是否有办法扫描 POP3 电子邮件中的特定域/关键字(假设已知用户/密码)?我们公司希望能够知道是否有可疑电子邮件被发送,例如发送给/来自竞争对手员工的电子邮件(特别是如果它们包含附件),或包含某些不应通过电子邮件发送的内部术语的电子邮件。
所有的 POP3 帐户都设置为保留电子邮件至少几天,并且我们知道所有用户的密码和用户名,所以这不需要代理……只需要可以下载并以某种方式过滤/标记的东西。
答案1
当然,您可以这样做 - 登录每个邮箱并在邮件内容中扫描竞争对手的姓名。您最好编写一个脚本来执行此操作(您不必告诉我们您使用的是什么操作系统或邮件软件,但有一些很好的 POP3 Perl 模块可以在几乎任何平台上使用。老实说,您希望在服务器上执行此操作,而不是浪费带宽)。
话虽如此,何必费心呢?
除非您要锁定网络,使其无法用于除固定和有限的任务之外的任何用途,否则您实际上无法阻止一个决心坚定的内奸窃取数据。您应该集中精力分析特定嫌疑员工的活动,以收集可用于法庭的证据。
长话短说:企业安全很难。
如果你不信任你的用户,至少你只做有针对性的调查,那么一切都会失去。
(您几乎可以跳过阅读接下来两小节之间的所有内容,这只是说明性的夸张:)
让我们来看看您必须采取的一些措施,以真正保护您的环境并确保“捕获”所有内容。
首先,你提到基于单词的内容过滤器internal terminology that should never be sent via e-mail.几乎普遍寻找内容过滤器吸吮,所以除非你的内部术语是所以明确没有人会在正常对话中使用它,你可能想放弃这个想法。如果你保留它,请参阅下面有关加密和隐写术的内容。
那么接下来要考虑的是:如果您的用户登录并在您看到消息之前删除了这些消息,您的检测系统会崩溃吗?
为了缓解这种情况,您可以设置公司发送的所有电子邮件的影子副本,或者您可以扫描邮件服务器日志以查找可疑To:域。(理想情况下,最好扫描整个电子邮件,但这需要在路径中间某处设置邮件扫描服务器,或者我刚才提到的影子复制)。
当然,如果您用户的联系人足够聪明,会使用 Gmail、家庭住址或其他您不会与竞争对手联系起来的地址,那么这一切都会失败。
当然,您可以阻止这些域名,但黑名单永远行不通。您必须将允许用户发送邮件的域名列入白名单,然后有一天他们必须回复重要大客户的 CEO,而 CEO 恰好当天正在使用他的家庭电子邮件帐户,无法回复,那么白名单的想法就会被抛到九霄云外。
我怎么知道?我见过这样的事。
接下来让我们考虑一下规避措施(以及你的用户不是白痴):
首先是一个简单的方法:加密。如果他们将敏感数据以加密的 .zip 文件形式泄露,您将不知道其中的内容。不过,解决方法很简单——禁止 .zip 文件!
加密 PDF 也存在同样的问题。或者包含敏感文档扫描图像(或屏幕截图,或任何其他不易通过算法扫描的内容)的 PDF(后者,隐写术,将信息隐藏在显而易见的地方。毕竟,您的文本扫描不会知道图像中的内容)。
...因此,为了彻底解决这个问题,我们必须禁止所有附件——这显然是不行的,你的老板会大发雷霆。
但是,让我们假设您找到了解决上述所有问题的方法。您的用户是否可能在任意端口上打开与外部系统的连接?
世界上没有任何东西规定 SMTP 必须在端口 25 上运行 - 您的用户可以在端口 80 上连接到公司外部的隐形邮件服务器,并以此方式获取数据。
如果您覆盖了该途径,如果他们使用 {gmail、hotmail、Toby 的免费邮件、其家庭 ISP 的网络邮件} 通过 HTTP 发送消息怎么办?或者 HTTPS(您无法扫描请求正文以查找应保密的内容)?
现在我们已经到了这样的地步:除了严格定义的允许服务列表(站点+端口)之外,所有外部网络活动都必须受到限制——这会对您的业务造成多大的损害?
但是,如果老板真的担心安全问题,并告诉你要锁定它。我们现在已经将您的网络缩小到您只能浏览公司内联网的程度。太棒了!用户很痛苦,但数据是安全的,对吧?我们赢了!
不!我们刚刚查看了电子邮件(和一点 HTTP)。说说看,你的钥匙链上有一个 USB 驱动器吗?
答案2
有些产品可以做到这一点,而且不会在安全性上造成很大的漏洞。一个例子是 Symantec Mail Security,但还有其他产品。许多公司需要这样做,以遵守内部立法的各种法律政策。
来自Symantec Mail Security 网页“高级内容过滤使用预定义策略、正则表达式、附件标准、真实文件类型等保护敏感信息。基于 Active Directory 的实施简化了策略管理”
赛门铁克还提供专用的数据丢失防护产品赛门铁克 DLP 快速搜索数据丢失预防应该可以找到几个需要评估的。