2025年度中国企业邮箱安全性研究报告

5年月出品主要观点AI技术普及等因素影响，企业邮箱重新受到企业用户的重视。年却开始大规模流行。特别是在线文档模式，不使用任何恶意链接或恶意程序，2025年第四季度，银狐黑产团伙进入高度活跃期，频繁针对各类机构发动邮件诈骗攻7摘 要202555020243.8%，72.2202410.0%。46.9%35.8%、11.5%5.8%0.05%，色情、赌博等违法信息推广邮件0.04%。39.3%15.2%，第三3.0%19.6%。10.7%TOP10，并一跃超过美国位列第二。从钓鱼邮件的类型来看，身份验证占比29.8%24.7%、补贴退税占比16.2%70.7%。24.4%13.8%11.1%。和.rar两种压缩格式最为常见，32.9%28.3%61.2%，超过六成。20251185.820241074.0万个增长10.4%65.5%11.7%信息/关键词：企业邮箱、垃圾邮件、钓鱼邮件、带毒邮件、暴力破解目 录TOC\o"1-2"\h\z\u研究背景 1第一章 电子邮箱应用形势 2一、 电子邮箱的使用规模 2二、 电子邮箱用户行业分布 3三、 电子邮件的地域分布 5四、 电子邮件安全防护重要性 5第二章 垃圾邮件形势分析 6一、 垃圾邮件的规模 6二、 垃圾邮件发送源 6三、 垃圾邮件受害者 7第三章 钓鱼邮件形势分析 9一、 钓鱼邮件的规模 9二、 钓鱼邮件发送源 9三、 钓鱼邮件受害者 10四、 钓鱼邮件的类型 11五、 钓鱼邮件典型案例 12第四章 带毒邮件形势分析 30一、 带毒邮件的规模 30二、 带毒邮件发送源 30三、 带毒邮件受害者 31四、 带毒邮件的类型 32五、 带毒邮件典型案例 32第五章 邮箱盗号形势分析 40一、 邮箱盗号的规模 40二、 暴力破解的形势 40三、 邮箱盗号的影响 41第六章 银狐黑产团伙邮件诈骗活动分析 43一、 银狐攻击手法综述 43二、 银狐诈骗数量及趋势 44三、 银狐诈骗核心特征 45四、 发信维度分析 47第七章 邮件风险趋势分析 48一、 新的全球邮件攻击策源地逐步形成 48二、 钓鱼投毒一体化攻击模式逐渐成熟 48三、 文件传输与在线文档等新型钓鱼模式出现 48四、 AI应用培训成为垃圾邮件新热点 49附录1 CACTER邮件安全品牌介绍 50附录2 CACTERAI原生邮件安全网关产品介绍 51附录3 CACTERAI原生邮件数据防泄露系统EDLP 53附件4 奇安信网神邮件威胁检测系统 55研究背景在中国当前网络空间形势下，社交网络日益发达，电子邮件发展至今已有几十年历史，Coremail邮件安全CACTER2016Coremail与奇安信集团联合Coremail、CACTER邮件安全与奇安信集团多年在企业邮箱领域的丰富第一章电子邮箱应用形势一、电子邮箱的使用规模综合邮箱的独立域名数、活跃用户数和邮件收发规模三项指标来看，2025年，电子邮Coremail邮件安全人工智能实验室与奇安信行业安2025550202453072.220242.010.0%。2018年以来，国内企业级电子邮箱独立域名与活跃用户规模变化趋势如下图所示：从电子邮箱的使用情况来看，2025年，全国企业级邮箱用户共收发各类电子邮件约8925.4亿封，同比增长了9.0%，日均收发电子邮件约24.5亿封。46.9%35.8%11.5%、带5.8%0.05%0.04%2024年2.5）仅就正常邮件而言，统计显示，全国企业邮箱用户在2025年共收发正常电子邮件约4186.0亿封，比2024年增长9.3%，平均每天收发正常电子邮件约11.5亿封。不同于个人邮箱，企业邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，2025年企业用户发送的电子邮件中，约33.7%为机构内部邮件，24.2%为外部邮件，42.1%为内外通发邮件（收件人既有机构内部，也有机构外部）。