子账号
成员,通常指账号使用者
1.1、手机登录验证
一种保护邮箱安全的措施,通常用于确认用户身份。它可以采用短信验证码、移动应用生成的动态验证码或者生物识别技术等方式。这种验证方式有助于确保只有合法用户能够通过其手机进行登录,增强账户的安全性。
操作步骤:
以网页版为例:
打开网页端登录地址:https://qy.163.com/login/登录到网页端邮箱
进入设置
进入密保平台开启手机二次验证
绑定手机并启用短信验证
至此,您的邮箱已成功绑定手机并开启短信验证。
附:
如果是旧版Web,在登录网页端后请点击【应用中心】--【密保平台】处进行手机绑定操作,示例如图:
必要性说明:
增强账户安全性
手机二次验证增加了一个额外的安全层,即使攻击者获取了您的密码,他们在登录网页端等终端时仍然需要通过手机验证才能访问您的账户。而以现今手机的普及度来说,硬件丢失的可能性相对较小,这大大降低了账户被盗的风险。
防止未经授权的访问
二次验证可以有效防止未经授权的访问,特别是在管理员身份的账户中,这些账户通常具有较高的权限,能够管理和创建邮箱,对整个域下用户的邮箱安全有重大影响。
应对密码泄露风险
在密码泄露事件频发的情况下,二次验证可以作为最后一道防线,确保即使密码泄露,账户也不会轻易被攻破。
减少钓鱼攻击的成功率
二次验证可以有效减少钓鱼攻击的成功率,因为即使用户不慎泄露了密码,攻击者仍然需要通过手机验证才能登录。
设置手机二次验证是提升电子邮箱安全性的重要措施,能够有效防止未经授权的访问,保护用户的敏感信息和数据安全。
设置影响:
在企业邮箱用户登录时需要输入账号的密码及绑定的手机收到的验证码方可登录,如遇手机号码欠费、丢失等情况可能会影响正常登录使用。
生效范围说明:
仅通过专有协议(网页端、灵犀客户端、邮箱大师专有协议)登录时生效,如标准协议(IMAP/SMTP/POP3)登录,是无需进行二次验证的,针对标准协议的保护,强烈建议开启客户端授权码(最好采用一端一码形式,即针对每个客户端分配单独的一个授权码)。
1.2、客户端授权码
客户端授权码是OAuth 2.0协议中的一种授权机制。当第三方应用程序(客户端)需要访问用户的受保护资源时,用户被重定向到授权服务器,授权服务器会返回一个授权码给第三方应用程序。然后第三方应用程序使用这个授权码与授权服务器进行交互,最终获取访问令牌,以便访问用户数据。这种机制有助于保护用户的凭证信息,提高安全性。
操作步骤:
以网页版为例:
打开网页端登录地址:https://qy.163.com/login/登录到网页端邮箱
进入设置
进入【账号与安全】--【客户端设置】--【进入设置】
如图在跳转的页面中开启授权码后等待刷新,创建客户端名称(主要是区分使用客户端,无其他特殊要求)
保存生成的授权码
至此,您的邮箱账号已经开启客户端授权码,之后在客户端上使用时无法使用原始密码,而是需要使用当前生成的授权码进行客户端绑定登录。
附:
如果是旧版Web,在登录网页端后请点击【设置】--【邮箱设置】--【客户端设置】处进行授权码开启,示例如图:
必要性说明:
增强安全性
防止密码泄露:客户端授权码是一个独特的安防功能,旨在防止邮箱密码被盗后,盗号者通过客户端登录邮箱。授权码具有随机性、高复杂性和不易泄露的特点,能够有效保护邮箱账户的安全。
独立管理:授权码可以在邮箱中方便地管理,用户可以随时生成或删除授权码,进一步提升安全性。
限制登录方式
专用登录:设置授权码后,邮箱客户端无法通过邮箱密码登录,只能通过授权码来登录。这意味着即使邮箱密码被泄露,未经授权的客户端也无法登录邮箱。
统一授权码:IMAP/POP3/SMTP协议共用一个授权码,简化了管理和使用。
应对特殊情况
解决登录问题:在某些情况下,用户可能会遇到客户端登录失败的问题,如密码中含有特殊符号导致客户端无法识别。使用授权码可以避免这些问题,因为授权码的生成和使用不受密码复杂性的影响。
开启客户端授权码不仅能显著提升邮箱账户的安全性,还能简化管理和使用,确保账号在多场景下能得到有效保护。
设置影响:
当使用客户端绑定邮箱时,不管是标准协议还是专有协议,在授权码开启状态下登录都是需要使用授权码,此时原始密码会被认定为无效(原始密码可以登录网页端)。
生效范围说明:
所有客户端登录。
管理员
账号管理
1.3、安全模式:
账号管理中,提供不同的安全模式选择
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
进入对应账号后下拉菜单,调整不同安全模式
必要性说明:
不同安全模式对账号的使用场景限制不同。理论上,安全等级越高,账号受限场景越多,但是账号被盗的风险越小。
设置影响:
自定义模式:根据用户手动调整
中级模式:默认开启二次验证
高级模式:进一步增加使用限制,关闭标准协议登录权限,使用者无法主动开启
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.4、登录权限:
管理员根据实际需要授权对应账号登录权限,未授权则无法登录。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
下拉菜单找到【登录权限】按需要调整即可
必要性说明:
有助于确保系统安全。通过设置登录权限,管理员可以控制谁可以访问系统或特定的资源,从而降低未经授权访问的风险。
设置影响:
未授权的登录权限无法使用,如管理员设置A账号无法使用标准协议,则当A账号使用者使用如Foxmail这类客户端标准协议(IMAP/POP3/SMTP)登录时报错,无法登录。
注意:为了提供更可靠安全的邮箱使用环境,网易企业邮箱从9月开始逐步调整账号安全策略,预计9月底开始,尽管管理员在创建账号时是默认勾选IMAP和POP的,但用户侧的Webmail网页端上的开关实际为关闭,如用户需要使用标准协议,需要到网页端手动开启下。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.5、手机登录验证
