Як зашифрувати повідомлення електронної пошти Захист корпоративної пошти

Електронна пошта більшості компаній є основним засобом комунікації. Листування необхідне як спілкування всередині самої компанії, так обміну даними з партнерами, клієнтами, постачальниками, державними органами тощо. Ні для кого не секрет, що по корпоративній електронній пошті пересилається маса конфіденційної інформації: договори, рахунки, інформація про продукти та ціни компанії, фінансові показники тощо.

Якщо така інформація потрапляє до рук конкурентів, може істотно нашкодити компанії до припинення її існування. Конкуренти, маючи в розпорядженні базу клієнтів, знаючи умови роботи та ціни, зможуть запропонувати їм найкращі умови і таким чином завдадуть фінансових збитків. Також конкуренти можуть знайти в отриманій інформації факти порушення законодавства та передати їх у відповідні державні органи. Це може спровокувати проведення перевірок, а вони нічого доброго не віщують.

Одним словом, якщо в компанії постало питання про захист комунікацій - насамперед необхідно захищати пошту, оскільки основна маса документів пересилається через неї. Але, незважаючи на важливість, небагато компаній замислюються про безпеку пошти.

Основні помилки, що призводять до перехоплення електронної пошти:

• Корпоративна пошта використовується для реєстрації в соціальних мережах та інших ресурсів.Чим більше адреса пошти світиться в різних сервісах – тим більша ймовірність потрапляння його в різні списки розсилки спаму, а також це часто провокує спроби зламати адресу.
• Пароль, вказаний у корпоративній пошті, використовується для реєстрації на різних веб-сайтах.Дуже часто співробітники, реєструючись на якомусь сайті знайомств чи торрент трекері, не турбуються вигадувати якийсь пароль, а вводять той, що й для корпоративної пошти.
• Вказувати простий пароль.Як пароль до пошти вказується дата народження, своє ім'я і т.д., а ця інформація доступна у відкритому вигляді у багатьох джерелах.
• Використовуються зовнішні послуги електронної пошти.Багато компаній використовують майданчики Google, Yandex тощо. для розміщення корпоративних доменів. Це вважається безпечним, але відомі факти, коли пошта, розміщена на цих сервісах, потрапляла до інтернету. Також у ЗМІ постійно говорять про прямий доступ спецслужб до інформації користувачів на цих ресурсах.
• Пошта не шифрується.Відомий факт, що пароль до будь-якої пошти можна зламати, причому ціни на злом поштової скриньки стартують від 10-20 USD. Якщо пошта не зашифрована, то отримавши доступ до скриньки, зловмисник автоматично отримує доступ до всієї комерційної інформації.

Розглянемо простий приклад шифрування пошти на базі безкоштовного поштового клієнта Mozilla Thunderbird за допомогою механізму шифрування OpenPGP. Для організації шифрування необхідно встановити додаток Enigmail у Thunderbird, а також програму GnuPG. Після цього ThunderBird з'явиться вкладка OpenPGP. Далі необхідно згенерувати власну пару ключів. Робиться це так:

Сам процес шифрованого листування можемо розкласти на 4 елементарні етапи.

Як бачимо, шифрувати пошту зовсім не складно, та ще й безкоштовно!

Впровадження шифрування пошти позбавляє більшості ризиків витоку інформації і при цьому не вимагає жодних витрат, лише витрати на впровадження та навчання користувачів. Якщо йдеться про невелику компанію, що складається з 10 осіб, то достатньо всіх зібрати, пояснити необхідність шифрування – показати як це робиться та погрожувати санкціями у разі недотримання цього правила. Інша справа, якщо компанія велика та аналогічно вищеописаним діям зробити не вийде.

До всіх співробітників важко донести необхідність захисту пошти. Також після впровадження процеси шифрування складно контролювати – згодом співробітники можуть розслабитися та припинити шифрувати листи. Обов'язково потрібно проводити навчання нових співробітників. У такому разі за допомогою доменних політик можна налаштувати примусове шифрування листів, які надсилаються на адреси домашнього домену та організувати зберігання та обмін відкритими ключами за допомогою ActiveDirectory. Це позбавить необхідності обміну відкритими ключами з появою кожного нового співробітника.

