Мониторинг электронной почты
Дата: 04.10.2004Источник: www.crime-research.ru
Автор: Ярослав Поляков
... почтыМеры противодействия могут быть использованы как злоумышленниками, при пересылке конфиденциальной информации, так и сотрудниками отдела ИТ компании, чтобы сама почта компании не оказалась прочитана третьими лицами.
• Отсылка письма в обход средств мониторинга.
Самый простой способ, который может быть использован «шпионом». Каждый почтовый клиент позволяет выбрать адрес почтового сервера. В большинстве случаев, там будет указан корпоративный почтовый сервер. Если указать там адрес другого сервера, который может принять письмо, то оно не пройдет через корпоративный сервер. Если используются средства мониторинга, интегрированные в почтовый сервер, то они не смогут заметить это письмо.
Контрмеры: запрет обращения к внешним SMTP серверам на межсетевом экране (TCP/25), использование средств пассивного мониторинга.
• Шифрование письма.
Например, с помощью PGP. Даже если письмо и будет перехвачено, его содержимое (кроме поля Subject) будет в зашифрованном виде и не сможет быть прочитано.
Контрмера: В соответствии с RFC 2015, части письма, зашифрованные PGP будут помечены как "application/pgp-encrypted". Имеет смысл административно запретить несанкционированную шифрованную переписку, настроить фильтр на сохранение писем, содержащих эту строку и расследовать (с привлечением отправителя письма) каждый факт нарушения.
• Шифрование трафика.
Использование VPN (например, FreeS/WAN, реализующий стандарт IPSec) позволяет шифровать весь трафик между гейтвеями VPN (например, между филиалами одной компании). Из шифрованного трафика невозможно выделить почтовый трафик и расшифровать его.
