Достаточно ли защиты почтового сервера для обеспечения безопасности всего почтового трафика компании

Обновлено: 30.06.2024

Подходы к решению этой задачи могут быть разные. Если говорить о небольшом предприятии, например, до 200-300 сотрудников, то основных подходов к решению данной задачи можно выделить три:

Если же нужен почтовый адрес с именем корпоративного сайта (типа user@companyname.xxx), то все эти почтовые службы общего пользования таковой могут предоставить, но он будет уже платный, однако недорогой, порядка 50 долларов в год (для Google) на один ящик. Тем не менее, его вид и функционал будет неотличимы от полноценного корпоративного почтового сервиса.

Преимущества таких условно бесплатных почтовых сервисов следующие.

Однако, следует рассмотреть и минусы такого решения. Как это часто бывает, недостатки часто являются продолжением достоинств, либо наоборот.

Собственный почтовый сервер на базе открытого ПО (open-source)

Преимущества такого подхода:

Недостатки почтового сервера open-source:

Необходимость некоторых капитальных затрат, и, хотя для самого сервера требуются относительно небольшие вычислительные ресурсы, чем больше организация и чем больше требуется глубина хранения архивов почты, тем более высокими будут требования к параметрам системы хранения и резервирования;
Повышенные требования к квалификации системного администратора, который должен, по крайней мере, обладать опытом работы с почтовыми серверами.
Веб-интерфейс собственного сервера далеко не так удобен, как в бесплатных почтовых службах, где организован быстрый поиск, фильтры, сортировка, метки и пр.

Microsoft Exchange Server

Достоинства Microsoft Exchange:

Небольшие требования к ИТ-квалификации администратора, настройка и эксплуатация системы не представляет особых сложностей;
Несмотря на простоту настройки, Exchange обладает широким функционалом;
Удобство администрирования, которое делается при помощи стандартных средств Microsoft Windows Server;
Наличие общих календарей, что особенно полезно для организаций с числом сотрудников более 20-30;
Интеграция с Active Director, службой каталогов Microsoft для Windows Server, таким образом, что при регистрации нового пользователя, ему автоматически создаётся почтовый ящик, в который он может заходить через интерфейс Microsoft Outlook.

Недостатки Microsoft Exchange:

Довольно высокая цена Exchange, кроме того, для каждой рабочей станции необходимо приобретать Microsoft Office вместе с Outlook, поэтому для небольших компаний с ограниченным бюджетом нужно тщательно просчитывать окупаемость такого решения;
Параметры оборудования сервера должны быть выше, у open-source серверов на Linux, и для поддержки большого объёма почты (порядка 50 Гбайт) в организации на несколько десятков сотрудников потребуется уже довольно мощный сервер;
Необходимость дополнительных расходов на сервер резервирования и ПО к нему;

Другие решения

Существует ряд других решений, в основном, open-source.

hMailServer

Существует ещё hMailServer — бесплатный почтовый сервер под платформу Windows. Он работает как служба Windows и включает в себя инструменты администрирования и резервного копирования, поддерживает почтовые протоколы IMAP, POP3, SMTP. Для хранения настроек и индексов использует базы данных типа MySQL, MS SQL или PostgreSQL.

hMailServer поддерживает механизмы антиспама, а также антивируса ClamWin и ClamAV. Так же есть возможность использования любого антивирусного сканера с командной строкой.

Начиная с версии 5.4, hMailServer распространяется с открытым исходным кодом.

Почтовый сервер Zimbra

Roundcube

Roundcube — почтовый клиент с веб-интерфейсом, с поддержкой протоколов IMAP и SMTP, который устанавливается на сервер с поддержкой PHP версии 5.4.0 или выше, где в качестве базы данных можно использовать MySQL, PostgreSQL, SQLite, MSSQL или Oracle Database. Распространяется как свободное ПО.

