近期，電子郵件安全問題登上熱搜，受到社會各界廣泛關注。中國計算機學會青年計算機科技論壇CCF YOCSEF西安緊急行動，協調業界學界頂尖專家資源，聚焦電子郵件安全問題，於2022年7月2日成功舉辦“電子郵件安全技術特別論壇”。

　　本次論壇共有7位嘉賓、200多位全國各地網絡安全領域學者和技術人員參與線下和線上討論，通過引導發言、實戰演練和技術思辨等環節，深度挖掘了現有郵件服務體係存在的根本性安全問題，極大提高了普通用戶對“真假善惡”郵件的辨識意識。

　　論壇由中國計算機學會(CCF)主辦，CCF YOCSEF西安承辦，西安電子科技大學武越、西安交通大學馬小博擔任執行主席，西北工業大學蔣曉悅擔任線上微論壇主席。中國計算機學會青年計算機科技論壇(Young Computer Scientists & Engineers Forum，YOCSEF)是CCF於1998年創建的係列學術活動。CCF YOCSEF以“承擔社會責任、提升成員能力”為宗旨，由來自全國有激情、有思想並富有社會責任感的學者、企業家和其他各界青年精英參與策劃、組織，是CCF最具活力的部分。

論壇現場

　　在引導發言環節，天空衛士(成都)安全創新實驗室主任吳雪陽、綠盟科技天元實驗室研究員高東、四川大學Web攻防實驗室負責人黃誠、西安交通大學網信中心鄭劉瀟分別從智能防禦、社會工程、內容安全、安全運維四個不同視角，結合實際案例，直觀深入的展示了現有電子郵件係統麵臨的各類安全問題。

　　智能防禦視角：多源威脅情報助力郵件安全，智能防禦技術點多麵廣

　　吳雪陽以《創新技術應對郵件安全新挑戰》為題，結合實際釣魚郵件案例，介紹了天空衛士基於內容識別技術和威脅情報大數據的實時防釣魚技術，以及智能惡意郵件防禦技術的實現機製。

　　社會工程視角：釣魚欺詐詭計多端防不勝防，安全演練強化安全防線

　　針對惡意郵件類型及其危害，綠盟科技天元實驗室研究員高東就《諜影迷蹤，社會工程學突破馬奇諾防線》進行了報告，介紹了常見的惡意郵件的形式，以及如何通過培訓、安全演練等方式來提高用戶的安全防範意識。

　　內容安全視角：郵件係統內容安全問題突出，人工智能對抗此消彼長

　　四川大學Web攻防實驗室負責人黃誠就題目《郵件係統及內容威脅分析與對策》進行了報告，係統闡述了郵件係統安全、郵件內容安全方麵存在的突出問題，並提出了各種基於人工智能的應對策略。

　　安全運維視角：偽造發件人隻需三十行代碼，用戶安全意識急需提升

　　西安交通大學網信中心鄭劉瀟針對《高校網絡運維視角下的惡意郵件分析與防範》進行了報告，主要介紹了麵向高校網絡的惡意郵件問題及其應對策略。並現場實際演示，僅通過三十行的代碼即可偽造發件人投遞郵件。

偽造郵件真實案例

線上頒發證書

線下頒發證書

思辨環節論點與嘉賓

　　本次論壇還就郵件安全麵臨的問題以及如何快速推動郵件安全技術和用戶辨識意識兩個論點進行思辨討論。

　　浙大“百人計劃”研究員、國家級青年人才紀守領博士表示，安全問題有很多，郵件安全裏麵人的因素很難解決，技術層麵需要進行攔截，人員需要進行教育，法律需要完善。聯通數字科技有限公司安全事業部總監魯華偉表示，郵件還是一種主要工作交流形式，但是郵件係統自身有漏洞，技術上必須要進行完善。清華大學陳建軍博士提出，郵件協議的最初設計缺乏安全機製。郵件認證擴展機製缺乏廣泛部署。郵件協議設計複雜性帶來的實現不一致漏洞會難以逾越。

　　現場嘉賓提出一些學術期刊的郵件經常被判定為垃圾郵件。武越博士表示，現在很多正常郵件都在垃圾郵件裏麵，導致大家經常在垃圾郵件裏麵翻看郵件。高東對此進行了解釋，郵件的判斷是通過多種特征進行判讀，郵件安全技術需要針對不同的領域做出定製化部署和配置。

現場討論

鄭劉瀟發言

高東進行現場解釋

　　針對推動郵件安全技術問題，各位嘉賓表示郵箱的安全機製認證部署不夠廣泛，現有部分郵件係統的防禦能力過於薄弱。近年來，國家打擊電信詐騙力度加大，電信詐騙得到顯著遏製，但惡意攻擊郵件一直未從根本上緩解。

　　陳建軍博士建議，應推廣郵件係統安全認證，增加郵件客戶端的顯示信息給用戶更多的選擇，郵件係統應在可用性與安全性之間找到平衡點。魯華偉指出，可通過“三檢測一關聯”提升郵件係統安全性，即場景分析、關聯分析，郵件主機的檢測，流量的檢測，以及現有各類信息的關聯性分析。在用戶意識方麵，可以進行密碼升級，登錄的多形式驗證，病毒的檢測，養成良好的使用郵箱的習慣等。

　　論壇現場進行了熱烈的討論，嘉賓提出學術界可從算法層麵進行改進，廠商可以從用戶最低安全敏感度出發設計產品、推動技術的部署，用戶需要有知情權，倒逼郵件服務提供商加強各類安全技術的部署。

　　通過多角度思辨，與會專家高度肯定了郵件安全防範技術及用戶安全意識的重要性以及意義，並形成以下共識：

　　共識1：郵件安全產品和技術較為豐富，但由於各個郵件服務提供商的自治性和自主性，導致部分郵件服務器嚴重缺乏已有安全技術的部署和應用;

　　共識2：郵件安全產品和技術不能按照通用配置部署在不同網絡中，而是應該根據具體網絡的用戶業務屬性，開展個性化的安全參數配置;

　　共識3：用戶郵件安全意識不是比較弱，而是幾乎沒有，最基本的用戶防範意識需郵件服務提供商通過技術輔助手段加以提醒和加強。

　　在本次論壇之後，YOCSEF西安將麵向普通郵件用戶，形成惡意郵件安全防範實用小貼士，並聯合西安各大高校等單位的網信部門宣傳推廣，提升用戶的安全防範意識，增強郵件使用的安全性。