如今,邮件几乎成了工作场景中不可替代的工具。即便是在个人微信、QQ,或是阿里钉钉、腾讯TIM、企业微信等在线即时通讯工具繁多的当下,邮件仍然是日常办公中必不可少的沟通方式。从某种意义上来说,它更像是一个“官方文书”,更具有“公信力”。
正因如此,邮件系统中往往存储着企业及机构的大量敏感信息,一旦泄露将造成重大的安全事故。当年令业界哗然的「希拉里邮件门」就是非常典型的事件之一。
即便近几年来邮件安全已经得到越来越广泛的关注,但如360董事长周鸿祎所说,没有网络是无法被攻破的。随着技术的快速发展,网络与系统变得越来越复杂,其中的漏洞也会越来越多。网络世界的“攻与防”、软件系统的查缺补漏,已经变成“程序猿”的日常。
Coremail邮件安全事件回顾
最近,在邮件领域就有一个安全事件备受关注。今年3月,国内电子邮件企业Coremail的安全中心监测到了其邮件系统中的3个高危漏洞,随即向客户进行了“自曝”。在进行小范围测试及危害性验证后,Coremail立即发布了相关漏洞补丁并进行了版本更新和兼容性验证,对于波及对客户,陆续协助进行实际部署验证和安全加固等工作。
不过,这一安全漏洞问题却在网上经历了一段时间的持续发酵,一时间谣言四起。根据官方公告披露,该漏洞存在于Coremail的Web服务端口,攻击者可以通过访问apiws、mailsms、wmsvr接口和模块获取邮件服务配置信息(如:数据库连接账号密码),通过泄露的信息,从而进一步进行越权访问。
对此,Coremail论客CEO陈磊华日前接受了至顶网记者采访,并就此事进行了回顾。他透露,在Coremail自查发现问题后,网络中的几位“技术发烧友”对这些漏洞进行了反编译和研究,试图攻破安全防护。“经过追查,我们已经找到了这个团队,他们大多还是在校学生,所以发现漏洞对他们来说就像发现了宝藏一样。”陈磊华说。
此外,陈磊华还坦言,由于漏洞是常规自查发现,同时基于客户协议,为了避免给客户业务带来负面影响,Coremail并未在互联网上公布这一漏洞。这样的举措使得部分用户并未对漏洞给予足够重视及时打补丁,给了攻击者可乘之机。当然,他也声明称,虽然没有公之于众,但在发现漏洞的第一时间,Coremail就与波及客户进行了通报和一对一对接,并在收到用户反馈后立即将相关信息上报CNVD平台,进行了全网公开。
Coremail论客CEO 陈磊华
“从某种意义上来说,我们应该感谢这个黑客团队,他们让我们发现自己的更多缺陷和问题,并及时采取应对措施。”陈磊华强调。
强调邮件安全至上
正因如此,Coremail再次明确了“网络安全第一”的核心战略方向,并对内部的工作方式和工作流程等进行了全面调整。
一直以来,Coremail坚持的都是原厂服务,所有业务均不外包。对于用户而言,这是一种可靠的保障。而对于安全漏洞更是如此,为了避免黑客借打补丁和修复之名对用户进行非法攻击,从3月份开始,Coremail技术团队就开始7x24小时待命,为用户系统进行加固升级,主动联系、主动维护。
当然,不可避免地,这可能带来另一个问题,就是修复时间的拉长。没有第三方的介入,每一个客户的单子都由Coremail一一做排期,一一对接执行,这对于其技术团队来说压力是非常大的。
虽然业界普遍认为网络漏洞的黄金修复时间是48小时,但在国内市场,基本要半年左右才能完成全部的修复工作。“事实上,这与企业用户自身的重视程度和打补丁的速度有密切的关系。安全是一个系统工程,对于邮件安全,我国目前大部分人还没有普遍的安全防护意识,在日常的操作规范,以及遇到问题后的反应速度等方面仍有所缺失。”陈磊华表示,“对此,我们一方面明确了将‘客户邮件作为我们的头等大事’,在自己的产品上进行不断升级;另一方面也会不断教育市场,提高用户的认知。对于企业来说,邮件安全就像是一个‘桥头堡’,是必须守住的一道重要防线。”
