Защита корпоративной почты является критической задачей для любой организации.
Если отбросить все эти глянцевые презентации, то корпоративная почта — это, простите за прямоту, один большой шрам на безопасности любой компании. Мы в SOC видим это каждый день: через нее утекают данные, через нее приходят целенаправленные атаки, и именно она чаще всего становится той самой дверью, которую забыли запереть. При этом формально всё может быть «выполнено»: какие-то политики есть, какой-то антивирус стоит. А на деле — тихий ужас.
В этой статье я разложу по полочкам не идеальную картинку из учебника, а то, что реально работает на практике в российских реалиях. Мы пройдемся по 20 ключевым мерам, но сделаем это с пониманием, где обычно спотыкаются, что игнорируют и к каким последствиям это приводит. Главный фокус — на три кита аутентификации: SPF, DKIM и DMARC. Без них все остальное — просто косметика. Но и с ними нельзя останавливаться.
Основы аутентификации: SPF, DKIM, DMARC — не для галочки, а для выживания
Знаете, что удивляет? Компании годами могут игнорировать настройку этих протоколов, а потом удивляются, когда их бренд используют для фишинга сотрудников или партнеров. В моей практике был случай, когда через поддельные письма «от гендира» мошенники вывели несколько миллионов рублей — а всё потому, что в DNS не было настроено элементарного SPF. Это не абстрактная «угроза», это конкретный удар по репутации и бюджету.
SPF (Sender Policy Framework): ваш список доверенных отправителей
Если говорить по-простому, SPF — это список почтовых серверов, которым вы разрешаете отправлять письма от имени вашего домена. Представьте, что вы даете охране список номеров машин, которые могут заезжать на территорию. Всё, чего нет в списке, — не пускаем.
На практике же часто вижу абсолютно нелепые SPF-записи. Самая частая ошибка — использование механизма +all в конце. Это примерно как сказать охране: «Вот список разрешенных, а всех остальных тоже пускайте». Полный нонсенс, который сводит смысл SPF к нулю. Второй момент — ограничение в 10 DNS-запросов. Если у вас сложная цепочка рассылок (CRM, сервис уведомлений, маркетинговая платформа), легко упереться в этот лимит, и проверка просто сломается. Нужно консолидировать записи, использовать сторонние сервисы вроде SPF-объединителей.
И да, SPF должен быть на каждом поддомене, который используется для отправки. news.yourcompany.ru для рассылок, noreply.yourcompany.ru для уведомлений — всё это нужно прописывать. Иначе любой желающий сможет слать письма «оттуда», и получатель этого даже не заметит.
DKIM (DomainKeys Identified Mail): ваша цифровая печать
SPF проверяет сервер, а DKIM — уже само письмо. Он добавляет к заголовкам криптографическую подпись, которую получающий сервер может проверить с помощью открытого ключа из ваших DNS-записей. Это гарантирует, что письмо не было изменено по пути.
Здесь критически важен размер ключа. До сих пор встречаю в DNS записи с ключами в 512 бит. Это уровень защиты позавчерашнего дня. Такие ключи многие почтовые гиганты, тот же Google, уже просто игнорируют. Нужно 1024 бита как минимум, а лучше сразу 2048. И подписывать DKIM-подписью нужно всё исходящие письма, без исключений. Иначе злоумышленник может отправить письмо с вашего домена, которое не будет подписано, и разница в проверках будет неочевидна для получателя.
DMARC (Domain-based Message Authentication, Reporting & Conformance): ваш начальник службы безопасности
DMARC — это надстройка, которая связывает SPF и DKIM и говорит получателю: «Вот как ты должен поступать с письмами от моего домена, если проверки провалились». Но его главная ценность, честно говоря, даже не в политике reject, а в отчетах (RUA и RUF).
Когда вы выставляете политику p=none (а начинать нужно строго с нее), вы начинаете получать отчеты от Google, Яндекс, Mail.ru и других провайдеров. В этих отчетах — вся картина мира: кто, откуда и от чьего имени шлет письма. Вы с удивлением можете обнаружить, что какие-то левые сервисы в Индии или Нигерии вовсю используют ваш домен для спама. Без DMARC вы об этом никогда не узнаете.
