社交工程攻击通过利用人类信任而非软件漏洞来实施，传统的基于规则的邮件过滤器难以有效检测这类攻击。本文提出了一种名为“Filter-then-Verify”的两阶段检测框架，将归纳式图神经网络（GNN）与协同注意力机制的ModernBERT模型相结合。第一阶段，GNN对邮件网络中的结构异常进行检测，识别出发送者和接收者之间的异常模式，例如与正常通信模式偏离较大的边缘或节点。该阶段基于社交网络图谱的拓扑特征，能够快速筛选出疑似社交工程行为的候选邮件，召回率达到86%。第二阶段，ModernBERT模型对第一阶段筛选出的邮件内容进行语义验证，通过分析消息的上下文和意图来降低误报率。ModernBERT采用了改进的Transformer架构，并引入协同注意力机制以更好地捕捉邮件文本中的欺骗性语言特征。经过BERT精炼后，整体检测精度提升至92%以上。实验使用了Enron电子邮件数据集，并加入了模拟真实社交工程攻击场景的合成数据，结果表明该框架不仅能有效检测外部钓鱼攻击，还能发现内部人员威胁（如冒充内部同事的恶意行为）。该研究的核心贡献在于：1）首次结合图结构异常检测与深度内容分析来应对多阶段社交工程攻击；2）提出一种可扩展的流水线架构，适用于大规模企业邮件网络；3）验证了结构分析和内容分析在社交工程检测中的协同增效作用。本文适合安全研究人员、邮件安全工程师以及关注社交工程防御的从业者阅读。

本文提出了一种名为 PhishSigma++ 的恶意邮件检测方法，旨在解决现有检测器过度依赖易变的文本特征、在对抗性文本操纵下性能急剧下降的问题。研究背景是随着 AI 生成内容（AIGC）的发展，攻击者具备了更丰富的语言能力和逃避技术。核心洞察是：即使攻击者修改表面文本，功能意图仍会约束实体间的关系，这些关系是相对不变的信号。方法上，PhishSigma++ 借鉴了 Sigma 规则的思想，但将其推广到基于实体关系的检测。它从 RFC822 邮件中提取 40 种类型的实体类，计算 5 种跨类型关系以构建类型化邮件图，并使用粒子群优化（PSO）选择稀疏判别掩码，支持分类和类型级证据总结。在 29,142 条消息上，PhishSigma++ 在干净数据上达到 0.9675 F1 分数，在非自适应 Good Word 填充攻击（rho=0.8）下保持 0.9579 F1，而基于 token 的贝叶斯过滤器崩溃至 0.0243，DistilBERT 钓鱼检查点降至 0.7284。相比传统 Sigma 规则，PhishSigma++ 提供了更高的检测率、更广泛的 relational invariance 覆盖和数据驱动的特征选择。此外，阈值化的类型关系分数编码了 Sigma 风格字段条件的有效片段，将手工规则逻辑和学习到的关系掩码统一到单邮件框架中。

本研究深入探讨了电子邮件别名机制引发的身份混淆问题。电子邮件别名允许用户使用同一个邮箱账户生成多个不同地址，但接收方或服务提供商可能无法正确区分这些别名背后的真实身份，从而产生安全风险。论文系统分析了一类攻击场景：攻击者可以利用别名间的视觉或逻辑相似性，伪装成用户的不同身份进行社会工程攻击或绕过访问控制。研究方法包括构建大规模数据集（覆盖主流邮件服务商）、设计身份混淆检测算法，并实验评估现有防护措施的不足。主要贡献包括：量化了别名身份混淆的普遍性与危害性，提出了基于邮件元数据和发送行为的身份区分方法，并给出了改进建议。该工作有助于邮件安全防护、防钓鱼策略的设计。

本论文提出了一种名为CoordMail的新型网络攻击方法，旨在利用SMTP协议的超时机制和命令交互特性，协调多个电子邮件中间件（如邮件服务器、中继）进行汇聚放大攻击。攻击者通过精心构造的SMTP命令序列，控制多个中间件在特定超时窗口内同时向目标邮箱发送大量邮件，导致目标邮箱流量激增、服务降级甚至崩溃。研究首先分析了SMTP协议中的超时参数和命令交互逻辑，发现多个中间件在处理延迟响应时可被操纵为攻击节点。随后设计了一种协调算法，使攻击者能以低带宽消耗发起高倍率放大攻击。实验表明，CoordMail能够达到数百倍的放大系数，且难以通过传统速率限制防御。论文的主要贡献包括：揭示了SMTP协议实现中的新攻击面，提出了汇聚放大攻击的通用模型，并评估了多种邮件服务提供商的脆弱性。该研究适合网络安全研究人员、邮件服务运营商及协议开发者阅读。