20周年巨献：2025全球邮件威胁报告发布|垃圾邮件|服务器|木马|网关|邮件威胁

前言

时光荏苒，岁月如歌。

2025年12月，北京网际思安科技有限公司正式迎来了成立20周年的里程碑。自2005年起，我们始终深耕邮件安全领域，秉持“安邮天下”的愿景，从单一反垃圾邮件技术，演进为涵盖边界防御、数据安全及云服务的全栈邮件安全体系；从早期的技术支持创业团队，成长为拥有自主可控核心技术的研发型国家高新技术企业。这二十年的跨越，是网际思安对技术创新的执着坚守，也是中国邮件安全行业发展历程的缩影。

在此，我们要特别向长期以来信任与支持网际思安的3000多家行业典范客户致以最崇高的敬意。是你们的信任与托付，筑就了网际思安今日的基石。

站在二十周年的新起点上，我们发布这份《2025年网际思安全球邮件威胁报告》，心情既激动又沉重。激动的是，我们有幸见证并参与了数字时代的伟大变革；沉重的是，随着生成式人工智能（Generative AI）技术的爆发式普及，邮件安全攻防的边界正在被重新定义。

2025年是具有分水岭意义的一年。这一年，我们见证了攻击者利用AI工具批量制造出几乎无懈可击的“完美诱饵”；我们目睹了“银狐”（SilverFox）等黑产团伙将攻击目标从传统的金融诈骗转向了针对特定行业的精准渗透；我们也发现了会话劫持和账号接管（ATO）正逐渐取代简单的病毒投递，成为窃取企业资金的隐形杀手。

作为中国邮件安全领域的领跑者，网际思安依托麦赛邮件安全实验室（MailSec Lab）遍布全国的威胁感知网络，对2025年全年数千亿级的邮件数据进行了深度清洗与分析。这份报告不仅是数据的堆砌，更是我们全体研究人员夜以继日与黑产对抗的经验结晶。

下一个二十年，网际思安将继续做您邮件安全的守夜人。希望这份报告能为您提供一份实战级的生存指南，助您在数字化浪潮中通过电子邮件这一“大动脉”，安全、高效地连接世界。

北京网际思安科技有限公司

2026年1月26日

报告目录

前言

1. 2025年邮件安全态势

1.1 风险概览：高位运行，智能进化
1.2 2025年四大年度关键词
1.3 新一代防御技术的崛起

2. 钓鱼邮件威胁态势

2.1 态势综述：高频攻击下的“精准猎杀”
2.2 2025年度十大钓鱼邮件主题
2.3 重点威胁类型深度剖析
2.4 典型案例复盘

3. 病毒邮件威胁态势

3.1 态势综述：窃密狂潮与AI恶意软件的崛起
3.2 年度毒王：银狐深度剖析
3.3 典型案例复盘：伪装成住房津贴的银狐攻击
3.4 2025年全球病毒投递技术新趋势

4. 数据泄露威胁态势

4.1 态势综述：邮件占据数据泄露的半壁江山
4.2 邮件数据泄露的三大核心诱因
4.3 焦点议题：跨境邮件传输的合规风暴
4.4 典型案例复盘：一封发往海外的图纸邮件
4.5 防御之道：加密、管控与可视

5. 其他邮件威胁态势

5.1 态势综述：从攻破系统到攻破人心
5.2 账号接管与暴力破解
5.3 邮件会话劫持：隐形的“交易杀手”
5.4 商务邮件诈骗：伪造身份的艺术
5.5 深度案例复盘：百万货款“蒸发”始末

6. 2026年邮件安全趋势展望

6.1 趋势一：AI攻防进入Agent对抗新阶段
6.2 趋势二：移动优先攻击催生全场景防御变革
6.3 趋势三：邮件数据跨境流动的“自动化合规”
6.4 趋势四：身份威胁检测与邮件安全的深度融合
6.5 趋势五：供应链安全的“动态信用评分”机制

7. 防御建议与战略：“AI+数据+身份”

7.1 2025年威胁态势深度回顾
7.2 核心防御战略：零信任与AI驱动的融合
7.3 战术落地：基于网际思安能力的实战防御体系
7.4 企业邮件安全建设路径规划

8. MailSec Lab介绍

网际思安小贴士：

本次报告长达54页，内容丰富详实，如需获取完整版《2025年全球邮件威胁报告》，请关注微信公众号：safenext（或直接点击左上角“点击蓝字，关注我们”按钮），回复“2025年度邮件威胁报告”。

如需获取历史报告，请回复“2024年度”或“2023年度”或“2022年度”或“2021年度”获取如下历史报告:

