專訪Coremail論客CEO陳磊華：安全和投遞品質(zhì)是電郵本質(zhì)

如今，郵件幾乎成了工作場景中不可替代的工具。即便是在個人微信、QQ，或是阿里釘釘、騰訊TIM、企業(yè)微信等在線即時通訊工具繁多的當(dāng)下，郵件仍然是日常辦公中必不可少的溝通方式。從某種意義上來說，它更像是一個“官方文書”，更具有“公信力”。

正因如此，郵件系統(tǒng)中往往存儲著企業(yè)及機構(gòu)的大量敏感信息，一旦泄露將造成重大的安全事故。當(dāng)年令業(yè)界嘩然的「希拉里郵件門」就是非常典型的事件之一。

即便近幾年來郵件安全已經(jīng)得到越來越廣泛的關(guān)注，但如360董事長周鴻祎所說，沒有網(wǎng)絡(luò)是無法被攻破的。隨著技術(shù)的快速發(fā)展，網(wǎng)絡(luò)與系統(tǒng)變得越來越復(fù)雜，其中的漏洞也會越來越多。網(wǎng)絡(luò)世界的“攻與防”、軟件系統(tǒng)的查缺補漏，已經(jīng)變成“程序猿”的日常。

Coremail郵件安全事件回顧

最近，在郵件領(lǐng)域就有一個安全事件備受關(guān)注。今年3月，國內(nèi)電子郵件企業(yè)Coremail的安全中心監(jiān)測到了其郵件系統(tǒng)中的3個高危漏洞，隨即向客戶進行了“自曝”。在進行小范圍測試及危害性驗證后，Coremail立即發(fā)布了相關(guān)漏洞補丁并進行了版本更新和兼容性驗證，對于波及對客戶，陸續(xù)協(xié)助進行實際部署驗證和安全加固等工作。

不過，這一安全漏洞問題卻在網(wǎng)上經(jīng)歷了一段時間的持續(xù)發(fā)酵，一時間謠言四起。根據(jù)官方公告披露，該漏洞存在于Coremail的Web服務(wù)端口，攻擊者可以通過訪問apiws、mailsms、wmsvr接口和模塊獲取郵件服務(wù)配置信息（如：數(shù)據(jù)庫連接賬號密碼），通過泄露的信息，從而進一步進行越權(quán)訪問。

對此，Coremail論客CEO陳磊華日前接受了至頂網(wǎng)記者采訪，并就此事進行了回顧。他透露，在Coremail自查發(fā)現(xiàn)問題后，網(wǎng)絡(luò)中的幾位“技術(shù)發(fā)燒友”對這些漏洞進行了反編譯和研究，試圖攻破安全防護。“經(jīng)過追查，我們已經(jīng)找到了這個團隊，他們大多還是在校學(xué)生，所以發(fā)現(xiàn)漏洞對他們來說就像發(fā)現(xiàn)了寶藏一樣。”陳磊華說。

此外，陳磊華還坦言，由于漏洞是常規(guī)自查發(fā)現(xiàn)，同時基于客戶協(xié)議，為了避免給客戶業(yè)務(wù)帶來負面影響，Coremail并未在互聯(lián)網(wǎng)上公布這一漏洞。這樣的舉措使得部分用戶并未對漏洞給予足夠重視及時打補丁，給了攻擊者可乘之機。當(dāng)然，他也聲明稱，雖然沒有公之于眾，但在發(fā)現(xiàn)漏洞的第一時間，Coremail就與波及客戶進行了通報和一對一對接，并在收到用戶反饋后立即將相關(guān)信息上報CNVD平臺，進行了全網(wǎng)公開。

Coremail論客CEO陳磊華

“從某種意義上來說，我們應(yīng)該感謝這個黑客團隊，他們讓我們發(fā)現(xiàn)自己的更多缺陷和問題，并及時采取應(yīng)對措施。”陳磊華強調(diào)。