Постепенно, разобравшись с отчетами и настроив все отправляющие источники, вы ужесточаете политику до quarantine (письма с ошибками аутентификации попадают в спам), а затем до reject (они вообще не принимаются). И вот здесь многие сталкиваются с проблемой выравнивания доменов (alignment) — когда домен в поле «От кого» не совпадает с доменом, прошедшим SPF или DKIM проверку. Это отдельная боль, особенно при использовании внешних сервисов рассылок, но решаемая.
Кстати, если вы отправляете массовые рассылки, то DMARC уже не рекомендация, а требование от Google и Microsoft. С 2024 года без него ваши письма просто не будут доходить до inbox’а получателей. Это не будущее, это уже настоящее.
20 практических мер: что делать после настройки базовой аутентификации
Итак, SPF, DKIM, DMARC настроены и работают в режиме p=reject. Можно выдохнуть? Ни в коем случае. Это только фундамент. Теперь нужно строить дом. И вот из чего должны состоять его стены.
1. Многофакторная аутентификация (MFA): не обсуждается
Если у вас до сих пор нет обязательной MFA для доступа к почте — вы играете в русскую рулетку. Статистика беспощадна: MFA блокирует 99.9% попыток компрометации аккаунта, даже если пароль утек в сеть. Но и здесь есть нюансы.
Самый слабый метод — SMS. Атаки SIM-swapping (подмена сим-карты через социальную инженерию в салонах сотовой связи) в России — реальная угроза. На втором месте — push-уведомления в приложениях, которые пользователь может подтвердить «не глядя». Надежнее — TOTP-коды в приложениях типа Google Authenticator или Microsoft Authenticator. Но золотой стандарт — это аппаратные ключи безопасности: YubiKey, Titan Security Key. Они криптографически привязаны к аккаунту и полностью неуязвимы для фишинга. Да, это затратнее и требует обучения, но для учетных записей топ-менеджмента, финансового отдела и ИТ-администраторов — это must have.
2. Сильные пароли и менеджеры паролей
MFA не отменяет необходимости сложных паролей. Утечка хэшей из какой-нибудь старой базы данных — обычное дело, и если ваш сотрудник использует тот же пароль для почты, что и для условного форума по рыбалке, то первая линия защиты — MFA — вступит в бой раньше, чем мы хотели. Требуйте уникальные пароли от 16 символов. И внедряйте корпоративный менеджер паролей — 1Password, Bitwarden. Это не просто удобство, это контроль. Вы можете настроить политики создания паролей, отключить опасные функции вроде генерации паролей из слов и централизованно управлять доступом.
3. Шлюз безопасности почты (Secure Email Gateway, SEG)
Встроенные фильтры Microsoft 365 или Google Workspace — это хорошо, но недостаточно. SEG — это специализированный «пропускной пункт» для всей вашей почты, входящей и исходящей. Он стоит перед вашим основным почтовым сервером и проводит глубокий анализ.
Хороший SEG умеет не просто сравнивать с сигнатурами вирусов. Он использует эвристику, песочницы (sandbox) для запуска подозрительных вложений в изолированной среде, анализирует репутацию отправителя в реальном времени и ловит таргетированный фишинг (spear-phishing) и атаки через компрометацию деловой переписки (Business Email Compromise, BEC). Последние — особая головная боль. Письмо приходит с реального, но взломанного ящика партнера, содержит легитимную историю переписки, а в конце — просьба оплатить «немного другие» реквизиты. Традиционные фильтры часто пропускают такое. SEG с анализом поведенческих паттернов — нет.
4. Предотвращение утечек данных (DLP) для почты
Почта — главный канал утечки конфиденциальной информации. Сотрудник по ошибке или умышленно отправляет договор с персональными данными на личную почту, скидывает коммерческое предложение конкуренту, пересылает базу клиентов. DLP-система, встроенная в почтовый шлюз или клиент, сканирует все исходящие письма.