Наступним етапом підвищення безпеки пошти є організація власного сервера. Це вимагатиме трохи більших витрат на обладнання та ліцензії, ніж використовувати поштові сервіси. Але все-таки бажано використовувати саме власний поштовий сервер, розміщений на високодоступному та надійному технічному майданчику.

Майданчик має бути постійно доступним, це означає, що електроживлення, інтернет, кондиціювання має бути зарезервовано. Програмного забезпечення для сервера пошти існує дуже багато як на базі вільного ПЗ, так і на базі комерційного. Тут однозначний вибір зробити неможливо, тому що сервер необхідно підібрати під необхідний функціонал компанії. Потрібно взяти до уваги бюджет, виділений використання сервера. Ми використовуємо MDaemon з низки причин:

• Він простий у налаштуванні та адмініструванні. MDaemon зможе налаштувати та обслуговувати адміністратор навіть з базовим рівнем знань. Налаштування Exchange сервера або Open Source продуктів потребує значно більшої кваліфікації та часу на впровадження та обслуговування.
• Функціонал відповідає усім вимогам нашого бізнесу. Підтримує всі поштові протоколи, має «аутлукоподібний» Web-інтерфейс пошти, групи розсилок, перенаправлення пошти, фільтри спаму тощо.
• Вартість набагато нижче ніж Exchange та Kerio. Орієнтовна вартість ліцензій на 50 користувачів MDaemon -20 000 рублів, 50 000 руб - Kerio, 100 000 руб -MS Exchange.
• Немає якихось специфічних вимог. Наприклад, не потрібна наявність ActiveDirectory. Продукт може бути встановлений на десктопну ОС - наприклад, WindowsXP або Windows 7. Продукт не вимагає СУБД.

Схема функціонування пошти буде такою:

Малюнок 1 - Схема функціонування пошти

Власний сервер дає низку переваг у порівнянні з використанням публічних поштових серверів:

• Безпека.Довіряти можна лише собі. Якими б не здавалися безпечними сервіси Google, Yandex тощо - вони належать іншим компаніям і ці компанії також мають туди доступ.
• Обслуговування.Адміністратор компанії має можливість гнучкого настроювання сервера, а також має можливість здійснювати детальний моніторинг. Моніторинг, наприклад, дозволить побачити спроби зламування поштового сервера чи його скриньок.
• Гнучкість.Якщо компанія має свій поштовий сервер, вона не впирається в обмеження сервіс-провайдера. Компанія може за власним бажанням вибирати програмне забезпечення для поштового сервера, масштабувати систему і т.д.

Таким чином, для надійного захисту пошти рекомендується впровадити в компанії два глобальні заходи: впровадити шифрування пошти та організувати свій поштовий сервер. До них дуже добре застосовується принцип Парето. Перший захід дає 80% ефективності при 20% витрат, а другий дає решту 20% ефективності, але вимагає 80% витрат.

Короткий перелік порад при використанні корпоративної електронної пошти:

1. Використовуйте власний поштовий сервер за межами офісу.
2. Не створюйте прості імена скриньок, наприклад [email protected]- Вони обов'язково потраплять до списків розсилок спаму, краще використовувати ініціал співробітника та прізвище.
3. Використовуйте генеровані паролі до пошти.
4. Не вказуйте адресу своєї корпоративної пошти під час реєстрації на сайтах, що не мають відношення до роботи.
5. Шифруйте текст усіх повідомлень, інформацією яких ви не хотіли б ділитися з конкурентами або іншими суб'єктами.
6. Файли, прикріплені до листа, також необхідно шифрувати, а якщо є захищений корпоративний портал – файл краще розмістити на ньому та переслати у листі посилання.

Системна інтеграція. Консалтинг

У статті описується, як настроїти S/MIME шифрування електронної пошти в Outlook 2003 та Outlook 2007. S/MIME - це стандарт для шифрування електронної пошти, він інтегрований у багато поштових клієнтів (Outlook, Thunderbird, Apple Mail та ін.). Зазначу, що описаний метод шифрування пошти не вимагає витрат, крім придбання поштового клієнта Outlook. Але якщо порівняти вартість Outlook і, скажімо, PGP Desktop Email від Symantec, Outlook виявиться найменшим злом, причому досить зручним і функціональним. Це продовження статті та попередник статті зі створення за допомогою OpenSSL самопідписаного сертифіката S/MIME.