Mozilla Thunderbird

Mozilla Thunderbird — бесплатная кроссплатформенная свободно распространяемая программа для работы с электронной почтой и группами новостей, а также с календарём (при установке расширения Lightning). Решение является составной частью проекта Mozilla. Поддерживает протоколы: SMTP, POP3, IMAP, NNTP, RSS. Предоставляются официальные сборки для Microsoft Windows, macOS, Linux (i386), причём набор возможностей на всех платформах одинаков.

Заключение

Это далеко не полный перечень сервисов и решений электронной почты.

Затем, если в штате нет соответствующего специалиста, необходимо привлечь консультанта, который проведёт более тщательный сравнительный анализ по потребностям организации в рамках её бюджета. И тогда, результирующая картина сама укажет какое конкретное решение выбрать.

Преимущества таких условно бесплатных почтовых сервисов следующие.

Собственный почтовый сервер на базе открытого ПО (open-source)

Преимущества такого подхода:

Недостатки почтового сервера open-source:

Необходимость некоторых капитальных затрат, и, хотя для самого сервера требуются относительно небольшие вычислительные ресурсы, чем больше организация и чем больше требуется глубина хранения архивов почты, тем более высокими будут требования к параметрам системы хранения и резервирования;
Повышенные требования к квалификации системного администратора, который должен, по крайней мере, обладать опытом работы с почтовыми серверами.
Веб-интерфейс собственного сервера далеко не так удобен, как в бесплатных почтовых службах, где организован быстрый поиск, фильтры, сортировка, метки и пр.

Microsoft Exchange Server

Достоинства Microsoft Exchange:

Небольшие требования к ИТ-квалификации администратора, настройка и эксплуатация системы не представляет особых сложностей;
Несмотря на простоту настройки, Exchange обладает широким функционалом;
Удобство администрирования, которое делается при помощи стандартных средств Microsoft Windows Server;
Наличие общих календарей, что особенно полезно для организаций с числом сотрудников более 20-30;
Интеграция с Active Director, службой каталогов Microsoft для Windows Server, таким образом, что при регистрации нового пользователя, ему автоматически создаётся почтовый ящик, в который он может заходить через интерфейс Microsoft Outlook.

Недостатки Microsoft Exchange:

Довольно высокая цена Exchange, кроме того, для каждой рабочей станции необходимо приобретать Microsoft Office вместе с Outlook, поэтому для небольших компаний с ограниченным бюджетом нужно тщательно просчитывать окупаемость такого решения;
Параметры оборудования сервера должны быть выше, у open-source серверов на Linux, и для поддержки большого объёма почты (порядка 50 Гбайт) в организации на несколько десятков сотрудников потребуется уже довольно мощный сервер;
Необходимость дополнительных расходов на сервер резервирования и ПО к нему;

Другие решения

Существует ряд других решений, в основном, open-source.

hMailServer

Начиная с версии 5.4, hMailServer распространяется с открытым исходным кодом.

Почтовый сервер Zimbra

Roundcube

Mozilla Thunderbird

Заключение

Это далеко не полный перечень сервисов и решений электронной почты.

Насколько безопасны коммуникации, организованные с помощью электронной почты, и как защититься при использовании email?

В нашем блоге на Спарке мы много пишем о создании почтовых рассылок и работе с электронной почтой. Сегодня речь пойдет о нечасто затрагиваемой, но важной теме — насколько безопасны подобные коммуникации, и как защититься при использовании email? Именно этим вопросом задались пользователи ресурса Quora. Мы представляем вашему вниманию лучший ответ, который дал Билл Франклин, бывший сотрудник защищенного почтового сервиса Lavaboom (проект закрылся летом 2015 года).

Электронная почта по своему существу небезопасна. Она создавалась для личной переписки, но в действительности электронные письма ненамного безопаснее открытки.

Государственные органы: массовое слежение и получение данных об отдельных лицах;
Gmail: сканирование писем по ключевым словам для размещения рекламы;
Хакеры: рассылка спама, кража банковских данных, кража персональной информации – список ограничивается лишь изобретательностью хакеров, которые находят все новые способы получения денег с помощью украденных личных данных.

