Використання електронної пошти

Використання електронної пошти

Політика повинна давати загальні рекомендації в таких областях:
Використання електронної пошти для ведення ділової діяльності
  • Використання електронної пошти для ведення особистих справ
  • Управління доступом і збереження конфіденційності повідомлень

  • Адміністрування та зберігання електронних листів

    • Основними поштовими протоколами в Інтернеті (не рахуючи приватних протоколів, шлюзуемих або туннеліруемих через Інтернет) є SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) і IMAP (Internet Mail Access Protocol).

    UNIX-хости зробили найпопулярнішим SMTP. Широко використовуються SMTP-серверами є Sendmail, Smail, MMDF і PP. Найпопулярнішим SMTP-сервером в Unixе є Sendmail, написаний Брайаном Еллманом. Він підтримує створення черг повідомлень, переписування заголовків листів, аліаси, списки розсилки і т.д. Зазвичай він конфігурується так, що повинен працювати як привілейований процес. Це означає, що якщо його захист можна буде обійти якимось способом, атакуючий зможе завдати шкоди, далеко перевищує видалення електронних листів.

    POP версії 3 надає додатковий метод аутентифікації, званий APOP, який ховає пароль. Деякі реалізації POP можуть використовувати Kerberos для аутентифікації.

    IMAP - це найновіший, і тому менш популярний протокол читання електронної пошти.

    Як сказано в RFC:

    IMAP4rev1 підтримує операції створення, видалення, перейменування поштових скриньок; перевірки надходження нових листів; оперативне видалення листів; установку і скидання прапорів операцій; розбір заголовків у форматі RFC-822 і MIME-IMB; пошук серед листів; вибіркове читання листів.

    MIME - це скорочення для багатоцільових розширень интернетовской пошти (Multipurpose Internet Mail Extensions). Як сказано в RFC 2045, він перевизначає формат повідомлень електронної пошти, щоб дозволити:
    Передачу текстів в кодуванні, відмінною від US-ASCII,
  • Передачу в листі нетекстової інформації в різних форматах,
  • Повідомлення з декількох частин, і

  • Передачу в заголовку листа інформації в кодуванні, відмінною від US-ASCII.

    • Він може використовуватися для підтримки таких засобів безпеки, як цифрові підписи і шифровані повідомлення. Він також дозволяє посилати поштою виконувані файли, заражені вірусами, або листи з РПС.

    Як і веб-браузери, програми читання пошти можуть бути налаштовані автоматично запускати додатки-помічники для обробки певних типів MIME-повідомлень.

    Потенційні проблеми з електронною поштою

    випадкові помилки

    Коли поштова система організації приєднана до Інтернету, наслідки помилок можуть виявитися в тисячу разів гірше.

    Ось деякі із способів запобігти помилкам:
    Вчити користувачів що робити, якщо вони зробили помилку, і як правильно працювати з електронною поштою
  • Конфігурувати програми електронної пошти так, щоб стандартні дії користувача, що використовують установки за замовчуванням, були б найбезпечнішими

  • Використовувати програми, які строго реалізують протоколи і угоди Інтернету. Кожен раз, коли онлайновий сервіс шлюз лист з приватної поштової системи в інтернетівську електронну пошту, чуються крики протесту через появу великої кількості повідомлень з помилками, що виникли в результаті неправильних налаштувань поштових серверів цього сервісу.

    • персональне використання

    У минулому, коли Інтернет був дослідницькою мережею, її комерційне використання було заборонено. Крім того, занадто мало компаній і людей мали доступ до интернетовской поштою, тому було недоцільно використовувати її для комерційних цілей. Зараз Інтернет розширився і дозволяється використовувати його в комерційних цілях, тому компанії стали підтримувати списки розсилки для обміну інформацією зі своїми клієнтами. Як правило, клієнти повинні надіслати запит для того, щоб потрапити в список розсилки. Коли великі онлайнові сервіси стали шлюзувати листи в Інтернет, несподівано виявилося, що таким чином можна передати інформацію набагато більшої аудиторії. Так народився маркетинг в Інтернеті за допомогою посилки окремих поштових повідомлень.

    Загрози, пов'язані з електронною поштою

    перехоплення листа

    поштові бомби

    Поштова бомба - це атака за допомогою електронної пошти. Атакують система переповнюється листами до тих пір, поки вона не вийде з ладу. Як це може статися, залежить від типу поштового сервера і того, як він налаштований.

    Деякі провайдери Інтернету дають тимчасові логіни будь-якого для тестування підключення до Інтернету, і ці логіни можуть бути використані для початку подібних атак.

    Типові варіанти виходу поштового сервера з ладу:
    Поштові повідомлення приймаються до тих пір, поки диск, де вони розміщуються. Чи не переповниться. Наступні листи не приймаються. Якщо цей диск також основний системний диск, то вся система може аварійно завершитися.
  • Вхідна чергу переповнюється повідомленнями, які потрібно обробити і передати далі, до тих пір, поки не буде досягнутий граничний розмір черги. Наступні повідомлення не потраплять в чергу.
  • У деяких поштових систем можна встановити максимальне число поштових повідомлень або максимальний загальний розмір повідомлень, які користувач може прийняти за один раз. Наступні повідомлення будуть відкинуті або знищені.
  • Може бути перевищена квота диска для даного користувача. Це завадить прийняти наступні листи, і може перешкодити йому виконувати інші дії. Відновлення може виявитися важким для користувача, так як йому може знадобитися додатковий дисковий простір для видалення листів.
  • Великий розмір поштової скриньки може зробити важким для системного адміністратора отримання системних попереджень і повідомлень про помилки

  • Посилка поштових бомб в список розсилки може привести до того, що його члени можуть анулювати свою підписку.