На практике настройка DLP — это всегда баланс. Если включить все правила на максимум, система начнет «фонить» на каждое письмо с номером паспорта (даже если это сканы для визовой поддержки). Нужно тонко настраивать политики: что блокировать, что отправлять на согласование руководителю, а что просто логировать. Ключевое — не допустить утечки данных, попадающих под 152-ФЗ. Иначе штрафы от Роскомнадзора будут куда ощутимее, чем затраты на настройку DLP.
5. Сквозное шифрование(end-to-end)
TLS шифрует канал между серверами, но не защищает само письмо, когда оно «лежит» в почтовом ящике получателя или на промежуточном сервере. Для защиты контента нужно шифрование на уровне сообщения. Есть два основных стандарта: S/MIME (требует инфраструктуры сертификатов) и OpenPGP (более гибкий, но сложный для пользователей). В корпоративной среде часто используют встроенные решения, например, Microsoft 365 Message Encryption (OME). Оно удобно тем, что получателю даже вне вашей организации не нужно иметь особый софт — он может прочитать письмо через портал с одноразовым кодом.
Правда, на практике внедряют такое шифрование редко. Слишком неудобно для бизнес-процессов. Но для пересылки особо чувствительной информации — единственный вариант.
6. Блокировка автоматической пересылки писем на внешние адреса
Классический сценарий атаки: злоумышленник получает доступ к ящику рядового сотрудника, настраивает правило авто-пересылки всех входящих и исходящих писем на свой внешний ящик, и потом несколько месяцев тихо читает всю переписку компании, включая финансовые документы и договоры. Обнаруживается такое, когда уже поздно.
Эту функцию нужно блокировать на уровне политик почтового сервера. В том же Exchange Online это делается командлетом PowerShell Set-RemoteDomain или через правила потока почты (mail flow rules). Важно предусмотреть исключения — например, для отдела техподдержки, которому может потребоваться пересылать тикеты во внешнюю систему. Но такие исключения должны быть явными, утвержденными и подконтрольными.
7. Маркировка внешних писем
Простая, но невероятно эффективная мера. Настройте правило, которое добавляет всем письмам извне вашего домена четкую метку в тему, например, [ВНЕШНЕЕ], или цветную полосу в интерфейсе веб-почты. Это сразу переводит сотрудника в режим повышенного внимания. Он автоматически дважды подумает, прежде чем открывать вложение или переходить по ссылке в таком письме. По опыту внедрения, это на 30-40% снижает успешность фишинговых атак внутри компании.
8. Регулярные учебные фишинг-атаки и обучение
82% утечек так или иначе связаны с человеческим фактором. Можно поставить лучшие технологии, но если сотрудник сам отдаст логин и пароль — защита рухнет. Поэтому обучение — не формальность, а часть security-культуры.
Что работает? Регулярные короткие симуляции. Не раз в год, а раз в квартал. Письма должны быть разными: от примитивного «вас вызывают к директору, вот ссылка» до сложных, копирующих стиль коммуникации вашего реального HR или бухгалтерии (так называемый spear-phishing). Для тех, кто «клюнул», — немедленное короткое обучающее видео прямо в браузере. Не наказание, а разбор ошибок. А для самых бдительных — можно даже небольшие поощрения ввести. Компании с такой живой программой обучения видят падение восприимчивости к фишингу на 90% и больше.
9. Использование AI и ML для анализа почтовых угроз
Традиционные сигнатурные методы уже не справляются с целевыми атаками. Здесь на помощь приходит искусственный интеллект и машинное обучение. Хорошая система анализирует не только само письмо, но и контекст.
Например, она может заметить аномалию: обычно финансовый директор шлет запросы на оплату с определенного IP, в рабочее время, с характерными формулировками. А тут ночью с IP из другой страны приходит письмо с просьбой срочно перевести деньги на новый счет. Даже если аккаунт взломан и письмо пришло «законно», AI отметит это как поведенческую аномалию и поднимет тревогу. Такие системы также хорошо ловят BEC-атаки, анализируя тон письма, незначительные опечатки в домене отправителя (o вместо 0, rn вместо m) и другие микро-признаки.
