Предложения для улучшения почтовой безопасности

Что точно Вы пытаетесь защитить? Электронная почта в пути другим людям? В этом случае Вы хотели бы использовать что-то как PGP для шифрования сообщения, так как электронная почта представляется ясное... поставщик услуг мог легко прервать электронные письма, пролетающие над их сетью (или любой предоставляющий соединение между Вами и получателем). PGP определенно даст им больше проблемы, чем стоит для дешифрования сообщения. Должны быть плагины для Outlook для интеграции его.

Вы пытаетесь защитить устройство хранения данных сообщений на Вашем сервере? Вы хотели бы принять обычные меры предосторожности проверки, что сервер имеет все последние патчи, Сильные пароли, поворачивая политику паролей, таким образом, что пользователи должны измениться, их пароли периодически с минимальными 8 буквами смешивали буквенно-цифровой индикатор случая, вероятно, на цикле тридцати - девяноста дней.

У Вас есть AV и вредоносные сканеры на почтовом сервере, да?

Вы волнуетесь по поводу взятого устройства хранения данных? Правительства как взятие их, если они думают, существуют причина исследовать его на что-то, что сотрудник делал. Единственный способ остановиться, который является шифрованием тома. Вот то, где вещи становятся волосатыми, потому что необходимо иметь в распоряжении ХОРОШИЕ РЕЗЕРВНЫЕ КОПИИ прежде, чем валять дурака с этим... можно использовать что-то как собственное шифрование NTFS или truecrypt для шифрования объема. Это также означает, что, если существуют проблемы с повреждаемыми данными, проблемы начальной загрузки, и т.д...., Вы - ручей, если Вы не планируете заранее и тестируете, так как Вы не можете только загрузиться со спасательным диском и добраться до данных для восстановления! Можно хотеть только отложить раздел для того, чтобы хранить данные от почтового сервера, затем зашифровать тот объем.

Снова... ТЕСТОВЫЕ РЕЗЕРВНЫЕ КОПИИ. Мы говорим о внесении изменений в Ваш почтовый сервер, где, если что-то идет не так, как надо, Вы могли бы легко потерять данные.

Затем это - другой вопрос... Вы используете резервный продукт, который шифрует ленты, правильно? Поскольку вся безопасность на почтовом сервере ничего не означает, если некоторый панк может выйти с лентой для восстановления данных дома, потому что у Вас нет этого паролем и зашифрованный.

Как далеко Вы хотите разделить безопасность на уровни? Поскольку, если Вы выполняете Outlook способом, что данные кэшей, любой, который помещает вредоносное программное обеспечение на клиентскую систему, может прочитать их электронную почту. Heck, занимая компьютер босса подразумевает, что у них есть доступ к тому, что у босса есть доступ к, зашифрованный или нет.

Действительно необходимо определить определенные угрозы, против которых Вы пытаетесь принять меры. Распланируйте, как, если бы Вы были посторонним, Вы попытались бы добраться безотносительно актива Вы защищаете. Затем фигура, как Вам мешали бы. Кража клиентских компьютеров? Резервные копирования данных? Сниффинг трафика? Регистраторы нажатия клавиш? Какие учетные записи должны быть защищены?

Затем глубоко вздохните и выясните, какого количества это собирается СТОИТЬ в денежном выражении и с точки зрения удобства. Безопасность часто не является самой удобной вещью, и пользователи станут расстроенными, если они должны выносить вещи как дешифрование и шифрование (и то, чтобы заставлять других людей ИСПОЛЬЗОВАТЬ шифрование) или необходимость сохранить пароли или наличие нескольких паролей. Необходимо найти баланс между безопасностью и удобством так, чтобы пользователи работали С Вами а не против Вас, потому что Ваша безопасность не будет означать приседание, когда пользователи решат работать вокруг Ваших мер безопасности, когда они слишком раздражены для выполнения процедур.

