Papa Labs

邮件附件的零信任改造:所有附件先进沙箱,想要原件自己点

邮件附件是恶意载荷的头号入口——宏文档、伪装 PDF、套娃 zip、带密码的压缩包(密码写在邮件正文里,扫描引擎解不开,人却会乖乖输入)。我们在邮件安全网关上启用了附件零信任模式,思路值得记录。

新的附件体验

启用后,用户收到的邮件里看不到原始附件了

附件零信任流程:附件收缴 → HTML 入口 → 沙箱重扫 → 原件或 PDF 两种下载

附件的新旅程:先收缴,看的时候再验

  1. 无论原来有几个附件,一律被替换成一个 HTML 文件
  2. 用浏览器打开这个 HTML,看到附件清单,可以逐个查看或全部查看;
  3. 点击某个附件时,网关的双杀毒引擎 + 沙箱当场再扫一遍——即使是带密码的、多层嵌套的 zip 也在覆盖范围内(这正是传统”投递前扫一次”方案的最大盲区);
  4. 通过后给两个选择:
    • Download Original:拿原始文件;
    • Safe Download (PDF):不管原来是 Excel、Word 还是别的格式,一律转成 PDF 下载——宏、脚本、外链全部失效,看内容足够,风险归零。

这套设计好在哪

  • 扫描时点从「投递时」挪到「打开时」:投递时检测引擎可能还不认识某个新样本,几小时后打开时特征库已经更新——lazy scanning 天然利用了时间差;
  • 密码保护压缩包不再是免检通道:沙箱在用户提供上下文的场景下处理,绕过手段大幅减少;
  • PDF 转换是个被低估的杀手锏:大多数附件的使用场景只是”看一眼”——转 PDF 之后连”不小心启用宏”的机会都没有了。

代价与应对

任何安全收紧都有摩擦成本:

  1. 用户教育先行:附件变成 HTML 的第一天,报障量必然上升(“附件打不开了!”)。提前发公告 + 一页图文指引,能挡掉八成工单;
  2. 例外清单要克制:财务对账单、EDI 文件这类高频可信来源可以白名单,但每加一条都是在攻击面上开洞,要有审批记录;
  3. 留意批量下载场景:一封邮件几十个附件的业务(如报关文件),逐个点确认的体验很痛,要提前和业务部门对齐预期。

教训

  1. 附件安全的关键从来不是”扫得多严”,而是在哪个时点、以什么上下文扫——打开时重扫 + 沙箱,比投递时扫十遍都有效;
  2. 「转 PDF」这种降级手段,本质是把”打开文件”和”执行文件”解耦——大部分场景只需要前者;
  3. 安全功能上线 = 技术配置 20% + 用户沟通 80%。
← 全部文章