服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 提高电子邮件安全性的build议
Intereting Posts
Exchange 2007 SP2安装问题 如何将全部转换为Active Directory中的小写用户名 远程桌面服务上的注销脚本 unix timestamp与rrdtools错误的时间 有没有一种方法来自动添加到Windows任务栏的工具栏? 如何在不破坏RDP的情况下禁用TLS 1.0? Java EE通过Linux AMI上的ssh进行安装 如果磁盘映像通过SATA存储在一个5.4k的驱动器上,或通过USB2存储在一个外部的7.2k SATA驱动器上,我的VM(winxp)性能会更好吗? 防火墙-cmd拒绝目标地址 OpenVZ – SMTP – telnet – 连接超时 httpd可以检查与SSL证书一起使用的私钥文件的权限吗? 在linux上被黑客入侵的真实经历? Passenger与OS X 10.8上的Apache的安装问题 Postfix和Dovecot我无法发送外部电子邮件 当你chmod 600 / etc / passwd时会发生什么?

提高电子邮件安全性的build议

我为一家律师事务所工作,这个律师事务所有很多非常敏感的数据。

我想提高安全性。 特别是涉及到电子邮件。

所以我想要很多的build议,encryption,存储和类似的。 我已经有了一些预防措施,但是最好是推广一下,更好地征求很多build议。

尽可能多的提示,请:)

客户端具有:Windows XP与Office 2007配合使用。我们有一台运行2003的交换服务器作为后端。 我宁愿不升级操作系统,但除此之外,我很乐意提供build议。 哦,另一件事。 Office 2007也是必须的,不能改变这一点,因为我们公司的一些软件依赖于Word,Excel和Outlook。

你究竟想要保护什么? 在途中的电子邮件给其他人? 在这种情况下,您想使用类似PGP的东西来encryption邮件,因为电子邮件是以明文forms发送的…您的服务提供商可以轻松拦截通过networking传播的电子邮件(或提供您与接受者)。 PGP肯定会给他们更多的麻烦,而不是值得解密的信息。 应该有Outlook的插件来整合它。

你是否试图保护你的服务器上的邮件存储? 您需要采取通常的预防措施,确保服务器具有所有最新的补丁,强大的密码,轮换密码策略,以便用户必须定期更改密码,最less8个字母的混合大小写字母数字,可能在三十到九十天周期。

你有邮件服务器上的AV和恶意软件扫描器,是吗?

你担心存储被采取? 如果政府认为有理由对其员工所做的某些事情进行审查,他们就会喜欢这样做。 唯一的方法是停止存储卷的encryption。 这里的东西变得毛茸茸的,因为你需要有妥善的备份之前,拧这个…你可以使用像NTFS的本机encryption或truecrypt来encryption音量。 这也意味着,如果数据被破坏,启动问题等等问题,如果你没有提前计划和testing,你就会陷入困境,因为你不能只用救援盘启动,数据恢复! 您可能希望只有一个用于存储邮件服务器数据的分区,然后对该卷进行encryption。

再次…testing备份。 我们正在讨论如何更改邮件服务器,如果出现问题,您可能会轻易地丢失数据。

那么这是另外一个问题……你正在使用一个encryption磁带的备份产品,对吧? 因为邮件服务器上的所有安全措施意味着什么,如果某些朋克可以用磁带走出来恢复在家里的数据,因为你没有它的密码和encryption。

你想要多大的安全层? 因为如果您以caching数据的方式运行Outlook,则任何将恶意软件放在客户端系统上的人都可以阅读他们的电子邮件。 哎呀,接pipe老板的电脑意味着他们可以访问任何老板可以访问,encryption与否。

你真的需要确定你想要防范的具体威胁。 计划一下,如果你是一个外人,你会试图获得你所保护的任何资产。 然后弄清楚你会怎样受挫。 偷客户端电脑? 数据备份? 嗅探stream量? 按键logging器? 什么账户需要保护?

