宁盾MFA多因素认证方案，守护Exchange邮件系统安全

企业邮箱安全危机与挑战

邮箱作为企业日常运营中至关重要的通信工具，肩负着内部沟通、客户联系、财务往来、各类业务系统登录（如OA、CRM、ERP）以及与供应商和合作伙伴联络等诸多关键事务。一旦邮箱失守，极有可能沦为攻击者侵入企业网络的突破口，引发极为严重的后果。

长期以来，钓鱼邮件、账号盗用、弱口令以及勒索病毒等问题威胁着企业邮件系统的安全稳定运行。据相关统计，弱口令是黑客攻击企业邮件系统时极易利用的漏洞之一。不仅如此，企业内部还面临着 “三难” 困境：

• 管控难题：访问企业邮箱的终端设备种类繁多，涵盖iOS、Android、Windows、macOS、HarmonyOS、HyperOS等；同时，邮件系统客户端呈现碎片化，像Outlook、Foxmail、QQ邮箱、预装邮箱等均在列。

• 审计困境：同一账号在多地的登录行为，难以进行有效的关联分析。

• 体验不佳：频繁的验证操作致使工作效率降低，并且员工对复杂的安全措施存在抵触情绪，使得安全手段难以充分发挥其价值。

提升邮箱安全的有效途径——MFA

面对以上难题，企业或组织应采取何种举措，才能提升邮箱安全防护水平，并满足供应链合规或等保、密评要求呢？宁盾认为，除强化员工安全意识培训外，采用多因素认证（MFA）技术不失为一种行之有效的办法，这也是等保、密评等相关文件所倡导企业运用的技术手段之一。

多因素认证（Multi - Factor Authentication，MFA）提供了一种相较于传统用户名与单一静态密码组合更为高级的安全防护措施。它要求用户提供多种验证因素，以证实自身身份的真实性与合法性。此技术融合两种或两种以上的身份验证类别，例如知识因素（密码）、占有因素（OTP动态口令）以及固有因素（生物特征），以此确保仅有合法用户能够访问敏感数据或服务。

多因素身份认证（MFA）通过增加多层验证因素加大了黑客破解账号密码的难度。即便黑客获取了邮箱账号与密码，若无法获取其他验证因素，依旧无法访问邮箱。实践证明，该方案是一种强有力的安全防御策略。

Exchange邮件系统多因素认证方案
网页端邮箱

宁盾多因素认证（MFA）适用于通过主流 web 浏览器（如Chrome、Firefox等）访问的网页端邮箱，如OWA（Outlook Web App）、Coremail 等。此场景下的多因素认证方案，主要以宁盾动态口令（OTP）作为验证因素。动态口令（OTP）的载体丰富多样，包括硬件令牌、APP令牌、短信令牌、微信小程序令牌、H5令牌等（详见下图）。

用户登录流程：

当用户访问 OWA 或其他网页端邮箱，输入账号和密码后，系统会弹出动态密码输入框，提示用户输入动态口令。用户只需输入令牌上的 6 位数字，校验通过后即可登录邮箱，开展正常办公。

客户端邮箱

以 Exchange 邮件系统为例，宁盾 MFA 在邮箱客户端的适用场景如下：

• 手机端（iOS、安卓系统）：支持手机自带邮箱、QQ邮箱、Outlook 2013及以上版本等；

• 电脑端（Windows、macOS）：支持Outlook 2013及以上版本、Foxmail、网易邮箱、QQ邮箱等。

在 Exchange 邮件系统客户端场景中，宁盾多因素认证（MFA）采用审批授权的方式。

用户登录流程：

用户访问邮箱客户端，在输入账号和密码进行登录时（此时宁盾会拦截并读取设备信息），会收到一条包含链接的审批消息（可结合短信/企业微信/飞书/钉钉消息通知）。用户点击链接并确认授权，授权成功后，宁盾便会放行，用户即可成功登录。（详见下图）

Exchange 邮件系统适用场景

宁盾 MFA 多因素认证支持 Exchange 邮件系统 2013 及以上版本，其支持的协议可归纳为以下三大类：

• Web 端：支持 OWA、ECP、RDS 协议；

• 手机客户端：支持手机原生邮箱、QQ邮箱、Outlook 2013及以上版本等，支持 Exchange ActiveSync 协议；

• 桌面客户端：支持 Outlook 2013及以上版本、Foxmail、网易邮箱、QQ邮箱等，支持 POP3、IMAP、STMP、EWS、MAPI、RPC、MAPI 协议。

关于宁盾多因素认证（MFA）

宁盾多因素认证（MFA）是一套软件系统，由认证系统服务端与用户端（令牌）两部分构成，具备身份认证、授权、审计、用户自服务等多项能力。宁盾 MFA 的优势不仅体现在令牌形式丰富多样，还在于其具备灵活的策略条件，能够支持复杂业务场景。

针对企业内部存在的审计难题，宁盾 MFA 的日志审计方式如下：无论采用何种令牌形式，均拥有独立的序列号，该序列号与用户身份绑定。认证服务端依据令牌序列号，对用户信息进行审计，包括哪个用户、在何时、使用哪个IP终端、登录哪台设备以及是否认证成功等，方便管理员进行集中审计。

在用户体验方面，采用宁盾 MFA 可带来以下效果：

1. 验证因素更简便，安全成效不打折：通过动态口令或审批授权，能够减少用户定期修改静态密码、设置密码复杂度这类繁琐操作；

2. 用户自服务平台，降低 IT 参与度：基于 web 页面的用户自服务平台，使员工可自助完成密码修改、找回，以及令牌的解绑、换绑等操作，极大减轻了 IT 管理员的工作负担。

Exchange 邮件系统MFA精选案例

某智能终端制造商

针对NPI区域邮件系统进行管控。过去使用的是UserLock产品进行管理，因订阅费用高昂，于是寻找宁盾多因素认证产品进行替代。宁盾通过多因素认证网关 + IP段管控方式对NPI区域邮箱访问进行安全护航，以更经济的方案满足了该制造企业的邮箱管控需求。

某律师事务所

此前，该律师事务所员工邮箱遭攻破，公司同事收到大量垃圾邮件。为避免此类问题再次出现，宁盾多因素认证系统与该公司 Exchange 2019 邮件系统的 OWA 和 Outlook 客户端进行对接，通过主备部署及提供宁盾 APP 动态令牌，加强对邮箱账号身份鉴别，切实保障邮件系统及公司重要信息资产的安全性。

某电力设备制造企业

近期，该公司员工Exchange邮箱账号频繁被攻击，有员工账号密码被盗取，对内部人员发送钓鱼邮件，虽暂未造成重大损失，但已对企业信息安全构成严重威胁。传统用户名和静态密码认证方式，在黑客面前不堪一击。为有效防范此类风险，提升Exchange邮件系统的访问安全性，该公司决定采用宁盾多因素认证方案。

宁盾通过双机热备的部署方式来保障系统的高可靠与稳定性。适配对接Outlook客户端（2016、2019版本）、Foxmail客户端、OWA等，以短信令牌作为二次认证因子。同时开启防爆破功能，针对同一IP短时间内多次登录，进行封禁，确保用户在首次登录、非信任设备登录或密码变动等情况下访问邮箱时触发二次验证，以确保用户身份合法可信。此外，宁盾还提供用户自服务平台，使员工可以自助进行密码修改、重置等操作。