Проблема перехвата электронной почты Exchange

Да, это возможно (даже тривиально для кого-то с администратором домена или учетной записью управления организацией), чтобы прочитать чужую электронную почту, и, как упоминалось в комментариях, есть так много способов сделать это, что нет отличного способа устранить или отследить его,

Стандартное решение состоит в том, чтобы включить аудит для учетных записей с повышенными привилегиями, чтобы вы могли видеть (например), в какие почтовые ящики входит учетная запись управления организацией, но это только обнаруживает отслеживание, выполненное таким образом. Администратор домена всегда может прослушивать административный ресурс на клиентском компьютере (или любым другим способом на клиентском компьютере), сетевой администратор всегда может прослушивать трафик на коммутаторах и т. Д., И, откровенно говоря, включать все необходимые журналы аудита. обнаружить это не возможно удаленно.

Использование журнала аудита для учетных записей с высоким доступом в сочетании с шифрованием электронной почты (например, PGP) обеспечивает довольно хорошее решение, но в конечном итоге создает проблемы, когда вам нужно доверять кому-то ключи шифрования (или полагаться на пользователей, чтобы они были в безопасности и сохранялись). вверх, что никогда не работает), и в любом случае доверяйте кому-либо журналы аудита - они не приносят особой пользы, когда те же администраторы, которые могут отслеживать вашу электронную почту, также администрируют (и могут изменять) журналы аудита. И снова, есть и другие способы сделать это, которые не будут зафиксированы стандартным журналом аудита.

В частности, в случае с электронной почтой проблема заключается в том, что данные всегда зашифрованы, поэтому это больше похоже на открытку, чем на кусок письма. В Интернете есть любое количество людей, которые могли бы читать вашу электронную почту, если она идет от исходной системы к целевой системе, поэтому, если есть что- то важное или конфиденциальное, вам не следует сообщать об этом по электронной почте. По крайней мере, без использования какого-либо шифрования.

Настройка системы для решения всех этих проблем возможна, но очень дорогая и сложная в обслуживании, поэтому на самом деле лучшим решением будет иметь доверенных администраторов. Для администратора или учетной записи root характерно, что они могут делать что угодно на компьютерах, на которых они имеют этот уровень доступа. Если вы не можете доверять людям с этими учетными записями, у вас есть фундаментальная проблема.

Это действительно ничем не отличается от, скажем, доверия своим сотрудникам отдела кадров. Откуда вы знаете, что они не читают ваши личные дела и не смеются над заявленными вами медицинскими / льготными требованиями? Вы не - то же самое касается вашего ИТ-персонала. Если вы не можете им доверять, у вас либо проблемы с людьми, либо фундаментальная проблема, которая может быть названа "проблемами доверия".

Предположим, что ваши системные администраторы имеют полный, неограниченный и неконтролируемый доступ к вашей почте.

Может быть, я циник, но, построив так много почтовых решений, директора попросили меня сделать все, что касается электронной почты (удаление сообщений, мониторинг конкретных пользователей и т. Д.)... до такой степени, что они Очевидно, понял, что я мог видеть все.

Так что нет, у вас, вероятно, нет хорошего способа узнать, но если вы не доверяете людям с таким повышенным доступом, у вас есть большая проблема.

(вы всегда можете привлечь стороннего эксперта, чтобы оценить это, но опять же, это большая проблема)

Простой ответ, да, это возможно.

Если у кого-то есть разрешения на почтовый ящик другого пользователя или права администратора в домене, где работает сервер Exchange, его очень легко просматривать, редактировать, отправлять как и т. Д. От любого пользователя.

Of course this doesn't eliminate the possibility of compromised accounts or other security failings along the way that could be occurring.