2025年中国企业邮箱安全性研究报告-

2025主要观点不论是从独立域名注册量、活跃用户量还是邮件收发量来看，企业邮箱用户近三年来都呈现出持续增长态势。受企业数字化转型、AI技术普及等因素影响，企业邮箱重新受到企业用户的重视。日本、荷兰、越南成为新兴的海外恶意邮件策源地。而香港则成为国内最大的恶意邮件策源地，值得邮件系统运营者特别关注。异常登录、冒充询盘、文件传输和在线文档等钓鱼邮件攻击模式在以往并不常见，但在2025年却开始大规模流行。特别是在线文档模式，不使用任何恶意链接或恶意程序，就能成功地窃取受害者敏感信息，极具迷惑性，也非常难以识别。这些新型攻击模式值得特别关注。2025年第四季度，银狐黑产团伙进入高度活跃期，频繁针对各类机构发动邮件诈骗攻击，引发国内各家安全机构的高度关注。该团伙已经实现了钓鱼投毒一体化的攻击能力。在带毒邮件的Top10后缀名中，有7种为压缩文件格式，还有一种打包格式。由此可见，压缩打包是邮件攻击者最喜欢使用的病毒隐藏方式。摘要截至2025年底，国内注册的企业邮箱独立域名约为550万个，较2024年增长3.8%，创下近7年来最大涨幅。活跃企业邮箱用户规模约为2.2亿，较2024年增长10.0%。在国内企业邮箱用户收发的所有邮件中，正常邮件占比46.9%、垃圾邮件占比35.8%、钓鱼邮件11.5%、带毒邮件5.8%、谣言邮件0.05%，色情、赌博等违法信息推广邮件约0.04%。来自中国的垃圾邮件最多，占比39.3%，来自美国的垃圾邮件次之，占比15.2%，第三是荷兰，约占3.0%。仅就国内情况来看，来自香港的垃圾邮件最多，占比高达19.6%。来自中国的钓鱼邮件最多，占比38.0%；其次是越南，约占12.4%；美国排名第三，约占10.7%。其中，越南是首次进入排行榜TOP10，并一跃超过美国位列第二。从钓鱼邮件的类型来看，身份验证占比29.8%，异常登录占比24.7%、补贴退税占比16.2%，是三大主流钓鱼邮件类型，合计占比为70.7%。带毒邮件的发送者多集中于美国和欧洲。其中，来自美国的带毒邮件最多占全球带毒邮件的24.4%；荷兰排名第二，占比13.8%；德国排名第三，占比11.1%。通过对带毒邮件附件文件的后缀分析发现，2025年，.zip和.rar两种压缩格式最为常见，占比分别为32.9%和28.3%，二者之和为61.2%，超过六成。2025年，国内电子邮箱账号被盗规模高达1185.8万个，较2024年的1074.0万个增长了10.4%，连续6年持续增长，占全年活跃邮箱账号总量的5.5%。在高危邮箱账号中，51.7%以上来自教育培训行业。政府及事业单位占比11.7%。此外，IT信息/互联网、医疗卫生、金融等行业，也都是高危邮箱账号的重灾区。关键词：企业邮箱、垃圾邮件、钓鱼邮件、带毒邮件、暴力破解研究背景 1第一章电子邮箱应用形势 2一、电子邮箱的使用规模 2二、电子邮箱用户行业分布 3三、电子邮件的地域分布 5四、电子邮件安全防护重要性 5第二章垃圾邮件形势分析 6一、垃圾邮件的规模 6二、垃圾邮件发送源 6三、垃圾邮件受害者 7第三章钓鱼邮件形势分析 9一、钓鱼邮件的规模 9二、钓鱼邮件发送源 9三、钓鱼邮件受害者 四、钓鱼邮件的类型 五、钓鱼邮件典型案例 第四章带毒邮件形势分析 30一、带毒邮件的规模 30二、带毒邮件发送源 30三、带毒邮件受害者 31四、带毒邮件的类型 32五、带毒邮件典型案例 32第五章邮箱盗号形势分析 40一、邮箱盗号的规模 40二、暴力破解的形势 40三、邮箱盗号的影响 41第六章银狐黑产团伙邮件诈骗活动分析 43一、银狐攻击手法综述 43二、银狐诈骗数量及趋势 44三、银狐诈骗核心特征 45四、发信维度分析 47第七章邮件风险趋势分析 48一、新的全球邮件攻击策源地逐步形成 48二、钓鱼投毒一体化攻击模式逐渐成熟 48三、文件传输与在线文档等新型钓鱼模式出现 48四、AI应用培训成为垃圾邮件新热点 49附录1CACTER邮件安全品牌介绍 50附录2CACTERAI原生邮件安全网关产品介绍 51附录3CACTERAI原生邮件数据防泄露系统EDLP 53附件4奇安信网神邮件威胁检测系统 551研究背景在中国当前网络空间形势下，社交网络日益发达，电子邮件发展至今已有几十年历史，但仍是最重要的现代互联网应用之一。从个人生活到工作场景的使用，邮件都在现阶段人们的生活中扮演着不可或缺的角色。近年来中国企业信息化办公程度逐年升高，更是大大促进了企业邮箱的使用，同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。针对邮件系统在使用时存在的问题，奇安信行业安全研究中心联合Coremail邮件安全人工智能实验室、CACTER邮件安全研究团队，自2016年起合作编撰《中国企业邮箱安全性研究报告》，截至今年已连续发布十年。报告数据主要来自Coremail与奇安信集团联合监测，报告内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体，从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。本报告结合了Coremail、CACTER邮件安全与奇安信集团多年在企业邮箱领域的丰富实践经验及研究经验，相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位，开展以邮件防护为基础，增强完善整体网络安全建设，提供一定参考。2第一章电子邮箱应用形势综合邮箱的独立域名数、活跃用户数和邮件收发规模三项指标来看，2025年，电子邮箱的使用再次进入活跃高增长期。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截至2025年底，国内注册的企业邮箱独立域名约为550万个，相比2024年的530万个增长了3.8%，创下近7年来最大涨幅。