二、 电邮箱用行业布IT6.2%AI2025年相比，互联网、IT信息技术相关行业的域名注册数量有显著提升。16.5%12.1%IT教育组织机构和政府三个域名的邮箱使的邮箱域名占比约为0.09%，.邮箱域名占比为0.03%。而从正常邮件发送量上来看，.邮箱占3.72%，.0.88%，.0.18%。三、 电邮件地域分布统计显示，202571.5%；28.5%。从服务器的所在地来看，2025年，国内企业邮箱服务器设在北京的数量排名第一，占14.0%11.2%20245.3个百分点。四、 电邮件全防重要性20524.511558%）4.22.3值得注意的是，.edu（教育）、.gov（政府）0.1%，但邮件发送量占比显著（如.3.72%）。这类机构作为公共信息枢纽，一旦安全（第二章垃圾邮件形势分析一、 垃邮的规模Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，20253195.3亿封，约占企业级用户邮件收发总量的5.8763%202204两年有小幅增加，而其他恶意邮件的收发量显著增多。具体分布如下图所示：二、 垃邮发送源从发送者邮箱域名归属情况来看，2025年，全国企业邮箱收到的垃圾邮件中，来自国39.3%15.2%，第三是3.0%。下表给出了按照垃圾邮件数量统计的，历年垃圾邮件发送源国别归属排5。仅从垃圾邮件源控制情况来看，虽然同处于战争中，但俄罗斯的网络安全治理有明显改善，而乌克兰则变化不大。19.6%13.1%10.2%2024年排名2025年垃圾邮件发送者域名在全国的占比情况变化不大，但20248.4%202519.6%，翻了一倍多。这也是香港对发送垃圾邮件的邮箱域名进行抽样行业分析显示，2025年，国内垃圾邮件发送源中8.9%6.0%；互联网企业排名第三，3.2%。下图给出了国内垃圾邮件发送源行业分布：三、 垃邮受害者从收到垃圾邮件的受害者服务器所在地来看，2025年北京用户收到的垃圾邮件最多，14.7%13.3%。75.1%20.1%；教育培11.2%行业排名如下图所示。第三章钓鱼邮件形势分析一、 钓邮的规模OA仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、非法邮件等。CEO仿冒邮件则是指冒充企业高管对公司员工或某些部门进行的鱼叉邮件攻击。Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，20251026.42024年收到各类钓鱼755.035.9%2021年短暂抑制后，持续4年迅猛增长。202511.5%，2.8收到约38.9封钓鱼邮件。二、 钓邮发送源Coremail邮件安全人工智能实验室与奇安信行业安全研究中心联合监测，钓鱼邮38.0%12.4%10.7%。其中，越南是首次进入TOP10，并一跃超过美国位列第二。公开资料显示，2025年，越南先后多次爆发关国内企业级用户的钓鱼邮件发送源国别排行Top5（按钓鱼邮件发送量统计）。可以看出，2025年，来自国内发送源的钓鱼邮件数量占比虽小幅下降至38.0%，但仍稳居第一。国内企业邮箱安全问题仍然十分突出。47.5%的钓鱼邮件来自7.7%的钓鱼邮件来自辽宁。值得一提的是，在此项指标20242025年的占比则接近2024年在国内仅排名第九，2025年则位列前三，也十分值得关注。2024年排名第四的北京，2025年则跌出了前十，该地区的邮件安全治理成果值得肯定。国内钓省级行政区分布如下图所示：三、 钓邮件受者22.8%16.4%%2025省级行政区分布如下图所示：75.3%24.3%；教育培14.1%9.4%行业排名如下图所示。四、 钓邮件的型从具体内容来看，202510/扩容、虚假电子发票、冒充询盘、快/24.7%16.2%70.7%2025年一跃成为排名第二的钓鱼邮件类型。