在企業發展運營中，郵箱密碼泄漏或郵件服務器遭到侵入，郵件信息將會被利用進行惡意攻擊、數據竊取倒賣、欺詐等現象尤其嚴重。

企業用戶郵箱賬戶密碼被盜后，通常被用于發送垃圾郵件，或向企業內部發送欺詐郵件，以盜取更多的郵箱賬戶，或被用于更加高級的商業欺詐，如誘騙財務人員匯款，給合作伙伴或客戶發送虛假信息等。

更惡劣的是侵入郵件系統，利用系統漏洞用于企業內網攻擊，黑客利用被盜郵箱所持有的企業內網訪問權限，對企業內部實施攻擊，竊取大量企業重要數據。

國內有安全團隊，針對某些企業的郵件系統的異常情況進行調查，結果發現攻擊者至少先后盜取和控制了29家企業的數千個企業郵箱。被這個攻擊者控制的企業郵箱中，有9家屬于制造業企業，7家屬于互聯網公司，另有通信企業3家，事業單位和金融證券類企業各2家。

郵件系統被攻擊，郵箱密碼泄露，內部員工疏忽大意或有意，都會將企業的機密數據泄露，造成企業巨額損失。

案例一

2014年1月24日，王華向某供應商發送郵件時，王華因操作失誤將維美德公司的所有產品報價單及客戶資料泄露給了供應商。

維美德公司認為，王華曾系維美德公司標準件采購部主管，掌管維美德公司的報價清單及全部客戶資料等商業秘密，王華應對維美德公司承擔保密義務。

王華多次將維美德公司的價格清單及全部客戶資料通過電子郵件發送至外部郵箱，泄露了公司的商業秘密。維美德公司將王華告到了西安中院，要求王華賠償公司損失50萬元。

案例二

2017年9月26日， 全球四大會計公司之一德勤被黑，大量客戶郵件遭泄露。

Deloitte(德勤)公司認為這個身份不明的攻擊者，也許早在2016年10月或11月份就已經入侵了他們的電子郵件系統。這名攻擊者通過使用一個管理員賬號成功獲取到了Deloitte(德勤)公司電子郵件服務器的訪問權，且該系統并沒有部署任何的雙因素身份認證機制(2FA)，從而導致攻擊者能夠不受任何限制地訪問Deloitte(德勤)的微軟郵箱。

致使Deloitte(德勤)24.4萬員工與客戶之間的往來郵件都處于危險之中。在此期間，德勤內部郵件中交流的安全政策，審計日志以及各種法務和財務信息，都處于黑客監控之下。

由此可見，企業郵件存在著諸多安全隱患，造成的損失將可能是無法彌補的，因此其安全防護必須受到足夠重視，企業又該防范的呢?

1. 隨時更新操作系統在開發操作系統時，大多數組織的重點是開發高級安全功能，以保護用戶信息。谷歌，微軟和蘋果等頂級操作系統公司在軟件工程師的幫助下，保持了以前版本的安全級別。更新版本確保保護用戶的數據，并通過利用技術防止網絡犯罪分子竊取數據。因此，請確保企業的PC“正確修復和更新”以確保企業的數據安全。定期刷新企業的項目將幫助企業填補任何安全漏洞，從而按時解決潛在問題。

2. 加強員工培訓讓所有新員工接受數據安全方面的培訓，并要求所有員工在每年年初參加進修課程，以確保最新的安全準則能夠讓他們牢記于心。盡管這類培訓可能很乏味，但卻是必不可少的，而且只需很短時間即可涵蓋基本細節。例如，員工應當：要將所有設備(例如臺式機、筆記本電腦、平板電腦、電話)視為能夠借此侵入組織系統的跳板;切勿寫下或留下密碼記錄，以防被別人尋獲;對來自未經驗證的人的電子郵件或電話進行安全驗證，要求輸入密碼或其他認證信息等等。還應包括建立一些最新的違規統計信息，以幫助員工理解威脅的嚴重程度和普遍性，以及可能對組織帶來的嚴重后果。

3. 模擬網絡釣魚攻擊許多安全問題是由人為錯誤導致的，例如員工無意間單擊惡意電子郵件中的鏈接。魚叉式網絡釣魚攻擊(即針對特定目標的網絡釣魚攻擊)導致員工中招的可能性更高，因為它們針對的是特定人員。這些消息可能引用了與某些部門或常規工作職能高度相關的信息，例如財務部門收到來自假冒某銀行的關于組織財務方面的郵件，人力資源部門收到來自招聘網站的特定的人才招聘信息的郵件等等，更容易蒙蔽員工并誘導其點擊這類的釣魚郵件鏈接。

免費或付費的網絡釣魚模擬器可以讓組織通過發送某些特定的電子郵件來測試員工對網絡釣魚電子郵件的辨別能力，當有人點擊了這些消息時，組織將對其進行警告。通過使用這類模擬器，組織可以對員工進行積極的培訓，以幫助他們提高對網絡釣魚攻擊的應對能力。切記，要提醒員工如果遇到無法100%確保郵件絕對安全的情況下，都要慎之再慎。而如果員工遇到熟悉的發件人發來的郵件，看上去有些不正常時，那么就要及時通知組織的IT人員來進行檢查。

4. 做好基礎安全防護例如企業網站部署SSL安全證書，企業郵件部署郵件證書等等，做好最基礎的安全防護工作，避免因小失大。相比于通信方身份和數據完整性無法驗證的HTTP協議，HTTPS是一個基于HTTP的安全通信通道，它運用安全套接字層(SSL)進行信息交換，具有身份驗證、信息加密和完整性校驗的功能，可以保證傳輸數據的機密性和完整性，乃至服務器身份的真實性，進而有效避免HTTP被劫持的問題。

同樣的，郵件證書對電子郵件進行數字簽名并加密傳輸，一方面可以保證郵件發送者身份真實性，另一方面保障了郵件傳輸過程中不被他人閱讀及篡改，并由郵件接收者進行驗證，確保電子郵件內容的完整性。