盘点上半年邮件安全主要漏洞,你有中招么?

自25年底至今,邮件系统威胁已呈爆发式攀升态势,多款主流邮件服务端相继曝出高危漏洞,其中多个漏洞被列入KEV(已知被利用漏洞清单),攻击活动持续泛滥、批量扫描渗透。与此同时,邮件身份认证薄弱、开放式中继等配置类风险全网高频出现,叠加客户端附件攻击隐患,企业核心数据安全、服务器运行安全正面临致命威胁。

 

磐邮作为专注邮件安全的专业安全厂商为您拆解近期频发高危邮件安全威胁。

 

 

 

 

 

 

邮件服务端高危漏洞

 

 

 

01 SmarterMail 组合漏洞(高危必查)

漏洞编号:CVE-2026-23760(未授权密码重置)、CVE-2026-24423(未授权 RCE)

影响版本:SmarterMail < Build 9511

• 攻击方式:匿名接口绕过,已知用户名即可重置管理员密码、远程命令执行

实际危害:邮件服务器整机沦陷、全量邮件数据泄露、植入勒索、内网横向

修复方案:升级至 Build 9511 及以上;限制后台公网访问、IP 白名单

 

02 Exchange Server 高危 RCE

漏洞编号:CVE-2025-1974

影响范围:Exchange 各主流本地部署版本

攻击方式:ECP 接口认证绕过,无授权远程任意代码执行

实际危害:域权限沦陷、AD 域控渗透、企业核心数据拖库、业务瘫痪

修复方案:安装微软最新季度安全补丁;禁用非必要 ECP 公网暴露、强策略限制 RBAC 权限

 

03 Zimbra 存储型 XSS 定向 APT 利用

漏洞编号:CVE-2025-66376

影响版本:Zimbra 10.1.12、10.0.17 及更早经典 UI 版本

攻击方式:恶意 HTML 邮件触发,打开邮件即窃取会话 Cookie、接管邮箱

实际危害:政企 / 能源 / 军工定向窃密、冒用内部账号发钓鱼邮件、长期潜伏

修复方案:升级至 10.1.13 / 10.0.18+;临时关闭老旧经典 WebUI

 

04 Cisco 邮件网关满分 RCE

漏洞编号:CVE-2025-20393

影响设备:Cisco Secure Email Gateway(ESA)

攻击方式:垃圾邮件隔离模块未授权接口,root 级命令执行

实际危害:邮件防护网关完全失守、恶意邮件放行、篡改往来邮件内容

修复方案:升级固件版本;收紧网关管理口访问策略

 

 

 

 

 

邮件安全配置类高危风险

 

 

1. 邮件身份认证配置薄弱

 

风险点:SPF 配置缺失 / 宽松、DKIM 未部署、DMARC 策略为 p=none

利用方式:攻击者伪造内部域名、HR / 财务 / 高管邮箱,绕过反垃圾直接入箱

典型案例:CEO 仿冒诈骗、财务虚假付款指令、供应链钓鱼

加固要求

     a. 域名部署严格 SPF,禁止陌生服务器中继发信

     b. 全域名开启 DKIM 签名

     c. DMARC 调整为 p=quarantine 或 p=reject

  

2. 开放式邮件中继(匿名中继)

 

风险点:邮件服务器未关闭匿名中继

利用方式:被黑产劫持群发垃圾邮件、诈骗邮件、挖矿引流

危害:企业域名被拉黑、IP 入反垃圾黑名单、合规审计违规

加固:禁用外部匿名中继,仅信任内网 / 指定 IP 段中继  

 

3. 邮箱异常规则滥用

 

风险点:弱口令、邮箱被盗后新增自动转发、自动删除、收件规则

利用方式:窃取往来机密邮件、外泄合同 / 财报 / 涉密文件

自查项:定期巡检全员邮箱转发规则、外部绑定设备、异地登录记录

 

 

 

 

 

邮件客户端 & 附件类漏洞(近期频发)

 

 

 

1. Office 文档零日 / 遗留漏洞

场景:钓鱼邮件携带恶意 Word/Excel,无宏亦可触发代码执行

影响:终端中招、植入木马、跳板入侵内网

防御:终端统一更新 Office 补丁、邮件网关沙箱检测附件

 

2. 网页邮箱通用风险

风险:未启用 HTTPS、Cookie 未加固、自动加载外部图片 / HTML 脚本

加固:全站 HTTPS、开启 HttpOnly、禁用邮件默认加载外部资源

 

 

 

 

 

快速自查操作清单

 

 

面对当前邮件漏洞高发安全威胁,为帮助企业快速排查隐患、及时封堵风险缺口、实现可直接落地的自查整改,现整理邮件系统安全快速自查操作清单,可按以下六大步骤逐项落地执行:

  1. 梳理资产:全面盘点本地邮件服务器、邮件网关、云邮混合部署架构,理清全网邮件资产;

  2. 版本核对:对 Exchange、Zimbra、SmarterMail、Cisco ESA 等邮件设备及系统版本逐一核查,比对是否存在漏洞受影响情况;

  3. 公网收敛:严格管控邮件管理后台、ECP、WebMail等访问入口,避免全局公网暴露,同时通过配置IP白名单缩小暴露面,建议搭配零信任架构,对所有存取做身份确认;

  4. 应急策略:临时隔离老旧、无人维护、无人值守的邮件系统,对核心在用邮件设备优先开展补丁升级与漏洞修复,降低被入侵利用风险;

  5. 日志审计:回溯排查近 30 天系统日志,重点关注异常登录、密码重置、批量外发、邮件中继等高危行为记录;

  6. 漏洞检查:漏洞补丁仅能防范该漏洞被再次利用。对于已被利用的漏洞,除完成修补外,还需排查入侵痕迹、开展威胁溯源,并检测清除潜在后门。

 

 

 

 

 

总结

 

 

综合当前全网邮件安全态势与攻击案例来看,现阶段邮件威胁已进入规模化、专业化成势阶段,整体呈现两大核心攻击主线,风险特征清晰且危害突出:

武器化漏洞批量扫爆:针对各类邮件服务器 RCE,主打快速控服务、勒索挖矿;配置缺陷精准钓鱼:利用域名认证缺陷仿冒内部账号,主打财务诈骗、APT 窃密。

前一个:
后一个:

随时了解最新消息