《2024年全球邮件威胁报告》
《2023年全球邮件威胁报告》
《2022年全球邮件威胁报告》
《2021年全球邮件威胁报告》

样章展示

因公众号版面有限，选取前两章内容以示读者，请关注微信公众号获取完整内容。

第一章

1. 2025年邮件安全态势

随着科技的日新月异，尤其是人工智能技术的爆发式增长，我们的生活和工作模式正经历着全面而深刻的变革。在这一背景下，不法攻击者亦紧随科技潮流，利用生成式AI等先进技术不断迭代和精细化其邮件攻击策略，使其攻击更具隐蔽性与欺骗性。进入2025年，邮件攻击领域已呈现出智能化、精准化与复合化的全新态势和特点。

面对这一挑战，北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）对思安全球邮件安全网络在过去一年中所积累的海量邮件安全检测数据进行了深入分析和挖掘。这些数据源自全球各地，覆盖了金融、制造、政府、教育等各种关键行业和领域，通过细致的分析和严谨的研究，我们力图揭示邮件攻击的新动向、新手法和新趋势。

我们不仅关注于已发生的攻击事件，更致力于预测未来可能出现的威胁，以期为我们的客户提供前瞻性的防护建议，帮助我们的客户更好地理解当前邮件安全的严峻形势，并采取有效的措施来应对日益复杂的邮件威胁。

1.1

风险概览：高位运行，智能进化

2025年，全球邮件威胁态势呈现出“总量持续攀升、手段智能进化、目标精准定点”的三大特征。根据MailSec Lab的数据监测显示，2025年网际思安邮件安全网关拦截的各类恶意邮件总量较2024年同比增长了28.4%。

核心数据指标：

1. 恶意邮件占比：全球范围内，每4封电子邮件中，就有1封被判定为恶意邮件或垃圾邮件（参考Barracuda 2025情报及MailSec Lab数据）。

2. 垃圾邮件占据总量榜首：在所有被网关拦截的非正常邮件中，垃圾邮件（Spam）凭借其低成本、大规模投递的特性，占比高达 58.6%，依旧是消耗企业网络资源和员工注意力的主要噪音。

3. 钓鱼邮件风险最高：虽然钓鱼邮件（Phishing）在数量占比上（31.2%）低于垃圾邮件，但其针对性强、诱惑性大，是导致企业数据泄露和资金损失的首要根源。此外，利用AI技术生成的变种钓鱼邮件、BEC及“鲸钓”攻击，同比激增了45%。

图. 2025年邮件威胁类型分布图

1.2

2025年四大年度关键词

回顾2025年，基于MailSec Lab的监测数据以及其他知名厂商的全球威胁情报，我们提炼出以下四个关键词，它们精准描绘了全年的安全图景：

关键词一：AI的双重角色

2025年，AI在邮件攻击中扮演了“武器”与“诱饵”的双重角色，两者截然不同却又相互交织。

1. 作为技术武器：攻击者利用大语言模型（LLM）批量生成语法完美、针对性极强的多语种钓鱼邮件，“AI增强型攻击”已成常态，这使得基于语法的传统检测手段失效。

2. 作为热点诱饵：AI本身也成为了吸引受害者的“幌子”。根据MailSec Lab在网际思安微信公众号上发布的《3月份钓鱼邮件热点报告》，以“AI自动化办公表格制作工具”为主题的钓鱼邮件高居榜首。此类攻击并非由AI生成，而是利用员工对新技术的焦虑与好奇心，诱导其下载伪装成AI软件的恶意病毒。

关键词二：二维码钓鱼爆发

2025年是“二维码钓鱼”（Quishing）全面爆发的一年。攻击者将恶意链接隐藏在二维码中，迫使用户使用手机扫描，从而绕过传统邮件网关对URL文本的扫描，将威胁从受保护的企业PC端转移到了防护相对薄弱的移动端。数据显示，83% 的恶意Microsoft 365文档中包含指向钓鱼网站的二维码。

关词三：银狐与“薪税”陷阱

在中国区，以“银狐”为代表的黑产团伙表现出极强的本土化运营能力。区别于广撒网，银狐组织在2025年主要利用“工资调整”、“个人税务补贴”、“住房公积金申补”等高敏感度的HR与财务类主题作为切入点，并在触发后隐蔽下载木马程序，进而实现数据回传和远程控制。一旦中招，企业面临的不仅是数据泄露，更是直接的资金盗窃。

关键词四：横向钓鱼

攻击者不再满足于攻陷单一邮箱，而是利用受损账户在企业内部或供应链上下游进行“横向移动”。梭子鱼数据显示，20% 的企业每月至少遭遇一次账号接管事件。攻击者利用内部员工的信任关系发送钓鱼邮件，这种来自“同事”或“合作伙伴”的邮件极难被用户识别，往往能轻易绕过第一道信任防线。

