none
отправка копии SMTP трафика на другой сервер RRS feed

  • Вопрос

  • Добрый день!

    Имеется сервер Exchange 2010, необходимо чтобы он нормально работал, а копию SMTP трафика отсылал на определенный сервер на определенный порт (там производится анализ на наличие запрещенных слов в тексте, вложений - DLP система).Почта по-любому будет нормально ходить, но копия трафика будет отправляться на этот DLP сервер, чтобы администратор безопасности в случае инцидента мог просмотреть, что было отправлено.

    Не подскажите, где в Exchange 2010 настроить такую отправку копии?

    31 октября 2012 г. 6:11

Ответы

Все ответы

  • Добрый день!

    Это делается транспортными правилами на уровне организации.

    http://technet.microsoft.com/ru-ru/library/aa998315.aspx
    • Предложено в качестве ответа Амид 31 октября 2012 г. 6:39
    • Изменено Амид 31 октября 2012 г. 6:41
    • Помечено в качестве ответа Yuriy Lenchenkov 14 ноября 2012 г. 12:17
    31 октября 2012 г. 6:39
  • День добрый. 

    При внедрении DLP вам надо определить для себя несколько вопросов.

    1. Вы предотвращаете утечки.

    2. Вы проводите мониторинг утечки.

    3. Вы проводите мониторинг утечки и предотвращаете утечки.

    От этого стоит выбор типа ПО и его расположения в организации.


    MCITP. Знание - не уменьшает нашей глупости.

    31 октября 2012 г. 6:43
    Модератор
  • судя по задаче у автора пункт 2.
    обычно в dlp системах два метода: дается учетка которая забирает журнальный ящик или письма перенаправляются на smtp сервер dlp

    я делал транспортным правилом, которое все письма делает bcc на созданный контакт из несуществующего домена, а для этого домена отдельный отправляющий коннектор с прописанным smart host.

    31 октября 2012 г. 12:42
  • Дмитрий, это костыли и попытка экономить. Все упирается в стоимости ушедшей информации и политики информационной безопасности. 

    Могу привести пример. Делаем скриншот документа, делаем его фоном в презентации готовим презентацию и ее отправляем. Распознайте данные в картинке. Это простейший пример утечки.


    MCITP. Знание - не уменьшает нашей глупости.

    31 октября 2012 г. 12:52
    Модератор
  • а причем тут скриншот? в плане распознавания утечки и превентинг и детентинг одинаковые, просто первый не пропустит письмо по алерту, а второй пропустит. вопрос решается не итшниками и не безопасниками (это всего лишь исполнители), а заказчиками от бизнеса, в любом itil для бизнеса написано, что доступность информации для принятия решения дороже чем ее конфиденциальность (которая кстати на последнем месте по приоритету в домене безопасности), поэтому если из-за сбоя глючной dlp (других я пока не видел )) не отправиться важное письмо то это может выйти дороже, и какая то потенциальная гипотетическая утечка уже не будет аргументом при оправдании потеряной прибыли в несколько млрд.

    а если речь пошла о скринах, то можно проще - сейчас у каждого первого какой-нить мерзостный айфончик с камерой, снимай фотки прямо с экрана и уноси )

    в dlp системах чаще действует психологический момент: достаточно чтобы юзера, которые на 99% очень далеки от подкованных, знали что любое их действие фиксируется, и тогда он даже не станет пытаться что то делать. а от продвинутого профессионала мало какая dlp спасет.


    31 октября 2012 г. 15:42
  • а если речь пошла о скринах, то можно проще - сейчас у каждого первого какой-нить мерзостный айфончик с камерой, снимай фотки прямо с экрана и уноси )

    Это тоже просто решается.

    1. Существует пленка на экран и ПО, которые не позволяет снимать информацию с экрана фотоснимками.

    2. В ряде компаний встречал запрет на использование личных мобильных в зданиях офиса.

    Все упирается в стоимость потерь компании, в случае утечки информации.

    PS. Был прецедент увольнения сотрудника за отправку информации. 


    MCITP. Знание - не уменьшает нашей глупости.

    1 ноября 2012 г. 7:04
    Модератор
  • рассуждать об эффективности dlp и о методах обхода можно очень долго, так же как и о вариантах мониторинга или фильтрации, я например не допущу второе, если фильтр не был мною проверен и управляется сторонними людьми (сб это другое подразделение по определению), потому как в случае проблем отвественность несу я, а вина не моя ))

    преценденты и у меня были, без использования dlp, но чаще всего это следствие собственного идиотизма сотрудника - проффесионального инсайдера такими примитивными методами сложно остановить.

    но это все не тема данного треда, тут просто спросили как перенаправить письма, потому как задача уже поставлена и судя по всему в режиме мониторинга, что вполне естественно для начального запуска системы.

    1 ноября 2012 г. 14:57
  • Согласен, что говорить можно долго.

    Единственное, что можно сказать про мониторинг, то его нет как такового. Нет возможности автоматизировать мониторинг потока сообщений. Частные случаи создания правил поиска по единичным критериям не являются полноценной системой мониторинга сообщений, а также не позволяют делать анализ тела и содержимого письма при его прохождении.

    Можно работать модератором, но это уже другой функционал.


    MCITP. Знание - не уменьшает нашей глупости.

    1 ноября 2012 г. 17:59
    Модератор
  • Коллеги, спасибо за интересную дискуссию :)

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    14 ноября 2012 г. 12:17
  • Встретил решение в Windows 2012 Hyper-V зеркалирование портов средствами Hyper-V.

    MCITP. Знание - не уменьшает нашей глупости.

    14 ноября 2012 г. 12:28
    Модератор