活跃的国内企业邮箱用户规模约为2.2亿，与2024年用户规模2.0亿相比增长约10.0%。2018年以来，国内企业级电子邮箱独立域名与活跃用户规模变化趋势如下图所示：从电子邮箱的使用情况来看，2025年，全国企业级邮箱用户共收发各类电子邮件约8925.4亿封，同比增长了9.0%，日均收发电子邮件约24.5亿封。3其中，正常邮件占比约为46.9%、普通垃圾邮件占比为35.8%、钓鱼邮件11.5%、带仅就正常邮件而言，统计显示，全国企业邮箱用户在2025年共收发正常电子邮件约4186.0亿封，比2024年增长9.3%，平均每天收发正常电子邮件约11.5亿封。不同于个人邮箱，企业邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，2025年企业用户发送的电子邮件中，约33.7%为机构内部邮件，24.2%为外部邮件，42.1%为内外通发邮件（收件人既有机构内部，也有机构外部）。对中国政企机构独立邮箱域名的抽样分析显示，从域名注册量来看，工业制造类企业注册的邮箱域名最多，占比为31.4%，其次是交通运输行业占比11.6%，互联网占比8.0%；还4有IT信息技术占比7.3%，外资机构占比6.9%，金融行业占比6.2%等，这些都属于电子邮箱使用独立域名较多的行业。受AI技术蓬勃发展的影响，与2025年相比，互联网、IT信息技术相关行业的域名注册数量有显著提升。如果从正常邮件的发送量上来看，工业制造和交通运输行业发送的邮件数量最多。工业制造类企业全年发送的邮件数量，约为全国邮件发送总量的18.7%，排名第一；交通运输占比16.5%，排名第二；媒体占比为12.1%，排名第三；互联网、IT信息技术、教育培训等行业也都是邮件发送量较多的行业。具体占比如下图所示：对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，媒体、教育培训与医疗卫生等行业对邮件办公的依赖度最高。特别的，本次报告对.edu（教育）、.org（组织机构）和.gov（政府）三个域名的邮箱使用情况进行了分析。其中，.邮箱域名在全国占比为0.07%，.的邮箱域名占比约为0.09%，.邮箱域名占比为0.03%。而从正常邮件发送量上来看，.邮箱占3.72%，.邮箱占0.88%，.邮箱占0.18%。5统计显示，2025年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占71.5%；海外收发28.5%。从服务器的所在地来看，2025年，国内企业邮箱服务器设在北京的数量排名第一，占比为16.9%；上海排第二，占比为14.0%；香港排名第三，占比11.2%。相比于2024年，香港地区的邮件服务器大幅增加了5.3个百分点。等恶意内容占比超过17%，日均威胁量超4.2亿封。特别是钓鱼邮件同比增长了2.3个百分点，攻击手段持续复杂化。此类高风险邮件可能导致商业机密泄露、财务欺诈甚至关键系统瘫痪，对高度依赖邮件办公的行业（如媒体、教育培训、医疗卫生等）冲击尤为显著。值得注意的是，.edu（教育）、.gov（政府）等敏感域名虽注册量不足0.1%，但邮件发送量占比显著（如.占正常邮件3.72%）。这类机构作为公共信息枢纽，一旦安全防线失守，不仅会引发敏感数据外泄，更可能削弱公众对数字政务、在线教育等服务的信任基础。由此可见，强化邮件安全防护（如反钓鱼技术、内容过滤）对维护企业持续运营、保护用户信息安全、保障社会网络空间稳定愈发重要。6第二章垃圾邮件形势分析根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，2025年，全国企业邮箱用户共收到各类普通垃圾邮件3195.3亿封，约占企业级用户邮件收发总量的35.8%，是企业级用户正常邮件数量的76.3%。普通垃圾邮件的收发量较2023、2024两年有小幅增加，而其他恶意邮件的收发量显著增多。具体分布如下图所示：从发送者邮箱域名归属情况来看，2025年，全国企业邮箱收到的垃圾邮件中，来自国内的垃圾邮件最多，占总数的39.3%，来自美国的垃圾邮件次之，占总量约15.2%，第三是荷兰，约占3.0%。下表给出了按照垃圾邮件数量统计的，历年垃圾邮件发送源国别归属排行Top5。在近5年的监测中，荷兰与日本首次排入Top5，成为最新值得关注的垃圾邮件发送源。此外，越南也首次进入前十名，而俄罗斯则首次跌出Top5。仅从垃圾邮件源控制情况来看，虽然同处于战争中，但俄罗斯的网络安全治理有明显改善，而乌克兰则变化不大。7仅就国内情况来看，从发送者的域名归属地来看，来自香港的垃圾邮件发送者最多，占比高达19.6%，其次为北京，占比13.1%，江苏排第三，占比10.2%。实际上，2024年排名前三的北京、江苏、广东，其2025年垃圾邮件发送者域名在全国的占比情况变化不大，但香港的占比却从2024年的8.4%，一跃提升至2025年的19.6%，翻了一倍多。这也是香港在历史上首次成为国内企业级邮箱用户的第一大垃圾邮件发送源。下图给出了国内垃圾邮件发送源域名归属省份Top10：对发送垃圾邮件的邮箱域名进行抽样行业分析显示，2025年，国内垃圾邮件发送源中教育培训占比最高，为8.9%；其次为工业制造类企业，占比6.0%；互联网企业排名第三，占比3.2%。下图给出了国内垃圾邮件发送源行业分布：从收到垃圾邮件的受害者服务器所在地来看，2025年北京用户收到的垃圾邮件最多，占全国垃圾邮件总量的18.1%；其次为广东，收到了全国14.7%的垃圾邮件；上海排名第三，8收到了全国13.3%的垃圾邮件。下图给出了国内企业邮箱用户中垃圾邮件受害者的省级行政区分布Top10。