    • загрозливі листи

    Захист електронної пошти

    Від цього можна захиститися за допомогою використання шифрування для приєднання до листів електронних підписів. Одним популярним методом є використання шифрування з відкритими ключами. Односпрямована хеш-функція листи шифрується, використовуючи секретний ключ відправника. Одержувач використовує відкритий ключ відправника для розшифровки хеш-функції і порівнює його з хеш-функцією, розрахованої за отриманим повідомленням. Це гарантує, що повідомлення насправді написано відправником, і не було змінено в дорозі. Уряд США вимагає використання алгоритму Secure Hash Algorithm (SHA) і Digital Signature Standard, там де це можливо. А найпопулярніші комерційні програми використовують алгоритми RC2, RC4, або RC5 фірми RSA.

    Захист від перехоплення

    Коректне використання електронної пошти

    Всі службовці повинні використовувати електронну пошту так само, як і будь-яке інше офіційне засіб організації. З цього випливає, що коли лист надсилається, як відправник, так і одержувач повинен гарантувати, що взаємодія між ними здійснюється відповідно до прийнятих правил взаємодії. Взаємодія з допомогою пошти не повинно бути неетичним, не повинно сприйматися як конфліктна ситуація, або містити конфіденційну інформацію.

    Захист електронних листів і поштових систем

    Захист листів, поштових серверів і програм повинна відповідати важливості інформації, переданої по мережах. Як правило, має здійснюватися централізоване управління сервісами електронної пошти. Повинна бути розроблена політика, в якій вказувався б потрібний рівень захисту.

    Приклади політик безпеки для електронної пошти

    Використання служб електронної пошти для цілей, явно суперечить інтересам організації або суперечать політикам безпеки організації -явно заборонено, також як і надмірне використання її в особистих цілях.

    Організація надає своїм співробітникам електронну пошту для виконання ними своїх обов'язків. Обмежене використання її в особистих цілях дозволяється, якщо воно не загрожує організації.

    Використання електронної пошти таким чином, що це допомагає отримувати особисту комерційну вигоду, заборонено.

    Якщо організація забезпечує доступ до електронної пошти зовнішніх користувачів, таких як консультанти, контрактні службовці або партнери, вони повинні прочитати політику доступу до електронної пошти і розписатися за це.

    Вміст поштових повідомлень вважається конфіденційним, за винятком випадку проведення розслідувань органами внутрішніх справ.

    Співробітник відділу автоматизації

    POP-сервер повинен бути налаштований так, щоб виключати використання незашифрованих паролів з локальних машин.

    Конфіденційна інформація або інформація, що є власністю організації, не може бути надіслана за допомогою електронної пошти.

    Можуть використовуватися тільки затверджені поштові програми.

    Не можна встановлювати анонімні ремейлери

    Службовцям заборонено використовувати анонімні ремейлери

    Конфіденційна інформація або інформація, що є власністю організації, не може бути надіслана за допомогою електронної пошти.

    Якщо буде встановлено, що співробітник неправильно використовує електронну пошту з умислом, він буде покараний

    Співробітник відділу автоматизації

    Всі електронні листи, що створюються і зберігаються на комп'ютерах організації, є власністю організації і не вважаються персональними.

    Організація залишає за собою право отримати доступ до електронної пошти співробітників, якщо на те будуть вагомі причини. Вміст електронного листа не може бути розкрито, крім як з метою забезпечення безпеки або на вимогу правоохоронних органів.

    Користувачі не повинні дозволяти кому-небудь надсилати листи, використовуючи їх ідентифікатори. Це стосується їх начальників, секретарів, асистентів або інших товаришів по службі.

    Якщо за допомогою електронного листа має бути надіслана конфіденційна інформація або інформація, що є власністю організації, вона повинна бути зашифрована так, щоб її міг прочитати тільки той, кому вона призначена, з використанням затверджених в організації програм і алгоритмів.

    Ніхто з відвідувачів, контрактників або тимчасових службовців не має права використовувати електронну пошту організації.

    Повинно використовуватися шифрування все інформації, класифікованої як критична або комерційна таємниця, при передачі її через відкриті мережі, такі як Інтернет.

    Вихідні повідомлення можуть бути вибірково перевірені, щоб гарантувати дотримання політики.

    Співробітник відділу автоматизації

    Вхідні листи повинні перевірятися на віруси або інші РПС.

    Журнали поштових серверів повинні перевірятися на предмет виявлення використання незатверджених поштових клієнтів співробітниками організації, і про такі випадки має доповідатиметься.

    Поштові клієнти повинні бути налаштовані так, щоб кожне повідомлення підписувалася за допомогою цифрового підпису відправника.

    Зберігання електронних листів

    Для запобігання випадкового видалення листів, співробітники повинні направляти копії таких повідомлень в офіційний файл або архів. Повинні зберігатися як вхідні, так і вихідні повідомлення з додатками. Будь-які повідомлення, що містить формальний дозвіл або виражають угоду організації з іншою організацією, має копіюватися в відповідний файл (або повинна робитися його друкована копія) для протоколюються і аудиту.

    Період зберігання всіх листів визначається юристами. Якщо повідомлення зберігаються дуже довго, організація може змушена зробити таку інформацію публічною за рішенням суду.

    Барбара Гутман, Роберт Бегвілл. Переклад Володимира Казеннова
    Citforum

    Схожі статті