Электронная почта

8.4.4. Угрожающие письма

Так как любой  человек в мире может послать  вам письмо, может оказаться трудным  заставить его прекратить посылать их вам. Люди могут узнать ваш адрес из списка адресов организации, списка лиц, подписавшихся на список рассылки, или писем в Usenet. Если вы указали ваш почтовый адрес какому-нибудь веб-сайту, от он может продать ваш адрес "почтовым мусорщикам". Некоторые веб-браузеры сами указывают ваш почтовый адрес, когда вы посещаете веб-сайт, поэтому вы можете даже не понять, что вы его дали. Много почтовых систем имеют возможности фильтрации почты, то есть поиска указанных слов или словосочетаний в заголовке письма или его теле, и последующего помещения его в определенный почтовый ящик или удаления. Но большинство пользователей не знает, как использовать механизм фильтрации. Кроме того, фильтрация у клиента происходит после того, как письмо уже получено или загружено, поэтому таким образом тяжело удалить большие объемы писем.

Для безопасной атаки может использоваться анонимный  ремэйлер. Когда кто-то хочет послать  оскорбительное или угрожающее письмо и при этом скрыть свою личность, он может воспользоваться анонимным  ремэйлером. Если человек хочет послать электронное письмо, не раскрывая свой домашний адрес тем, кто может угрожать ему, он может тоже использовать анонимный ремэйлер. Если он начнет вдруг получать нежелательные письма по своему текущему адресу, он может отказаться от него и взять новый.

Одним часто  используемым средством защиты, применяемым  некоторыми пользователями Usenet, является конфигурирование своих клиентов для  чтения новостей таким образом, что  в поле Reply-To (обратный адрес) письма, посылаемого ими в группу новостей, помещается фальшивый адрес, а реальный адрес помещается в сигнатуре или в теле сообщения. Таким образом программы сбора почтовых адресов, собирающие адреса из поля Reply-To, окажутся бесполезными.

В конгрессе  США было подано несколько биллей об ограничениях на работу таких программ-мусорщиков. В одном предлагалось создать списки стоп-слов и помещать слово "реклама" в строку темы письма. В другом предлагалось считать их просто незаконными.

8.5. Защита электронной  почты

8.5.1. Защита от фальшивых  адресов

От этого можно  защититься с помощью использования  шифрования для присоединения к  письмам электронных подписей. Одним  популярным методом является использование  шифрования с открытыми ключами. Однонаправленная хэш-функция письма шифруется, используя секретный ключ отправителя. Получатель использует открытый ключ отправителя для расшифровки хэш-функции и сравнивает его с хэш-функцией, рассчитанной по полученному сообщению. Это гарантирует, что сообщение на самом деле написано отправителем, и не было изменено в пути. Правительство США требует использования алгоритма Secure Hash Algorithm (SHA) и Digital Signature Standard, там где это возможно. А самые популярные коммерческие программы используют алгоритмы RC2, RC4, или RC5 фирмы RSA.

8.5.2. Защита от перехвата

От него можно  защититься с помощью шифрования содержимого сообщения или канала, по которому он передается. Если канал  связи зашифрован, то системные администраторы на обоих его концах все-таки могут  читать или изменять сообщения. Было предложено много различных схем шифрования электронной почты, но ни одна из них не стала массовой. Одним из самых популярных приложений является PGP. В прошлом использование PGP было проблематичным, так как в ней использовалось шифрование, подпадавшее под запрет на экспорт из США. Коммерческая версия PGP включает в себя плагины для нескольких популярных почтовых программ, что делает ее особенно удобной для включения в письмо электронной подписи и шифрования письма клиентом. Последние версии PGP используют лицензированную версию алгоритма шифрования с открытыми ключами RSA.

8.6. Корректное использование  электронной почты

Все служащие должны использовать электронную почту  так же, как и любое другое официальное  средство организации. Из этого следует, что когда письмо посылается, как отправитель, так и получатель должен гарантировать, что взаимодействие между ними осуществляется согласно принятым правилам взаимодействия. Взаимодействие с помощью почты не должно быть неэтичным, не должно восприниматься как конфликтная ситуация, или содержать конфиденциальную информацию.

8.7. Защита электронных  писем и почтовых  систем

Защита писем, почтовых серверов и программ должна соответствовать важности информации, передаваемой по сетям. Как правило, должно осуществляться централизованное управление сервисами электронной почты. Должна быть разработана политика, в которой указывался бы нужный уровень защиты.

8.8. Примеры политик  безопасности для  электронной почты

Низкий  риск

Пользователь

Использование служб электронной почты для  целей, явно противоречащий интересам организации или противоречащих политикам безопасности организации -явно запрещено, также как и чрезмерное использование ее в личных целях.

Использование адресов организации в письмах-пирамидах  запрещено.

Организация предоставляет своим сотрудникам электронную почту для выполнения ими своих обязанностей. Ограниченное использование ее в личных целях разрешается, если оно не угрожает организации.

Использование электронной почты таким образом, что это помогает получать личную коммерческую выгоду, запрещено.

Менеджер

Все сотрудники должны иметь адреса электронной  почты.

Справочники электронных  адресов должны быть доступны для  общего доступа.

Если организация  обеспечивает доступ к электронной  почте внешних пользователей, таких  как консультанты, контрактные служащие или партнеры, они должны прочитать политику доступа к электронной почте и расписаться за это.

Содержимое почтовых сообщений считается конфиденциальным, за исключением случая проведения расследований  органами внутренних дел.