強調(diào)郵件安全至上

正因如此，Coremail再次明確了“網(wǎng)絡(luò)安全第一”的核心戰(zhàn)略方向，并對內(nèi)部的工作方式和工作流程等進行了全面調(diào)整。

一直以來，Coremail堅持的都是原廠服務(wù)，所有業(yè)務(wù)均不外包。對于用戶而言，這是一種可靠的保障。而對于安全漏洞更是如此，為了避免黑客借打補丁和修復(fù)之名對用戶進行非法攻擊，從3月份開始，Coremail技術(shù)團隊就開始7x24小時待命，為用戶系統(tǒng)進行加固升級，主動聯(lián)系、主動維護。

當(dāng)然，不可避免地，這可能帶來另一個問題，就是修復(fù)時間的拉長。沒有第三方的介入，每一個客戶的單子都由Coremail一一做排期，一一對接執(zhí)行，這對于其技術(shù)團隊來說壓力是非常大的。

雖然業(yè)界普遍認為網(wǎng)絡(luò)漏洞的黃金修復(fù)時間是48小時，但在國內(nèi)市場，基本要半年左右才能完成全部的修復(fù)工作。“事實上，這與企業(yè)用戶自身的重視程度和打補丁的速度有密切的關(guān)系。安全是一個系統(tǒng)工程，對于郵件安全，我國目前大部分人還沒有普遍的安全防護意識，在日常的操作規(guī)范，以及遇到問題后的反應(yīng)速度等方面仍有所缺失。”陳磊華表示，“對此，我們一方面明確了將‘客戶郵件作為我們的頭等大事’，在自己的產(chǎn)品上進行不斷升級；另一方面也會不斷教育市場，提高用戶的認知。對于企業(yè)來說，郵件安全就像是一個‘橋頭堡’，是必須守住的一道重要防線。”

據(jù)他介紹，Coremail不僅從內(nèi)部管理上建立了安全防御體系，在安全漏洞、釣魚郵件的應(yīng)對及服務(wù)上保護用戶隱私，并持續(xù)自查自糾。同時，還會與黑客團隊及與安全專家合作進行攻防演練，其中就包括上文安全事件中的黑客團隊。

推動技術(shù)自主可控

從國家層面來看，時至今日，我國對網(wǎng)絡(luò)安全的重視已經(jīng)到了空前的高度。而由于Coremail的客戶不僅涵蓋美的集團、華潤集團這樣的大型集團企業(yè)，以及人民銀行、建設(shè)銀行、交通銀行等金融機構(gòu)，同時還包括國家科技部、財政部、中科院等政府機構(gòu)和學(xué)術(shù)研究機構(gòu)，他們對網(wǎng)絡(luò)的安全性和系統(tǒng)的自主可控有著極高的要求。因此，Coremail非常重視在郵件安全領(lǐng)域的持續(xù)投入，包括成立云安全服務(wù)中心，堅持24小時不間斷服務(wù)，堅持自主研發(fā)等等。

據(jù)陳磊華透露，今年年初Coremail與華為達成生態(tài)合作，將在華為云上部署Coremail企業(yè)郵箱產(chǎn)品，這讓Coremail成為了國內(nèi)首家適配華為TaiShan服務(wù)器的郵箱品牌。

經(jīng)過幾個月的對接，目前Coremail與華為在技術(shù)層面已經(jīng)基本完成了對接，并計劃于7月正式進行戰(zhàn)略發(fā)布。

“在這其中，我們付出了很多時間，不僅要確認合作的細節(jié)，還要進行嚴謹?shù)募夹g(shù)測試，這是工程師之間的對話，非常復(fù)雜。我們也是一個個難關(guān)地過，一個個節(jié)點去對接。”陳磊華對至頂網(wǎng)記者說。

