Sugerencias para mejorar la security del correo electrónico

Trabajo para una compañía de abogados que tiene una gran cantidad de datos extremadamente sensibles.

Me gustaría dar un paso más en la security. Especialmente cuando se trata de correo electrónico.

Así que me gustaría un montón de recomendaciones, encryption, almacenamiento y similares. Ya tengo algunas precauciones, pero es mejor generalizar y mejor pedir muchas sugerencias.

Como muchos consejos como sea posible, por favor 🙂

Los clientes tienen: Windows XP junto con Office 2007. Tenemos un server de intercambio que ejecuta 2003 como backend. Preferiría no actualizar el sistema operativo, pero aparte de eso, estoy muy abierto a sugerencias. Ah, y otra cosa. Office 2007 es una necesidad también, no puede cambiar que uno, ya que algunos de nuestro software de la empresa se basa en Word, Excel y Outlook.

6 Solutions collect form web for “Sugerencias para mejorar la security del correo electrónico”

¿Qué es exactamente lo que intenta asegurar? ¿El correo electrónico en tránsito a otras personas? En ese caso, usted desearía utilizar algo como PGP para encriptar el post, puesto que el email se envía en el claro … su abastecedor de service podría interceptar fácilmente los posts del email que vuelan sobre su networking (o cualquier persona que proporciona una connection entre usted y el recipiente). PGP sin duda les dará más problemas de lo que vale la pena descifrar el post. Debería haber complementos para que Outlook lo integre.

¿Está intentando asegurar el almacenamiento de posts en su server? Usted querrá tomar las precauciones habituales de asegurarse de que el server tiene todos los últimos parches, passwords FUERTES, la política de contraseña de rotation de tal manera que los usuarios tienen que cambiar sus passwords periódicamente con un mínimo de 8 letras mayúsculas mixtas caso, probablemente en un día treinta a noventa ciclo.

¿Tiene escáneres AV y malware en el server de correo, sí?

¿Le preocupa el almacenamiento? Los gobiernos tienen gusto de tomar ésos si piensan que hay razón de examinarlo para algo que un empleado ha estado haciendo. La única forma de detenerlo es encriptar el volumen de almacenamiento. Aquí es donde las cosas se ponen peludas porque usted necesita tener BUENOS BACKUPS en su lugar antes de joder con esto … usted puede usar algo como el encryption nativo de NTFS o truecrypt para cifrar el volumen. Esto también significa que si hay problemas con los datos que están dañados, problemas de arranque, etc … usted está en un arroyo si no planificar con antelación y la testing, ya que no puede simplemente arrancar con un disco de rescate y llegar a datos para la recuperación! Es posible que desee tener sólo una partición aparte para almacenar datos del server de correo, y luego cifrar ese volumen.

Nuevamente … BACKUP DE PRUEBA. Estamos hablando de hacer cambios en su server de correo donde si algo sale mal usted podría perder fácilmente datos.

Entonces esa es otra pregunta … usted está utilizando un producto de copy de security que cifra las cintas, ¿verdad? Porque toda la security en el server de correo no significa nada si algún punk puede salir con una cinta para recuperar los datos en casa porque no lo tiene contraseña y encryption.

¿Hasta qué punto desea proteger la security? Porque si está ejecutando Outlook de una manera que almacena en caching los datos, cualquier persona que ponga malware en el sistema cliente puede leer su correo electrónico. Heck, tomar el control de la computadora del jefe significa que tienen acceso a lo que el jefe tiene acceso, encryption o no.

Usted realmente necesita identificar las amenazas específicas que usted está intentando save contra. Planee hacia fuera cómo si usted fuera un forastero usted intentaría conseguir cualquier activo que usted está protegiendo. Entonces averigua cómo serías frustrado. ¿Robar computadoras cliente? Copias de security de datos? ¿Fumar el tráfico? ¿Registradores de pulsaciones? ¿Qué counts hay que proteger?

Luego tome una respiración profunda y averiguar cuánto va a COST en términos de dinero y en términos de conveniencia. La security a menudo no es lo más conveniente, y los usuarios crecerán frustrados si tienen que soportar cosas como desencryption y encryption (y conseguir que otras personas usen el encryption) o tener que almacenar passwords o tener varias passwords. Necesita encontrar un equilibrio entre security y conveniencia para que sus usuarios trabajen CON usted y no contra usted, porque su security no significa que se agachen cuando los usuarios decidan trabajar con sus medidas de security cuando están demasiado irritados para seguir los procedimientos.

