Принципиально слежение за электронной почтой мало отличается от слежения и записи телефонных переговоров. За исключением того, что e-mail удобнее для «шпиона». Проще отправить письмо с присоединенным к нему файлом, чем зачитывать объемный секретный документ по телефону, под удивленные взгляды коллег. Да и кажется это более безопасным для «шпиона», ведь телефонные переговоры очень часто пишутся, а вот средств перехвата электронной почты не так много и они не столь распространены. Информационная защита организации не может быть полной, если неконтролируемым остается такой удобный и популярный канал передачи информации, как электронная почта. Меры противодействия могут быть использованы как злоумышленниками, при пересылке конфиденциальной информации, так и сотрудниками отдела ИТ компании, чтобы сама почта компании не оказалась прочитана третьими лицами.
• Отсылка письма в обход средств мониторинга.
Самый простой способ, который может быть использован «шпионом». Каждый почтовый клиент позволяет выбрать адрес почтового сервера. В большинстве случаев, там будет указан корпоративный почтовый сервер. Если указать там адрес другого сервера, который может принять письмо, то оно не пройдет через корпоративный сервер. Если используются средства мониторинга, интегрированные в почтовый сервер, то они не смогут заметить это письмо.
Контрмеры: запрет обращения к внешним SMTP серверам на межсетевом экране (TCP/25), использование средств пассивного мониторинга.
• Шифрование письма.
Например, с помощью PGP. Даже если письмо и будет перехвачено, его содержимое (кроме поля Subject) будет в зашифрованном виде и не сможет быть прочитано.
Контрмера: В соответствии с RFC 2015, части письма, зашифрованные PGP будут помечены как "application/pgp-encrypted". Имеет смысл административно запретить несанкционированную шифрованную переписку, настроить фильтр на сохранение писем, содержащих эту строку и расследовать (с привлечением отправителя письма) каждый факт нарушения.
• Шифрование трафика.
Использование VPN (например, FreeS/WAN, реализующий стандарт IPSec) позволяет шифровать весь трафик между гейтвеями VPN (например, между филиалами одной компании). Из шифрованного трафика невозможно выделить почтовый трафик и расшифровать его.
Подробнее