在自主可控方面，類似于與華為這樣的合作還有不少，包括麒麟、永中等眾多國內(nèi)知名企業(yè)都支持Coremail郵件系統(tǒng)。陳磊華表示：“我們一直在主動尋求生態(tài)合作伙伴，希望能夠打通從CPU到操作系統(tǒng)到上層的生態(tài)體系，從而為客戶提供更好的自主可控的技術(shù)和產(chǎn)品。”

聚焦用戶體驗

作為20多年的郵件企業(yè)，Coremail見證了工作場景發(fā)生的一點一滴的變化。除了郵件安全，用戶對于郵件處理效率要求越來越高、對于郵件使用的便捷性體驗要求越來越顯性化了、郵件與其它系統(tǒng)的結(jié)合也越來越緊密了……總結(jié)成兩點，一是郵件安全，二是投遞品質(zhì)。

因此，基于協(xié)同辦公場景，Coremail仍在不斷豐富自己的產(chǎn)品功能和服務(wù)，以郵件系統(tǒng)為起點在垂直領(lǐng)域進行產(chǎn)品研發(fā)。如今，Coremail的產(chǎn)品涵蓋了郵件系統(tǒng)、企業(yè)郵箱、郵件歸檔系統(tǒng)、郵件投遞系統(tǒng)、海外云鏡像加速、企業(yè)協(xié)同工具等，用戶量超過了10億。

陳磊華介紹，Coremail能夠獲得今天的成就，主要源于兩方面：第一，能夠針對不同行業(yè)客戶的具體應(yīng)用場景定制化相應(yīng)的解決方案。比如，在學(xué)校中大量新生數(shù)據(jù)如何快速批量導(dǎo)入、畢業(yè)生如何轉(zhuǎn)變?yōu)樾Ｓ焉矸荩诩瘓F企業(yè)中如何做到統(tǒng)一的管控和部署等等，都需要不同的方案來支持。第二，云服務(wù)中心的自助服務(wù)和原廠人工服務(wù)的搭配。

“我們非常看重投遞品質(zhì)，這跟快遞服務(wù)是一樣的。因此，在專利和技術(shù)方面我們也在做持續(xù)的投入，從而保證用戶的體驗。”陳磊華表示，“其中就包括與人工智能、機器學(xué)習(xí)等新興技術(shù)等結(jié)合。”

為此，Coremail還在去年年底成立了論客α實驗室。當(dāng)前，實驗室聚焦基于郵件的數(shù)據(jù)智能、數(shù)據(jù)安全、網(wǎng)絡(luò)安全三個方向的落地研究，以產(chǎn)學(xué)研合作方式切入，與清華大學(xué)深圳研究生院、中山大學(xué)、南京大學(xué)、華南理工大學(xué)、廣州中科院軟件所等高校、科研院所進行聯(lián)合，開展了三個領(lǐng)域中與郵件業(yè)務(wù)相關(guān)的關(guān)鍵技術(shù)研發(fā)與產(chǎn)品原型開發(fā)，并對相關(guān)項目進行孵化，把合適的成果導(dǎo)入企業(yè)進行產(chǎn)業(yè)化轉(zhuǎn)換。

僅僅半年時間，論客α實驗室已經(jīng)有不少項目被孵化。比如，通過對網(wǎng)絡(luò)攻擊、安全事件等進行系統(tǒng)整理與可視化呈現(xiàn)，向相關(guān)的管理歸口進行安全實時預(yù)警和策略響應(yīng)，全面保障電子郵件安全；比如，在電子取證、多模態(tài)惡意垃圾郵件識別、企業(yè)運營風(fēng)險等方面與科研機構(gòu)和高校合作進行研究和聯(lián)合技術(shù)開發(fā)等等。對于Coremail來說，這既是生態(tài)合作的延展，同時也將成為其產(chǎn)品不斷升級和創(chuàng)新的重要方式。“我們會不遺余力地在這方面進行投入，確保用戶的體驗，這是我們的優(yōu)勢和核心。”陳磊華說。