员工邮箱反复收到钓鱼邮件怎么处理

邮箱钓鱼处理不能只靠提醒员工"别点"。同一个人反复收到，先把邮件头导出来，看发件域名、退信路径和链接跳转是不是同一批基础设施。网关侧可以临时封域名，但更重要的是查有没有人已经点过链接或输入过密码。处理时我会把样本丢到沙箱或安全平台，确认风险等级后再发内部提醒，提醒里只写该看哪里、该怎么报，不放可点击的原链接。后面再补一次短培训，比群里吓人式通报有效得多。后续还要查邮箱规则和登录记录，很多账号被钓以后会被偷偷加转发规则。只删邮件不够，密码、MFA、异常 session 都要一起处理，不然攻击者可能还在邮箱里等下一封客户邮件。我做这类技术支持时，会把现象、环境、处理动作和结果拆开写，不把所有问题都归成系统不稳定。记录越具体，后面同事接手越快，也能看出哪些问题该培训，哪些该改配置。