1.3

新一代防御技术的崛起

2025年的邮件安全防御体系正在经历一场深刻的变革。传统的基于IP黑名单、关键词过滤、简单特征码匹配的防御手段，在面对频繁变换发件IP、使用云服务作为跳板、以及AI生成的千人千面邮件内容时，已显力不从心。

新一代防御的崛起：为了应对日益复杂的威胁，网际思安（Safenext）在2025年全面升级了防御架构，推出了以“双沙箱+全向监测+AI大模型”为核心的新一代防御体系（更详细信息请联系网际思安获取《网际思安MailSec邮件安全网关白皮书-2025》）：

双沙箱技术

不仅具备传统的文件沙箱以深度监测附件中的恶意行为，更引入了先进的URL沙箱。针对2025年爆发的二维码钓鱼（Quishing）和隐蔽链接攻击，双沙箱能对邮件中的二维码图片进行解析，并对提取的URL链接进行动态仿真访问，有效识别隐藏在正常文档或图片背后的恶意站点。

全向监测技术

突破了传统网关仅防御“外对内”流量的局限，实现了“外对内、内对外、内对内”的360度全向覆盖。特别是在应对横向钓鱼方面，该技术能实时监测内部账号的行为异常。一旦某个内部账号沦陷并试图向其他关键员工（如财务、高管）发送钓鱼邮件，系统能立即识别并阻断，防止威胁在企业内部横向扩散。

与GPT大模型的深度融合

这是防御技术的质的飞跃。不同于传统的关键词匹配，网际思安将MailSec安全网关与APT大模型深度结合。利用大模型强大的自然语言理解能力，系统能够精准分析邮件的深层意图（如诱导转账、索要凭证）和情绪特征（如制造紧迫感、恐吓）。即使是AI生成的语法完美的钓鱼邮件，也无法逃脱大模型对其恶意意图的洞察，从而显著增强了对高级钓鱼邮件的监测能力。

图. 新一代核心防御技术针对高级威胁的拦截效能对比

1.二维码钓鱼检出率：

传统安全网关：<90.2%（无法深度解析隐藏在复杂链接中的二维码，例如：云文档链接，多次跳转链接等)
网际思安新一代网关：~97.5% (URL沙箱技术，自动点击和访问链接）

2. 内对内流量监测：

传统安全网关：0% (仅部署于边界，无法看见内部流量)
网际思安新一代网关：100% (全向监测技术，实现内网邮件全覆盖)

3. 高级文件威胁识别率：

传统安全网关：~65% (依赖静态特征库，无法运行检测)
网际思安新一代网关：98.8% (文件沙箱技术，动态行为分析，有效对抗免杀)

第二章

2. 钓鱼邮件威胁态势

2.1

态势综述：高频攻击下的“精准猎杀”

在2025年的邮件威胁版图中，钓鱼邮件依然扮演着“攻击先锋”的角色。虽然从总量上看，它次于垃圾邮件，但从危害程度和攻击成功率来看，钓鱼邮件是导致企业数据泄露、勒索病毒感染以及资金损失的第一大诱因。

根据MailSec Lab的统计，2025年全网拦截的钓鱼邮件占所有恶意威胁的 31.2%。

与往年相比，2025年的钓鱼攻击呈现出显著的“场景化”与“时事化”特征。攻击者不再满足于发送粗制滥造的中奖通知，而是紧跟企业办公节奏（如月初算薪、年底封账、节假日调休）和社会热点（如AI爆发、高温补贴），针对特定时间窗口实施精准猎杀。

2.1.1 全球钓鱼攻击关键数据透视

为了更全面地评估2025年的钓鱼威胁水平，我们结合MailSec Lab监测数据与国际权威安全厂商的监测数据，梳理出以下核心指标，揭示了当前严峻的防御形势：

威胁密度惊人：每4封就有1封是恶意

全球范围内，每4封电子邮件中就有1封被判定为恶意邮件或垃圾邮件。这意味着企业员工每天打开邮箱时，都面临着高达25%的潜在“触雷”风险。

HTML附件成为隐形杀手：近1/4含毒

传统的恶意软件多隐藏在EXE或Office宏中，但2025年HTML附件攻击异军突起。数据显示，近25%（约四分之一）的HTML附件被确认为恶意文件。攻击者利用HTML在本地浏览器渲染的特性，绕过网关的在线链接检测（参考2.4章节案例）。

云文档成QR钓鱼重灾区

微软Microsoft 365等云办公文档被滥用情况严重。数据显示，83% 的恶意Microsoft 365文档中包含指向钓鱼网站的二维码（QR Code）。这表明二维码钓鱼已成为攻击者利用云文档的一号武器。

