2008 06-16...
-
Upload
ziemek-borowski -
Category
Documents
-
view
148 -
download
0
Transcript of 2008 06-16...
Krótko o prelegencie
Ziemek Borowski – ziembor @ wss.pl
– PEPUG, PLSSUG, kiedyś SAGE, PLUG i GUST
– kilkanaście lat jako IT Pro
– Postmaster w tak w światku .edu jak i .com
– Zarówno Exchange jak i sendmail oraz postfix
– Obecnie pracuję dla DCS Computer Consultants Group, operatora m.in. HostedExchange.pl
2008-06-16 www.pepug.org
Agenda
Poczta dziś – krótka rekapitulacja Rola postmastera Code of Ethics Wymogi „techniczne” Wymogi społecznej odpowiedzialności Wymogi prawne Dyskusja?
2008-06-16 www.pepug.org
Poczta dziś – protokoły
Podstawowe protokoły nie uległy zmianie – SMTP: konfiguracje poprawiające bezpieczeostwo
transmisji: TLS, czy dla road warriors (Mail Submission Port 587/TCP oraz SMTP Auth)
– Dalsza powolna ewolucja IMAP i POP3
– Wzrost znaczenia web maili - chod bez standardów
Mobilnośd– ActiveSync, SyncML, BlackBerry, Nokia SyncMail…
– Outlook Anywhere częściowo zastępuje IP VPN (wraz z SSL VPN)
2008-06-16 www.pepug.org
Poczta dziś – operatorzy
Szeroki zakres implementacji: od POP3/IMAP z podstawową ochroną AV/AS do pełnej infrastruktury pocztowej z Exchange, CRM i innymi aplikacjami. Tak ISP/ASP jak i on-site. Duże zróżnicowanie kosztów: – od darmowych (MSFT, Yahoo – po ~250 mln kont,
Gmail 10 mln, i lokalni: WP, Onet, O2, Interia) po dośd drogie (np. 99zł miesięcznie za Ex. + CRM)
2008-06-16 www.pepug.org
Poczta dziś – bezpieczeostwo
Zwiększający się zakres regulacji m.in. – wiarygodna archiwizacja wiadomości pocztowych,
– lepsze audytowanie i śledzenie incydentów.
Spam coraz bardziej nieprzewidywalny Coraz bardziej restrykcyjne polityki antyspamowe
– blokowanie poczty z sieci DSL-owych,
– greylisting,
– SPF/SenderID uszkadzające routing poczty
Więcej czasu potrzeba na konserwację i wsparcie
2008-06-16 www.pepug.org
Poczta dziś – wg. użytkownika
Nadal killer app: Większośd z nas korzystając z Internetu przegląda strony www - 90 %, następną czynnością najbardziej powszechną i związaną z Internetem jest używanie poczty elektronicznej – 80%*
W organizacjach każda przerwa – widoczna The Worst Practice™: „sejf” zawierający
poufne informacje wymieniane między pracownikami
2008-06-16 www.pepug.org
*) Diagnoza Społeczna 2007 – http://diagnoza.com
Postmaster – to brzmi dumnie
To organizator obiegu poczty w organizacji
Z jednej strony nudna rutynowa robota
Z drugiej… tajemnice, prywatnośd, zgodnośd, uoodo, SLA, NDA, SOX, HIPPA
Niby administrator aplikacji, ale pełniona przez najbardziej doświadczonych administratorów systemowych
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
Kodeks etyczny administratorów
Profesjonalizm Zalety osobiste Poszanowanie
prywatności Prawa i reguły Komunikacja
Spójnośd systemów Edukacja Odpowiedzialnośd
wobec innych Odpowiedzialnośd
społeczna Odpowiedzialnośd
etyczna
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
Responsibilities of Host and Network Managers – RFC 1173 „The heart of the Internet is the unique community of
interest encompassing its users, operators, maintainers and suppliers. Awareness and acceptance of the shared interest in a usable Internet is vital to its survival and growth.”
Współpraca jest koniecznością Fragmentem współpracy jest stosowanie
przyjętych konwencji … oraz staranie by byd przewidywalnym.
2008-06-16 www.pepug.org
Konwencje – obowiązkowe mailboxy
Postmaster (wymagany przez RFC 822, 1123, 1173, 2142 oraz 2821)
Abuse (Security?)
Hostmaster
Webmaster
Inne adekwatne z RFC 2142 Mailbox Names for Common Services, Roles and Functions, zawsze do przemyślenia
W RIPE Whois dla IP (a jeśli się da to i w DNS whois) warto zawrzed także inne dane kontaktowe
2008-06-16 www.pepug.org
Jak byd skutecznym w wysłaniu…
Zadbaj o swoją poprawną identyfikację:– Wszystkie hosty uprawnione do wysyłania niech
mają poprawne, rozwiązywalne w DNS-ie nazwy
– Także te „bannerowe”
– Właściwe rekordy SPF
– Unikaj „słabych” dostawców internetu – ich renoma przełoży się na Twoją
Sprawdzaj się systematycznie (np. http://www.mxtoolbox.com/blacklists.aspx)
Analizuj swoje logi, monitoruj swój system.