Puede emplear una Infraestructura de key pública de Microsoft / Autoridad de Cert para libre si está ejecutando un sistema operativo de server como Win 2003 (que veo que está si está utilizando Exchange). Se integra muy bien con Active Directory (si está ejecutando que también). Los usuarios pueden tomar certs de la CA y cifrar su correo electrónico con él en una base según sea necesario. El intercambio de correo electrónico encryption dentro del mismo dominio no es un problema ya que los usuarios confiarán en la CA de forma inherente y tendrán acceso a la key pública para el desencryption. Si envía posts de correo electrónico encryptions fuera del dominio, necesitará la key pública de la parte receptora para poder cifrar el correo electrónico que se envíe con ellos. Esto asegura que son el único destinatario que puede leerlo. Lo contrario es cierto para recibir correo electrónico encryption desde fuera del dominio. Lo siento, no tengo ninguna sugerencia para el almacenamiento seguro de correo electrónico aunque …

Prácticas recomendadas para implementar una PKI de Microsoft – http://technet.microsoft.com/en-us/library/cc772670(WS.10).aspx

Cifrar correo electrónico con Outlook 2007 (asume que su PKI ya está configurada) – http://office.microsoft.com/en-us/outlook/HP012305361033.aspx

Si no se opone a gastar dinero. El server PGP Universal no es una mala idea. Hemos estado funcionando durante años. También está haciendo bien como un virtual durante los últimos 8 meses.

Lotus Notes es desde el punto de vista de la security un muy buen producto. Puede tener el correo encryption hasta el disco del server, incluso el administrador no puede leer el correo del usuario.

Se integra en cierta medida con MS Office en Windows al less, es en cierto modo extraño y feo, pero funciona bastante bien y tiene maravillosas opciones de replicación (pensar siempre respaldado y todo disponible en línea si lo desea).

En términos de security de correo electrónico directo, los dos "estándares" por ahí son un poco paradójico. S / MIME tiene mucho mejor soporte al cliente en su entorno, pero sufre de problemas de PKI. PGP es más ampliamente utilizable confiable, pero es (IMHO) torpe en un entorno de Outlook. Esto supone que la comunicación que se está realizando es capaz de utilizar cualquiera de los estándares.

Hemos examinado S / MIME y nos topamos con el problema de la confianza. No podemos dar a todos un certificate que encadene a uno de los certificates en todos los browseres, ni siquiera podemos acercarnos a especular sobre la mera posibilidad de ofrecer algo así. Mediante el uso de nuestra autoridad de certificación interna de Active Directory, seríamos capaces de, al less, asegurar el correo electrónico entre nosotros, no sólo con entidades externas con gracia. Tenemos que pedir a las entidades externas que confíen en nuestra Autoridad, y eso sigue siendo una propuesta difícil después de todos estos años.

Por otro lado S / MIME con una CA interna es gratuita. También seríamos capaces de establecer los valores pnetworkingeterminados para que todos los correos enviados estén al less firmados, e incluso encryptions. Con certificates en la Lista de direcciones global y la list de contactos del buzón de correo para entidades externas, mantener un llavero es un accesorio para el correo interno y Just Works. Los certificates personales se recuperan simplemente del tree, simplificando el transporte de keys. Y Outlook Web Access incluye la posibilidad de hacer S / MIME (desde IE) si el certificate personal está instalado en la máquina doméstica. Es por mucho la solución más conveniente, demasiado malo los problemas de confianza de isquiotibiales.

PGP o GPG tienen problemas de integración de Outlook. A less que los productos de dinero grande cambien esto, no hay integración GAL. Las keys tienen que ser respaldadas manualmente y transportadas a un nuevo hardware de computación. Por otro lado, no tiene los problemas de encadenamiento PKI que tiene con S / MIME, por lo que sólo funcionará más lugares que S / MIME.

Definitivamente tomaría el consejo anterior, ya que encriptar el correo electrónico le dará la mejor explosión de security – siempre que sus usuarios entiendan lo que puede y no puede hacer.

A continuación, probablemente abandonar Exchange 2003 para 2007. Es bueno para finalmente deshacerse de la última dependencia de Exchange pasado en carpetas públicas. Hay un par de bonitos beneficios de security, como dar a un usuario la posibilidad de usar OWA para limpiar remotamente su teléfono inteligente si se pierde / es robado.

Hablando de eso, si los teléfonos inteligentes están en uso, me gustaría ver a los procedimientos / políticas en ellos para realmente networkingucir la security.

  • ¿Cuál es el mejor método para lograr el aislamiento del dispositivo en una DMZ?
  • Uso de una list blanca demasiado grande para un grupo de security AWS VPC
  • ¿Puedo bloquear la ejecución de un file con AppLocker?
  • Servir múltiples instancias de service web
  • Cómo supervisar los cambios de file / directory
  • ¿Cuál es la cosa más sarcástica que alguna vez tuviste que tratar como un administrador de sistemas?
  • exploración openVAS contra nueva instancia falla testing (posible falso positivo) Cómo depurar plug-in
  • Seguridad Riesgos de la captura de todos dirección de correo electrónico
  • ¿Existe una alternativa a la installation de un controller de dominio en la nube EC2 para administrar usuarios en todas sus instancias?
  • Hacer que Firefox acepte más los certificates SSL autofirmados
  • ¿Para qué son estos dos permissions de file?
  • ¿Cómo aislar el process de los usuarios del process central, es decir, de los processs del núcleo por completo?
  • fuerza el uso de passwords específicas
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.