账号接管（ATO）常态化

20%的企业每月中招钓鱼邮件的直接后果往往是账号失窃。20% 的企业每个月至少会遭遇一次账号接管（Account Takeover）事件。这一数据较2024年网际思安监测到的同类数据增长了近 15%，显示出账号保护的防线正在失守。

防伪意识薄弱：75%的企业缺乏防伪保护

尽管DMARC等防伪协议推广多年，但全球仍有超过 75% 的企业未主动采取有效措施防止域名被仿冒。这直接导致了假冒CEO、假冒供应链合作伙伴的钓鱼邮件屡禁不止。

图. 2025年钓鱼邮件攻击关键风险指标

2.1.2 2025年钓鱼邮件数量趋势分析

根据MailSec Lab对全年攻击流量的持续监测，2025年钓鱼邮件的投递数量呈现出明显的“波浪式攀升”态势。与2024年相比，全年总体拦截量增长了约 28.4%，且攻击峰值与企业的业务周期及社会热点事件高度重合。

季度趋势解读：

Q1 (复苏期)

1-2月受春节假期影响，攻击流量处于低位。但3月份随着企业全面复工，攻击量出现第一次“报复性”反弹，以“AI工具安装”、“个税申报”为主题的钓鱼邮件激增。

Q2 (高发期)

4-6月进入攻击活跃期。5月因“劳动节调休”和“薪资普调”话题，成为上半年的攻击峰值。

Q3 (平稳期)

7-9月攻击量维持高位震荡，主要围绕“高温补贴”和暑期实习生的“入职/培训”话题展开。

Q4 (爆发期)

11月与12月迎来了全年的历史最高峰。攻击者利用“双11”购物季的物流信息、年底的“年终奖申领”、“IT系统年度维护/扩容”等高紧迫感话题，发起了最大规模的年终攻势。

图. 2025年钓鱼邮件月度拦截数量估算趋势图（单位：万封）

上图数据基于MailSec Lab云邮件安全网关监测数据的抽样估算（单位：万封）。从全年攻击曲线来看，2025年的钓鱼邮件威胁并未呈现均匀分布，而是具有极强的业务周期相关性，全年呈现典型的“双峰”结构，其中 5月与 12月为全年的最高危时段。

1. 第一波峰值（5月）：随着企业年中薪资调整与个税申报工作的展开，“银狐”等黑产团伙加大了针对财务与HR部门的定向攻击，利用员工对薪酬福利的高度关注，密集投递钓鱼邮件，导致拦截量达到上半年的高点。

2. 第二波峰值（12月）：这是全年的绝对峰值。攻击者利用“年终奖申领”、“年底财务封账”以及“IT系统年度维护”等具有极高紧迫感的话题，发起了高频次、高密度的年终攻势。这一数据特征警示企业管理者，必须在特定业务周期（特别是年中与年终）提前部署针对性的强化防御措施。

2.2

2025年度十大钓鱼邮件主题

MailSec Lab对2025年3月至12月发布的月度热点报告进行了全年复盘，提取出年度热度最高的十大钓鱼主题。

分析发现，攻击者的选题策略具有明显的“双峰效应”：一类是贯穿全年的“账号安全与薪资利益”，另一类是随时间节点爆发的“季节性热点”。

图. 2025年度十大钓鱼邮件主题热度排名（单位：星级）

从2025年的十大钓鱼主题分布来看，攻击者对人性的洞察已臻化境，其选题策略呈现出鲜明的“双轨并行”特征：

1. 常态化收割（利用恐惧与贪婪）

榜单前两名的“账号风险”与“薪资/税务”类主题占据了半壁江山。这两类主题分别击中了员工对“失去访问权限”的恐惧和对“切身利益”的关注。无论技术如何演变，这两大话题始终是点击率最高的“常青树”，也是银狐等高级黑产团伙的首选诱饵。

2. 敏捷化蹭热（紧跟时事与痛点）

榜单中游的“AI工具安装”、“节假日调休”、“系统扩容备案”等主题，则体现了攻击者极强的敏捷运营能力。他们能迅速捕捉社会热点（如AI爆发）或企业IT痛点（如存储空间不足），定制具有极高时效性和欺骗性的诱饵。特别是11-12月爆发的“系统扩容/备案”类邮件，利用了年底IT维护的常态，极易让员工放松警惕。

2.3

重点威胁类型深度剖析

2.3.1 AI工具陷阱：利用技术焦虑的精准投毒

2025年3月，MailSec Lab监测到一波利用“AI技术焦虑”的大规模攻击。

攻击手法：攻击者伪装成公司IT部门，发送标题为“AI自动化办公表格制作生成工具安装通知”的邮件，声称能“一键生成报表”。