2008-06-16 www.pepug.org
Jak byd skutecznym…
Poznaj partnerów swojej organizacji– np. czasem lepsze od szyfrowania korespondencji
między organizacjami jest zadbanie by komunikowały się one za pomocą dedykowanego connectora, z włączonym szyfrowaniem.
– Większośd problemów jest skutecznie zgłaszana nie od przypadkowych użytkowników a od stałych
2008-06-16 www.pepug.org
Spam – jak nie byd uciążliwym?
Zawsze od siebie wymagaj więcej niż od innych. – Np. jeśli filtrujesz po SPF to zadbaj by twój DNS był OK.
– Przyjmuj korespondencję także w nietypowo (np. TLS-owaną).
– Nie buduj strategii ochronnej na braku zgodności z normami (np. zawsze nasłuchuj na adresach MX).
Nie bierz na siebie grzechów świata: – adresy które nie istnieją w twojej organizacji powinny
byd odrzucane. Nie ma powodu byś czytał omyłkowo wysłane maile
2008-06-16 www.pepug.org
Spam – jak nie byd…
Filtruj agresora jak najwcześniej: w komunikacji SMTP, tak by ew. nadawca odrzuconej wiadomości od razu mógł wygenerowad NDR-a(odrzucając z kodem 5xx, np. 5.7.1), a nie przyjmując z kodem 200, a odrzucając po kilku godzinach.
Nie odbijaj informacji o wirusach i spamie do „nadawcy” – często fałszywego (poza odrzuceniem w sesji SMTP).
Jeśli coś zostało przyjęte przez twój system MUSI byd dostępne bezpośrednio dla użytkownika.
2008-06-16 www.pepug.org
Spam – jak nie byd…
Odrzucamy informując o przyczynie odrzucenia! Zwłaszcza gdy była nią obecnośd na jakieś liście spamerów.
Greylisting – ostrożnie!!! Domyślnie skonfigurowany Exchange 2003 nie radzi sobie z dostarczaniem do niektórych implementacji. (wymagane Hotfix WindowsServer2003-KB934709 + GlitchRetrySeconds na 120 sekund + ustawienie First retry interval na 5 minut (zakładka Delivery w ustawieniach SMTP)
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
Zarządzanie przestrzenią dyskową
Kilka aspektów:– Archiwizacja
– Dopuszczalna wielkośd skrzynki
– Dopuszczalna wielkośd wiadomości
Łatwiej kijek obcienkowad niż go potem pogrubasid – ograniczanie dostępnych zasobów jest o wiele trudniejsze do przeprowadzenia i zaakceptowania przez użytkowników niż ich „potajemne” rozszerzanie
Ostrożnie z overbookingiem
2008-06-16 www.pepug.org
Zarządzanie incydentami
ITIL-owo: częśd procesu Service Desk Kluczowy element zadowolenia użytkownika z
usługi Byd może rozsądna jest delegacja uprawnieo
do logów i message trackingu– Ale ostrożnie bo wymogi prawne – to są dane
osobowe!!!
2008-06-16 www.pepug.org
Dostęp do poczty
Czy poczta powinna byd dostępna wyłącznie w całości kontrolowany przez organizację sposób?
Co z dostępem zdalnym do poczty? Czy godzimy się na dostęp do poczty
prywatnej z wykorzystaniem zasobów organizacji?
2008-06-16 www.pepug.org
Szyfrowanie poczty…
Jeśli
– Systemowo uznajemy, że poczta jest częścią majątku organizacji,
– dopuszczamy szyfrowanie poczty
Musimy wdrożyd mechanizmy szyfrowania systemowo.
– Częścią tego rozwiązania jest HMS (bezpieczne
deponowanie klucza prywatnego służącego szyfrowaniu)
Inne formy szyfrowania powinny byd ZABRONIONE
Dla zachowania poufności bardziej celowe i sensowne jest to by kanał komunikacyjny był bezpieczny.
2008-06-16 www.pepug.org
Backup & recovery
POUFNOŚD BACKUPU!!! Odpowiedni schemat backupu (gdy trzymasz
tydzieo to…):– Do disaster recovery lepiej użyd CCR-a
– A dane ze skasowanych mailboxów są w dumpsterze
2008-06-16 www.pepug.org
Zarządzanie użytkownikami
W pewnym sensie poza tematem. Warto delegowad: na HR W tak jak w wypadku operacji typu
udostępnianie cudzych danych:– Szkolenie
– Logowanie, logowanie, logowanie.
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
Każdy administrator jest poniekąd…
Zawodem zaufania publicznego,
Policjantem, egzekwującym narzucony porządek,
Cieciem, sprzątającym to co kto inny naśmiecił
Kamerdynerem lub sekretarką, troszczącym się by ci na rzecz których działa mieli warunki do pracy.
„nie czytam poczty użytkowników. Same nudy tam piszą”. Ale zarazem często widzimy zawartośd mimo woli: pomyłki, odzyskiwanie baz danych i skrzynek itp.
