Your SlideShare is downloading. ×
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pracy_administratora_poczty
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pracy_administratora_poczty

136
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
136
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Krótko o prelegencieZiemek Borowski – ziembor @ wss.pl – PEPUG, PLSSUG, kiedyś SAGE, PLUG i GUST  – kilkanaście lat jako IT Pro – Postmaster w tak w światku .edu jak i .com – Zarówno Exchange jak i sendmail oraz postfix – Obecnie pracuję dla DCS Computer Consultants Group, operatora m.in. HostedExchange.pl2008-06-16 www.pepug.org
  • 2. Agenda Poczta dziś – krótka rekapitulacja Rola postmastera Code of Ethics Wymogi „techniczne” Wymogi społecznej odpowiedzialności Wymogi prawne Dyskusja?2008-06-16 www.pepug.org
  • 3. Poczta dziś – protokoły Podstawowe protokoły nie uległy zmianie – SMTP: konfiguracje poprawiające bezpieczeostwo transmisji: TLS, czy dla road warriors (Mail Submission Port 587/TCP oraz SMTP Auth) – Dalsza powolna ewolucja IMAP i POP3 – Wzrost znaczenia web maili - chod bez standardów Mobilnośd – ActiveSync, SyncML, BlackBerry, Nokia SyncMail… – Outlook Anywhere częściowo zastępuje IP VPN (wraz z SSL VPN)2008-06-16 www.pepug.org
  • 4. Poczta dziś – operatorzy Szeroki zakres implementacji: od POP3/IMAP z podstawową ochroną AV/AS do pełnej infrastruktury pocztowej z Exchange, CRM i innymi aplikacjami. Tak ISP/ASP jak i on-site. Duże zróżnicowanie kosztów: – od darmowych (MSFT, Yahoo – po ~250 mln kont, Gmail 10 mln, i lokalni: WP, Onet, O2, Interia) po dośd drogie (np. 99zł miesięcznie za Ex. + CRM)2008-06-16 www.pepug.org
  • 5. Poczta dziś – bezpieczeostwo Zwiększający się zakres regulacji m.in. – wiarygodna archiwizacja wiadomości pocztowych, – lepsze audytowanie i śledzenie incydentów. Spam coraz bardziej nieprzewidywalny Coraz bardziej restrykcyjne polityki antyspamowe – blokowanie poczty z sieci DSL-owych, – greylisting, – SPF/SenderID uszkadzające routing poczty Więcej czasu potrzeba na konserwację i wsparcie2008-06-16 www.pepug.org
  • 6. Poczta dziś – wg. użytkownika Nadal killer app: Większośd z nas korzystając z Internetu przegląda strony www - 90 %, następną czynnością najbardziej powszechną i związaną z Internetem jest używanie poczty elektronicznej – 80%* W organizacjach każda przerwa – widoczna The Worst Practice™: „sejf” zawierający poufne informacje wymieniane między pracownikami *) Diagnoza Społeczna 2007 – http://diagnoza.com2008-06-16 www.pepug.org
  • 7. Postmaster – to brzmi dumnie To organizator obiegu poczty w organizacji Z jednej strony nudna rutynowa robota Z drugiej… tajemnice, prywatnośd, zgodnośd, uoodo, SLA, NDA, SOX, HIPPA Niby administrator aplikacji, ale pełniona przez najbardziej doświadczonych administratorów systemowych 2008-06-16 www.pepug.org
  • 8. 2008-06-16 www.pepug.org
  • 9. Kodeks etyczny administratorów Profesjonalizm  Spójnośd systemów Zalety osobiste  Edukacja Poszanowanie  Odpowiedzialnośd prywatności wobec innych Prawa i reguły  Odpowiedzialnośd Komunikacja społeczna  Odpowiedzialnośd etyczna2008-06-16 www.pepug.org
  • 10. 2008-06-16 www.pepug.org
  • 11. 2008-06-16 www.pepug.org
  • 12. Responsibilities of Host and NetworkManagers – RFC 1173 „The heart of the Internet is the unique community of interest encompassing its users, operators, maintainers and suppliers. Awareness and acceptance of the shared interest in a usable Internet is vital to its survival and growth.” Współpraca jest koniecznością Fragmentem współpracy jest stosowanie przyjętych konwencji … oraz staranie by byd przewidywalnym.2008-06-16 www.pepug.org
  • 13. Konwencje – obowiązkowe mailboxy Postmaster (wymagany przez RFC 822, 1123, 1173, 2142 oraz 2821) Abuse (Security?) Hostmaster Webmaster Inne adekwatne z RFC 2142 Mailbox Names for Common Services, Roles and Functions, zawsze do przemyślenia W RIPE Whois dla IP (a jeśli się da to i w DNS whois) warto zawrzed także inne dane kontaktowe2008-06-16 www.pepug.org
