制造业泛KA客户—XX集团防钓鱼GPT邮件测试项目经验分享

一、项目背景

XX集团是一家市值突破千亿，曾跻身世界前500强的制造业头部客户，客户在世界多个国家和地区都有业务覆盖，规模较大，其内网一天传输的邮件数量达15w封。客户对邮件安全极为关注，在总部公司有有十数人的安全团队。目前客户只采用亚信邮件网关作为邮件安全防护的唯一屏障，因此对人为的钓鱼邮件的拦截效果较差，拦截能力达不到客户要求，并且市面上缺乏同类型的产品。因此，GPT防钓鱼邮件的测试机会应运而生。

二、测试过程

起初测试时产品处于刚起步阶段，内部文件不足，产品功能也比较复杂，需求沟通困难重重。但目前经过几轮产品的迭代后，在钓鱼大模型1.3.0版本下，设备支持对接邮件系统的方式如下：

1. BCC密送（同域）

BCC密送：密件抄送（Blind Carbon Copy，简称BCC）是一种电子邮件发送方式，有时我们将一封信件寄给收件人时，同时想寄给其他人，同时想将这些抄送对象隐藏起来，就可以使用BCC密送，因为收件人看不到密送[BCC]中的地址。

GPT+BCC密送：本质上就是通过邮件网关、邮件系统上现有支持的BCC密送功能，将需要GPT检测的邮件密送到一个邮件账号上，然后GPT通过这个账号获取邮件进行检测。

BCC同域密送配置页面如下：

在这个项目中，我们首先就是采用的这种对接方式，BCC同域密送对接测试所用的Exchange邮件服务器。

具体对接方式如下：

1、确保GPT一体机的业务IP（具体部署方式放在后文），本环境下是10.0.32.61，到邮件服务器的端口993（使用IMAP密送）可通。

在Exchange上新建一个测试邮箱账号，并开启IMAP功能，参考微软官网链接https://learn.microsoft.com/zh-cn/exchange/clients/pop3-and-imap4/configure-mailbox-access?view=exchserver-2019

2、创建完账号后，邮件流->规则->新建规则->配置名称->选择需要转发的范围->抄送到刚刚配置的邮件账号

3、在Exchange服务器上开启IMAP服务，一般为windows系统：电脑-右键管理

找到IMAP并启用

4、以上操作完成后，进入钓鱼大模型配置页面，新增同域密送，输入对应的测试服务器IP地址，使用SSL加密的993端口，邮箱账号为Exchange新增账号，并进行连通性测试。

至此BCC同域密送配置对接Exchange已经完成，验证效果可利用域内账号，发送测试邮件给自己，观察GPT上有没有生成对应的告警记录。

1. BCC密送（跨域）

测试环境已经调通，客户已经观察到了GPT的检出，后续如何验证GPT的检测能力？这时就要对接客户的内网邮件系统。

BCC跨域密送原理与同域密送类似，不过跨域可以实现发件人和收件人邮箱处于不同域下，并且新版本的钓鱼大模型集成了SMTP服务，因此配置较老版本非常简单。

对接内网邮件系统，本次测试采用了两种方案：

一、BCC跨域密送对接亚信网关:

具体方式是在亚信网关上配置归档服务器，把亚信网关收到的全部外网过来的邮件都投送过来，简易的配置流程如下：

亚信邮件网关配置归档服务器：

信桅高级威胁邮件防护系统最多支持配置 10 个归档服务器。

配置过程

1.转到策略 > 策略对象 > 归档服务器页面。

2. 单击添加。 显示添加归档服务器窗口。

3. 输入归档服务器的名称。归档服务器名称必须唯一。

4. 输入用于接收邮件的邮箱地址。 只允许输入一个地址。

5. 选择以下任一方式配置 SMTP 服务器，以发送邮件进行归档：

指定服务器：选择该选项，并设置 SMTP 服务器的 IPv4 地址或 FQDN，并设置端口（默认为

设置完成后单击测试连接，测试与该 SMTP 服务器是否能正常通信。

使用 MX 记录查找：选择该选项后，将根据 MX 记录查找对应的 SMTP 服务器。

6. 单击保存。

GPT侧配置：

新增跨域BCC密送，输入亚信邮件网关的IP地址。

网络策略要求：确保亚信网关到GPT钓鱼大模型的业务IP的25端口可通

注意：如果配置完成后，GPT上没有生成告警，协调研发进入后台观察设备有没有收到有邮件投送过来，如果没有，大概率是亚信的策略没有放通，联系客户做策略配置。

此方法的好处是配置简单，GPT上会弹出大量的告警信息，但缺点也十分明显：

缺点一：亚信邮件网关一般部署在出口，在邮件数据流量大的时候，会有大量的垃圾邮件被拦截，这部分邮件推送到大模型上也会生成大量的告警信息，一天有7000条告警，基本无法运营。