10. Ограничение доступа с личных устройств
Идеальный мир — это когда вся почта открывается только на корпоративных ноутбуках, защищенных шифрованием диска (BitLocker, FileVault), управляемых через MDM (Mobile Device Management) системой, с установленным EDR-агентом. Реальный мир — сотрудники хотят проверять почту с телефона.
Нужна политика условного доступа. Для личных устройств можно разрешить доступ только через защищенное корпоративное приложение (например, Outlook Mobile с включенной защитой данных), с обязательной MFA и с политикой, стирающей корпоративные данные при снятии устройства с учета. А для корпоративных устройств — полный доступ. Так мы снижаем риск утечки через потерянный или скомпрометированный личный гаджет.
11. Таймауты сессий
Сессия почтового клиента в браузере не должна жить вечно. Через 15-30 минут неактивности должен следовать автоматический выход. Особенно это критично для публичных компьютеров или при работе в коворкингах. В настройках Microsoft 365 это контролируется политиками условного доступа (Conditional Access). Можно сделать градацию: для корпоративной сети — час, для домашней — 30 минут, для публичного Wi-Fi — 10.
12. Обязательный VPN для доступа извне
Доступ к корпоративной почте из кафе, отеля или аэропорта — это всегда риск. Неизвестно, кто стоит за этой сетью, не настроен ли там MITM (Man-in-the-Middle) для перехвата трафика. Обязательное требование — использование корпоративного VPN. Он создает зашифрованный туннель до вашей инфраструктуры, и весь почтовый трафик идет по нему, будучи защищенным от перехвата на уровне открытой сети.
13. Архивация и долгосрочное хранение
Почта — это не только коммуникация, но и юридически значимый документооборот. Суды, проверки, внутренние расследования — для всего этого нужен доступ к старой переписке. Обычное резервное копирование тут не подходит — оно не обеспечивает быстрый контекстный поиск и юридическую целостность. Нужна специализированная система архивации.
Она должна обеспечивать неизменяемость (иммутабельность) данных, чтобы нельзя было удалить или отредактировать письмо постфактум. Должен быть детальный аудит, кто и когда что искал. И, конечно, соответствие срокам хранения по 152-ФЗ, 402-ФЗ (для финансовой отчетности) и другим отраслевым требованиям. В России, к слову, часто требуют, чтобы архив физически находился на территории страны.
14. Политики хранения (Retention Policies)
Чтобы архив не разросся до небес и чтобы не нарушать законодательство, нужно четко определить, сколько какие типы писем должны храниться. Письма из чата «про футбол» — 30 дней. Деловая переписка — 3 года. Финансовые документы — 5 лет. Это задается политиками хранения, которые автоматически удаляют устаревшие письма из почтовых ящиков и архива. Важно: если на письмо накладывается «судебное удержание» (legal hold) в связи с разбирательством, политика хранения для него должна быть приостановлена.
15. Детальное логирование и мониторинг в SIEM
Все события, связанные с почтой, должны собираться в централизованную систему SIEM (Security Information and Event Management): логи входов (успешных и нет), изменения настроек ящиков, правила пересылки, действия администраторов. Это ваши глаза и уши.
Внедряя SOC для клиентов, мы всегда настраиваем корреляции именно для почтовых инцидентов. Например, связка: «неудачный вход из Нигерии -> через 2 минуты успешный вход из Москвы через VPN -> через 5 минут создано правило пересылки на внешний ящик». Такая последовательность почти на 100% говорит о компрометации, и SIEM автоматически поднимет инцидент самой высокой критичности. Без автоматизированного анализа горы логов вы просто утонете в них.
16. Своевременное обновление всего
Уязвимости в почтовых клиентах (Outlook, Thunderbird), в плагинах к ним, в веб-интерфейсах — это прямой путь для атак. Нужен строгий процесс управления обновлениями. Критические обновления — установка в течение 72 часов. Остальные — по регулярному графику. Особое внимание — браузерам, ведь веб-почта тоже клиент. Устаревшая версия Chrome или Firefox с уязвимостью в рендеринге HTML — отличная возможность для злоумышленника.
