2025年中国企业邮箱安全性研究报告

coremailCACTER组长主要编写人员coremailCACTER主要观点呈现出持续增长态势。受企业数字化转型、AI技术普及等因素影响，企业2025年却开始大规模流行。特别是在线文档模式，不使用任何恶意链接或恶意程序，u2025年第四季度，银狐黑产团伙进入高度活跃期，频繁针对各类机构发动邮件诈coremailCACTER摘要u从钓鱼邮件的类型来看，身份验证占比29.8%，异常登录占比24.7%、补贴退税占比coremailCACTER研究背景 1第一章电子邮箱应用形势 2一、电子邮箱的使用规模 2二、电子邮箱用户行业分布 3三、电子邮件的地域分布 5四、电子邮件安全防护重要性 5 6一、垃圾邮件的规模 6二、垃圾邮件发送源 6三、垃圾邮件受害者 7 9一、钓鱼邮件的规模 9二、钓鱼邮件发送源 9三、钓鱼邮件受害者 四、钓鱼邮件的类型 五、钓鱼邮件典型案例 一、带毒邮件的规模 30二、带毒邮件发送源 30三、带毒邮件受害者 31四、带毒邮件的类型 32五、带毒邮件典型案例 33 一、邮箱盗号的规模 41二、暴力破解的形势 41三、邮箱盗号的影响 42 一、银狐攻击手法综述 44二、银狐诈骗数量及趋势 45三、银狐诈骗核心特征 46四、发信维度分析 48 一、新的全球邮件攻击策源地逐步形成 49二、钓鱼投毒一体化攻击模式逐渐成熟 49三、文件传输与在线文档等新型钓鱼模式出现 49四、AI应用培训成为垃圾邮件新热点 50附录1CACTER邮件安全品牌介绍 51附录2CACTERAI原生邮件安全网关产品介绍 52附录3CACTERAI原生邮件数据防泄露系统EDLP 54附件4奇安信网神邮件威胁检测系统 56coremailCACTER1研究背景了企业邮箱的使用，同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。coremailCACTER2第一章电子邮箱应用形势综合邮箱的独立域名数、活跃用户数和邮件收发规模三项指标来看，2025年，电子邮年的530万个增长了3.8%，创下近7年来最大涨幅。活跃的国内企业邮箱用户规模约为2.2从电子邮箱的使用情况来看，2025年，全国企业级邮箱用户共收发各类电子邮件约8925.4亿封，同比增长了9.0%，日均收发电子邮3仅就正常邮件而言，统计显示，全国企业邮箱用户在2025年共收发正常电子邮件约较频繁。抽样统计显示，2025年企业用户发送的电子邮件中，约33.4为0.09%，.邮箱域名占比为0.03%。而从正常邮件发送量上来看，.邮箱占5从服务器的所在地来看，2025年，国内企业邮箱服务器设在北京的数量排名第一2025年，全国企业邮箱日均收发量达22.3个百分点，攻击手段持续复杂化。此类高风险邮件可能导致甚至关键系统瘫痪，对高度依赖邮件办公的行业（如媒体、教育培值得注意的是，.edu（教育）、.gov（政府）等敏感域防线失守，不仅会引发敏感数据外泄，更可能削弱公众对数字政务、在线教育等服务coremailCACTER6第二章垃圾邮件形势分析2025年，全国企业邮箱用户共收到各类普通垃圾邮件3195.3亿封，约占企业级用户邮件收从发送者邮箱域名归属情况来看，2025年，全国企业邮箱收到的垃圾邮件中，来自国送源。此外，越南也首次进入前十名，而俄罗斯则首次跌出况来看，虽然同处于战争中，但俄罗斯的网coremailCACTER7前三的北京、江苏、广东，其2025年垃圾邮件发送者域对发送垃圾邮件的邮箱域名进行抽样行业分析显示，2025年，国内垃圾邮件发送源中coremailCACTER89第三章钓鱼邮件形势分析钓鲸邮件、CEO仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、指那些专门针对企业高管或重要部门进行的鱼叉邮件攻击业高管对公司员工或某些部门进行的鱼叉邮件排行榜TOP10，并一跃超过美国位列第二。