这是一种典型的专门以安全为由破坏安全的攻击活动，值得特别关注。具体分布，详见下图。五、 钓邮件典案例下面将给出2025年流行的钓鱼邮件典型案例。身份验证2025年截获的此类钓鱼邮件的最新真实案例。下图为以“安全措施”为由要求用户在钓鱼网站链接上进行身份验证的钓鱼邮件。以账户密码到期为由要求进行身份验证的钓鱼邮件。以邮件状态更新、邮箱需要备案为由要求进行身份验证的钓鱼邮件。以邮箱被感染为由要求进行身份验证的钓鱼邮件。异常登录2025下面几图是2025年截获的此类钓鱼邮件的最新真实案例。补贴退税这是一类专门冒充国家有关部门或公司人力资源部门，打着给员工发放补贴、办理退税等借口，诱骗企业员工登录钓鱼网站，以骗取受害人个人信息的钓鱼邮件。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。银行卡信息诈骗这是一类冒充银行或者支付平台，以银行卡信息需要验证、支付功能故障、信用卡到期等为借口，诱导收件用户进入钓鱼链接，以骗取受害人个人信息及钱财的钓鱼邮件。2025虚假退信这是一类冒充邮件自动回复系统，通过谎称受害人发送的邮件被退信的方式，诱导受2025年截获的此类钓鱼邮件的最新真实案例。系统升级/扩容这是一类冒充信息化部门或邮件服务系统，专门以系统升级或系统扩容等理由，诱骗2025年截获的此类钓鱼邮件的最新真实案例。虚假电子发票这是一类冒充商家，专门通过发送虚假发票信息，诱骗受害者下载电子发票，从而盗需要说明的是，由于电子发票目前在生活、工作中的应用非常广泛，所以不论是单位或个人，收到电子发票相关的邮件，一般都不会感到意外，下载发票或点开附件都是常事。但如果总是习惯性地忽视“正常”发票邮件中可能夹杂的钓鱼/带毒邮件，就有可能给个人或企业造成重大的损失。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。冒充询盘询盘，泛指客户对商家出售商品的性能、规格、价格等各个方面信息的咨询过程。冒下面几图是2025年截获的此类钓鱼邮件的最新真实案例。虚假快递这是一类专门冒充快递公司，以结算、包裹等名义发出的钓鱼邮件，其中给出的地址、下面几图是2025年截获的此类钓鱼邮件的最新真实案例。文件传输/在线文档这是一类以办公协作为借口，通过协同办公文档实施欺诈的钓鱼邮件。此类钓鱼邮件是2025年快速兴起的一种比较新颖的攻击方法，主要分为文件传输和在线文档两种模式。下面几图是2025年截获的此类钓鱼邮件的最新真实案例。首先来看两个文件传输模式的钓鱼邮件。第一个案例的邮件以《2025年度专项奖励发放通告》为主题。.docxword2026Word20262025年截获的在线文档模式下的钓鱼邮件真实案例。第四章带毒邮件形势分析一、 带邮的规模根据oremal205517.72024444.6亿封带毒邮件，16.4%。20255.8%。平均1.4亿封带毒邮件被发出和接收。二、 带邮发送源Coremail邮件安全人工智能实验室与奇安信行业安全研究中心对带毒邮件的发送源头11.1%。。3%左右（20253.1%）。55之外的国家总占比从022年的0.4%，一202538.5%2024Top5，并连续两年保持排名第二三、 带邮件受者从收到带毒邮件的受害者服务器所在地来看，2025年北京用户收到的带毒邮件最多，31.3%16.9%13.3%。下。80.7%21.4%；教育培16.6%11.3%行业具体排名如下图所示。四、 带邮件的型和.rar两种压缩格式最为常见，32.9%28.3%61.2%，超过六成。其中，.zip202413.5%19.4个百分点，一跃超过.rar，排名第一。而.rar202424.7%3.6.7z2024年的第五位提升至第三位。4（.zip.rar.7z7种为压缩文件格式（.zip、.rar、.7z、.gz、.z、.001、.arj）。其中，.001后缀是分片压缩文件的后缀，也可以使用解压软件打开。