Можно нанять Microsoft Public Key Infrastructure / Cert Authority бесплатно при выполнении сервера ОС как Победа 2003 (который я вижу, что Вы - то, при использовании Exchange). Это интегрируется очень хорошо с Active Directory (при выполнении этого также). Пользователи могут захватить сертификаты от CA и зашифровать их электронную почту с ним по мере необходимости. Обмен зашифрованной электронной почтой в том же домене не является никакой проблемой, как пользователи будут доверять CA по сути и иметь доступ к открытому ключу для дешифрования. При отправке зашифрованного электронного письма вне домена Вам будет нужен открытый ключ принимающей стороны, таким образом, можно будет зашифровать электронное письмо, посланное им с ним. Это гарантирует, что они - единственный получатель, который может считать его. Реверс верен для получения зашифрованной электронной почты снаружи домена. Я сожалею, что у меня нет предложений для безопасного устройства хранения данных электронной почты хотя...

Лучшие практики для реализации Microsoft PKI - http://technet.microsoft.com/en-us/library/cc772670 (WS.10) .aspx

При шифровании электронной почты с Outlook 2007 (принимает PKI, уже настраивается) - http://office.microsoft.com/en-us/outlook/HP012305361033.aspx

Если Вы не настроены против того, чтобы тратить деньги. Универсальный сервер PGP не является плохой идеей. Мы выполняли его уже много лет. Это также преуспевает как виртуальное в течение прошлых 8 месяцев.

Lotus Notes является с точки зрения безопасности очень хорошим продуктом. У Вас может быть почта, зашифрованная полностью к диску сервера, даже администратор не может считать почту пользователя.

Это интегрируется в некоторой степени с MS Office в Windows, по крайней мере, до некоторой степени странно и ужасно, но это работает вполне хорошо и имеет замечательные возможности репликации (думайте всегда сохраняемые и все доступное, онлайн, если Вы хотите).

С точки зрения прямой почтовой безопасности эти два 'стандарта' там немного парадоксальны. S/MIME имеет намного лучшую поддержку клиентов в Вашей среде, но страдает от проблем PKI. PGP более широко применим доверительно-мудрый, но является (по моему скромному мнению), неуклюжим в среде Outlook. Это предполагает, что выполняемая коммуникация может использовать любой стандарт.

Мы изучили S/MIME и столкнулись с доверительной проблемой. Мы не можем дать всем сертификат, что цепочки к одному из сертификатов во всех браузерах, мы не можем даже близко подойти к размышлению о самой простой возможности предоставления чего-то как этот. При помощи базированного Центра сертификации нашего внутреннего Active Directory мы сможем, по крайней мере, защитить электронную почту между нами, просто не с внешними объектами с любым изяществом. Мы должны попросить, чтобы внешние объекты доверяли нашим полномочиям, и это - все еще хитрое суждение после всех этих лет.

С другой стороны, S/MIME с внутренним CA свободен. Мы также смогли бы установить значения по умолчанию так, чтобы вся отправленная почта была, по крайней мере, подписана и возможно даже зашифрована. С сертификатами в Глобальном списке адресов и Списке контактов почтового ящика для внешних объектов, поддерживая брелок для ключей подпруга для внутренней почты и Просто Работ. Персональные сертификаты просто получены от Дерева, делая ключевой транспорт более простым. И Веб-доступ Outlook включает способность сделать S/MIME (от IE), если персональный сертификат установлен на домашней машине. Это - безусловно наиболее удобное решение, слишком плохо доверительные проблемы зажимают в тиски его.

PGP или GPG имеют проблемы интеграции Outlook. Если большие денежные продукты не изменяют это, нет никакой интеграции GAL. Ключи должны быть вручную сохранены и транспортированы к новым вычислительным аппаратным средствам. С другой стороны, у Вас нет проблем объединения в цепочку PKI, которые Вы имеете с S/MIME, таким образом, он будет просто работать больше мест, чем S/MIME будет.

Я определенно послушал бы вышеупомянутый совет, поскольку шифрование электронной почты даст Вам лучший удар безопасности - если Ваши пользователи понимают то, что это может и не может сделать.

Затем я, вероятно, угробил бы Exchange 2003 на 2007. Хорошо наконец избавиться от последней непрекращающейся зависимости биржи от Общедоступных Папок. Существует несколько хороших преимуществ безопасности, как предоставление пользователю способности использовать OWA для удаленного стирания их смартфона, если это теряется/украдется.

Говоря, которых, если бы смартфоны используются, я обратился бы к процедурам/политикам по ним для реального пресечения безопасности.