Очевидно, що у вас і вашого колеги вже є сертифікати.

Налаштування шифрування в Outlook

Налаштування Outlook 2003 та 2007 практично ідентичне. Різниця лише у розташування параметрів настройки.

В Outlook 2003 відкриваємо Сервіс -> Параметри -> закладка Безпека -> кнопка Параметри:

В Outlook 2007 відкриваємо Сервіс -> Центр управління безпекою -> Захист електронної пошти:

Відзначаємо опції «Налаштування за промовчанням для цього формату» та «Налаштування за промовчанням для всіх повідомлень».

Переходимо до сертифіката підпису. Натискаємо кнопку Вибрати. У вікні вибираємо отриманий раніше сертифікат і тиснемо Ок. Сертифікат шифрування повинен підставлятися автоматично, якщо ні, вибираємо зі списку.

Алгоритм хешування залишаємо за замовчуванням – SHA1.

Алгоритм шифрування. Залежно від встановленої операційної системи (XP або Vista) набір доступних алгоритмів буде відрізнятися. Вибираємо найнадійніший алгоритм.

• Для XP – 3DES.
• Для Vista – AES (256-біт).

Ці налаштування визначають максимальний рівень шифрування. Якщо у вас Vista + Outlook, а вам пишуть з XP + Outlook, лист буде зашифровано 3DES. Також і в інший бік, незважаючи на те, що у вас виставлений алгоритм шифрування AES (256-біт), лист для колеги, який працює в XP, буде зашифрований за допомогою алгоритму 3DES. 3DES вважається надійним алгоритмом, але якщо ви хочете покращити захист і не переходити на Vista, то ваш вихід – змінити поштовий клієнт. Наприклад, поставити The Bat (є власний криптопровайдер з підтримкою AES 256).

Опція "Передавати сертифікати з повідомленням" має бути позначена.

Обмін сертифікатами

Тепер ви можете надсилати будь-кому підписані повідомлення електронної пошти, тобто. тепер одержувач із набагато більшою впевненістю зможе вважати, що листа від вас відправили саме ви, а не зловмисник. Але нам цього замало. Ми повинні мати можливість шифрувати вміст електронної пошти, а не просто підписувати її. Для цього ми маємо обмінятися сертифікатами з нашим другом. Ми шифруватимемо вихідну пошту ключем нашого друга, а він, у свою чергу, отримавши від нас листа, зможе його окрити, використовуючи свій ключ.

Для обміну ключами шифрування достатньо надіслати одне одному підписане повідомлення.

Тепер важливий для Outlook момент. Після отримання підписаного листа відправника необхідно додати до адресної книги.

Для цього відкриваємо отриманий лист. У полі Від, на адресі відправника робимо правий клік, у меню вибираємо Додати у контакти Outlook. Якщо контакт вже існує, вибираємо Оновити контакт.

У даних контактної особи переходимо на закладку сертифікати. Якщо все правильно, у списку буде відображено сертифікат.

Тепер після прив'язки сертифіката до контактної особи ми можемо надіслати йому зашифрований лист.

Зверніть увагу, що швидкий перегляд при виділенні зашифрованого листа не працює. Щоб прочитати вміст, потрібно відкрити лист в окремому вікні.

Дізнатись яким алгоритмом зашифровано лист, чи дійсні сертифікати, можна натиснувши на кнопці із зображенням замка. У вікні виділяємо рядок Рівень шифрування. Внизу у графі Опис буде вказано алгоритм шифрування.