Root? God? What’sdifferenence?
2008-06-16 www.pepug.org
E-Mail Policy- Reguły korzystania z poczty elektrnicznej Czasem warto sformalizowad reguły korzystania z
dóbr udostępnianych przez organizację. W pewnym sensie to jest dokument pomocy
– jakie reguły są wymuszane – więc czego się nie uda zrobid w naszym środowisku
– jakie zachowania będą tępione
– po części także opisuje SLA
Dla ISP i tak wymagany jest regulamin
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
Postmaster a prawo
Compliance - obecnie najważniejszym wyzwaniem IT
Ale prawo nie nadąża za potrzebami biznesowymi
Nie istnieje coś takiego jak prawo internetu –w sieci mają zastosowanie powszechnie obowiązujące normy i reguły. Co najwyżej prawo powszechne adaptuje się do istnienia internetu (np. KC).
2008-06-16 www.pepug.org
Prawne problemy poczty elektronicznej
Prywatnośd vs kontrola nad biznesem – Tajemnica korespondencji
– Ochrona danych osobowych
– Prawo antymopolowe
– Prawo wolnej konkurencji
– Prawo giełdowe
– Potencjalnie: retencja „bilingu”
Nie pożądana informacja handlowa aka SPAM Wymogi informacyjne (KSH)
2008-06-16 www.pepug.org
2008-06-16 www.pepug.org
KONSTYTUCJARZECZYPOSPOLITEJ POLSKIEJz dnia 2 kwietnia 1997 r.Art. 49. Zapewnia się wolnośd i ochronę tajemnicy
komunikowania się. Ich ograniczenie może nastąpid jedynie w przypadkach określonych w ustawie i w sposób w niej określony.
2008-06-16 www.pepug.org
Europejska Konwencja Praw Człowieka
Artykuł 8 Prawo do poszanowania życia prywatnego i
rodzinnego1. Każdy ma prawo do poszanowania swojego
życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji.
2008-06-16 www.pepug.org
Ochrona danych osobowych
Art. 6. ustawy o ochronie danych osobowych1. W rozumieniu ustawy za dane osobowe uważa
się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
A więc: KAŻDY system pocztowy jest systemem przetwarzającym dane osobowe, i to w 99.99% przypadków z dostępem do Internetu więc z wymaganym wysokim poziomem zabezpieczeo
2008-06-16 www.pepug.org
A co pozwala na zachowanie kontroli?
Kodeks pracy nie pomaga… – Chod regulamin pracy jest kluczowym narzędziem
Ustawa o zwalczaniu nieuczciwej konkurencji:– Art. 11. 1. Czynem nieuczciwej konkurencji jest
przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy.
2008-06-16 www.pepug.org
Nadmierna kontrola może się obrócid przeciw nam… W czasie prac (na przełomie 2006/2007) nad
nowelizacją ustawy prawo telekomunikacyjne nie tylko myślano o przedłużeniu obowiązku trzymania danych billingowych dla operatorów telekomunikacyjnych, ale i dostawców internetu, a pojawiały się pomysły by i dla dostawców poczty. Więc i za chwilę wszystkich hostów
A to może byd dotkliwe (Art. 55 uPT wymagał własnej kancelaria tajna i traktowania tych danych jako dane niejawne).
2008-06-16 www.pepug.org
Inne branżowe…
21 CFR Part 11: Electronic Records, Electronic Signatures
21CFR58.195: FDA Good Laboratory Practice
Age Discrimination in Employment Act
Americans with Disabilities Act
Commodity Futures Trading Commission (CFTC) Rule 1.31
Communications Assistance for Law Enforcement Act
(CALEA)
Department of Energy (DOE)10 CFR 600.153 Retention
and Access Requirements for
Records
Employee Retirement Income Security Act of 1974
FDA Good Manufacturing Standards
Federal Wiretap Act
Internal Revenue Code Title 26
Mammography Quality Standards Act of 1992 (MQSA)
NASD 3110 and 3111
Occupational Safety and Health Act
Sarbanes-Oxley Act (SOX)
Securities Exchange Act Rules 17a-3 and 17a-4
Social Security Administration (SSA) Records Retention
USA PATRIOT Improvement and Reauthorization Act
(the reauthorized USA PATRIOT Act)
Toxic Substances Control Act
U.S. Forestry Service
US Code Title 44 (Paperwork Reduction Act)
USA PATRIOT Act
White House’s National Strategy to Secure Cyberspace
Gramm-Leach-Bliley Act (GLBA)
Health Insurance Portability and Accountability Act
(HIPAA)
2008-06-16 www.pepug.org
Podsumowanie
Nie dotknąłem nawet 50% istotnych kwestii? Czego najbardziej? Pytania? Komentarze?
2008-06-16 www.pepug.org
Patrz także:
http://www.rfc-editor.org/ http://www.sage.org/ethics + Short Topics in
System Administration: „Internet Postmaster: Duties and Responsibilities” by Nick Christenson and Brad Knowles
2008-06-16 www.pepug.org