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
菜单内找到【账户安全】--【绑定】,输入绑定的手机号。
下拉菜单找到【密保安全】--【安全模式】--【登录验证】,勾选强制开启二次验证
至此,当前选择邮箱已成功绑定手机并开启短信验证。
附:
目前验证方式除手机短信外,尊享版邮箱也可支持安全邮箱验证,即选择邮箱可以绑定另一个邮箱来接收验证码,员工可以在admin设置登录验证方式后,在登录时绑定安全邮箱或者直接让admin在管理后台操作绑定。
必要性说明:
参考子账号开启手机登录验证必要性说明。
设置影响:
参考子账号开启手机登录验证设置影响。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.6、客户端授权码
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
下拉菜单找到【客户端授权密码】选项按需要调整即可
必要性说明:
参考子账号开启手机登录验证必要性说明。
设置影响:
参考子账号开启手机登录验证设置影响。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
1.7、客户端端口配置
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【组织机构管理】--【账号管理】
下拉菜单找到【客户端端口配置】按需选择即可,推荐选择【强制配置加密端口】。
必要性说明:
通过使用加密端口(如SSL或TLS),可以确保在电子邮件传输过程中的数据加密,从而提供隐私和安全性。这种加密可以有效地防止未经授权的访问者或黑客窃取电子邮件内容或敏感信息。有助于确保电子邮件通信的保密性和完整性,以及符合数据隐私和安全标准。
设置影响:
账号使用者可能需要重新更新他们的电子邮件客户端或应用程序配置以确保其连接到加密端口。这可能需要一些额外的设置步骤,但一旦完成,使用者会获得更高级别的安全性和数据保护。虽然这可能对使用者造成一些额外的工作量,但这种安全性措施通常会提供更好的保护,从而增加整体的安全感。
生效范围说明:
针对选择账号生效(管理员可批量操作,如对全域账号生效)
安全中心:
1.8、密码规则管理
电子邮件密码规则管理是指对用户在创建或更改电子邮件账户密码时需要满足的特定规则进行管理和执行。这些规则旨在增强密码的安全性,降低账户被盗用的风险。典型的密码规则可能包括:密码长度要求、包含大写字母、小写字母、数字和特殊字符、禁止使用常见密码、定期更改密码等。
通过强制实施这些规则,可以提高账户的安全性,防止未经授权的访问和数据泄露。同时,这也鼓励用户使用更安全的密码实践,从而保护其个人信息和通信的安全。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【安全中心】--【密保管理】--【密码规则管理】,按实际需要设置规则即可。
必要性说明:
通过实施密码规则,可以要求员工定期修改密码,同时确保用户创建的密码相对复杂,提高账户的安全性。这有助于防止未经授权的访问者进入用户的电子邮件账户,从而保护用户的个人信息和通信内容不受损害。密码规则还有助于降低账户被盗用或黑客攻击的风险,从而维护整个电子邮件系统的安全性。
设置影响:
成员可能会因为需要定期修改密码以及对密码设置上的高要求产生抵触情绪,建议根据企业实际对邮箱安全的重视程度调整强制修改密码频率以及密码复杂性要求。
生效范围说明:
全域生效。
1.9、IP&地区登录管理
管理员通过此设置,达到只允许员工在特定IP&地区范围内才可以访问邮箱的目的,更好的保护企业信息安全。同时也可设置白名单以便某些账号不受该IP登录限制规则的约束。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)
选择【安全中心】--【登录管理】--【IP登录管理】,按实际需要设置登录规则即可。
必要性说明:
一般黑产行业获取邮箱密码最常见的方式是暴力破解,也叫密码穷举。电子邮箱因为其功能特殊性,不可避免地存在被曝光的可能性,如果账户密码比较简单,此时黑客使用暴力破解工具很快就可以破释出密码。而管理员通过对登录地区&IP进行限制,从源头上杜绝被尝试的可能性。
设置影响:
成员只能在被允许的范围内使用,当存在出差等客观场景时,需要提前联系admin设置成员个人规则,增加了admin的操作成本,不过对账号的保护效果也是比较明显的。
生效范围说明:
企业成员默认规则对除单独设置规则的成员外所有的成员以及未来新创建的成员生效(全局)。
个人成员规则(优先于企业成员规则),对个别成员单独设置登录限制,主要用于面向经常出差或外派的同事进行设置。
1.10、安全扫描
集成弱密码统计、二次验证统计、陌生来信统计、异地登录提醒统计、90天未修改密码等功能,一键式对域内账号进行安全措施扫描。
操作步骤:
进入管理后台操作界面,需要admin账号登录(登录地址:https://qy.163.com/login/)。
选择【安全中心】--【安全扫描】,根据需要选择要检索的功能项然后【立即扫描】即可。
扫描完成后,会将扫描结果展示在对应页面上,同时admin也会收到完整的扫描报告,此时管理员根据实际结果对风险账号进行策略调整即可。
必要性说明:
提供全面的账户安全性管理。通过自动扫描和汇总这些数据,系统可以快速识别存在的安全隐患,例如弱密码、未经授权的登录尝试、以及长时间未修改密码的账户。这种方法有助于用户和管理员及时采取必要的安全措施,加强账户的安全防护,从而防止未经授权的访问、数据泄露以及其他潜在的安全风险。
设置影响:
无
生效范围说明:
全域生效。