Листування зашифрованими повідомленнями S/MIME універсальна, тобто. зашифровані листи, надіслані з Outlook, можна буде прочитати і в інших поштових клієнтах, наприклад Thunderbird, або на мобільних клієнтах, наприклад, iPhone або Android. Головне, імпортувати в iPhone або інший пристрій або поштовий клієнт закритий ключ для розшифровки повідомлень та відкритий ключ одержувача - для надсилання. Перевірити роботу шифрування просто - якщо у одержувача пошти є веб-інтерфейс для доступу до поштової скриньки, то вміст листа буде недоступним для перегляду, натомість у листі буде видно вкладення smime.p7s.

У цій статті йдеться про те, де і як отримати сертифікат для шифрування електронної пошти.

В даний час користувачам доступні дві технології безпеки: PKI і PGP. Про відмінності цих технологій можна дізнатися за посиланням PKI або PGP? .

Вся інформація в цій статті стосується технології PKI.

Для цього ви повинні отримати сертифікат на свою адресу (user1@q2w3.

У мережі є кілька центрів сертифікації, які видають сертифікати для електронної пошти безкоштовно:

• COMODO.COM (реєстрація не потрібна)
• THAWTE.COM (потрібна реєстрація)

Особисто мені сподобалося працювати з COMODO. Для отримання сертифіката не довелося відключати брандмауер та знижувати параметри безпеки браузера. Треба сказати, що при роботі з thawte з Vista + IE7 отримати сертифікат мені так і не вдалося не дивлячись на точне дотримання інструкції. У XP проблем не виникало...

Для отримання сертифіката я рекомендую використовувати Експлорер. Особливо якщо ваш поштовий клієнт Outlook або Windows Mail (в XP Outlook Express).

Процедура отримання сертифікату:

• Відкриваємо в Експлорері посилання http://www.comodo.com/home/internet-security/free-email-certificate.php
• Натискаємо на червону кнопку FREE DOWNLOAD
• Потрапляємо на сторінку введення даних сертифіката. Заповнюємо Ім'я (First Name), Прізвище (Last Name), адресу електронної пошти (Email Address), країну (Country). Advanced Private Key Options залишаємо без змін. Revocation Password — це пароль для скасування сертифіката (якщо сертифікат із закритим ключем втрачено або потрапив до третіх осіб). Comodo Newsletter - підписувати НЕ рекомендую, корисної інформації нуль.

  

  Коли всі дані введені, натискаємо Agree & Continue

• На екрані з'явиться попередження (Підтверджуєте запит сертифіката?):

  

  Натискаємо Так.

• Після цього чекаємо на пару хвилин і перевіряємо пошту. Повинен прийти схожий лист від COMODO:

  

  Якщо Експлорер ваш браузер за промовчанням, натискаємо велику червону кнопку Click & Install Comodo Email Certificate. Якщо ні, копіюємо посилання за допомогою правого кліка, запускаємо Експлорер вручну та відкриваємо у ньому скопійоване посилання. Слід зазначити, що для отримання сертифіката відкривати посилання треба на тому самому комп'ютері і в тому самому браузері, в якому ви створювали запит на сертифікат!

• Далі має з'явитися попередження про те, що веб-сайт намагається імпортувати сертифікат на ваш комп'ютер:

  

  Натискаємо Так.

• У разі успіху на веб-сторінці з'явиться червоний напис Successful. Але про всяк випадок можна перевірити коректність установки сертифіката. Відкриваємо на панелі керування або в Експлорері Властивості Інтернет (Internet Options), далі переходимо на закладку Зміст (Content), натискаємо кнопку Сертифікати (Certificates). На вкладці Особисті (Personal) має відображатися новий сертифікат. За допомогою подвійного клацання можна переглянути його властивості.

  

Тепер можна переходити до другої частини – налаштування поштового клієнта.

Захист електронної пошти від спамботів.

• Розробка веб-сайтів

Часто користувачі дивуються, звідки спамери дізнаються про їхні e-mail адреси і виливають на них тонни спаму. Залишаючи за рамками цієї статті такі способи поповнення спамерських баз, як віруси, «злив» адрес власниками поштового сервера або прослуховування HTTP та ICQ трафіку, розглянемо найпоширеніший випадок.
Одним з основних джерел нових e-mail адрес є власне веб-сторінки, на яких безтурботні користувачі (а часом і власники сайту) відкрито публікують свій e-mail, звідки спамботи (збирачі e-mail) без проблем його вилучають і використовують у своїх поганих цілях.