国内垃圾邮件受害者所在行业也比较集中，排名前十的行业收到的垃圾邮件数量，占垃圾邮件总数的75.1%。其中，工业制造行业排名第一，约占垃圾邮件总数的20.1%；教育培训排名第二，约占15.9%；排名第三的行业为交通运输，占11.2%。具体Top10行业排名如下图所示。9第三章钓鱼邮件形势分析在本章内容中，钓鱼邮件是指含有恶意欺诈信息的邮件，包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、非法邮件等。其中，鱼叉邮件是指针对特定目标投递特定主题及内容的欺诈电子邮件。相比一般的钓鱼邮件，鱼叉邮件往往更具迷惑性，同时也可能具有更加隐秘的攻击目的。而钓鲸邮件则是指那些专门针对企业高管或重要部门进行的鱼叉邮件攻击。而CEO仿冒邮件则是指冒充企业高管对公司员工或某些部门进行的鱼叉邮件攻击。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，2025年，全国企业邮箱用户共收到各类钓鱼邮件约1026.4亿封，相比2024年收到各类钓鱼邮件的755.0亿封增加了35.9%。网络钓鱼攻击事件逐年增加，钓鱼邮件数量在2021年短暂抑制后，持续4年迅猛增长。钓鱼邮件作为网络攻击最常用的手段，可以说是自电子邮件诞生以来一直存在的安全威胁。2025年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的11.5%，平均每天约有2.8亿封钓鱼邮件被发出和接收。换种说法，即平均每个企业邮箱用户每月会收到约38.9封钓鱼邮件。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心联合监测，钓鱼邮件的发送者遍布全球，其中，来自中国的钓鱼邮件最多，占国内企业用户收到钓鱼邮件总量的38.0%；其次是越南，约占12.4%；美国排名第三，约占10.7%。其中，越南是首次进入排行榜TOP10，并一跃超过美国位列第二。公开资料显示，2025年，越南先后多次爆发关键数据大规模泄露事件，一跃成为全球新兴的攻击策源地和“跳板”。下表给出了历年针对国内企业级用户的钓鱼邮件发送源国别排行Top5（按钓鱼邮件发送量统计）。可以看出，2025年，来自国内发送源的钓鱼邮件数量占比虽小幅下降至38.0%，但仍稳居第一。国内企业邮箱安全问题仍然十分突出。从国内钓鱼邮件发送源的服务器所在地来看，香港排名第一，有47.5%的钓鱼邮件来自香港的邮箱，香港连续两年成为国内发送钓鱼邮件最多的省级行政区；江苏排名第二，有约7.8%的钓鱼邮件源自该省；另有约7.7%的钓鱼邮件来自辽宁。值得一提的是，在此项指标中，香港虽然于2024年首次在国内排名第一，但占比仅为17.8%，而2025年的占比则接近半数。此外辽宁2024年在国内仅排名第九，2025年则位列前三，也十分值得关注。2024年排名第四的北京，2025年则跌出了前十，该地区的邮件安全治理成果值得肯定。国内钓鱼邮件发送源发送钓鱼邮件数量Top10省级行政区分布如下图所示：从收到钓鱼邮件的受害者服务器所在地来看，北京用户收到的钓鱼邮件最多，有22.8%的钓鱼邮件被发送至北京的企业邮箱用户；另有约16.4%的钓鱼邮件被发送给广东用户；约14.5%的钓鱼邮件被发送给上海用户。2025年国内钓鱼邮件受害者数量Top10省级行政区分布如下图所示：国内钓鱼邮件受害者所在行业也比较集中，排名前十的行业收到的钓鱼邮件数量，占钓鱼邮件总数的75.3%。其中，工业制造行业排名第一，约占钓鱼邮件总数的24.3%；教育培训排名第二，约占14.1%；排名第三的行业为交通运输，约占9.4%。具体Top10行业排名如下图所示。从具体内容来看，2025年流行的钓鱼邮件主要有10种类型，分别是：身份验证、异常登录、补贴退税、银行卡诈骗、虚假退信、系统升级/扩容、虚假电子发票、冒充询盘、快递包裹、文件传输/在线文档。其中，身份验证占比29.8%，异常登录占比24.7%、补贴退税占比16.2%，是三大主流钓鱼邮件类型，合计占比为70.7%。特别的，异常登录这种类型的钓鱼邮件，在往年的监测中并不常见，但却在2025年一跃成为排名第二的钓鱼邮件类型。这是一种典型的专门以安全为由破坏安全的攻击活动，值得特别关注。具体分布，详见下图。下面将给出2025年流行的钓鱼邮件典型案例。1.身份验证这是一类专门诱骗受害者在虚假的钓鱼网站上，进行身份验证或身份备案的钓鱼邮件，目的是盗取受害者的账号、口令和个人信息。此类邮件诱骗受害者的理由多种多样，最为常见的是以保护邮件系统安全性为由要求用户进行身份验证，具体理由包括但不限于离职员工邮箱管理、账号密码重置、邮箱被感染等。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。下图为以“安全措施”为由要求用户在钓鱼网站链接上进行身份验证的钓鱼邮件。以账户密码到期为由要求进行身份验证的钓鱼邮件。以邮件状态更新、邮箱需要备案为由要求进行身份验证的钓鱼邮件。以邮箱被感染为由要求进行身份验证的钓鱼邮件。2.异常登录这是一种专门冒充安全管理系统或安全管理人员，向受害者发送虚假安全预警信息的钓鱼邮件。邮件通常以监测到受害者邮箱账号存在异常登录行为为借口，要求受害者进行安全处置或安全验证，并在邮件中提供虚假的处置入口或验证链接，骗取受害者输入邮箱账号和口令。异常登录类钓鱼邮件是一种典型的，专门以安全为由破坏安全的攻击活动。严格地说，异常登录类钓鱼邮件也可以被归纳为身份验证类钓鱼邮件的一个变种。这种类型的钓鱼邮件在以往并不多见，所以一般并不需要单独分类。但2025年，这种类型的钓鱼邮件却呈现出爆炸式增长态势，占比高达24.7%，一跃成为排名第二的钓鱼邮件类型，值得安全工作者重点关注。