detecting-spearphishing-with-email-gateway
鱼叉式网络钓鱼(Spearphishing)使用个性化、经过研究的内容针对特定个人,可绕过通用垃圾邮件过滤器。邮件安全网关(SEG)如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力,包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。
Best use case
detecting-spearphishing-with-email-gateway is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
鱼叉式网络钓鱼(Spearphishing)使用个性化、经过研究的内容针对特定个人,可绕过通用垃圾邮件过滤器。邮件安全网关(SEG)如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力,包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。
Teams using detecting-spearphishing-with-email-gateway should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-spearphishing-with-email-gateway/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-spearphishing-with-email-gateway Compares
| Feature / Agent | detecting-spearphishing-with-email-gateway | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
鱼叉式网络钓鱼(Spearphishing)使用个性化、经过研究的内容针对特定个人,可绕过通用垃圾邮件过滤器。邮件安全网关(SEG)如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力,包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用邮件网关检测鱼叉式网络钓鱼 ## 概述 鱼叉式网络钓鱼(Spearphishing)使用个性化、经过研究的内容针对特定个人,可绕过通用垃圾邮件过滤器。邮件安全网关(SEG)如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力,包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。 ## 前置条件 - 对邮件安全网关管理控制台的访问权限 - 了解邮件流架构(MX 记录、传输规则) - 熟悉 SPF/DKIM/DMARC 认证 - 了解常见的鱼叉式钓鱼技术和借口场景 ## 核心概念 ### 鱼叉式网络钓鱼特征 - **定向收件人**:特定个人,通常是高管或财务人员 - **经过研究的借口**:引用真实项目、同事或事件 - **冒充**:伪造可信发件人(CEO、供应商、合作伙伴) - **低流量**:少量邮件以避免基于模式的检测 - **紧迫语气**:制造快速行动的压力 ### 网关检测层 1. **信誉过滤**:IP/域名/URL 信誉评分 2. **认证检查**:SPF、DKIM、DMARC 验证 3. **内容分析**:基于 NLP 的邮件正文分析 4. **冒充检测**:显示名称和域名相似性匹配 5. **URL 分析**:实时 URL 引爆和重定向追踪 6. **附件沙箱**:在隔离环境中对附件进行行为分析 7. **行为分析**:通讯模式中的异常检测 ## 实施步骤 ### 步骤一:配置冒充保护 ``` Microsoft Defender for Office 365: 安全 > 反钓鱼策略 > 冒充设置 - 为 VIP 启用用户冒充保护 - 启用域名冒充保护 - 添加受保护用户(CEO、CFO、HR 总监) - 设置操作:隔离邮件 Proofpoint: 邮件保护 > 冒充者分类器 - 启用显示名称伪造检测 - 配置仿冒域名检测 - 设置冒充者阈值敏感度 ``` ### 步骤二:配置 URL 保护 - 启用安全链接/URL 重写 - 启用点击时 URL 引爆 - 封锁新注册域名(< 30 天) - 启用 URL 重定向链追踪 ### 步骤三:配置附件沙箱 - 启用安全附件/附件沙箱 - 配置动态投递(投递正文,暂留附件) - 将沙箱引爆超时设置为 60 秒以上 - 封锁来自外部发件人的启用宏的 Office 文档 ### 步骤四:创建自定义检测规则 使用 `scripts/process.py` 分析邮件网关日志,识别鱼叉式钓鱼模式,并生成自定义检测规则。 ### 步骤五:配置告警和响应操作 - 对冒充尝试进行实时告警 - 对高置信度检测自动隔离 - 向用户发送带安全提示的通知 - 与 SIEM 集成进行关联 ## 工具与资源 - **Microsoft Defender for Office 365**: https://security.microsoft.com - **Proofpoint Email Protection**: https://www.proofpoint.com/us/products/email-security - **Mimecast Email Security**: https://www.mimecast.com/products/email-security/ - **Barracuda Email Protection**: https://www.barracuda.com/products/email-protection ## 验证 - 冒充保护正确识别伪造 VIP 显示名称 - URL 引爆捕获测试钓鱼邮件中的恶意链接 - 附件沙箱检测武器化文档 - 自定义规则在已知鱼叉式钓鱼模式上触发 - SIEM 集成接收网关告警
Related Skills
testing-for-email-header-injection
测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。
securing-api-gateway-with-aws-waf
通过配置 OWASP Top 10 防护托管规则组(Managed Rule Group)、创建自定义速率限制规则、实施机器人(Bot)控制、设置 IP 信誉过滤以及监控 WAF 指标,使用 AWS WAF 保护 API Gateway 端点。
investigating-phishing-email-incident
调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。
implementing-proofpoint-email-security-gateway
部署和配置 Proofpoint Email Protection 作为安全邮件网关,在邮件到达用户收件箱之前检测并拦截钓鱼、恶意软件、BEC 和垃圾邮件。
implementing-email-security-with-dmarc-dkim-spf
通过检查域名的 SPF、DKIM 和 DMARC DNS 记录,审计并验证电子邮件身份验证配置。 使用 dnspython 查询 TXT 记录,验证 SPF 语法和查询次数,核查 DKIM 选择器记录, 解析 DMARC 策略,识别可能导致电子邮件欺骗的错误配置。并生成修复建议。
implementing-email-sandboxing-with-proofpoint
邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。
implementing-dmarc-dkim-spf-email-security
SPF、DKIM 和 DMARC 是邮件认证的三大支柱,共同防止域名伪造、验证消息完整性并定义处理未认证邮件的策略。正确实施可显著减少冒充组织域名的钓鱼攻击。
implementing-api-gateway-security-controls
在API网关层实施安全控制,包括认证强制执行、速率限制、请求验证、IP白名单、TLS终止和威胁防护。 配置API网关(Kong、AWS API Gateway、Azure APIM、Apigee)作为集中式安全执行点, 在流量到达后端服务前对所有API流量进行验证、节流和监控。
hunting-for-spearphishing-indicators
跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。
detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
detecting-t1055-process-injection-with-sysmon
通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。