Далі будуть розглянуті основні прийоми шифрування e-mail адрес від спамботів, а також наведено результати виміру ефективності кожного з прийомів шляхом практичного використання кожного способу для свіжозареєстрованих e-mail адрес та оцінки кількості спаму.

В даний час адреси, що публікуються на сторінках e-mail, прийнято захищати такими основними способами:

1. Захист написанням e-mail на малюнку (або окремих букв, символів @ та точки).

2. Захист за допомогою кодування e-mail адрес у мнемоніки (entitles-символи).

[email protected]

Переваги:легкість автоматизації, незалежність від таких параметрів, як увімкнена графіка або JS у користувача.
Недоліки:Легкість розшифровки, обхід деякими сучасними спамботами.
Ефективність:низька. Опублікований таким чином ящик отримує близько 10-ти листів на день, (очевидно, деякі роботи «зламали зуби» про такий спосіб, тому що на опублікований відкрито ящик приходить у кілька разів більше листів).

3. Захист за допомогою кодування через JavaScript з (або без) винесенням частин коду у зовнішній файл.

Коректніше використовувати можливості DOM замість document.write, цей приклад наведено лише як ілюстрацію.

Переваги:відносна легкість автоматизації, складність розпізнавання роботами. Опублікована таким чином адреса без проблем натискається та копіюється, а також відображається людям з відключеною графікою.
Недоліки:спосіб не працює у користувачів з відключеним (з різних причин) JavaScript (так, такі користувачі є, і в певних випадках потрібно враховувати їх інтереси). Автор був здивований, коли клієнт заявив, що не бачить на сторінці контактів e-mail адреси.
Ефективність:висока. На тестову адресу спам-листів не надійшло.
Додано:дякую за посилання на сервіс автоматичної генерації простенької JS-обгортки для e-mail.
Приклад від , який можна ускладнювати нескінченно:
send email

У цьому прикладі при натисканні мишкою фейкова адреса замінюється яваскриптом на реальну.

4. Захист із використанням CSS, коментарів та способу 2.

Пояснення:домен поштового сервера необхідно обов'язково "розділяти", щоб не привертати увагу напівавтоматичних збирачів e-mail. Використовувати display:none для «зайвих» символів необхідно зниження ефективності можливих strip_tags функцій. У всіх можливих «прихованих» місцях (і навіть іменах CSS-класів) краще використовувати випадкові (random) послідовності символів, що ускладнить їх автоматичний парсинг.

Спосіб працює у всіх браузерах, незалежно від включеності графіки та JavaScript.
Недолік:у деяких браузерах адресу доведеться набрати вручну, оскільки скопіюється лише перша літера (питання як подолати це поки що не вирішено). Якщо це важливо, можна комбінувати цей спосіб з попереднім, помістивши все це в
Додано:запропонував використати яваскрипт для правильної роботи Ctrl+C на таких текстах.
Ефективність:висока. Спам-листів не прийшло.

5. Побудова тексту за допомогою CSS

За рамками статті залишилися розгляд таких способів, як використання форм для відправки пошти з капчею (це не завжди можливо, наприклад на форумі, де необережний користувач опублікував свій e-mail), або відображення e-mail адреси за допомогою Flash.

Додано:будь-який із цих способів можна поєднати з необхідністю реєстрації на сайті (відображати e-mail адреси тільки зареєстрованим (влогіненим) користувачам, а незареєстрованим - не відображати взагалі (з проханням зареєструватися) або відображати найсуворішим способом). Відповідне перетворення e-mail для незареєстрованих роботів користувачів можна зробити нескладними регулярками.

Сподіваюся, що стаття спонукає web-майстрів оснастити захистом усі ті місця, де безтурботні користувачі так чи інакше можуть залишити свій e-mail (форуми, профілі, коментарі, тощо).

У цьому дослідженні не розглянуті серверні методи боротьби із збирачами e-mail (наприклад, бан по IP), це вважатимуться темою наступного матеріалу.

Як шифрувати повідомлення по e-mail і чи стане від цього безпечнішим

• Інформаційна безпека

Чи захищена інформація, що надсилається електронною поштою?

