https://217.65.3.21/openforum/vsluhforumID1/90320.html Здравствуйте!<br>Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации. В моём представлении это выглядит как отправление копий сообщений как входящих, так и исходящих на ящик админу, где их, в дальнейшем, можно посмотреть. Какими средствами это лучше сделать? Либо может я не совсем корректно задачу ставлю?<br><br>В текущий момент реализовано следующее:<br>Для входящей почте на компе админа в Outlook'e (пардон - MS) заведены ящики пользователей (пароли от всех рабочих ящиков известны) и он получает почту, не удаляя её с сервера. На клиентских машинах почтовые клиенты настроены так же, чтобы не удалять почту с сервера, поэтому никакие письма потеряться не должны.<br>Тут вроде вся почта видна и в дальнейшем её возможно посмотреть. <br>1. Но как быть с личными почтовыми ящиками, ни адреса, ни пароли которых не известны?<br><br>Большинство клиентов пользуются почтовыми клиентами и отправляют почту посредством smtp, весь этот траффик идёт через шлюз. На шлюзе запущены tcpdump'ы на 25й порт каждого клиента https://217.65.3.21/openforum/vsluhforumID1/90320.html#17 Sat, 20 Nov 2010 21:36:20 GMT При повторном прочтении Вашего поста заметил несоответствие.<br><br>&gt; Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации. <br><br>Вы неправильно формулируете цель или неправильные методы выбираете. Предотвращение утечек - это недопущение передачи конфиденциальной информации "за периметр", а выбранный Вами метод поможет только установить факт утечки (возможно с адресами отправителя и получателя), но саму утечку это не предотвратить - информация уже ушла. Поэтому я ещё раз Вам советую не пренебрегать теорией, а сделать так, как она советует: определить цели, объекты, методы и т.д. <br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#16 Fri, 19 Nov 2010 08:55:43 GMT &gt; Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми<br>&gt; практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить",<br>&gt; а все эти "умные слова с семинаров" - для тех, кто<br>&gt; делать ничего не умеет =) С таким подходом, боюсь, у Вас<br>&gt; мало что может получиться, особенно в области ИБ.<br><br>Я из тех админов, которые предпочитают на форумах общаться по делу, а не разглогольствовать на различного рода оффтопики.<br>Про ваши разные умные буковки уже уселся читать, мож и вправду что интересное найду (полезное вот навряд ли, но хотя б интересное - для общего развития тоже надо).<br><br>Ну и по-прежнему прошу дать какие-нить дельные советы. Хотя тему уже так засрали, что вряд ли кто-нить её читать станет.<br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#15 Thu, 18 Nov 2010 21:06:47 GMT &gt;&gt; пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не<br>&gt;&gt; умные слова с семинаров по безопасности.<br>&gt; Мне, как автору темы, некрасиво было бы такое писать. А Вы за<br>&gt; меня вот прямо вот в точку сказали, прям как мысли мои<br>&gt; прочитали. Премного благодарен.<br>&gt; Но ещё больше был бы благодарен за _дельные_ ответы по теме.<br><br>Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить", а все эти "умные слова с семинаров" - для тех, кто делать ничего не умеет =) С таким подходом, боюсь, у Вас мало что может получиться, особенно в области ИБ. <br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#14 Thu, 18 Nov 2010 14:17:29 GMT &gt; пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не<br>&gt; умные слова с семинаров по безопасности.<br><br>Мне, как автору темы, некрасиво было бы такое писать. А Вы за меня вот прямо вот в точку сказали, прям как мысли мои прочитали. Премного благодарен.<br><br>Но ещё больше был бы благодарен за _дельные_ ответы по теме.<br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#13 Thu, 18 Nov 2010 12:08:44 GMT &gt; Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик<br>&gt; админа - это круто! Вы прикидывали, сколько у Вас будет уходить<br>&gt; времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите<br>&gt; вложения, настройте список блокировки по ключевым словам. Как-то так.<br>&gt; Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать<br>&gt; и утвердить политику безопасности, сздать список объектов защиты с моделями угроз<br>&gt; и матрицами доступа и т.д.<br><br>пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не умные слова с семинаров по безопасности.<br><br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#12 Thu, 18 Nov 2010 08:23:31 GMT Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик админа - это круто! Вы прикидывали, сколько у Вас будет уходить времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите вложения, настройте список блокировки по ключевым словам. Как-то так. <br>Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать и утвердить политику безопасности, сздать список объектов защиты с моделями угроз и матрицами доступа и т.д.<br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#11 Thu, 18 Nov 2010 05:30:31 GMT &gt; Ну или procmailrc.<br>&gt;&gt; Вообще-то есть текстовый файл, aliases называется.<br><br>Почта используется на сторонних почтовых серверах, не на личном почтовом сервере. Если я правильно Вас понял. Алиасы прописываются в случае, когда почта заведена на сервере, который управляется мной. Или не верно понял?<br> https://217.65.3.21/openforum/vsluhforumID1/90320.html#10 Wed, 17 Nov 2010 15:49:01 GMT Ну или procmailrc.<br>&gt; Вообще-то есть текстовый файл, aliases называется. https://217.65.3.21/openforum/vsluhforumID1/90320.html#9 Wed, 17 Nov 2010 15:45:39 GMT Вообще-то есть текстовый файл, aliases называется.<br><br>