因此，在本次报告中，我们将这种类型单独列举出来。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。3.补贴退税这是一类专门冒充国家有关部门或公司人力资源部门，打着给员工发放补贴、办理退税等借口，诱骗企业员工登录钓鱼网站，以骗取受害人个人信息的钓鱼邮件。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。4.银行卡信息诈骗这是一类冒充银行或者支付平台，以银行卡信息需要验证、支付功能故障、信用卡到期等为借口，诱导收件用户进入钓鱼链接，以骗取受害人个人信息及钱财的钓鱼邮件。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。其中绝大多数为冒充境外金融机构诈骗邮件，很多邮件甚至直接使用的就是日文或英文。客观地说，这些外文邮件对国内用户的迷惑性并不很大。疑似这些诈骗邮件的发送团伙为针对外国人的境外诈骗组织，但发送邮件时并未详细甄别并滤除中国的邮箱用户。5.虚假退信这是一类冒充邮件自动回复系统，通过谎称受害人发送的邮件被退信的方式，诱导受害人打开钓鱼链接进行不当操作的钓鱼邮件。下图是2025年截获的此类钓鱼邮件的最新真实案例。6.系统升级/扩容这是一类冒充信息化部门或邮件服务系统，专门以系统升级或系统扩容等理由，诱骗受害者在钓鱼网站上登录，从而盗取受害者账号、口令等信息的钓鱼邮件。下图是2025年截获的此类钓鱼邮件的最新真实案例。7.虚假电子发票这是一类冒充商家，专门通过发送虚假发票信息，诱骗受害者下载电子发票，从而盗取受害者个人信息和公司财务信息的钓鱼邮件。其中，还有部分此类邮件诱导受害者下载的所谓电子发票，实际上是木马、病毒等恶意程序。需要说明的是，由于电子发票目前在生活、工作中的应用非常广泛，所以不论是单位或个人，收到电子发票相关的邮件，一般都不会感到意外，下载发票或点开附件都是常事。但如果总是习惯性地忽视“正常”发票邮件中可能夹杂的钓鱼/带毒邮件，就有可能给个人或企业造成重大的损失。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。8.冒充询盘询盘，泛指客户对商家出售商品的性能、规格、价格等各个方面信息的咨询过程。冒充询盘是一类通过冒充潜在客户，通过对商家的虚假询盘，诱骗商家销售或客服人员与骗子进行沟通的钓鱼邮件。此类邮件中还常常包含下载链接，诱导受害人下载仿冒的社交软件或虚假的订单文件，进而对受害者的电脑、手机等设备实施进一步入侵的控制。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。9.虚假快递这是一类专门冒充快递公司，以结算、包裹等名义发出的钓鱼邮件，其中给出的地址、联系方式等信息多有不清楚或显著错误的情况，从而诱使受害者点击钓鱼网站链接进行查看或修改。此类邮件或者是夹带恶意附件，或者是通过钓鱼网站链接盗取受害者个人信息。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。10.文件传输/在线文档这是一类以办公协作为借口，通过协同办公文档实施欺诈的钓鱼邮件。此类钓鱼邮件是2025年快速兴起的一种比较新颖的攻击方法，主要分为文件传输和在线文档两种模式。文件传输模式主要是通过邮件附件，直接向受害者发送含有欺诈链接的专项奖励、会议纪要等各类协作办公文件。文档中的欺诈链接会诱导受害者在钓鱼网站上泄露敏感个人信息或公司商业机密。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。首先来看两个文件传输模式的钓鱼邮件。第一个案例的邮件以《2025年度专项奖励发放通告》为主题。邮件附件是名为《专项奖励细则.docx》的word文件。该文件打开后，是一份假冒的红头文件，标题为《关于2026年工薪综合补贴发放通知》，其中不仅给出了一个虚假的“办理地址”，还提示用户必须在限定时间内进行办理。点开附件中的虚假链接后，会进入一个仿冒的国家人社部官网。点击钓鱼网站上的“立即申报”按钮，会跳入到一个虚假的补贴申领页面。该页面要求用户输入姓名和身份证号码等个人隐私信息，从而实现对用户个人信息的盗取。下面是一封主题为《关于上周会议纪要通知》的邮件。邮件的附件是名为《上周会议纪要.docx》的Word文档。打开附件后，同样会出现一篇题为《关于2026年工薪综合补贴发放通知》仿冒红头文件。文件内容与前述案例基本相同，只是要求认证的时间有所调整。在线文档模式则是一种设计更为巧妙的新型钓鱼邮件。此类钓鱼邮件会给出一个共享的在线文档链接，要求收件人参与在线文档的协同编辑。而此类协同办公文档大多会要求受害者填写姓名、身份证、电话号码等信息，从而使攻击者直接获取了受害者的敏感个人信息。以下几图为2025年截获的在线文档模式下的钓鱼邮件真实案例。第四章带毒邮件形势分析根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心联合监测评估，2025年，全国企业级用户共收到约517.7亿封带毒邮件，同比2024年收到的444.6亿封带毒邮件，增长了16.4%。2025年企业级用户收到的带毒邮件量约占用户收发邮件总量的5.8%。平均每天约有1.4亿封带毒邮件被发出和接收。Coremail邮件安全人工智能实验室与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。据统计，带毒邮件的发送者多集中于美国和欧洲。其中，来自美国的带毒邮件最多，占全球带毒邮件的24.4%；荷兰排名第二，占比13.8%；德国排名第三，占比11.1%。下表给出了历年针对国内企业级用户的带毒邮件发送源国别排行Top5。