Усі листи, що надходять, надходять або зберігаються на сервері поштової служби, знаходяться в повному розпорядженні компанії, якій він (сервер) належить. Забезпечуючи безпеку при пересиланні, компанія може робити з повідомленнями все, що їй заманеться, оскільки, по суті, отримує листи у своє розпорядження. Тому сподіватися можна лише на порядність її (компанії) керівництва та службовців, а також те, що ви навряд чи когось серйозно зацікавите.

При використанні корпоративної пошти листування захищається силами IT-служби, які можуть встановити дуже суворий Firewall. І, тим не менш, це теж не врятує, якщо несумлінний співробітник «зіллє» інформацію. Йдеться не обов'язково про системного адміністратора – зловмиснику достатньо виявитися «всередині» корпоративної мережі: якщо він налаштований серйозно, решта – справа техніки.

Зашифруємося

Саме тіло листа можна шифрувати сторонньою криптографічною програмою, про це вже дозволю собі повторити трохи на свій лад. Найбільш популярний сервіс, для якого спеціально створено програму шифрування – Gmail. Розширення SecureGmail встановлюється в Google Chrome, який це шифрування підтримує, після чого все дуже просто - для повідомлення, що шифрується, вводиться пароль і питання-підказка для його відновлення. Єдиний недолік – обмеження використання лише GoogleChrome.

Є шифратор, який підходить практично для будь-якої онлайн-пошти, наприклад для mail.ru, yandex.ru, Gmail.com – для всіх поштових сервісів, які ви можете відкрити у вікні браузера Mozilla. Це розширення Encrypted Communication. Принцип роботи такий самий, як у SecureGmail: написавши повідомлення, виділіть його мишею, після чого натисніть праву кнопку та виберіть "зашифрувати за допомогою Encrypted Communication". Далі введіть та підтвердіть пароль, відомий вам та одержувачу. Звичайно, обидва ці клієнти повинні бути встановлені і в одержувача, і у відправника і обидві ці люди повинні знати пароль. (Варто відзначити, що було б необачно надсилати пароль тією ж поштою.)

Крім плагінів для браузера, в якому ви відкриваєте пошту, існує програма для десктопних клієнтів, яка також може використовуватися і з онлайновими поштовими сервісами – PGP (Pretty Good Privacy). Метод хороший, оскільки використовує два ключі шифрування – відкритий та закритий. А також можна використовувати цілу низку програм як для шифрування даних, так і для шифрування тексту листа: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail та інші.

Як не сумно, просунута техніка шифрування, як би легка у використанні і красива вона не була, не врятує, якщо, наприклад, у вашому комп'ютері поселять backdoor, який робить знімки екрану та відправляє їх у мережу. Тому найкращий спосіб шифрування – не писати листів. Девіз «Треба частіше зустрічатися» набуває у цьому контексті нового звучання.

Мінімізуємо ризики

Якщо ви важлива особа в компанії, не надсилайте ключові документи по відкритих каналах, або не використовуйте для їх передачі електронну пошту взагалі, а для роботи користуйтеся корпоративною поштою і не надсилайте важливих листів на адреси безкоштовних поштових сервісів.

В інших випадках, наприклад, під час укладання договорів, корисно використовувати пошту, оскільки електронне повідомлення містить факти ваших домовленостей по роботі і може вам надалі допомогти. Пам'ятайте, більшість «зливів» інформації відбуваються з вини зовсім на хакерів, а «людського чинника». Вам цілком можливо достатньо використовувати складні паролі, регулярно їх змінювати і не допускати їх втрати. Слід не забувати закривати свої сесії на чужих комп'ютерах, не користуватися незахищеними з'єднаннями під час роботи через Wi-Fi у громадських місцях, встановити галочки в налаштуваннях поштової скриньки «запам'ятати мою IP адресу», «відслідковувати IP адреси, з яких відкривалися сесії», «не допускати паралельних сесій». А також не створювати простих питань та відповідей для відновлення пароля і не втрачати мобільний телефон, якщо до нього прив'язаний ваш обліковий запис.