此外，还有一种打包格式.tar。由五、 带邮件典案例2025年流行的带毒邮EXE文件、后台JSfuck的特殊编码文件。EXE文件.exe的2025年截获的一封来自银狐组织带毒邮件。邮件主题为《关于公司内部裁员通知》，极具迷惑性，很容易诱使员工打开邮件附件。.rar789789exeExcelWindows文件为后缀名的可执行文件。2025HTML（HTMLCSS、JavaScript/VBScript）Windows本地应用程序，但其运行机制与普通网页有较大的区别。它并不需要调用浏览器来运行，而是双击之后，由系统自带的“mshta.exe”解析执行。下面是一封2025年截获的，伪装成商业订单的英文带毒邮件。其邮件正文内容翻译成中文大致如下：（原文中的怪异写法P1445664240（我们之前的采购订单243件比较特别的是，这封邮件中的附件是一个后缀名为HTA的可执行文件。后缀可能是一种订单软件文件格文件通常是被攻击者作为下载器来使用的，运行后才会文件本身并不直接携带恶意代码，因此识别起来有一文件中的联网地址为恶意地址，才能实现对此滥用合法签名的白加黑文件.dll（动态链接文件DLL文件时的优先级顺序，让合法程序加载同目录下的恶意.dll文件，从而导致恶意代码被执行。这种攻击方式一般被称为“白加黑”，是一种典型的恶意文件查杀绕过手法。2025打开附件压缩包，其中包含多个文件，如下图所示。DocumentsPdf.exe这个文件是有数字签名的合法文Google公司，如下图。但其中的Jli.dll和concrt141.dllShippingDocumentsPdf.exe,该程序就会加载同目录下的恶意链接库Jli.dll，进而执行concrt141.dll包含的恶意代码。JSfuck的特殊编码文件这类带毒邮件的附件通常也是压缩包格式，解压缩后通常会产生一个.js后缀的JavaScript文件。而这些.jsJSFUCK编码模式，也就是只通过()[]!+.js2025JSfuck解压附件后，可以得到一个.js格式的脚本文件。下图为该.js文件的源代码。Windows.jswscript.execscript.exe来运行该文件。如果是使用浏览器浏览邮箱页面，双击.js文件也有可能在浏览器中被直接运行。.js格式的邮件附件。遇到.js类格式的附件，基本上就可以判定其为恶意程序，相关邮件必定是带毒邮件。第五章邮箱盗号形势分析一、 邮盗号规模盗号，是电子邮箱账号安全的主要问题。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测显示：2025年，国内电子邮箱账号被盗规模高达1185.820241074.010.4%6年持续增长，占全年活跃邮箱账号总5.5%。邮箱账号安全管理问题仍亟待加强。二、 势202552.5%，202453.7%略有下降。202056.6%202552.5%50%oremal2024025Coremail47.7亿次的两年来最高峰。三、 邮盗号影响邮箱盗号问题带来的一个直接影响，就是垃圾邮件、钓鱼邮件、带毒邮件数量的增加。2020年以来，利用被盗号的邮箱发送垃圾邮件的活动就一直非常活跃。202231.6%。202528.9%923.4亿封。2025年，Coremail邮件安全人工智能实验室对高危被盗邮箱账号进行了持续监测，并2025年发送恶意邮件最多的10000个被盗邮箱账号进行了行业归属分析。统计显示，51.7%11.7%，排名第二。此外，IT信息/互联网、医疗卫生、金融等行业，也都是高危被盗邮箱账号的重灾区。第六章银狐黑产团伙邮件诈骗活动分析以“银狐黑产团伙”为代表的资金诈骗邮件最早可追溯至2020年前后，其伴随疫情期2022—2024年间逐步规模化、产业化。2025年第四季度，银狐黑产团伙进入高度活跃期，频繁针对各类机构发动邮件诈骗攻2025年第四季度监测为基础，特别针对银狐黑产团伙的邮件攻击活动展开专题分析。