Ниже представлена диаграмма исследователя информационной безопасности Брайана Кребса — она наглядно показывает, что почтовый ящик среднего пользователя имеет куда большую ценность, чем принято думать.

Существует множество способов перехвата электронного письма в семи вышеперечисленных точках доступа. Франклин рассказал о том, как это можно сделать в его примере. Быстрее всего (этот способ занимает около часа) взломать базу в Кардиффе, где берет начало трансатлантический телефонный кабель, установить там узел для перехвата электронного письма и ждать, пока оно будет отправлено.

У Агентства национальной безопасности США есть возможность получить доступ к электронному ящику во всех семи точках доступа. И, согласно статьям Джейкоба Эпплбаума (Jacob Appelbaum) и Глена Гринуолда (Glen Greenwald), деятельность АНБ по сбору этим не ограничивается.

Вот, к примеру, один из слайдов презентации программы PRISM от АНБ:

Затраты на программу составляют около 20 млн долларов в год

Стоит также упомянуть, что, отправляя email на электронный адрес Gmail, даже если вы сами не являетесь его клиентом, вы автоматически предоставляете Google всю информацию – при этом вам не нужно принимать его условия обслуживания (которые подразумевают чтение ваших электронных писем). То же самое касается и других американских почтовых сервисов.

Асимметричное шифрование – самое надежное и простое решение, но можно сделать и еще кое-что. Достаточно выполнить несколько несложных шагов, чтобы значительно повысить уровень защищенности email-коммуникаций.

Шаг 1. Шифрование

Pretty Good Privacy (PGP) – программа, позволяющая превращать содержание писем в бессмыслицу для всех, кроме отправителя и получателя. Подходит для некоторых весьма простых в использовании почтовых клиентов. Более подробно о ней можно почитать тут.

Шаг 2. Не стоит пользоваться американскими почтовиками

При выборе почтового сервиса стоит учитывать и географический фактор, но не стоит всецело на него полагаться. Например, в Германии и Швейцарии законы, защищающие частную жизнь граждан, более эффективны, чем в США или Великобритании. Поэтому безопаснее использовать почтовые клиенты других стран, например, корейский Naver.

Шаг 3. Не следует доверять почтовому провайдеру

Отказ от американских почтовых сервисов – это хорошее начало, но в идеале следует использовать почтовые провайдеры с нулевым разглашением информации. Нулевое разглашение означает, что сервер не имеет доступа к исходному тексту данных. Более подробная информация об этом представлена здесь.

Шаг 4. Почта на своем сервере (это не так уж сложно)

Запустить свой собственный почтовый сервер не так трудно, как кажется. Таким образом, можно снизить риск взлома email-аккаунта. Это значит, что сам пользователь будет администрировать свой почтовый ящик, и если кому-то понадобится получить его содержимое, то им придется создавать бэкдор для этого конкретного сервера. Вероятность того, что кому-то понадобитесь именно вы, не особенно велика.

Microsoft Exchange Server предусматривает несколько способов обеспечения безопасности почтового трафика. Один из них состоит в обязательном использовании Secure Sockets Layer (SSL) for SMTP для имеющихся соединений. Однако применение этого способа вызывает некоторые проблемы. По умолчанию все серверы SMTP используют 25-й порт. Но если для 25-го порта применяется SSL, то остальные серверы, не поддерживающие SSL, уже не смогут установить соединение с данным сервером через 25-й порт. А если воспользоваться нестандартным номером порта, остальные серверы вообще не смогут обнаружить его.

Проблему можно попытаться обойти. Команда STARTTLS (она входит в состав Extended SMTP — ESMTP) позволяет клиенту и серверу SMTP распознать факт применения Transport Layer Security (TLS) для обычного SMTP-соединения. Участник соединения на любом его конце может провести аутентификацию своего партнера или же TLS-соединение может использоваться исключительно как секретный канал связи. Как бы то ни было, у такого подхода есть три важных преимущества.