17. План реагирования на инциденты с почтой
Когда почта взломана, действовать нужно быстро и по инструкции. Паника — худший советчик. План должен описывать:
- Как подтвердить инцидент (что считать взломом: странные исходящие письма, жалобы от контрагентов, срабатывание DLP?).
- Первые шаги: сброс пароля, отключение сессий, отзыв токенов MFA, отключение правил пересылки.
- Эскалацию: кто принимает решение (CISO, руководитель ИТ), кого информировать (юристы, отдел коммуникаций, руководство).
- Расследование: как искать следы злоумышленника в логах, что сохранять для возможного обращения в правоохранительные органы.
- Восстановление: как убедиться, что угроза устранена, и безопасно вернуть пользователю доступ.
Этот план нужно регулярно, раз в полгода, проигрывать на учениях.
18. Интеграция с IAM и Zero Trust
Почта не должна быть отдельным островком. Управление доступом к ней должно быть частью общей системы управления идентификацией и доступом (IAM). Принципы Zero Trust («никому не доверяй, проверяй всегда») здесь как нельзя кстати.
- Single Sign-On (SSO): один вход для всех корпоративных сервисов, включая почту. Меньше паролей — меньше риск.
- Условный доступ (Conditional Access): доступ к почте разрешен только с устройств, соответствующих политикам (антивирус активен, диск зашифрован, ОС обновлена), только из определенных стран/сетей, и только после MFA.
- JIT-доступ (Just-In-Time): для администраторов почты. Права на сброс паролей или доступ к чужим ящикам выдаются на 2-3 часа только по утвержденному запросу, а потом автоматически отзываются.
19. Принцип наименьших привилегий и разделение ролей
Никто не должен иметь прав больше, чем нужно для работы. Администратор службы поддержки может сбрасывать пароли, но не должен иметь права включать/выключать протоколы аутентификации для всего домена. Глобальный администратор Microsoft 365 не должен использовать эту учетку для проверки своей почты. Создавайте отдельные роли (Role-Based Access Control, RBAC), проверяйте и чистите списки доступа раз в квартал. Особенно после увольнений или смены должностей.
20. Комплексная программа, а не разрозненные меры
Это, пожалуй, главное. Все 19 предыдущих мер должны быть не просто «включены», а связаны в единую систему. Данные от DMARC-отчетов анализируются. Инциденты, выявленные SIEM, автоматически создают тикеты в службе поддержки. Сотрудники, провалившие фишинг-тест, автоматически записываются на дополнительное обучение. Защита почты — это непрерывный цикл: оценить -> защитить -> отслеживать -> реагировать -> снова оценить.
Заключение: почта — это фронт, а не тыл
Защита корпоративной почты — это не техническая задача, которую можно «закрыть». Это постоянный процесс адаптации к меняющимся угрозам. Можно потратить полгода на идеальную настройку всех протоколов и систем, но если через год не обновить политики DLP под новые шаблоны документов или не добавить в обучение сотрудников кейсы про свежие схемы мошенничества, защита начнет давать сбой.
Начните с фундамента — настройте SPF, DKIM и DMARC в режиме мониторинга. Затем внедрите обязательную MFA. Параллельно выстраивайте процессы: обучение, мониторинг, реагирование. И помните, что самый слабый элемент — человек — же может стать и вашей самой сильной линией обороны, если дать ему знания и простые инструменты для бдительности.
Нужна помощь с аудитом и построением защиты корпоративной почты?
Оставьте заявку на бесплатную консультацию на сайте: https://securedefence.ru/
Мы подготовим чек-лист, дорожную карту и коммерческое предложение.
Для первых 5 заявок в месяц — расширенный аудит почтовой безопасности в подарок.
FAQ: Частые вопросы о защите корпоративной почты от экспертов SOC
Здесь я собрал вопросы, которые нам чаще всего задают клиенты и коллеги после консультаций и аудитов. Это не сухая теория, а ответы, основанные на реальных инцидентах и проектах внедрения.
SPF, DKIM, DMARC
Чем принципиально отличаются SPF, DKIM и DMARC? Можно ли обойтись одним из них?
Это три разных уровня защиты, и они работают в связке. Простая аналогия: представьте пропускной пункт на предприятие.
