web-dev-qa-db-ja.com

会社のメールを請負業者のメールアドレスに転送する

私たちは州外および他の国からの請負業者を使用しています。 Exchangeメールアカウントを作成するActive Directoryアカウントが作成されます。 Exchangeのメールアドレスから請負業者のメールアドレスにメールを転送します。会社のメールアカウントには専有情報が含まれており、会社のデータを会社以外のアカウントに転送しています。

ADアカウントで社内ネットワークへのログインをブロックできますか?請負業者に会社のメールアドレスの使用を強制する必要がありますか?

他の会社は請負業者とのデータ共有をどのように処理しますか?標準の操作手順またはプロセスガイダンスを探しています。ありがとうございました。

privacyemailcorporate-policyactive-directoryexchange
2
L Rubio

ログインをブロックするかどうかはわかりませんが、できると思います。ADにログインをブロックする設定があると確信していますが、他の影響があるかどうかはわかりません。

データ共有について...

法的にそれらを説明するために保持できるように、少なくとも、あなたと請負業者の間でデータ共有契約を結ぶ必要があります。

情報を厳しく管理する必要がある場合は、独自のメールシステムを使用するように制限する必要があります。データがメールシステムを離れると、データが通過するチャネルを制御したり、それらのチャネルが安全であるかどうかを制御したりすることはできません。

最終的には、これはコスト、利便性、セキュリティのバランスに帰着し、賢明な決定を下す前にリスクと影響の両方を理解する必要があります。規制対象の業界で働いている場合やリスクの高い組織の場合は、リスクと影響がはるかに高く、内部システムのみを使用して、制御されたデバイスに制限する必要があります。スケールのもう一方の端では、時々データを失うことによる影響がほとんどないか、誰かがデータをインターセプトしようとするのに十分興味があるかもしれないというリスクがほとんどありません。その場合、あなたは気にしないでしょう。

2
Julian Knight

アクセプタブルユースポリシーの一環として、外部の電子メールアカウントへの企業の電子メールの自動転送を禁止しています。このポリシーは、当社のシステムにアクセスできるスタッフ、請負業者、およびその他の第三者に適用されます。

転送を制限または許可するExchangeポリシーの作成方法については、次の記事を参照してください https://exchangepedia.com/2015/03/disable-automatic-forwarding-of-email-in-office-365-and -exchange-server.html

組織に利用規定がまだない場合は、SANSから次のテンプレートのコピーを取得することをお勧めします https://www.sans.org/security-resources/policies/general# Acceptable-use-policy

頑張って頑張ってください。企業外に企業の電子メールを転送することは実際の問題です。

2
Wixtech

私は多かれ少なかれ@Julian Knight(+1)に同意し、コスト、利便性、セキュリティのバランスをとることが問題だと主張します。情報がメールサーバーから送信されると、それを保護するために何もできなくなることは間違いありません。一方、あなたは請負業者にメールを読めるようにしたいです

他の電子メールクライアントに電子メールを転送するだけでなく、独自の電子メールシステムを展開する(たとえば、Office 365をExchangeサーバーの上に配置する、またはwebpineなどのもっと簡単なものを配置する)ことで、ユーザーがいない限り、電子メールがサーバーから送信されないようにすることができます。ログイン。しかし、ユーザーがログインして電子メールを表示しても、電子メールのテキストをテキストエディターにコピーして貼り付けることを防ぐことはできません

したがって、当然のことながら、TLSを介してIMAPまたはPOP3アクセスを提供する代わりに、独自の電子メールシステムをローリングしても、実際のセキュリティの向上はありません(これは転送と同じではありませんが、ある種の定期的なジョブでそのように機能させることができます) )。彼がそれを読むことができるように、電子メールテキストは常に請負業者のコンピュータで終わります。

さらに、独自のシステムを展開したり、請負業者に特定のクライアントの使用を強制したりすることは、セキュリティの点で などの明確に定義された標準を使用するよりも悪い STARTTLS-RFC 7812 。ささいなコーディングミスに悩まされるだけでなく、優れた請負業者はこれらのミスを見つけて電子メールの取得を自動化したくなるかもしれません。

私はこれを個人的な経験から言っています。私がかつて働いていた会社は、すべての電子メールユーザーが古いバージョンのInternet Explorerをインストールすることを要求しました。小さなpython巧妙なスクリプトUser-Agentと10行のJavaScriptインタープリターが、自動化されたEメール検索のトリックを実行しました。

要約すれば

単純な転送は悪い考えです。電子メールが、あなたの管理下でも請負業者の管理下でもないサードパーティのサーバーで終了する可能性があるためです。ただし、(ほとんどの場合)、承認されたクライアントを介してのみ電子メールアクセスを許可する必要があるという意味ではありません。それは、これらの承認されたクライアントがメールを漏らさないことを確認するために開発と監査に多大な時間を費やすことを計画していない限り、よく知られている標準を使用するほうがよいためです。

また、請負業者に電子メールの読み取りを許可すると、請負業者のコンピューターで電子メールが終了することを心配する必要はありません。請負業者のコンピューターでは、あなたが何をしても終了します。請負業者が独自の電子メールサーバーを所有していて、TLSを介してIMAPを使用して彼のサーバーをお客様のサーバーと同期させたい場合、それを防ぐためにできることはあまりありません。メールサーバーが危険にさらされた場合、それはの過失であり、会社のデータと一緒にコンピューターを紛失したことと同じです。

1
grochmal