然后深吸一口气,弄清楚从金钱和便利的angular度来看成本是多less。 安全往往不是最方便的事情,如果用户不得不忍受诸如解密和encryption(以及让其他人使用encryption),或者不得不存储密码或具有多个密码,那么用户将变得越来越沮丧。 您需要在安全性和便利性之间find平衡点,以便您的用户能够与您合作,而不是针对您,因为如果用户在过于恼怒而无法遵循程序的情况下决定采取安全措施时,安全性并不会下降。

如果您正在运行Win 2003等服务器操作系统(如果您使用的是Exchange,则可以使用Microsoft公钥基础结构/证书颁发机构)。 它与Active Directory集成得非常好(如果你正在运行的话)。 用户可以从CA获取证书,并根据需要encryption他们的电子邮件。 在相同的域内交换encryption的电子邮件是没有问题的,因为用户将固有地信任CA并且有权访问公钥以进行解密。 如果您要在域外发送encryption的电子邮件,则需要接收方的公钥,以便您可以使用它encryption发送给他们的电子邮件。 这确保了他们是唯一可以阅读的收件人。 接收来自域外的encryption电子邮件反之亦然。 我很抱歉,我没有任何安全的存储电子邮件的build议,但…

实施Microsoft PKI的最佳实践 – http://technet.microsoft.com/zh-cn/library/cc772670(WS.10).aspx

使用Outlook 2007encryption电子邮件(假设您的PKI已经设置) – http://office.microsoft.com/en-us/outlook/HP012305361033.aspx

如果你不反对花钱。 PGP Universal服务器不是一个坏主意。 我们已经运行了好几年了。 在过去的8个月里,它也做得很好。

从安全angular度讲,Lotus Notes是非常好的产品。 您可以将邮件一路encryption到服务器磁盘,即使pipe理员也无法读取用户的邮件。

它在某种程度上与Windows上的MS Office集成在一起,在某种程度上是奇怪和丑陋的,但是它的工作非常好,并且具有美妙的复制选项(如果你愿意,可以在网上find所有可用的备份)。

就直接的电子邮件安全而言,这两个“标准”有点矛盾。 S / MIME在您的环境中具有更好的客户端支持,但受到PKI问题的困扰。 PGP在信任方面更为广泛使用,但在Outlook环境中却是(恕我直言)笨重的。 这假定正在执行的通信可以使用任一标准。

我们已经研究过S / MIME并且遇到了信任问题。 我们不能给每个人提供一个链接到所有浏览器中的证书之一的证书,我们甚至无法预测到提供类似的东西的可能性。 通过使用我们内部的活动目录根证书颁发机构,我们至less可以保护我们之间的电子邮件,而不是与任何宽限期的外部实体。 我们不得不要求外部机构相信我们的权威,而这些年来这仍然是一个棘手的问题。

另一方面,内部CA的S / MIME是免费的。 我们也可以设置默认值,以便所有发送的邮件都至less被签名,甚至可能被encryption。 对于全局地址列表中的证书以及外部实体的邮箱的联系人列表,维护一个密钥环对于内部邮件和Just Works来说是一个不小的挑战。 个人证书只是从树中检索,使关键运输更简单。 而且,如果个人证书安装在家庭计算机上,则Outlook Web Access包括执行S / MIME(从IE)的function。 这是迄今为止最方便的解决scheme,信任问题太糟糕了。

PGP或GPG有Outlook集成问题。 除非大货币产品改变这种情况,否则不存在GAL整合。 密钥必须手动备份并传输到新的计算硬件。 另一方面,您没有使用S / MIME的PKI链接问题,所以它只会比S / MIME的工作更多的地方。

我肯定会采取上述build议,因为encryption电子邮件会给你最好的安全性 – 只要你的用户了解它可以做什么,不能做什么。

接下来,我可能会拒绝Exchange 2003的2007年。很高兴终于摆脱Exchange的最后依赖公共文件夹依赖。 有几个很好的安全优势,如给用户使用OWA远程擦除智能手机丢失/被盗的能力。

说到这一点,如果智能手机正在使用,我会看看他们的程序/政策,真正压低安全性。