È possibile proteggere le e-mail e il calendario in un server Exchange contro i propri amministratori di Exchange?

1

Abbiamo il nostro server Exchange in un sito remoto gestito da un fornitore esterno. Vorremmo evitare la possibilità per i dipendenti del fornitore di accedere all'e-mail e al calendario degli account critici in questo server Exchange .

La soluzione immediata che vediamo utilizza PGP in Outlook, ma il problema è che vorremmo proteggere anche le email che il mittente non invia crittografato.

Ad esempio, esiste un modulo in Exchange che crittografa immediatamente un'e-mail quando viene ricevuta, archiviata crittografata e solo il destinatario può accedere all'e-mail non crittografata?

Un'altra possibilità non è usare un server Exchange ma usare qualche soluzione nel cloud, ma in quel caso è necessario credere ciecamente al provider quando dice che i propri dipendenti non sono in grado di accedere alle e-mail ...

    
posta Eloy Roldán Paredes 06.11.2015 - 18:47
fonte

2 risposte

3

Non è possibile proteggere la posta dall'amministratore di Exchange se dispone dell'accesso Organizzazione / Dominio di dominio di Exchange. Se il loro intento è malevolo, possono bypassare i metodi di consegna e impersonare gli utenti, ignorando la crittografia del trasporto.

PGP potrebbe funzionare solo per la ricezione e nel caso il mittente stia onorando i metodi PGP necessari. Un amministratore può inviare di nuovo email alla persona come utente e dire "il mio PGP è rovinato, puoi inviarlo non decifrato" e 9 volte su 10, il mittente si conformerebbe.

Anche qualsiasi metodo cloud rientrerà in questa categoria. Per amministrare efficacemente la maggior parte dei sistemi come loro, l'amministratore avrà le chiavi per il regno. È possibile effettuare il controllo in loco per monitorare almeno le capacità amministrative in modo da poter vedere altre persone che accedono alle cassette postali o impersonare utenti e quindi è possibile richiedere l'accesso a tali funzioni. Il DLP di Exchange 2013 (prevenzione della perdita di dati) ha fatto molta strada dal 2010.

link

Vorrei iniziare da lì così SE qualcuno stava cercando di essere malizioso, puoi seguirlo. Ma ancora una volta ... se lo volessero, potranno disattivarlo e partire prima che gli altri amministratori lo scoprano. È necessario stipulare contratti rigidi che generano pesanti ripercussioni legali contro il fornitore di servizi di hosting, OPPURE scegliere un fornitore che rispetti i requisiti di conformità. Devono avere controllo e controllo dei processi in atto che renderebbe MOLTO più difficile per gli amministratori svolgere compiti dannosi.

TLDR;

Non esiste un metodo perfetto per impedire a un amministratore completo di essere dannoso per la maggior parte delle applicazioni di posta.

    
risposta data 06.11.2015 - 19:00
fonte
2

We have our Exchange server in a remote site administered by an external provider.

Another possibility is not using an Exchange server but use some solution in the cloud but in that case it is neccessary to blindly believe the provider when he says that their employees are unable to access the emails...

Non c'è differenza di fiducia tra cloud e qualche altro tipo di provider esterno. Ciò significa che hai piena fiducia o no. Se non lo fai, allora ospita il server di posta dove solo tu o qualche altra persona fidata ha il pieno controllo.

Nota che se non ti fidi di un provider esterno di quanto tu non possa anche non utilizzare una macchina virtuale da qualche parte su Internet (non importa se chiami cloud o meno) per ospitare il tuo server Exchange perché questi possono essere facilmente copiati e analizzato dal fornitore. E anche l'hardware dedicato può essere facilmente accessibile e specchiato durante alcune interruzioni (simulate).

    
risposta data 06.11.2015 - 19:03
fonte

Leggi altre domande sui tag