- SPF — это список номеров машин (IP-адресов серверов), которым разрешен въезд. Проверяет, откуда приехало письмо.
- DKIM — это цифровая печать и пломба на грузе. Гарантирует, что содержимое письма (контент и ключевые заголовки) не вскрывали и не меняли по пути.
- DMARC — это инструкция охране на КПП. Она говорит: «Если у машины нет номеров из списка (провал SPF) ИЛИ пломба на грузе повреждена (провал DKIM) — не пускай. А еще каждый день присылай мне отчет, кто пытался проехать».
Обойтись одним протоколом нельзя. SPF легко обходится при пересылках, DKIM не проверяет исходный адрес, а без DMARC вы просто не узнаете, что ваш домен используют для спама.
Почему нельзя сразу выставить политику DMARC p=reject?
Это самый верный способ сломать деловую переписку. У вас наверняка есть CRM-система, сервис рассылки новостей, тикет-система — все они отправляют письма «от вашего имени», но со своих серверов. Если вы сразу поставите reject, эти легитимные письма будут отвергаться получателями. Начинать нужно строго с p=none, несколько недель анализировать агрегированные отчеты (RUA), выявить и настроить все легитимные источники отправки, и только потом ужесточать политику.
Наш ИТ-провайдер говорит, что SPF у нас настроен. Как проверить, что всё сделано правильно?
Спросите его, не используется ли в конце SPF-записи механизм +all. Если используется — это грубейшая ошибка, сводящая безопасность к нулю. Проверить запись можно с помощью бесплатных онлайн-инструментов вроде MXToolbox или Kitterman SPF Validator. Просто введите ваш домен, и инструмент покажет, какие IP и сервисы авторизованы, и есть ли критические ошибки.
Многофакторная аутентификация (MFA) и пароли
SMS-коды — это тоже MFA. Почему их не рекомендуют?
Да, это второй фактор. Но самый ненадежный. В России активно распространены атаки SIM-swapping: мошенники через социнженерию или поддельные документы убеждают оператора связи перевыпустить сим-карту на их имя. Получив контроль над номером, они перехватывают все SMS-коды. Для повседневного доступа сотрудников лучше TOTP-приложения (Google/Microsoft Authenticator), а для привилегированных учеток — аппаратные ключи.
Обязательно ли использовать корпоративный менеджер паролей? Не снижает ли это безопасность, храня все пароли в одном месте?
Правильный менеджер паролей не хранит пароли в открытом виде, а держит их в зашифрованном сейфе. Мастер-пароль от сейфа знает только пользователь. Риск взлома единой точки есть, но он несопоставимо ниже рисков, которые создают сами сотрудники: использование простых паролей, их повторение в разных сервисах, запись на стикерах. Менеджер паролей — это контроль над хаосом. Он позволяет задать политики сложности, генерировать уникальные пароли и безопасно ими обмениваться внутри команд.
Фишинг и обучение
Проводим ежегодное обучение по кибербезопасности, но сотрудники всё равно попадаются на фишинг. В чем ошибка?
Ошибка в формате. Разовое часовое видео раз в год — это галочка. Мозг так не работает. Эффективны короткие, регулярные, интерактивные воздействия. Именно поэтому работают ежеквартальные симуляции фишинга с мгновенной обратной связью. Угрозы меняются каждый месяц — обучение тоже должно быть живым процессом, а не ежегодным событием.
Как отличить целевое фишинговое письмо (spear-phishing) от обычного спама?
Обычный спам — это «массовая рассылка», он безликий. Spear-phishing — это снайперский выстрел. Его признаки: он придет лично вам (имя, должность указаны верно), может содержать отсылку к реальному событию (ваша недавняя конференция, упоминание вашего начальника), тема письма будет предельно деловой и релевантной. Часто злоумышленники изучают соцсети жертвы, чтобы усилить доверие. Единственная защита — постоянная парадигма «доверяй, но проверяй» и технологические решения (SEG, AI-анализ).
Технические меры (SEG, DLP, Шифрование)
Наш почтовый хостинг (Microsoft 365, Google) уже имеет защиту. Зачем нужен отдельный Secure Email Gateway (SEG)?