排名第四的北京，2025年则跌出了前十，该地区的邮件安全治理成果值得肯定。国内钓鱼鱼邮件，在往年的监测中并不常见，但却在2025年一coremailCACTER邮箱管理、账号密码重置、邮箱被感染等。下面几图coremailCACTER等为借口，诱导收件用户进入钓鱼链接，以骗取受害人个人信息及钱财的钓鱼下面几图是2025年截获的此类钓鱼邮件人打开钓鱼链接进行不当操作的钓鱼邮件。下图是2025害者在钓鱼网站上登录，从而盗取受害者账号、口如果总是习惯性地忽视“正常”发票邮件中可能夹杂的钓鱼/带毒邮件，就有可能给个人或或修改。此类邮件或者是夹带恶意附件，或者是通过钓鱼网站链接盗取受害者个人信2025年快速兴起的一种比较新颖的攻击方法，主要分首先来看两个文件传输模式的钓鱼邮件。第一个案例的邮件以《2025放通知》仿冒红头文件。文件内容与前述案例基本相同，只是要求认证的时间有所调整。coremailCACTER以下几图为2025年截获的在线文档模式下的coremailCACTER第四章带毒邮件形势分析进行了分析。据统计，带毒邮件的发送者多集中于美国和欧洲。其中，件最多，占全球带毒邮件的24.4%；荷兰排名第二，占比13.8从收到带毒邮件的受害者服务器所在地来看，2025年北京用户收到的带毒邮件最多，coremailCACTER占比分别为32.9%和28.3%，二者之和为61.2%切勿直接双击，应在下载后首先使用杀毒软件进行扫描，确认安全后再打coremailCACTER件典型案例，其恶意附件分别采用以下几种伪装及攻下面是2025年截获的一封来自银狐组织带毒邮件。邮件主题为《关于公邮件附件是一个名为《公司内部裁员通知.ra阅密码【789789】。需要说明的是，对于没有经验的受害者来说，在邮件中收到一个文件，还有压缩密码，表面上看起来似乎很正式，似乎更可信。但对于有保密经验的说，将密码与压缩包通过同一路径发送的行为本身，就是完全不符合保密要求的“怪异”行为。因为将解压密码与加密压缩包一同发送，等效于没有设置解压密码。正确的方当是通过邮件发送压缩包，再通过短信、办公社交软件等其他方式发送解压密码。这coremailCACTER图所示。打开该文件后，病毒便会在后台运行。有些时候，病毒文件也会在前台运行一个Excel文件以增强迷惑性。需要说明的是，在Windows环境下，文件图标实际上是可以任总结来看，该带毒邮件的攻击逻辑是：首先以裁员通知为名，向受吸引力和诱惑力的邮件，之后通过压缩包进行自我伪装并以此逃避安全检查，最后再执行文件的图标伪装成常用办公文件图标，诱使受害者打开并运行病毒病毒邮件常用的后缀，其含义是HTMLApplication，是一种基于网页技术（HTML、JavaScript/VBScript）编写的Windows本地应用程序，但其运行机制与普下面是一封2025年截获的，伪装成商业订单的英文带毒邮件。其邮件正即回复，我将不胜感激。非常感谢”coremailCACTER企业的营销人员来说，仍然有很大概率会打开邮件的附但需要进一步说明的是，HTA文件通常是被攻击者作为下载器来使用的，运行后让合法程序加载同目录下的恶意.dll文件，从而导致恶意代码被执行。这种攻击coremailCACTER这类带毒邮件的附件通常也是压缩包格式，解压缩后通常会产生一个.js后缀的JavaScript文件。而这些.js下面是一个2025年截获的，采用JSfuck特殊编码模式的带毒邮件典型案例。邮件大意coremailCACTER在Windows环境下，双击.js文件，系统可能会调用wscript.e文件。如果是使用浏览器浏览邮箱页面，双击.