  • 14. Jak byd skutecznym w wysłaniu… Zadbaj o swoją poprawną identyfikację: – Wszystkie hosty uprawnione do wysyłania niech mają poprawne, rozwiązywalne w DNS-ie nazwy – Także te „bannerowe” – Właściwe rekordy SPF – Unikaj „słabych” dostawców internetu – ich renoma przełoży się na Twoją Sprawdzaj się systematycznie (np. http://www.mxtoolbox.com/blacklists.aspx) Analizuj swoje logi, monitoruj swój system.2008-06-16 www.pepug.org
  • 15. Jak byd skutecznym… Poznaj partnerów swojej organizacji – np. czasem lepsze od szyfrowania korespondencji między organizacjami jest zadbanie by komunikowały się one za pomocą dedykowanego connectora, z włączonym szyfrowaniem. – Większośd problemów jest skutecznie zgłaszana nie od przypadkowych użytkowników a od stałych2008-06-16 www.pepug.org
  • 16. Spam – jak nie byd uciążliwym? Zawsze od siebie wymagaj więcej niż od innych. – Np. jeśli filtrujesz po SPF to zadbaj by twój DNS był OK. – Przyjmuj korespondencję także w nietypowo (np. TLS- owaną). – Nie buduj strategii ochronnej na braku zgodności z normami (np. zawsze nasłuchuj na adresach MX). Nie bierz na siebie grzechów świata: – adresy które nie istnieją w twojej organizacji powinny byd odrzucane. Nie ma powodu byś czytał omyłkowo wysłane maile2008-06-16 www.pepug.org
  • 17. Spam – jak nie byd… Filtruj agresora jak najwcześniej: w komunikacji SMTP, tak by ew. nadawca odrzuconej wiadomości od razu mógł wygenerowad NDR-a (odrzucając z kodem 5xx, np. 5.7.1), a nie przyjmując z kodem 200, a odrzucając po kilku godzinach. Nie odbijaj informacji o wirusach i spamie do „nadawcy” – często fałszywego (poza odrzuceniem w sesji SMTP). Jeśli coś zostało przyjęte przez twój system MUSI byd dostępne bezpośrednio dla użytkownika.2008-06-16 www.pepug.org
  • 18. Spam – jak nie byd… Odrzucamy informując o przyczynie odrzucenia! Zwłaszcza gdy była nią obecnośd na jakieś liście spamerów. Greylisting – ostrożnie!!! Domyślnie skonfigurowany Exchange 2003 nie radzi sobie z dostarczaniem do niektórych implementacji. (wymagane Hotfix WindowsServer2003- KB934709 + GlitchRetrySeconds na 120 sekund + ustawienie First retry interval na 5 minut (zakładka Delivery w ustawieniach SMTP)2008-06-16 www.pepug.org
  • 19. 2008-06-16 www.pepug.org
  • 20. Zarządzanie przestrzenią dyskową Kilka aspektów: – Archiwizacja – Dopuszczalna wielkośd skrzynki – Dopuszczalna wielkośd wiadomości Łatwiej kijek obcienkowad niż go potem pogrubasid – ograniczanie dostępnych zasobów jest o wiele trudniejsze do przeprowadzenia i zaakceptowania przez użytkowników niż ich „potajemne” rozszerzanie Ostrożnie z overbookingiem2008-06-16 www.pepug.org
  • 21. Zarządzanie incydentami ITIL-owo: częśd procesu Service Desk  Kluczowy element zadowolenia użytkownika z usługi Byd może rozsądna jest delegacja uprawnieo do logów i message trackingu – Ale ostrożnie bo wymogi prawne – to są dane osobowe!!!2008-06-16 www.pepug.org
  • 22. Dostęp do poczty Czy poczta powinna byd dostępna wyłącznie w całości kontrolowany przez organizację sposób? Co z dostępem zdalnym do poczty? Czy godzimy się na dostęp do poczty prywatnej z wykorzystaniem zasobów organizacji?2008-06-16 www.pepug.org
  • 23. Szyfrowanie poczty… Jeśli – Systemowo uznajemy, że poczta jest częścią majątku organizacji, – dopuszczamy szyfrowanie poczty Musimy wdrożyd mechanizmy szyfrowania systemowo. – Częścią tego rozwiązania jest HMS (bezpieczne deponowanie klucza prywatnego służącego szyfrowaniu) Inne formy szyfrowania powinny byd ZABRONIONE Dla zachowania poufności bardziej celowe i sensowne jest to by kanał komunikacyjny był bezpieczny.2008-06-16 www.pepug.org
  • 24. Backup & recovery POUFNOŚD BACKUPU!!! Odpowiedni schemat backupu (gdy trzymasz tydzieo to…): – Do disaster recovery lepiej użyd CCR-a – A dane ze skasowanych mailboxów są w dumpsterze2008-06-16 www.pepug.org
