web-dev-qa-db-fra.com

Quel type de contenu vaut mieux ne pas transférer par courrier électronique?

Le courrier électronique est l'un des principaux outils de la communication d'entreprise. D'autre part, ce n'est pas un moyen de communication sécurisé. Mais dans quelle mesure il n'est pas sécurisé?

Je me suis toujours demandé à quel point il est judicieux d'utiliser un email, par exemple, pour l'envoi:

  • billets électroniques (transport, divertissement et similaires)
  • fichiers de licence logiciels (même Microsoft a utilisé cette façon d'envoyer des licences en format ouvert uniforme)

Je ne mentionne pas le transfert de mots de passe par courrier électronique, qui, je pense, n'est toujours pas raisonnable.

Donc, pour réduire ma question: à quel point il est sûr d'utiliser un courrier électronique pour transférer des informations potentiellement sensibles de le point de vue pratique?

19
rem

Pour répondre à votre question à la fois bouillie: à quel point l'insécurité est l'e-mail? Les courriels de pratique sont soumis à une attaque par spoofing DNS , interception WiFi et administrateurs de réseau non approuvés pour n'en nommer que quelques-uns.

Pour atténuer cela, vous devez considérer les différents aspects qui nécessitent une sécurité. Il est probable que la plupart des entreprises tomberont de la sécurité dans au moins l'une des zones suivantes, alors tout ce que vous envoyez pourrait être en texte clair et visible par une personne autre que votre destinataire prévu.

Sous chaque facette de la sécurité, j'ai énuméré des produits pertinents regroupés par la manière dont ils sont mis en œuvre techniquement. Demandez-vous ces questions en fonction du contenu que vous envoyez par courrier électronique:

Vérification de l'expéditeur de message

Le destinataire a-t-il besoin de preuve que c'était vous qui a réellement envoyé le message ?

  • SenderID /enregistrements SPF (vérification faible)
  • touches de domaine /dkim (la force dépend de la mise en œuvre)
  • DMARC (Validation forte de l'écran de l'utilisateur ... hybride d'expéditeur et de domaine de domaine)
  • PGP ou S/MIME (peut causer des problèmes de conformité si journalisation ou audit des messages est requis)
  • Produits à base de portail (tension, preuve de pointage, zixmail)
  • Microsoft [~ # ~] RMS [~ # ~ # ~] Server + Outlook

Transport de message

Dois-je empêcher la lecture ou la modification non autorisée du MTA de l'expéditeur de courrier électronique et de mon MTA ?

  • TLS appliquée, avec validation de certificat. Les certs non validés sont soumis à [~ # ~ #] mitm [~ # ~] Attaques.
  • TLS basé sur ZIX est un réseau TLS privé qui ne nécessite pas de configuration manuelle
  • PGP ou S/MIME (peut causer des problèmes de conformité si journalisation ou audit des messages est requis)
  • Produits à base de portail (tension, preuve de pointage, zixmail)
  • Microsoft [~ # ~] RMS [~ # ~ # ~] Server + Outlook

Lecture du message

Dois-je m'assurer que seul le destinataire prévu est capable de lire le contenu du message ?

  • PGP ou S/MIME (peut causer des problèmes de conformité si journalisation ou audit des messages est requis)
  • Produits à base de portail (tension, preuve de pointage, zixmail)
  • Microsoft [~ # ~ # ~] RMS [~ # ~ ~] serveur

Le client doit-il être sécurisé? (s'applique si au-dessus de 3 produits ne sont pas utilisés)

  • L'administrateur réseau cible fournit un courrier électronique à l'aide d'un transport sécurisé (MAPI crypté, POP3 sur TLS, etc.)
  • Le périphérique cible est sécurisé. Ceci s'applique aux postes de travail, et mobile .
  • Microsoft UAG ajoute des fonctionnalités à OWA lorsque le noeud final est audité et supprimera les pièces jointes à gauche en %temp% et restreindre ou refuser l'accès aux caractéristiques comme la politique dicte
  • Une alternative à l'UAG est de blocs de blocs d'atteindre le client (comme Henri d'abord mentionné pour la première fois)
10
goodguys_activate

tout ce qui accordait l'accès ou donnez des informations sensibles de l'exploitation possible. Ceci inclut le mot de passe texte clair, les numéros de série et l'URL aux ressources privées persistantes (documents de facturation, certificats, etc.). Les données IMHO nécessitant une réelle confirmation du monde ne sont pas un problème (e-ticket par exemple) depuis lors, lorsque vous présentez de tels informations d'identification à Real World Checker, vous êtes également demandé un document.

La clé est d'envoyer uniquement des ressources valides "une fois" ou d'envoyer des informations sur différents supports (T billet par courrier électronique par SMS) Ceci peut-être ne résolvez pas le problème de sécurité mais atténuer le risque

6
Sammyrulez

Pour la vérification de la sécurité Email Considérez le scénario suivant en plus des réponses mentionnées précédemment:

Les utilisateurs devraient-ils pouvoir ouvrir leur courrier électronique à chaque endroit? C'est à la maison, dans un lieu public, dans un café Internet?

Si tel est le cas, envisagez de bloquer les pièces jointes de messagerie en combinaison avec Webmail. Le problème avec les pièces jointes de messagerie est qu'ils sont stockés sur le lecteur local lors de l'ouverture du Web. Bien sûr, je n'ai pas à expliquer que cela enfreint la confidentialité de vos données ....

Il s'agit d'un véritable scénario qui s'est arrêté à plusieurs entreprises que je suis venus ACIrs lors d'une vérification.

6
Henri

Sécuriser le courrier électronique via PGP ou - tension ou avec des services tels que Hushmail J'améliore évidemment les chances de conserver la confidentialité et intégrité du contenu.

Envoi d'informations sensibles via ClearText (non crypté) Email ignore définitivement la confidentialité et Intégrité principes de sécurité.

Envoyer un e-mail ClearText Essentiellement implique de faire confiance à chaque système qui transmet le courrier électronique avec le contenu, y compris tous les serveurs qui peuvent stocker ou enregistrer temporairement le courrier électronique avec toutes les personnes qui gèrent ces mêmes systèmes. L'envoi ou la réception exacerbe sans fil le risque.

J'ai tendance à vouloir réduire le nombre de systèmes et de personnes dont j'ai besoin pour faire confiance à des informations sensibles (c'est-à-dire sécuriser tous les courriels contenant des données sensibles).

5
Tate Hansen