一、經濟部(以下簡稱本部)為強化本部及所屬機關(構)公務電子郵件安全
防護,降低遭電子郵件社交工程攻擊及郵件資料遭竊之風險,特訂定本規
範。
二、電子郵件使用管理如下:
(一)電子郵件帳號之密碼應遵守密碼原則(位數、複雜度、允許輸入錯誤
次數等),定期修改並符合密碼強度,公務電子郵件之密碼不可與私
人電子郵件密碼相同。
(二)須以電子通訊工具傳遞機密文書者,應依行政院文書處理手冊規定方
式辦理,嚴禁逕以電子郵件進行傳遞;敏感性資訊如有以電子郵件傳
遞之必要,須經加密處理後傳送。
(三)電子郵件信箱非屬安全之資料備份空間,重要公務資料勿長期留存於
公務信箱內,以免帳號密碼不慎外洩時,造成大量資料外洩。
三、電子郵件帳號管理如下:
(一)電子郵件管理者帳號應限制可存取服務之來源,以強化系統管理安全
。
(二)電子郵件帳號應定期進行清查,以確認帳號確由使用者持續使用。
(三)除經申請核准之特定公務用信箱(如申訴管道、首長信箱、群組信箱
等)外,電子郵件帳號禁止由不同人員共同使用,以確認人員認證及
授權之合理性,並避免身分冒用。
四、電子郵件系統管理如下:
(一)電子郵件系統應套用政府組態基準(以下簡稱 GCB),並視 GCB 發
布情形,適時套用或更新相關設定。
(二)電子郵件系統除其系統本身限制外,應啟用下列安全機制,並應定期
檢討及留存紀錄:
1.登入之身分驗證,應結合多因子認證機制,且電子郵件於機關(構
)外部網路進行存取時,應採多因子認證機制。
2.發現同一帳號短時間內從不同地區網路協定(以下簡稱 IP )登入
之異常情形,應通知使用者釐清,以避免帳號遭盜用。
3.應限制登入失敗重試次數,並設定多次登入失敗鎖定時間,以降低
遭到外部大量刺探攻擊之風險。
4.應檢查登入郵件主機帳號與寄件者帳號是否一致,以避免冒用身分
。
5.應限制使用者不得自行授權帳號予他人使用,以避免略過帳號認證
機制。
6.應啟用同一會話(Session ),其連線過程 IP 變更,會將使用者
帳號登出機制,以避免使用者身分遭冒用及資訊外洩。
7.應限制自動轉寄功能,避免郵件內容不當洩漏。
8.應偵測並阻擋大量收件者發信作業,以避免惡意郵件攻擊行為或耗
用主機資源。
9.應啟用發信者原則架構(Sender Policy Framework, SPF)驗證功
能,以檢查寄件郵件伺服器有權代表該網域發送電子郵件。
10.應依規定保留系統日誌,提供後續稽核所需。
11.應設定垃圾信阻擋機制及黑名單,減少惡意信件攻擊。
12.應預設郵件服務之用戶端以純文字模式顯示信件,並封鎖外部圖
檔,以避免惡意檔案或巨集攻擊。
13.應導入連結檢查機制,以防止誤開郵件中的惡意連結。
14.應定期檢視郵件大小、附件檔過濾之安全性設定。