对比过去几年的情况可以发现，仅就国内企业级用户来看，带毒邮件发送源始终以境外为主。2023年以后，来自中国境内的带毒邮件，占比始终在3%左右（2025年为3.1%）。同时，带毒邮件发送源也在向Top5国家不断聚集，Top5之外的国家总占比从2022年的50.4%，一路下跌至2025年的38.5%。此外，荷兰在2024年首次排入Top5，并连续两年保持排名第二。而德国和日本则是首次排名进入Top5，值得关注。从收到带毒邮件的受害者服务器所在地来看，2025年北京用户收到的带毒邮件最多，全国占比高达31.3%；其次为广东，全国占比16.9%；上海排名第三，全国占比13.3%。下图给出了国内企业邮箱用户中，带毒邮件受害者的省级行政区分布Top10。国内带毒邮件受害者所在行业也比较集中，排名前十的行业收到的带毒邮件数量，占带毒邮件总数的80.7%。其中，工业制造行业排名第一，约占带毒邮件总数的21.4%；教育培训排名第二，约占16.6%；排名第三的行业为交通运输，占11.3%。Top10行业具体排名如下图所示。通过对带毒邮件附件文件的后缀分析发现，2025年，.zip和.rar两种压缩格式最为常见，占比分别为32.9%和28.3%，二者之和为61.2%，超过六成。其中，.zip格式的占比较2024年的13.5%，增长了19.4个百分点，一跃超过.rar，排名第一。而.rar格式的占比也较2024年的24.7%提升了3.6个百分点。.7z格式占比为7.0%，排名从2024年的第五位提升至第三位。的后缀名中，有7种为压缩文件格式（.zip、.rar、.7z、.gz、.z、.001、.arj）。其中，.001后缀是分片压缩文件的后缀，也可以使用解压软件打开。此外，还有一种打包格式.tar。由此可见，压缩打包是邮件攻击者最喜欢使用的病毒隐藏方式。尽管使用最新的邮件安全引擎，已经能够很好地识别出绝大多数此类带毒邮件，但普通用户在遇到压缩包格式的邮件附件时，仍需遵循谨慎原则：对于来源不明的压缩包，应直接拒绝打开；对于确有必要使用的附件，切勿直接双击，应在下载后首先使用杀毒软件进行扫描，确认安全后再打开。带毒邮件的攻击负载通常会夹带在邮件的附件当中。下面将给出2025年流行的带毒邮件典型案例，其恶意附件分别采用以下几种伪装及攻击形式：图标伪装的EXE文件、后台运行的HTA文件、滥用合法签名的白加黑文件、采用JSfuck的特殊编码文件。1.图标伪装的EXE文件在这类带毒邮件中，附件通常为各种格式的压缩包，压缩包会包含一个后缀名为.exe的可执行程序，但攻击者会将可执行程序的图标伪装成常用的办公文件图标，诱骗受害者点击执行恶意程序。下面是2025年截获的一封来自银狐组织带毒邮件。邮件主题为《关于公司内部裁员通知》，极具迷惑性，很容易诱使员工打开邮件附件。邮件附件是一个名为《公司内部裁员通知.rar》的压缩文件，邮件正文中还附上了查阅密码【789789】。需要说明的是，对于没有经验的受害者来说，在邮件中收到一个压缩文件，还有压缩密码，表面上看起来似乎很正式，似乎更可信。但对于有保密经验的人来说，将密码与压缩包通过同一路径发送的行为本身，就是完全不符合保密要求的“怪异”行为。因为将解压密码与加密压缩包一同发送，等效于没有设置解压密码。正确的方式应当是通过邮件发送压缩包，再通过短信、办公社交软件等其他方式发送解压密码。这样的操作才是安全的。打开压缩包后，会看到一个图标为Excel，但实际后缀名为.exe的可执行文件，如下图所示。打开该文件后，病毒便会在后台运行。有些时候，病毒文件也会在前台运行一个Excel文件以增强迷惑性。需要说明的是，在Windows环境下，文件图标实际上是可以任意设置的，并不需要什么特别的黑客技术。总结来看，该带毒邮件的攻击逻辑是：首先以裁员通知为名，向受害者发送一封极具吸引力和诱惑力的邮件，之后通过压缩包进行自我伪装并以此逃避安全检查，最后再将可执行文件的图标伪装成常用办公文件图标，诱使受害者打开并运行病毒文件。2.后台运行的HTA文件在这类带毒邮件中，恶意程序通常是以HTA为后缀名的可执行文件。HTA也是2025年病毒邮件常用的后缀，其含义是HTMLApplication，是一种基于网页技术（HTML、CSS、JavaScript/VBScript）编写的Windows本地应用程序，但其运行机制与普通网页有较大的区别。它并不需要调用浏览器来运行，而是双击之后，由系统自带的“mshta.exe”解析执行。下面是一封2025年截获的，伪装成商业订单的英文带毒邮件。其邮件正文内容翻译成中文大致如下：“亲爱的信息（原文中的怪异写法），早上好。请查收附件中的采购订单P144566。请确认并回传，以便我们确认交货日期。另请注意，第4项为240件。（我们之前的采购订单中显示为243件）。请确认该采购订单最早可用的发货时间，因为我们急需此货物。如能立即回复，我将不胜感激。非常感谢”尽管这是一封英文邮件，但由于其伪装成了商业订单信息，因此极具迷惑性，对于商业企业的营销人员来说，仍然有很大概率会打开邮件的附件进行查看。比较特别的是，这封邮件中的附件是一个后缀名为HTA的可执行文件。当受害者误以为附件是一个订单文件，并误以为HTA后缀可能是一种订单软件文件格式时，双击这个HTA文件，HTA脚本就会在后台自动执行，同时在前台弹出一个假冒的发票图片，如下图所示。但需要进一步说明的是，HTA文件通常是被攻击者作为下载器来使用的，运行后才会联网下载真正的恶意文件。由于HTA文件本身并不直接携带恶意代码，因此识别起来有一定难度，通常需要安全引擎能够识别出HTA文件中的联网地址为恶意地址，才能实现对此类邮件的精准拦截。不过，从“可疑从毒”的视角出发，对于普通用户来说，自己不认识的后缀名，文件一律不打开，就可以避免遭到此类攻击。3.