Запрос на SSL-сертификацию

Прежде чем начать использовать TLS с SMTP, необходимо получить и установить сертификат для SMTP-сервера. Если у вас уже имеется собственный центр сертификации, Certificate Authority (CA), запрос на получение SSL-сертификата не вызывает затруднений, если же нет, тогда необходимо сохранить запрос на сертификат в файле и передать его в предпочтительный CA. О том, как установить Microsoft CA или воспользоваться внешним CA для инфраструктуры открытого ключа (Public Key Infrastructure — PKI), рассказано в статье Certificate Services в справочнике Windows Server Help. Предположим, что у нас есть доступ к CA и необходимо составить запрос и установить сертификат SSL для работы с Microsoft Outlook Web Access (OWA), IMAP, POP или SMTP.

Базовый механизм выдачи сертификатов для всех перечисленных протоколов одинаков, хотя в настоящей статье рассматривается только SMTP. Процедуру запроса сертификата мы инициируем из Exchange System Manager (ESM). В окне дерева ESM нужно отыскать свой сервер и выбрать Protocols и SMTP. Затем следует открыть контекстное меню виртуального сервера и выбрать Properties; на вкладке Access появится кнопка Certificate, которая включается всякий раз при запуске ESM на сервере Exchange. Поскольку открытый ключ, относящийся к данному сертификату, генерируется на локальной машине, сертификат, созданный на станции администратора, не имеет никакого смысла.

Для формирования запроса на получение сертификата при работе с OWA можно использовать Internet Services Manager (ISM) 5.0. Однако задействовать ESM для запроса POP- или IMAP-сертификата проще, поскольку эти сертификаты можно затребовать непосредственно в диалоговом окне Properties виртуального сервера, так что мы им и воспользуемся. Чтобы затребовать сертификат, нужно просто щелкнуть Certificate.

Получение сертификата

Когда кнопку Certificate щелкают на сервере, у которого отсутствует сертификат для специфического протокола, ESM запускает IIS Certificate Wizard. Эта программа проверяет, не запрашивался ли когда-либо SSL-сертификат с помощью Microsoft IIS. Чтобы запросить сертификат для применения в Exchange, необходимы административные привилегии на сервере Exchange, а используемая учетная запись должна иметь право запрашивать сертификат от CA.

После того как экран Welcome закроется, требуется указать, что именно следует сделать. Если запрашивается сертификат для виртуального сервера, у которого сертификат пока отсутствует, пользователю предлагается на выбор присоединить существующий сертификат к виртуальному серверу, импортировать резервную копию сертификата или запросить новый сертификат. Если решено модифицировать существующий сертификат, мастер сертификации предложит сделать выбор между возобновлением сертификата, удалением сертификата с виртуального сервера и запросом на получение нового сертификата. Допустим, нам нужен запрос на получение нового сертификата. После щелчка Create a new certificate выполняется следующая процедура.

До этого момента процедура запроса сертификата не зависит от того, включен CA или выключен. После ввода данных о географическом положении для запроса в оперативном режиме необходимо указать CA из списка доступных программе — инициатору запроса. Если CA, который предполагается использовать, в списке отсутствует, он не может предлагаться для выдачи сертификата. Следует выбрать CA, затем щелкнуть Next. Появится итоговый экран с указанными при формировании запроса параметрами сертификата; нужно щелкнуть Next еще раз для отправки запроса. Если запрос успешно выполняется, сертификат устанавливается автоматически и можно приступать к настройке TLS.

Использование CA независимой компании

Страничка может показаться не совсем обычной, поскольку явной ссылки наподобие Download my new certificate здесь нет. Следует щелкнуть Download CA certificate и сохранить файл на сервере Exchange. По умолчанию для ESM сертификат хранится в кодировке Distinguished Encoding Rules (DER), поэтому важно убедиться, что для сохранения в файле указан именно этот формат сертификата.