第五章邮箱盗号形势分析coremailCACTER从历年趋势来看，暴力破解活动在所有异常登录行为中的占比呈现下降趋势，从2020第四季度Coremail用户遭暴力破解活动攻击趋势。其中，2025年第一季度创下了47.7亿次统计显示，自2020年以来，利用被盗号的邮箱发送垃圾邮coremailCACTER2025年，Coremail邮件安全对2025年发送恶意邮件最多的10000个被盗邮箱账号进行了行业归属51.7%的高危被盗邮箱账号来自教育培此外，IT信息/互联网、医疗卫生、金融等行业，也都是高危被盗邮箱账号的重灾区。coremailCACTER第六章银狐黑产团伙邮件诈骗活动分析间各类政府补贴、复工复产扶持政策密集出台而出现，并在2022—2024年间逐步规模2025年第四季度，银狐黑产团伙进入高度活跃期，频繁针对各类机构发动邮件诈骗攻击，引发国内各家安全机构的高度关注。本次报告以2025年第四季度监测为基础，特别针coremailCACTER银狐诈骗邮件会以补贴申领等话术，引导用户打开诈骗网站。2025年第四季度截获的coremailCACTERcoremailCACTERcoremailCACTER度使用该软件的发信量达1190879封，占补贴诈骗邮件总数的20.3%。击者会利用其域名的信誉度对补贴诈骗邮件进行“定制coremailCACTER第七章邮件风险趋势分析本章基于2025年全年邮件安全监测数据，对邮2025年出现了新的攻击策源地。从全球范围来看，新兴攻击策源地崛起特征显著。在垃圾日本首次跻身Top5，其中越南攻击占比超过美国，位列全国之外，全球唯一在垃圾邮件、钓鱼邮件、带毒总结来看，2025年钓鱼邮件与带毒邮件的边界逐渐模糊，两者在内容构造、传播载体文件传输模式和在线文档模式是2025年流行的新型钓鱼邮件攻击模式：前者以内部文coremailCACTER2025年以来，各类AI应用日益流行，以教授各类AIcoremailCACTER附录1CACTER邮件安全品牌介绍拥有76项国家发明专利，与中国科学院成立coremailCACTER附录2CACTERAI原生邮件安全网关产品介绍“AI认知安全中枢”，搭载钓鱼智能体，构建覆盖接收、外发、域内的全域全链路防护体毒邮件及BEC诈骗等各类威胁，反垃圾准确率达9IBMDomino、lotusnotes等主流邮件系统，提供软件u亿级信誉库+智能规则引擎：动态更新黑白名单与u反垃圾综合引擎：海量特征模型实时过滤，高效清除营销骚u多维度检测分析：从收发信行为、URL链u域内发信安全监测：独家域内发信检测模型，实时识别异常文关系，精准识别紧急转账、虚假合作等欺诈意图，同u多模态检测：通过图像识别、文件解构与链接动态分析，对务特征、通信习惯与安全需求，生成个性化防护策略；同时支持从邮件为与威胁特征，动态优化检测模型与防护规则，实现分钟级迭代，让防uAI智能溯源分析报告：系统对邮件安全数据进行深度挖掘与可视化分析支持Coremail、Exchange、Microsoft365、Gmail、IBMDomino附录3CACTERAI原生邮件数据防泄露系统EDLPCACTERAI原生邮件数据防泄露系统（CA露保护。系统可对企业邮件进行敏感内容检测、智能化分级管控、全链路事件溯提供标准协议接口和内置专属Skill技至企业自有大模型。数据全程本地化处理，杜绝第三方外传风险提供可视化操作界面，只需输入企业个性化防护动触发AI意图分析，精准识别话术绕过、变相提供专属分析面板实时展示检测覆盖率、风险识别率、部门风险排行等关键数管理员随时掌握邮件安全状况，优化防护策略支持邮件审批、自动补全抄送、自动密送等组合式邮件管控措施，并且提供“成审批流““标准对接第三方系统审批”“事件完整留痕”等管理增效功能；全兼容Coremail、Exchange、M3件、硬件、云部署