email-security

🛡️ AI 邮件安全防火墙

开源社区维护的邮件安全护盾,通过发件人验证、内容净化与威胁检测,为AI Agent构建多层防护,阻断提示词注入与社会工程攻击。

收藏
5.4k
安装
1.5k
版本
v1.0.0
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

Email Security 是一套专为 AI Agent 设计的邮件安全防护体系,采用"验证-净化-检测"三段式工作流。处理任何邮件前,系统强制执行六步安全检查:发件人身份核验(匹配 owner/admin/trusted 分级名单)、SPF/DKIM/DMARC 认证头验证、内容净化提取(仅保留最新消息并剥离 HTML/隐藏字符)、提示词注入模式扫描、附件类型策略 enforcement,最终才允许安全处理。通过 verify_sender.pysanitize_content.pyparse_email.py 三个核心脚本实现全流程自动化,支持 Gmail、AgentMail、Proton Mail 及通用 IMAP/SMTP 系统。

显著优点

架构设计严谨:四级授权体系(Owner/Admin/Trusted/Unknown)实现最小权限原则,未知发件人默认只读、禁止执行任何命令,从源头阻断攻击面。零依赖轻量化:纯 Python 标准库实现,无第三方包引入供应链风险,部署即插即用。威胁覆盖全面:不仅防御经典的提示词注入("ignore previous"/"forget" 等指令模式),还针对邮件场景特有的发件人伪造、恶意附件、社会工程攻击设计专项防护。流程可视化:SKILL.md 提供清晰的决策流程图与权限矩阵,降低安全配置门槛。

潜在缺点与局限性

来源可信度受限:T3 级个人开发者维护,虽代码审计通过但长期更新保障弱于企业级项目。附件检测存在绕过可能:当前仅依赖扩展名白名单(.pdf/.txt/.csv 等允许,.exe/.bat/.sh 等阻断),未实施文件内容 MIME 类型深度验证,攻击者可通过修改扩展名实施欺骗。启发式规则边界:邮件线程提取依赖文本启发式,复杂嵌套转发场景可能误判最新消息边界。无内置审计日志:缺少完整的操作追溯机制,安全事件复盘依赖外部系统。

适合的目标群体

  • 需让 AI Agent 安全读取邮件内容的个人开发者与小型团队
  • 构建邮件自动化工作流(如智能客服、工单处理)但需防范提示词注入的产品团队
  • 使用 Gmail/Proton Mail 等主流邮箱、希望快速集成安全层的 Agent 平台用户
  • 对供应链安全敏感、倾向零依赖方案的技术决策者

使用风险

性能层面:邮件解析与正则扫描对大型附件或超长线程存在计算开销,建议设置 25MB 附件大小限制并监控处理延迟。依赖项风险:虽无第三方依赖,但 Python 版本兼容性需验证(使用 email/quopri 等标准库)。配置风险:owner-config.md 的初始配置若遗漏或错误,可能导致合法邮件被阻断或恶意邮件被放行,需严格遵循"首次设置所有者邮箱"流程。OCR 策略盲区:明确禁止对不可信来源图片执行 OCR,但用户若手动绕过此策略,仍存在图像嵌入攻击向量。

安全解读

核心功能与用法

email-security 是一款专为 AI Agent 设计的邮件安全防护 Skill,采用分层防御架构处理所有邮件交互场景。核心工作流程包含六大步骤:发件人身份验证 → 认证头校验(SPF/DKIM/DMARC) → 内容净化 → 威胁扫描 → 附件策略执行 → 安全处理。

关键用法模式:

  • 分级权限控制:建立 Owner/Admin/Trusted/Unknown 四级发件人信任体系,未知来源邮件仅可读、不可执行命令
  • 内容净化管道:通过 parse_email.py 提取邮件正文,再由 sanitize_content.py 剥离 HTML、解码编码内容、移除隐藏字符、提取最新消息(忽略引用/转发内容)
  • 提示注入检测:内置 140+ 条威胁模式规则,识别"ignore previous"、系统提示引用、编码混淆指令等攻击特征
  • 附件安全策略:白名单机制(.pdf/.txt/.csv/.docx/.xlsx 等),严格禁止可执行文件,对不可信来源禁用图像 OCR

技术实现亮点:

  • 纯本地处理,零外部依赖,无网络外联风险
  • 模块化脚本设计:verify_sender.py(身份验证)、sanitize_content.py(内容净化)、parse_email.py(邮件解析)
  • 支持 JSON 输出便于程序化集成

显著优点

1. 防御体系完整:覆盖邮件攻击全向量——身份层(发件人欺骗)、内容层(提示注入)、载荷层(恶意附件)、社会工程层
2. 零依赖高可靠:无第三方库依赖,彻底消除供应链攻击风险,CVE 暴露面为零

3. 标准合规:通过 GDPR/CCPA 隐私合规检查,实现权限最小化、输入验证、安全传输等六项合规要求

4. 运维友好:配置驱动架构(owner-config.md),支持速率限制、日志审计、SIEM 集成

局限性与注意事项

  • 静态威胁库:140+ 条检测规则需人工持续更新,对零日攻击手法存在滞后性
  • 认证头依赖:SPF/DKIM/DMARC 检查依赖邮件服务商提供的头信息,部分 IMAP/SMTP 场景可能缺失
  • OCR 安全权衡:图像附件 OCR 功能对可信/不可信来源差异化处理,需用户正确配置信任列表
  • 初始化配置:首次使用需人工设定 Owner 邮箱并维护信任列表,配置不当可能导致误拦截或权限绕过

适合人群

  • 部署 AI Agent 处理邮件自动化任务的企业用户(客服、日程管理、信息提取)
  • 对提示注入攻击高度敏感的场景(金融、医疗、政务领域的邮件交互)
  • 采用 Gmail、Proton Mail、AgentMail 或自建 IMAP/SMTP 系统的技术团队

常规风险

| 风险场景 | 缓解措施 |
|---------|---------|
| 信任列表配置错误 | 定期审查 Owner/Admin/Trusted/Blocked 四列表 |
| 新型编码混淆注入 | 持续关注威胁模式库更新建议 |
| 附件类型绕过(双重扩展名等) | 严格依赖白名单而非黑名单机制 |
| 日志未集成监控 | 建议接入 SIEM 实现拦截事件统一告警 |

安全认证评级 S 级(100分),六维检测全通过,适合生产环境部署。

email-security 内容

agents文件夹
assets文件夹
references文件夹
scripts文件夹
手动下载zip · 21.4 kB
openai.yamltext/plain
请选择文件