После сохранения сертификата все готово для его привязки к виртуальному серверу. Нужно вернуться в ESM, найти виртуальный сервер, для которого запрашивался сертификат, и открыть окно свойств сервера. На вкладке Access требуется щелкнуть Certificate для запуска программы IIS Certificate Wizard. В этот момент мастер сообщает статус запроса — pending; выбираем Process the pending request and install the certificate. На следующей странице необходимо указать путь к файлу сертификата, который был загружен, и щелкнуть Next. ESM декодирует сертификат и показывает итоговый экран с его расшифровкой — дополнительное средство проверки перед установкой сертификата. Если все правильно, нужно щелкнуть Next и Finish для запуска процедуры установки сертификата. Требуется убедиться, что сертификат установлен. Для этого на вкладке Access следует проверить статус кнопки Communications — она доступна только в том случае, когда сертификат установлен на виртуальном сервере.

Включение STARTTLS

Самый разумный подход — использовать коннекторы SMTP с поддержкой TLS для указанных доменов. Практически во всех ситуациях лучше ограничивать исходящий трафик для тех доменов, о которых наверняка известно, что они поддерживают TLS. Установить, поддерживает ли домен TLS, можно в режиме telnet по состоянию 25-го порта почтового сервера домена, запустив команду SMTP EHLO из командной строки. Если в ответе присутствует STARTTLS, значит, домен поддерживает TLS. Самый простой способ организовать использование TLS заключается в создании коннекторов SMTP для доменов, поддерживающих TLS. Сделать это можно в контейнере ESM Routing Groups. При создании нового коннектора (или изменении свойств существующего) необходимо выполнить два очень важных действия: убедиться, что на вкладке Address Space домены указаны верно, и установить поддержку TLS на вкладке Advanced (для этого нужно перейти на вкладку Advanced, щелкнуть Outbound Security и установить флажок TLS encryption).

Проблемы при работе с TLS

Если решить проблему не удается, можно попытаться обойти ее. Хотя ядро Exchange SMTP не поддерживает установки TLS для доменов, можно создать еще один виртуальный сервер SMTP, в котором не используется TLS, а затем связать его с SMTP-коннектором. В свойствах коннектора нужно указать домен, с которым имеются проблемы связи. Поскольку Exchange всегда отдает приоритет явно прописанным маршрутам, почта начнет отправляться по указанному адресу через данный коннектор, и все заработает.

Подтверждение запроса на получение сертификата

Если проверить статус самого первого запроса на получение сертификата, может оказаться, что статус запроса — pending (в процессе решения). Тогда администратор должен подтвердить обработку запроса. Это довольно типичная ситуация, поскольку при установке центра сертификации Windows Certificate Authority (CA) в автономном режиме выдача сертификатов задерживается до тех пор, пока администратор не выдаст соответствующее разрешение (подтверждение). Таковы установки CA по умолчанию. Для проверки статуса и подтверждения запроса используется оснастка Microsoft Management Console (MMC) Certification Authority, которую необходимо запустить на сервере — центре CA. Чтобы проверить состояние ожидающих выполнения запросов для подтверждения или отказа от их дальнейшей обработки, нужно выполнить следующие действия.

Запустить оснастку Certificate Services (Start, Programs, Administrative Tools, Certificate Authority).
Перейти к узлу CA (дерево консоли, левое окно) и раскрыть его. В узле пять каталогов: Revoked Certificates, Issued Certificates, Pending Requests, Failed Requests и Policy Settings.
Щелкнуть Pending Requests. В правой части консоли перечислены все запросы со статусом pending. Следует открыть контекстное меню запроса и выбрать в зависимости от поставленной задачи All Tasks, Issue или All Tasks, Deny. Важно убедиться, что указан именно тот запрос, который нужен.

Оснастка Certificate Authority позволяет выполнить много различных задач, в том числе отзыв индивидуальных сертификатов (контекстное меню сертификата в каталоге Issued Certificates, затем All Tasks, Revoke Certificate) и настройку политики при выдаче сертификатов. Подробное описание возможностей оснастки Certificate Authority приведено в Windows 2000 Online Help.

Читайте также: