵通過或未通過驗證的報告,幫助你監察冒充者方面的情況。
SPF、DKIM 和 DMARC 會協同運作,以驗證寄件者身分的真實性,並防止電郵偽冒及網域冒充:
SPF 會驗證發送伺服器。
DKIM 可確保電郵內容及寄件者網域的完整性。
DMARC 提供政策及報告功能,讓你作為企業擁有人,可指定對未能通過驗證的電郵應採取甚麼行動,並在有人嘗試冒充你發送電郵時收到有關驗證結果的報告。
但為甚麼不選擇大品牌?
近年來出現了一種轉變,越來越多個人和企業不再依賴 Google、Apple 和 Microsoft 這類大型科技巨頭。
外界對這些公司如何處理資料的憂慮日益增加。 Google 在 2018 年曾發生知名的伺服器入侵事件,而 Microsoft 在 2021 年也曾發生類似事件,當中資料被非法存取。但更廣泛來說,真正令大眾開始質疑,在尚未考慮資料外洩之前,這些公司的資料是否已遭到妥協的,是 Edward Snowden 在 2013 年披露的事件,顯示 NSA 可能可直接存取大型科技公司的伺服器(以 PRISM 等計劃作為名義)。
因此,個人和企業都變得更加謹慎,並開始探索由規模較小、更加重視私隱的電郵服務供應商所提供的替代方案。
但不止如此。較小型的安全電郵服務供應商,除了我們提到的安全優勢外,還提供大型供應商沒有的東西。許多企業確實很喜歡它們所提供的靈活性和可自訂程度,以及更低、更 具競爭力的價格和可隨業務一同成長的方案。
有些小型企業可能只是單純不想透過自己的一點點支持,去加強那些巨頭對我們生活的壟斷控制,反而更願意支持較小型的公司。
商務電郵的未來
說到選擇合適的商務電郵,你應該既能獲得高水平的安全性,也能擁有一套讓商務電郵使用起來毫不費力的系統。這樣商務通訊便能更順暢流動,同時安全性永不妥協。
事實上,你應該能夠獲得一項安全、簡單的商務電郵服務,而它亦是 更廣泛網絡平台 的一部分。在這個平台上,你可以自動把你的 網域名稱 納入電郵地址中,並把其他網絡產品整合成你的理想方案——同時知道 平台的每一部分都很安全。它應該會隨時代更新和演進,因此 無論電郵的未來會是甚麼模樣,它都已準備就緒並具備應對能力。
這就是為甚麼我們創建了 Spacemail business email。這項技術是為「真正的人類」而設計,並會主動更新以擊敗最新的安全威脅。此外,它位於更廣泛的 Spaceship 平台之中,幫助你在網上各處更好地經營業務,並始終以安全和簡單作為標準——永遠如此。
常見問題
作為企業,你應該在電郵地址中使用自己的網域(yourname@yoursite.com)。選擇提供此功能的供應商,然後再評估你可能有的其他需求。這些需求會因你的企業規模及通訊量而有所不同。一般來說,應尋找把安全功能及資料保護放在優先位置的方案。
顧名思義,安全的電郵服務供應商以安全性為傲。這對企業非常重要,因為企業有責任保障客戶資料安全。有些較小型的平台定價較低,與較大型的平台相比,對小型企業尤其吸引。安全的電郵服務供應商亦可能提供額外功能——例如比大型供應商更容易新增多位使用者,以及建立 catch-all 和別名地址(大型供應商通常較針對個人而非企業)。
這是一個複雜的問題,我們在部落格中有更詳細的說明。一般來說,應留意帳戶安全功能(例如雙重驗證及加密儲存),同時也要尋找以電郵為基礎的安全功能(例如電郵驗證協定、垃圾郵件及惡意軟件過濾,以及防網絡釣魚保護)。
使用安全的電郵服務供應商是一項預防措施,而不是能為你帶來良好聲譽的東西。換個角度看,真正可能損害你企業聲譽的,是沒有使用安全的電郵服務供應商所帶來的後果。如果資料被盜,或有人誤信本來應該被放進垃圾郵件資料夾的詐騙訊息,你的企業可能會承受財務或聲譽上的後果(甚至兩者皆有)。
這取決於方案及你的企業規模。獨立商務電郵服務供應商的定價通常更能照顧小型企業的需要。話雖如此,大多數都會提供可升級的方案,隨著你的企業一同成長。因此,無論企業規模如何,對於想要可擴展且低成本方案的人來說,它們都是很好的解決方案。
許多安全的商務電郵服務供應商都提供遷移工具,讓你可以輕鬆轉移電郵、聯絡人,甚至資料夾結構。這可減輕原本可能變得不必要地複雜的流程所帶來的壓力。

分享您的想法