Сотрудник отдела автоматизации

POP-сервер должен  быть сконфигурирован так, чтобы  исключать использование незашифрованных  паролей с локальных машин. 

Средний риск

Пользователь

Электронная почта  предоставляется сотрудникам организации  только для выполнения ими своих служебных обязанностей. Использование ее в личных целях запрещено.

Конфиденциальная  информация или информация, являющаяся собственностью организации, не может  быть послана с помощью электронной  почты.

Могут использоваться только утвержденные почтовые программы.

Нельзя устанавливать  анонимные ремэйлеры 

Служащим запрещено  использовать анонимные ремэйлеры 

Менеджер

Конфиденциальная  информация или информация, являющаяся собственностью организации, не может  быть послана с помощью электронной почты.

Если будет  установлено, что сотрудник неправильно  использует электронную почту с  умыслом, он будет наказан 

Сотрудник отдела автоматизации

Почтовая система  должна обеспечивать только один внешний  электронный адрес для каждого  сотрудника. Этот адрес не должен содержать имени внутренней системы или должности

Должен вестись  локальный архив MIME-совместимых  программ для просмотра специальных  форматов и быть доступен для внутреннего  использования..

Высокий риск

Пользователь

Электронная почта  предоставляется сотрудникам организации только для выполнения своих служебных обязанностей. Использование ее в личных целях запрещено.

Все электронные  письма, создаваемые и хранимые на компьютерах организации, являются собственностью организации и не считаются персональными.

Организация оставляет  за собой право получить доступ к  электронной почте сотрудников, если на то будут веские причины. Содержимое электронного письма не может быть раскрыто, кроме как с целью  обеспечения безопасности или по требованию правоохранительных органов.

Пользователи  не должны позволять кому-либо посылать письма, используя их идентификаторы. Это касается их начальников, секретарей, ассистентов или других сослуживцев.

Организация оставляет  за собой право осуществлять наблюдение за почтовыми отправлениями сотрудников. Электронные письма могут быть прочитаны  организацией даже если они были удалены  и отправителем, и получателем. Такие  сообщения могут использоваться для обоснования наказания.

Менеджер

Справочники электронных  адресов сотрудников не могут  быть сделаны доступными всем.

Если с помощью  электронного письма должна быть послана  конфиденциальная информация или информация, являющаяся собственностью организации, она должна быть зашифрована так, чтобы ее мог прочитать только тот, кому она предназначена, с использованием утвержденных в организации программ и алгоритмов.

Никто из посетителей, контрактников или временных  служащих не имеет права использовать электронную почту организации.

Должно использоваться шифрование все информации, классифицированной как критическая или коммерческая тайна, при передаче ее через открытые сети, такие как Интернет.

Выходящие сообщения  могут быть выборочно проверены, чтобы гарантировать соблюдение политики.

Сотрудник отдела автоматизации

Входящие письма должны проверяться на вирусы или  другие РПС.

Почтовые сервера  должны быть сконфигурированы так, чтобы  отвергать письма, адресованные не на компьютеры организации.

Журналы почтовых серверов должны проверяться на предмет выявления использования неутвержденных почтовых клиентов сотрудниками организации, и о таких случаях должно докладываться.

Почтовые клиенты  должны быть сконфигурированы так, чтобы  каждое сообщение подписывалось  с помощью цифровой подписи отправителя.

8.9. Хранение электронных  писем

Официальные документы  организации, передаваемые с помощью  электронной почты, должны быть идентифицированы и должны администрироваться, защищаться и сопровождаться настолько долго, насколько это нужно для деятельности организации, аудита, юристов, или для других целей. Когда электронная почта - это единственный способ передачи официальных документов компании, то к ним применяются те же самые процедуры, как если бы они передавались на бумаге.

Для предотвращения случайного удаления писем, сотрудники должны направлять копии таких сообщений  в официальный файл или архив. Должны храниться как входящие, так  и выходящие сообщения с приложениями. Любое письмо, содержащее формальное разрешение или выражающие соглашение организации с другой организацией, должно копироваться в соответствующий файл (или должна делаться его печатная копия) для протоколируемости и аудита.

Период хранения всех писем определяется юристами. Если сообщения хранятся слишком  долго, организация может вынуждена сделать такую информацию публичной по решению суда.  

Электронная почта стала повсеместно  используемой «коммунальной» услугой, однако, нельзя не признать, она  не достигла пока такого же совершенства в  своем функционировании, как водопровод. Уровень защиты данных в системе электронной почты влияет на общий уровень информационной безопасности организации, а, следовательно, и эффективность ее деятельности. Это обуславливает важность создания надежной защиты для этого вида коммуникаций.

Большинство проблем, с которыми сталкиваются пользователи электронной почты (спам, вирусы, разнообразные  атаки на конфиденциальность писем  и т. д.), связано с недостаточной защитой современных почтовых систем.

С этими проблемами приходится иметь дело и пользователям общедоступных публичных систем, и организациям. Практика показывает, что одномоментное решение проблемы защиты электронной почты невозможно. Спамеры, создатели и распространители вирусов, хакеры изобретательны, и уровень защиты электронной почты, вполне удовлетворительный вчера, сегодня может оказаться недостаточным. Для того чтобы защита электронной почты была на максимально возможном уровне, а достижение этого уровня не требовало чрезмерных усилий и затрат, необходим систематический и комплексный, с учетом всех угроз, подход к решению данной проблемы.

Борьба  со спамом и вирусами