滥用合法签名的白加黑文件在这类带毒邮件中，攻击者会将一个具有合法签名的正常程序和多个恶意的.dll文件（动态链接文件）共同压缩打包在邮件附件中。攻击者利用程序加载DLL文件时的优先级顺序，让合法程序加载同目录下的恶意.dll文件，从而导致恶意代码被执行。这种攻击方式一般被称为“白加黑”，是一种典型的恶意文件查杀绕过手法。下面是一个2025年截获的，滥用合法签名的白加黑文件攻击典型案例。邮件主题为《装其附件是《ShippingDocumentsPdf.rar》。打开附件压缩包，其中包含多个文件，如下图所示。在压缩包中的这些文件中，ShippingDocumentsPdf.exe这个文件是有数字签名的合法文件，签名归属于Google公司，如下图。但其中的Jli.dll和concrt141.dll均为恶意程序。用户一旦运行ShippingDocumentsPdf.exe,该程序就会加载同目录下的恶意链接库Jli.dll，进而执行concrt141.dll包含的恶意代码。4.采用JSfuck的特殊编码文件这类带毒邮件的附件通常也是压缩包格式，解压缩后通常会产生一个.js后缀的JavaScript文件。而这些.js文件的特别之处在于采用了JSFUCK编码模式，也就是只通过()[]!+字符组合来完成脚本编写，以此规避病毒查杀。这些.js文件运行后，将从远端地址下载恶意文件并运行，从而实现对电脑的远程控制。下面是一个2025年截获的，采用JSfuck特殊编码模式的带毒邮件典型案例。邮件大意是要求商家按照对方要求对产品进行报价，而报价单在附件当中。解压附件后，可以得到一个.js格式的脚本文件。下图为该.js文件的源代码。在Windows环境下，双击.js文件，系统可能会调用wscript.exe或cscript.exe来运行该文件。如果是使用浏览器浏览邮箱页面，双击.js文件也有可能在浏览器中被直接运行。对于普通用户来说，正常交流的邮件，不论是商务邮件还是个人邮件，都不可能使用.js格式的邮件附件。遇到.js类格式的附件，基本上就可以判定其为恶意程序，相关邮件必定是带毒邮件。第五章邮箱盗号形势分析盗号，是电子邮箱账号安全的主要问题。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测显示：2025年，国内电子邮箱账号被盗规模高达1185.8万个，较2024年的1074.0万个增长了10.4%，连续6年持续增长，占全年活跃邮箱账号总量的5.5%。邮箱账号安全管理问题仍亟待加强。暴力破解是邮箱盗号最主要的手段，占到2025年邮箱异常登录行为检出总量的52.5%，较2024年的53.7%略有下降。从历年趋势来看，暴力破解活动在所有异常登录行为中的占比呈现下降趋势，从2020年的56.6%，逐步下降至2025年的52.5%，但整体上仍然保持在50%以上。这也就意味着：“防爆破”目前仍然是电子邮箱账号安全的最大威胁。严格禁止弱口令，采取有效的防爆破措施，对于电子邮件系统来说非常重要。下图给出了Coremail邮件安全人工智能实验室监测到的，2024年第一季度到2025年第四季度Coremail用户遭暴力破解活动攻击趋势。其中，2025年第一季度创下了47.7亿次的两年来最高峰。邮箱盗号问题带来的一个直接影响，就是垃圾邮件、钓鱼邮件、带毒邮件数量的增加。统计显示，自2020年以来，利用被盗号的邮箱发送垃圾邮件的活动就一直非常活跃。2022年高峰时期，由被盗号的电子邮箱发出的垃圾邮件，曾一度占到国内企业邮箱收到的所有垃圾邮件的31.6%。2025年这一指标再度回升，达到28.9%，共计约923.4亿封。2025年，Coremail邮件安全人工智能实验室对高危被盗邮箱账号进行了持续监测，并对2025年发送恶意邮件最多的10000个被盗邮箱账号进行了行业归属分析。统计显示，51.7%的高危被盗邮箱账号来自教育培训行业。政府及事业单位占比为11.7%，排名第二。此外，IT信息/互联网、医疗卫生、金融等行业，也都是高危被盗邮箱账号的重灾区。第六章银狐黑产团伙邮件诈骗活动分析以“银狐黑产团伙”为代表的资金诈骗邮件最早可追溯至2020年前后，其伴随疫情期间各类政府补贴、复工复产扶持政策密集出台而出现，并在2022—2024年间逐步规模化、产业化。银狐黑产团伙的攻击通常假冒人社、财政、税务等政府部门或“官方补贴平台”，以“补贴申领、名单确认、材料补交”等为诱饵，通过高度仿真的邮件正文、红头文件样式和政策术语实施社会工程学欺骗。银狐黑产团伙一方面通过诈骗邮件直接骗取资金，另一方面通过木马对企业网络进行渗透以窃取敏感信息或作为进一步攻击跳板。2025年第四季度，银狐黑产团伙进入高度活跃期，频繁针对各类机构发动邮件诈骗攻击，引发国内各家安全机构的高度关注。本次报告以2025年第四季度监测为基础，特别针对银狐黑产团伙的邮件攻击活动展开专题分析。资金诈骗邮件不是独立存在的攻击手段，而是以银狐为代表的黑产团伙庞大产业链中的一环。银狐等黑产团伙的攻击手法复杂而多样，其攻击手法包括批量发送诈骗邮件、盗取账号向同域名发送诈骗邮件、发送病毒邮件、发送盗取账号的钓鱼邮件、通过办公软件或微信群传播木马、仿冒软件下载官方网站传播木马、暴力破解盗取账号等。此外银狐已形成了“恶意软件即服务（MaaS）”的产业化运作模式，通过向其他黑产团伙出售病毒、钓鱼、诈骗相关软件和服务获利，导致其规模进一步扩张。银狐等黑产团伙既会大范围地撒网式群发钓鱼、病毒邮件，也会针对指定企业进行鱼叉式钓鱼，深度伪造邮件正文和钓鱼网站。其利用免杀木马远控企业办公终端，潜伏并窃取敏感信息的手法与APT攻击相近。下图给出了银狐黑产团伙的主要攻击手法框架。银狐诈骗邮件会以补贴申领等话术，引导用户打开诈骗网站。2025年第四季度截获的一封典型的银狐诈骗邮件内容如下。点开银狐黑产团伙诈骗邮件中的恶意链接，就会进入一个精心设计的钓鱼网站。