摘要
- VFEmail 2019 年的破坏性攻击成为电子邮件服务的问责测试,因为公开报告和面向运营商的材料描述了服务器和备份的严重清除,让用户面对一个提供商说“邮件托管”与一个提供商证明可恢复副本能够承受同一管理权妥协之间的区别。
- 谁对管理访问分离、备份隔离、托管电子邮件恢复证据、客户沟通、保留预期、基础设施分段以及备份独立性存在于攻击者触及范围之外的证明拥有实际控制权?
- 问责问题在于,小型托管服务提供商可能成为客户的连续性基础设施,但只有当备份能够承受同一管理权妥协时,备份声明才有意义。
- 电子邮件用户、小企业、管理员、发件人、收件人、服务提供商和采购团队需要证据证明关键的通信数据具有可恢复和独立的保护。
- 本文认为 VFEmail 自身当前的公开页面是服务模型和长期托管电子邮件角色的证据,同期的...
为什么此案例属于风险与问责档案
VFEmail 属于风险与问责档案,因为 2019 年的破坏性攻击暴露了一个许多组织低估的隐性依赖:托管电子邮件不仅仅是一项便利服务。它是一个记忆系统、一个通信系统、一个身份恢复渠道、一个业务记录存储、一个客户支持通道和一个证据线索。对于许多小型组织来说,实际的邮箱是发票、合同、密码重置、支持请求、域名管理通知和供应商争议的所在地。当一个电子邮件提供商受损而历史邮件无法恢复时,损失并不仅限于一个损坏的登录屏幕。它影响到用户重建义务、证明通知、回复客户以及继续日常业务的能力。
VFEmail 自身的服务页面支持这种依赖框架。该公司的历史和系统设计页面https://www.vfemail.net/design.php描述了一个始于 2001 年的长期运行的电子邮件专注服务,将 VFEmail 定位为做电子邮件而非广告驱动的数据挖掘,并且面向终端用户和商业用户。其账户网格页面https://www.vfemail.net/vfemailaccts.php显示了普通的托管电子邮件功能,如网络邮件、IMAP、POP、SMTP、转发、存储配额和域名计划。这些页面不是事件取证。它们很有用,因为它们表明 VFEmail 不仅仅是一个爱好登录页面。它提供了用户可以合理视为其通信连续性一部分的邮箱服务。