据他介绍,Coremail不仅从内部管理上建立了安全防御体系,在安全漏洞、钓鱼邮件的应对及服务上保护用户隐私,并持续自查自纠。同时,还会与黑客团队及与安全专家合作进行攻防演练,其中就包括上文安全事件中的黑客团队。
推动技术自主可控
从国家层面来看,时至今日,我国对网络安全的重视已经到了空前的高度。而由于Coremail的客户不仅涵盖美的集团、华润集团这样的大型集团企业,以及人民银行、建设银行、交通银行等金融机构,同时还包括国家科技部、财政部、中科院等政府机构和学术研究机构,他们对网络的安全性和系统的自主可控有着极高的要求。因此,Coremail非常重视在邮件安全领域的持续投入,包括成立云安全服务中心,坚持24小时不间断服务,坚持自主研发等等。
据陈磊华透露,今年年初Coremail与华为达成生态合作,将在华为云上部署Coremail企业邮箱产品,这让Coremail成为了国内首家适配华为TaiShan服务器的邮箱品牌。
经过几个月的对接,目前Coremail与华为在技术层面已经基本完成了对接,并计划于7月正式进行战略发布。
“在这其中,我们付出了很多时间,不仅要确认合作的细节,还要进行严谨的技术测试,这是工程师之间的对话,非常复杂。我们也是一个个难关地过,一个个节点去对接。”陈磊华对至顶网记者说。
在自主可控方面,类似于与华为这样的合作还有不少,包括麒麟、永中等众多国内知名企业都支持Coremail邮件系统。陈磊华表示:“我们一直在主动寻求生态合作伙伴,希望能够打通从CPU到操作系统到上层的生态体系,从而为客户提供更好的自主可控的技术和产品。”
聚焦用户体验
作为20多年的邮件企业,Coremail见证了工作场景发生的一点一滴的变化。除了邮件安全,用户对于邮件处理效率要求越来越高、对于邮件使用的便捷性体验要求越来越显性化了、邮件与其它系统的结合也越来越紧密了……总结成两点,一是邮件安全,二是投递品质。
因此,基于协同办公场景,Coremail仍在不断丰富自己的产品功能和服务,以邮件系统为起点在垂直领域进行产品研发。如今,Coremail的产品涵盖了邮件系统、企业邮箱、邮件归档系统、邮件投递系统、海外云镜像加速、企业协同工具等,用户量超过了10亿。
陈磊华介绍,Coremail能够获得今天的成就,主要源于两方面:第一,能够针对不同行业客户的具体应用场景定制化相应的解决方案。比如,在学校中大量新生数据如何快速批量导入、毕业生如何转变为校友身份,在集团企业中如何做到统一的管控和部署等等,都需要不同的方案来支持。第二,云服务中心的自助服务和原厂人工服务的搭配。
“我们非常看重投递品质,这跟快递服务是一样的。因此,在专利和技术方面我们也在做持续的投入,从而保证用户的体验。”陈磊华表示,“其中就包括与人工智能、机器学习等新兴技术等结合。”
为此,Coremail还在去年年底成立了论客α实验室。当前,实验室聚焦基于邮件的数据智能、数据安全、网络安全三个方向的落地研究,以产学研合作方式切入,与清华大学深圳研究生院、中山大学、南京大学、华南理工大学、广州中科院软件所等高校、科研院所进行联合,开展了三个领域中与邮件业务相关的关键技术研发与产品原型开发,并对相关项目进行孵化,把合适的成果导入企业进行产业化转换。
仅仅半年时间,论客α实验室已经有不少项目被孵化。比如,通过对网络攻击、安全事件等进行系统整理与可视化呈现,向相关的管理归口进行安全实时预警和策略响应,全面保障电子邮件安全;比如,在电子取证、多模态恶意垃圾邮件识别、企业运营风险等方面与科研机构和高校合作进行研究和联合技术开发等等。对于Coremail来说,这既是生态合作的延展,同时也将成为其产品不断升级和创新的重要方式。“我们会不遗余力地在这方面进行投入,确保用户的体验,这是我们的优势和核心。”陈磊华说。
(新闻稿 2019-07-03)