这些钓鱼网站通常会仿冒国家机构官方网站，骗取用户姓名、手机号、身份证号、银行卡号、支付密码及短信验证码，最终通过无卡交易流程窃取用户资金。银狐黑产团伙的一个典型的诈骗网站截图如下：2025年第四季度，Coremail邮件安全人工智能实验室在Coremail用户中，共监测到银狐诈骗邮件586.2万封，数量惊人。从月度统计来看，银狐诈骗邮件的数量逐月上升，11月呈现爆发式增长，11月增幅达到159.5%，12月增幅达到38.5%。银狐黑产团伙在2025年第四季度的诈骗邮件攻击趋势详见下面两图。（一）银狐诈骗邮件主题榜TOP10银狐黑产团伙的补贴诈骗邮件通常使用“补贴领取”“调薪调级”“税务申报”等和员工自身密切相关的话术，同时会紧随时事进行调整。（二）引导访问诈骗网站的手法银狐黑产团伙的诈骗邮件最早的攻击手法是在邮件正文中嵌入带有二维码的图片，引导用户扫描二维码进入诈骗网站。近年来，其攻击手法进一步多样化，包括：采用加密压缩、Office文档加密、通知正文使用图片、通知正文写在附件文档中等。银狐黑产团伙通过这些方式试图规避邮件安全引擎的文本检测和URL检测。需要关注的是，2025年第四季度银狐黑产团伙诈骗邮件开始广泛使用加密附件来规避检测。附件类型包括加密压缩包、加密doc或docx。解压密码携带在正文中。其中数量最多的《关于2025-**-**会议纪要的查阅通知》诈骗邮件，正文内容为“481024”是解压密码。附件是一个加密的doc文档《会议纪要.doc》，解密后其内容如下：加密附件的攻击方式提高了邮件安全产品提取恶意链接及恶意文本的难度，通常需要部署专业邮件安全网关才能有效解密。此外，附件加密也会增强对受害者的迷惑性，使其误以为邮件很正规。（一）发信人名称仿冒（fromname）银狐黑产团伙发送诈骗邮件时通常会仿冒某部门，盗号发信时也经常会修改被盗账号的姓名或昵称（fromname）。其最常使用的发信人名称包括：财务部、总经办、行政部、人力资源部、补贴中心（二）发信方式银狐黑产团伙发送诈骗邮件主要有三种方式：一是通过发信工具进行大量群发。其最常用的群发软件是SuperMailer，2025年第四季度使用该软件的发信量达1190879封，占补贴诈骗邮件总数的20.3%。二是通过盗取的邮箱账号对同域名其他邮箱发送诈骗邮件。因为被盗取的邮箱账号信誉较高，其诈骗成功率会远高于撒网式发送的诈骗邮件。同时，虽然CACTER邮件安全网关可以对域内互发的邮件进行有效的安全检测，但是市面大部分邮件安全网关无法检测域内互发邮件，因此该类型诈骗邮件的危害进一步提升。2025年第四季度统计到的银狐黑产团伙盗号后域内发送的诈骗邮件数量达到89449封，虽然数量仅占总数的1.5%，但危害巨大，许多实际造成资金损失的事件都是这种情况导致。三是通过盗取的邮箱账号向其他域名外发诈骗邮件。如果被盗邮箱是个人邮箱或小微企业，则银狐黑产团伙通常将其作为撒网式发信账号；如果被盗邮箱是大企业、高校等，则攻击者会利用其域名的信誉度对补贴诈骗邮件进行“定制”。银狐黑产团伙诈骗邮件使用的发信域名，前四名均为盗取账号后用来批量发信，相关域名为中小企业邮箱域名。从发信IP归属地来看，银狐诈骗邮件发信IP绝大多数来自国内。5014953封来自国内，846594封来自国外。2025年第四季度诈骗邮件IP归属地Top10如下：第七章邮件风险趋势分析本章基于2025年全年邮件安全监测数据，对邮件系统面临的主要安全风险与演化趋势进行归纳。对比过去5年的监测数据，我们发现，不论是垃圾邮件、钓鱼邮件还是带毒邮件，都在2025年出现了新的攻击策源地。从全球范围来看，新兴攻击策源地崛起特征显著。在垃圾邮件发送源Top5中，荷兰、日本首次进入榜单，俄罗斯、英国则是近5年来首次跌出Top5，由此可以看出垃圾邮件黑灰产产业链的区域转移特征；钓鱼邮件发送源格局变动较大，越南、日本首次跻身Top5，其中越南攻击占比超过美国，位列全球第二，成为钓鱼攻击的新兴重要策源地；带毒邮件发送源中，日本同样首次进入Top5。特别值得关注的是，日本是除美国之外，全球唯一在垃圾邮件、钓鱼邮件、带毒邮件发送源三项指标中均进入前五的国家，且此前未在任何一项指标中上榜，短期内已成为综合性恶意邮件策源地，其攻击手法的隐蔽性和规模化值得关注。国内层面，邮件攻击策源地呈现“单点集中”特点：香港首次同时成为国内垃圾邮件、钓鱼邮件的第一发送源，且与第二名呈现出断崖式领先的态势。监测数据显示，来自香港的垃圾邮件占全国总量的19.6%，钓鱼邮件占比达47.5%，接近全国总量的一半。从网络特性来看，香港作为跨境网络枢纽，部分黑灰产可能利用其跨境网络便利性，将其作为国内邮件攻击的中转和发起节点，增加了国内邮件安全防御的复杂性。总体来看，日本、荷兰、越南成为新兴的海外恶意邮件策源地。而香港则成为国内最大的恶意邮件策源地，值得邮件系统运营者特别关注。2025年，“钓鱼投毒一体化”的邮件攻击模式日益成熟，以银狐黑产团伙为代表的大量黑灰产组织，已经开始大量使用这种体系化攻击模式。这些组织不仅能够发起大规模的、多种多样的、精心设计的钓鱼邮件攻击，而且同时也能利用相同或类似的伪装方法，批量构造极具迷惑性的带毒邮件。此外，越来越多的钓鱼邮件，会将欺诈信息隐藏在邮件附件中，这也使得钓鱼邮件的识别变得更加困难。总结来看，2025年钓鱼邮件与带毒邮件的边界逐渐模糊，两者在内容构造、传播载体上的相似度不断提高，仅通过邮件正文内容、是否携带附件等传统方式，已难以有效区分两类恶意邮件。这种一体化攻击模式的成熟，不仅增加了邮件安全识别难度，也可能扩大攻击危害范围，导致用户敏感信息泄露、设备被控制等多重安全风险。文件传输模式和在线文档模式是2025年流行的新型钓鱼邮件攻击模式：前者以内部文件、会议纪要等为借口，将欺诈信息隐藏在邮件附件中；后者则是通过在线共享办公文档直接获取受害者的敏感个人信息。