Skill

implementing-proofpoint-email-security-gateway

Deploys and configures Proofpoint Email Protection as a secure email gateway to block phishing, malware, BEC, and spam before inbox delivery via MX routing or API integration with Microsoft 365/Google Workspace.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

Proofpoint Email Protection 是一款云原生安全邮件网关（SEG），作为安全检查点，所有入站和出站邮件流量在到达用户收件箱之前均经过该网关路由。它将针对已知恶意软件的基于签名的检测、针对新兴威胁的机器学习算法、实时威胁情报源、带点击时沙箱的 URL 重写以及用于 BEC 检测的行为分析相结合。Proofpoint 每天处理超过 28 亿封邮件，每天拦截超过 100 万次勒索尝试。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

implementing-proofpoint-email-security-gateway

5.9k

Deploys and configures Proofpoint Email Protection secure email gateway to detect/block phishing, malware, BEC, and spam before inbox delivery.

7 files

cybersecurity-skills

implementing-proofpoint-email-security-gateway

Deploys and configures Proofpoint Email Protection as a secure email gateway to detect and block phishing, malware, BEC, and spam before inbox delivery. For Microsoft 365 or Google Workspace environments.

asi

implementing-email-sandboxing-with-proofpoint

Configures Proofpoint TAP for email sandboxing to detonate suspicious attachments and URLs, detecting zero-day malware and evasion. Covers integration, monitoring, and SIEM setup.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

实施 Proofpoint 邮件安全网关

概述

前置条件

Proofpoint Email Protection 许可证（本地部署 PPS 或 Proofpoint on Demand 云版本）
用于 MX 记录更改的 DNS 管理员访问权限
Microsoft 365 或 Google Workspace 邮件环境
了解邮件流架构和 SPF/DKIM/DMARC
允许 Proofpoint IP 范围的网络防火墙规则

核心概念

部署模型

基于 MX 的网关（传统 SEG）：通过 MX 记录更改将所有邮件路由经过 Proofpoint；在投递前拦截威胁
基于 API 的集成：通过 API 直接连接到 Microsoft 365 或 Google Workspace；无需更改 MX 记录；可在 48 小时内投入使用
混合部署：结合网关和 API 进行分层保护

核心检测技术

冒充者分类器（Impostor Classifier）：检测无恶意 URL 或附件的 BEC/冒充攻击的机器学习模型
URL Defense：重写 URL 并在点击时进行实时沙箱分析
附件防护（Attachment Defense）：在虚拟环境中对可疑附件进行沙箱分析
Nexus 威胁图谱（Nexus Threat Graph）：跨客户威胁情报关联引擎
供应商威胁检测（Supplier Threat Detection）：识别已被攻陷的供应商邮件账户

保护层

层级	技术	威胁类型
连接层	IP 信誉、速率限制	垃圾邮件僵尸网络
认证层	SPF、DKIM、DMARC 执行	域名伪造
内容层	机器学习分类器、NLP 分析	BEC、钓鱼
URL 层	重写 + 点击时沙箱	凭据窃取
附件层	静态 + 动态沙箱	恶意软件、勒索软件
投递后层	TRAP（自动撤回）	投递后武器化

实施步骤

步骤一：规划邮件流架构

记录当前 MX 记录和邮件流路径
识别所有合法发件来源（营销平台、CRM、工单系统）
在 Microsoft 365 或 Google Workspace 中映射入站连接器和传输规则
为接收基础设施上的 Proofpoint 出站 IP 规划 IP 白名单
配置 SPF 记录以包含 Proofpoint：v=spf1 include:spf.protection.outlook.com include:spf-a.proofpoint.com -all

步骤二：配置 Proofpoint 策略

创建与业务结构匹配的组织单元
定义入站邮件策略：反垃圾邮件、反病毒、冒充者检测
配置带有最终用户摘要通知的 Smart Search 隔离区
为敏感出站邮件设置 Proofpoint Encryption
为 URL 和附件沙箱启用定向攻击防护（TAP）

步骤三：部署邮件认证

通过 Proofpoint 为出站邮件配置 DKIM 签名
将 DMARC 策略初始设置为监控模式：v=DMARC1; p=none; rua=mailto:dmarc@company.com
启用入站 DMARC 执行以拒绝伪造邮件
为高管冒充保护配置反欺骗规则

步骤四：启用高级威胁防护

激活 URL Defense，为所有入站邮件启用重写
配置附件防护沙箱策略（安全附件模式）
启用威胁响应自动撤回（TRAP）进行投递后修复
为定向攻击活动设置 TAP 仪表板告警
配置供应商风险监控以检测供应商邮件入侵

步骤五：迁移 MX 记录

在切换前 48 小时将 MX 记录 TTL 降至 300 秒
更新 MX 记录指向 Proofpoint：company-com.mail.protection.proofpoint.com
在 Microsoft 365 中配置连接器限制，仅接受来自 Proofpoint IP 的邮件
通过 Proofpoint Message Trace 监控邮件流 48-72 小时
验证无合法邮件被拦截或延迟

步骤六：调优与优化

第一个月每周审查隔离区及误报/漏报率
根据组织容忍度调整垃圾邮件阈值
为合法批量邮件添加已批准发件人和安全列表
为出站敏感内容配置数据丢失防护（DLP）规则
启用邮件警告横幅以识别外部发件人

工具与资源

Proofpoint TAP 仪表板：实时威胁可见性和活动追踪
Proofpoint TRAP：自动化的投递后邮件撤回
Proofpoint SER（垃圾邮件/最终用户释放）：自助式隔离区管理
Proofpoint 闭环邮件分析（CLEAR）：钓鱼举报按钮集成
MX Toolbox：DNS 记录验证和邮件流测试

验证

所有入站邮件均经过 Proofpoint 路由（验证 MX 记录和消息头）
TAP 仪表板显示威胁检测和已拦截活动
URL Defense 重写测试邮件中的链接并在点击时进行沙箱分析
附件防护在沙箱中引爆测试恶意软件样本
TRAP 成功从收件箱撤回投递后的测试钓鱼邮件
初始调优期后误报率低于 0.1%
所有合法出站邮件的 DMARC/SPF/DKIM 认证通过