我在一所大学工作,那里有教职员工,他们也可以兼职教书。我们根据个人姓名为他们开立账户,因此乔·史密斯会得到[电子邮件保护]. 他们需要自行对邮件进行分类,确定是员工内容还是附加内容。
HR 希望这些人拥有 2 个帐户,一个用于他们的员工工作,一个用于他们的兼职工作,这样两者就完全分开了。其中一个原因是,如果员工角色因任何原因被终止,他们不应该有权访问他们的员工内容,但仍然可以继续担任兼职角色。使用前面的“Joe Smith”示例,他们将保留他们的[电子邮件保护]考虑到员工的工作,并将我们的命名方案的下一个迭代作为额外的[电子邮件保护]用于他们的附属帐户。
我不想这样做,原因如下:
- 从安全角度来看,我希望 1 个用户拥有 1 个帐户
- 需要额外的电子邮件帐户许可证(我们正在使用 Zimbra)
- 两个账户对应同一个人的不同角色,这很令人困惑
- 无论如何,用户有这些内容,他们可以对它们做任何想做的事情:转发到其他帐户,保存到磁盘,等等。因此,如果人力资源部希望在员工被解雇后不向用户隐瞒任何员工专属信息,那么这是一场毫无意义的斗争
我们想到的一些选择:
- 在 Zimbra 中创建别名并设置角色 - 这解决了许可问题,并且所有内容都在同一个帐户中,但并不是分开的,因为如果他们的员工雇佣关系终止,他们仍然可以访问所有这些东西。
- 不同的领域 - 具有[电子邮件保护]和[电子邮件保护]- 这仍然和 2 个帐户解决方案一样糟糕,现在它们只是分布在 2 个域中
有没有其他人经历过类似的情况?如果是的话,您是如何处理?
答案1
我认为人力资源计划没有任何问题。我认为将电子邮件按角色分开是合理的。如果额外的许可费用获得批准,那么我的意见是采用它。
您说得对,用户可以通过一个角色访问另一个角色发送的电子邮件,但我认为重点是采取适当的措施保持角色的独立性和唯一性,而不是堵住所有可能存在的漏洞。如果是这样的话,那么您还有很多工作要做,而且不仅仅是电子邮件方面。
答案2
答案3
如果要分离特定的电子邮件,您将无法在 Zimbra 邮件存储中处理单个用户帐户内的所有电子邮件。您可以过滤它们以转发到特定文件夹,但要完全分离,您需要不同的帐户。
将电子邮件分离到不同帐户的一个几乎自动的解决方案是使用收件人分隔符Zimbra 的 Postfix 中的选项或虚拟传输表使用 REGEX。
然后,您可以设置第二个 imapd(如 dovecot),并通过 LMTP 将特定邮件转发到此守护进程。作为身份验证机制,您可以使用 Zimbra 的 LDAP 服务,这样您就不必在第二个 imapd 上反复处理用户帐户。在这样的解决方案中,dovecot 将需要通过非标准端口提供服务,以便与 Zimbra 并行工作。使用这样的解决方案,您无需支付额外的许可费用,并且用户有两个帐户。
另一个想法是将所有用户出于特定目的的电子邮件转发到一个 Zimbra 帐户,将它们过滤到不同的用户文件夹中,并通过他们自己帐户中的订阅授予他们访问该文件夹的权限。这也应该至少由 cron 作业自动处理。使用该解决方案,外发电子邮件也可以被过滤并转发到特定文件夹。