一、银狐攻击手法综述APT攻击相近。下图给出了银狐黑产团伙的主要攻击手法框架。银狐诈骗邮件会以补贴申领等话术，引导用户打开诈骗网站。2025年第四季度截获的一封典型的银狐诈骗邮件内容如下。二、 银诈骗量及势2025年第四季度，Coremail邮件安全人工智能实验室在Coremail用户中，共监测到银狐诈骗邮件586.2万封，数量惊人。从月度统计来看，银狐诈骗邮件的数量逐月上升，11月呈现爆发式增长，11月增幅达到159.5%，12月增幅达到38.5%。银狐黑产团伙在2025年第四季度的诈骗邮件攻击趋势详见下面两图。三、 银诈骗心特征（一）银狐诈骗邮件主题榜TOP10（二）引导访问诈骗网站的手法URL年第四季度银狐docdocx。解压密码携带在正文中。2025-**-**481024”doc文档《会议纪要.doc》，解密后其内容如下：四、 发维度析（一）发信人名称仿冒（fromname）姓名或昵称（fromname）。其最常使用的发信人名称包括：财务部、总经办、行政部、人力资源部、补贴中心（二）发信方式银狐黑产团伙发送诈骗邮件主要有三种方式：SuperMailer，2025年第四季119087920.3%。CACTER邮件安全网关202589449封，（三）IP从发信IP归属地来看，银狐诈骗邮件发信IP绝大多数来自国内。5014953封来自国内，846594封来自国外。2025年第四季度诈骗邮件IP归属地Top10如下：第七章邮件风险趋势分析本章基于2025年全年邮件安全监测数据，对邮件系统面临的主要安全风险与演化趋势进行归纳。一、 新全球件攻策源逐步成对比过去5年的监测数据，我们发现，不论是垃圾邮件、钓鱼邮件还是带毒邮件，都在2025年出现了新的攻击策源地。从全球范围来看，新兴攻击策源地崛起特征显著。在垃圾5Top5，其中越南攻击占比超过美国，位列全球第二，成为钓鱼攻击的新兴重。特别值得关注的是，日本是除美国之外，全球唯一在垃圾邮件、钓鱼邮件、带毒邮件发送源三项指标中均进入前五的国家，国内层面，邮件攻击策源地呈现“单点集中”特点：香港首次同时成为国内垃圾邮件、19.6%47.5%二、 钓投毒体化击模逐渐熟2025年，“钓鱼投毒一体化”的邮件攻击模式日益成熟，以银狐黑产团伙为代表的大量黑灰产组织，已经开始大量使用这种体系化攻击模式。这些组织不仅能够发起大规模的、总结来看，2025年钓鱼邮件与带毒邮件的边界逐渐模糊，两者在内容构造、传播载体三、 文传输在线档等型钓模式现2025年流行的新型钓鱼邮件攻击模式：前者以内部文四、 AI应培训为垃邮件热点2025AIAI工具使用技能的培训课程也越来AI应用培训为主题的各类垃圾广告邮件也显著增多。此类邮件涵盖附录1 CACTER邮件安全品牌介绍CACTER邮件安全是由国内头部电子邮件解决商Coremail孵化的独立品牌，隶属于广东盈世计算机科技有限公司。CACTER27AI原生邮件安全解决方案，产品包括AIAI原生邮件数据防泄露EDLPAI原生安全管理中心SMC2、MAF、安全海外中继、CACAI原生反钓鱼防盗号、EmailAPI、反钓鱼演练等。CACTER的核心技术依托自研国产反垃圾引擎和国内头部企业级邮件安全大数据中心，76项国家发明专利，与中国科学院成立邮件安全实验室，并与清华大学、奇安信、网易等国内权威机构持续开展合作，提供从安全意识建立到数据保护的多层次邮件安全防护。21000CACTER邮件安全产品组合概览（部分）AINerves2.0AI99.8%0.02%AIEDLP：以规则检测为基础底座，融合可无缝对接企业自AI智能交互框架，提供事后审计和提醒，以及事中审批和拦截，为企业提供全流程智能邮件防泄露保护。AISMC2：AI安全智能体与联系我们官方网站：服务热线：400-000-8664微信公众号：CACTER邮件安全附录2 CACTERAI原生邮件安全网关产品介绍CACTER