特别是采用在线文档攻击模式的钓鱼邮件，从正文到共享文档链接，没有使用任何传统意义上的恶意网址链接或恶意文件，也不需要使用任何的黑客技术，因此非常难以识别。从发展态势来看，文件传输与在线文档两种新型钓鱼模式，贴合用户日常办公习惯，迷惑性强，识别难度高且攻击成本较低，未来可能被更多黑灰产团伙借鉴和推广。这也提示我们，邮件安全防御体系需从“被动拦截恶意链接、恶意文件”向“行为分析、场景识别”转型，提升对新型钓鱼模式的识别与防御能力。四、AI应用培训成为垃圾邮件新热点2025年以来，各类AI应用日益流行，以教授各类AI工具使用技能的培训课程也越来越火爆。监测显示，以AI应用培训为主题的各类垃圾广告邮件也显著增多。此类邮件涵盖线下培训、线上课程、无资质推广等多种类型，部分邮件内容涉嫌夸大宣传或诱导点击。虽然其中包含部分正规机构的营销信息，但也存在以培训为名骗取财物或诱导下载恶意程序的案例。此类垃圾邮件反映出攻击者持续追踪社会热点，将新兴技术概念作为诱饵进行投递的趋势。用户在接收与热门技术相关的推广邮件时，可对来源不明、内容夸大、要求付费或下载附件的邮件保持一定警惕。附录1CACTER邮件安全品牌介绍CACTER邮件安全是由国内头部电子邮件解决商Coremail孵化的独立品牌，隶属于广东盈世计算机科技有限公司。CACTER凭借27年的反垃圾反钓鱼技术沉淀，致力于提供AI原生邮件安全解决方案，产品包括AI原生邮件安全网关、AI原生邮件数据防泄露EDLP、AI原生安全管理中心SMC2、邮件入侵防护系统MAF、安全海外中继、CACAI原生反钓鱼防盗号、EmailWebriskAPI、反钓鱼演练等。CACTER的核心技术依托自研国产反垃圾引擎和国内头部企业级邮件安全大数据中心，拥有76项国家发明专利，与中国科学院成立邮件安全实验室，并与清华大学、奇安信、网易等国内权威机构持续开展合作，提供从安全意识建立到数据保护的多层次邮件安全防护。至今已服务超21000家客户，涵盖国家科技部、中科院、北京大学、人民银行、华润集团等。lAI原生邮件安全网关：基于自研神经网络平台Nerves2.0，从“规则引擎”进化为“AI认知安全中枢”，搭载钓鱼智能体，构建覆盖接收、外发、域内的全域全链路防护体系。反垃圾准确率达99.8%、误判率低至0.02%，实现从威胁识别、攻击拦截到风险处置的闭环安全防护。lAI原生邮件数据防泄露系统EDLP：以规则检测为基础底座，融合可无缝对接企业自有大模型的邮件安全AI智能交互框架，提供事后审计和提醒，以及事中审批和拦截，为企业提供全流程智能邮件防泄露保护。lAI原生安全管理中心SMC2：新一代智能邮件安全平台，通过引入AI安全智能体与大模型分析能力，构建“监测感知—智能研判—风险溯源—威胁阻断”邮件安全运营闭环，帮助企业提升安全运营效率，实现从被动防御到主动治理的升级。l安全海外中继：依托全球优质中继服务器，智能选择最优质通道进行投递和接收，融合反垃圾网关技术，保障海外交流安全通畅。官方网站：服务热线：400-000-8664微信公众号：CACTER邮件安全附录2CACTERAI原生邮件安全网关产品介绍CACTERAI原生邮件安全网关基于自研神经网络平台Nerves2.0，从“规则引擎”进化为“AI认知安全中枢”，搭载钓鱼智能体，构建覆盖接收、外发、域内的全域全链路防护体系。依托大模型语义理解、多模态智能检测与自学习进化引擎，可精准拦截垃圾、钓鱼、病毒邮件及BEC诈骗等各类威胁，反垃圾准确率达99.8%、误判率低至0.02%，实现从威胁识别、攻击拦截到风险处置的闭环安全防护,支持Coremail、Exchange、Microsoft365、Gmail、IBMDomino、lotusnotes等主流邮件系统，提供软件、硬件、云三种不同部署方式。AI生成式钓鱼泛滥高管BEC诈骗风险高、营销垃圾邮件干扰多、已发邮件需召回补救、安全运维人力成本高、新型垃圾邮件难拦截SPF/DKIM/DMARC多重验证：从发件源头严格校验身份，精准识别域名伪造、发件人仿冒，拦截假冒欺诈邮件亿级信誉库+智能规则引擎：动态更新黑白名单与IP信誉基线，快速阻断批量垃圾邮件、恶意IP非法发信反垃圾综合引擎：海量特征模型实时过滤，高效清除营销骚扰、群发垃圾，净化邮件通信环境l钓鱼智能体深度检测防御，协同防御准确率高达99.8%通过钓鱼智能体协同防御，针对钓鱼攻击、BEC诈骗、恶意软件及未知威胁等多种邮件攻击场景进行智能识别与拦截。多维度检测分析：从收发信行为、URL链接、邮件内容与附件文件等多个维度进行深度检测，实现复杂威胁精准识别。AI中枢智能调度：自动识别攻击类型并匹配最优检测策略，提高威胁检测效率。域内发信安全监测：独家域内发信检测模型，实时识别异常发信行为，防止被盗账号发送恶意邮件在企业内部扩散。l三大AI核心能力支撑智能检测AI语义识别：基于大模型语义理解能力，系统可深度分析邮件语气、逻辑与上下文关系，精准识别紧急转账、虚假合作等欺诈意图，同时识别AI批量生成的钓鱼话术。多模态检测：通过图像识别、文件解构与链接动态分析，对邮件中的图片、文件与链接进行多维度检测，实现对复杂隐蔽攻击的深度解析与精准识别。自学习引擎：基于专属邮件流量数据开展个性化模型训练，深度贴合企业邮件业务特征、通信习惯与安全需求，生成个性化防护策略；同时支持从邮件中提炼行为与威胁特征，动态优化检测模型与防护规则，实现分钟级迭代，让防护始终跟上最新威胁。l域内威胁秒级处置，风险可视化掌控独家邮件域内智能召回：针对已投递至邮件系统的恶意邮件，系统可自动进行域内召回，快速清除潜在威胁，防止安全事件扩散。AI智能溯源分析报告：系统对邮件安全数据进行深度挖掘与可视化分析，支持自定义统计报告与定时推送报告，帮助企业全面掌握邮件安全态势。l多种网关产品类