缺点二：GPT上的检出和邮件网关高度重合，很难发现我们设备的独报，没有表现出设备的检测价值。

这两个致命缺点，直接导致这种部署模式在邮件量大的客户场景下被淘汰了，也是我们在测试过程中踩过的坑之一，所以又引出了下面的部署方案；

二、BCC跨域密送对接内网邮件服务器:

我们沟通了解到，客户内部有20台左右的内网邮件服务器，并且使用的是Exchange，我们根据产品性能，选择跨域对接其中的2台。

跨域对接Exchange配置如下：

Exchange配置：

配置邮件抄送策略：

邮件流->规则->新建规则->配置名称->选择需要转发的范围->抄送到刚刚配置的邮件账号

大模型配置：

确保邮件服务器到大模型业务IP 25可通。

上述对接方法的缺陷是需要对接多个邮件服务器，配置较为复杂，需要沟通引导客户侧邮件管理员做配置，设备单台平均一天能检测5w封邮件，性能存在瓶颈。

优点也十分明显，对接亚信的缺点全变成了优点：

优势1：对接了内网邮件服务器，现在的邮件都是经过亚信过滤后投送过来的，我们设备的检测记录相较于邮件网关每一封都是独报，检测差异化效果显著。

优势2：告警记录数量大大下降，产品运营优化效果显著。

优势3：不仅可以检测外对内的攻击，同时也可以检测内对内的攻击，对接亚信只能检测外对内攻击。并且HW期间捕获了客户内部进行防钓鱼邮件安全测试所转发的钓鱼邮件。

2. API对接亚信和守内安（可以对钓鱼邮件进行处置）

目前新版本大模型为1030，现已经支持对接Exchange的时候同时对钓鱼邮件进行处置了，后续测试版本也会跟客户沟通，对产品版本进行升级。

API对接亚信和守内安的步骤，详情见附件中的邮件对接最佳实践，这里就不在赘述了。

该对接方式可以做到针对钓鱼邮件的拦截处置，并向客户邮箱发送处置结果。上述的BCC密送部署只能发送提醒不能处置。

三、告警事件运营研判

1. 事件分析

大模型的告警事件主要包含下面这部分内容:

邮件原文（可下载）、事件综述、异常点建议、处置建议。以下图为例：

其中邮件原文可以直接下载，包括邮件内的附件也会包含在内。事件综述包含了GPT大模型对邮件正文和附件的分析，同时若邮件中包含二维码和带有提示信息的加密文档，大模型会自行打开文件或者扫码，在内部的沙箱环境运行附件判断其安全性。异常点建议是大模型根据自己对邮件的分析给出的分析结果，具有说服力。处置建议则是建议客户后续针对邮件的操作。

2. 效果汇报

以下是在省HW期间，GPT测试效果汇报的目录，由于内文包含大量的邮件信息，因此不方便外发，现只针对目录进行下分享。

报告内容主要包含六个部分，其中部署环境就是上文提及的跨域BCC对接Exchange部署，效果概述如下：

其中的攻击类型，主要包含正文附带一个可疑超链接，打开后引导输入对应邮箱的密码，此类攻击在该客户现网环境中最多。

其次是附件包含一个可执行的HTML文件，打开后跳转链接引导输入账号密码。

还有正文中包含一串数字密码，用来解压附件的文档，附件文档打开后是可疑的二维码，大模型能打开该附件并扫码，可以对二维码内包含的域名进行解析研判，可以检测到其注册时间，作为该告警的异常怀疑点。

高危的攻击主要还是附件包含可执行的病毒文件，此类攻击需额外注意，收到后及时要和客户确认，也可下载附件，并上传至深信服云沙箱或virustotal查检结果，以确定该附件是否是恶意文件。

1)深信服云沙箱查询地址：https://ti.sangfor.com.cn/sandbox-dashboard

2)virustotal查询地址：https://ti.sangfor.com.cn/sandbox-dashboard

具体的研判方式，详情参考附件中的《钓鱼检测大模型测试效果运营指标及操作指南》

3. 误报管理：

大模型具有学习功能，需要客户现网的流量进行学习调试，添加误报是一个关键的调优手段。

误报添加尽量不要有误，不然会降低设备的检测准度。

误报添加时可以和客户侧的管理员确认，确认是业务正常访问可以添加。

客户若转发钓鱼邮件做通知，也会生成告警信息，这部分尽量不要添加误报，因为转发钓鱼邮件也是我们大模型检出能力的一种。

针对误报可以和客户在做效果汇报时拿出来单独讲解，也可以寻求研发提供技术支持。

四、附件（部署，配置，运营相关文件）

见附件

牛逼啊，学到了仿佛自己搞了一次测试