Встроенные фильтры хороши, но они универсальны и нацелены на массовые угрозы. SEG — это специализированная, более глубокая система. Он часто имеет более продвинутые песочницы, лучше настроен на обнаружение BEC-атак (мошенничества с деловой перепиской), может выполнять более тонкую DLP-проверку исходящего трафика и обеспечивать дополнительный уровень анализа перед тем, как письмо попадет во внутреннюю инфраструктуру. Это принцип эшелонированной обороны.
DLP для почты блокирует отправку сканов паспортов, но это нужно для работы. Как быть?
Правильная настройка DLP — это не просто «блокировать всё». Нужно внедрять санкционированные каналы. Например:
- Настроить правило, которое разрешает пересылку документов с персональными данными только на определенные доверенные домены (например, домен банка-партнера).
- Внедрить систему автоматического шифрования для всех писем, содержащих чувствительные данные.
- Настроить workflow на согласование: если сотрудник пытается отправить паспорт куда-то не по правилам, письмо уходит его руководителю на аппрув.
Главное — не блокировать бизнес, а создать для него безопасные процедуры.
Правда ли, что сквозное шифрование (S/MIME, PGP) настолько неудобно, что его почти никто не использует?
К сожалению, во многом правда. Требует управления инфраструктурой ключей или сертификатов, что сложно для рядовых пользователей. Чаще используют «гибридные» решения вроде Microsoft OME, где отправитель шифрует через портал, а получатель читает через портал с одноразовым кодом. Это проще, но тоже добавляет шаг. Поэтому шифрование применяют выборочно, для самой критичной информации, а в остальном полагаются на TLS и защиту на уровне почтового ящика.
Комплаенс, аудит и реагирование
Какие сроки хранения почты мы должны соблюдать по российскому законодательству?
Универсального срока нет, всё зависит от типа информации в письме:
- Персональные данные (152-ФЗ): Срок хранения определяется целью обработки. Часто это срок действия договора с физлицом + определенный период (например, 3-5 лет).
- Налоговые и бухгалтерские документы (402-ФЗ): Не менее 5 лет.
- Кадровые документы (ТК РФ): До 75 лет для некоторых документов (например, при наличии вредных условий труда).
Рекомендуется разработать и утвердить внутреннюю политику хранения корпоративной почты с участием юриста, а затем автоматизировать ее с помощью Retention Policies.
Что должно быть в первых шагах плана реагирования, если мы обнаружили взлом почтового ящика?
Действуйте быстро и по порядку:
- Немедленная изоляция: Сбросить пароль учетной записи. Отозвать все активные сессии и токены MFA. Отключить правила пересылки и фильтры в ящике.
- Локализация ущерба: Проверить логи на предмет отправки писем от имени взломанного пользователя, несанкционированного доступа к общим папкам или календарям.
- Сбор доказательств: Сохранить логи входящих/исходящих подключений (IP-адреса, время), не удалять подозрительные письма.
- Информирование: Сообщить коллегам и партнерам (если от ящика рассылались фишинговые письма) по заранее подготовленному шаблону. Уведомить руководство и службу безопасности.
Самая большая ошибка — просто сменить пароль и успокоиться, не исследовав масштабы компрометации.
Мы — средний бизнес. С чего реально начать, если ресурсы ограничены?
Приоритизация — ключ. Не пытайтесь сделать всё сразу.
Неделя 1: Настройте SPF и DKIM. Это базис, и это бесплатно.
Неделя 2: Включите обязательную MFA для всех, начиная с руководства и бухгалтерии. Используйте бесплатные приложения-аутентификаторы.
Месяц 1: Настройте DMARC в режиме p=none. Начните получать и анализировать отчеты.
Месяц 2: Проведите первую учебную фишинг-рассылку для 10% сотрудников. Сделайте короткий обучающий ролик по ее результатам.
Месяц 3: Настройте базовое правило условного доступа, блокирующее вход в почту из незнакомых стран.
Эти пять шагов уже на 80% поднимут вашу безопасность и не потребуют больших бюджетов, только время и компетенцию.
══════
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]