  • 25. Zarządzanie użytkownikami W pewnym sensie poza tematem. Warto delegowad: na HR W tak jak w wypadku operacji typu udostępnianie cudzych danych: – Szkolenie – Logowanie, logowanie, logowanie.2008-06-16 www.pepug.org
  • 26. 2008-06-16 www.pepug.org
  • 27. Każdy administrator jest poniekąd… Zawodem zaufania  „nie czytam poczty publicznego, użytkowników. Same Policjantem, nudy tam piszą”. Ale egzekwującym zarazem często widzimy narzucony porządek, zawartośd mimo woli: Cieciem, sprzątającym pomyłki, odzyskiwanie to co kto inny naśmiecił baz danych i skrzynek  itp. Kamerdynerem lub  Root? God? What’s sekretarką, troszczącym differenence? się by ci na rzecz których działa mieli warunki do pracy.2008-06-16 www.pepug.org
  • 28. E-Mail Policy- Reguły korzystania zpoczty elektrnicznej Czasem warto sformalizowad reguły korzystania z dóbr udostępnianych przez organizację. W pewnym sensie to jest dokument pomocy – jakie reguły są wymuszane – więc czego się nie uda zrobid w naszym środowisku – jakie zachowania będą tępione – po części także opisuje SLA Dla ISP i tak wymagany jest regulamin2008-06-16 www.pepug.org
  • 29. 2008-06-16 www.pepug.org
  • 30. Postmaster a prawo Compliance - obecnie najważniejszym wyzwaniem IT Ale prawo nie nadąża za potrzebami biznesowymi Nie istnieje coś takiego jak prawo internetu – w sieci mają zastosowanie powszechnie obowiązujące normy i reguły. Co najwyżej prawo powszechne adaptuje się do istnienia internetu (np. KC).2008-06-16 www.pepug.org
  • 31. Prawne problemy poczty elektronicznej Prywatnośd vs kontrola nad biznesem – Tajemnica korespondencji – Ochrona danych osobowych – Prawo antymopolowe – Prawo wolnej konkurencji – Prawo giełdowe – Potencjalnie: retencja „bilingu” Nie pożądana informacja handlowa aka SPAM Wymogi informacyjne (KSH)2008-06-16 www.pepug.org
  • 32. 2008-06-16 www.pepug.org
  • 33. KONSTYTUCJARZECZYPOSPOLITEJ POLSKIEJz dnia 2 kwietnia 1997 r.Art. 49.Zapewnia się wolnośd i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpid jedynie w przypadkach określonych w ustawie i w sposób w niej określony.2008-06-16 www.pepug.org
  • 34. Europejska Konwencja Praw CzłowiekaArtykuł 8Prawo do poszanowania życia prywatnego i rodzinnego1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji.2008-06-16 www.pepug.org
  • 35. Ochrona danych osobowychArt. 6. ustawy o ochronie danych osobowych1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. A więc: KAŻDY system pocztowy jest systemem przetwarzającym dane osobowe, i to w 99.99% przypadków z dostępem do Internetu więc z wymaganym wysokim poziomem zabezpieczeo2008-06-16 www.pepug.org
  • 36. A co pozwala na zachowanie kontroli? Kodeks pracy nie pomaga… – Chod regulamin pracy jest kluczowym narzędziem Ustawa o zwalczaniu nieuczciwej konkurencji: – Art. 11. 1. Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy.2008-06-16 www.pepug.org
  • 37. Nadmierna kontrola może się obrócidprzeciw nam… W czasie prac (na przełomie 2006/2007) nad nowelizacją ustawy prawo telekomunikacyjne nie tylko myślano o przedłużeniu obowiązku trzymania danych billingowych dla operatorów telekomunikacyjnych, ale i dostawców internetu, a pojawiały się pomysły by i dla dostawców poczty. Więc i za chwilę wszystkich hostów  A to może byd dotkliwe (Art. 55 uPT wymagał własnej kancelaria tajna i traktowania tych danych jako dane niejawne).2008-06-16 www.pepug.org
  • 38. Internal Revenue Code Title 26 Mammography Quality Standards Act of 1992 (MQSA)Inne branżowe… NASD 3110 and 3111 Occupational Safety and Health Act Sarbanes-Oxley Act (SOX)21 CFR Part 11: Electronic Records, Electronic Signatures Securities Exchange Act Rules 17a-3 and 17a-421CFR58.195: FDA Good Laboratory Practice Social Security Administration (SSA) Records RetentionAge Discrimination in Employment Act USA PATRIOT Improvement and Reauthorization ActAmericans with Disabilities Act (the reauthorized USA PATRIOT Act)Commodity Futures Trading Commission (CFTC) Rule 1.31 Toxic Substances Control ActCommunications Assistance for Law Enforcement Act U.S. Forestry Service (CALEA) US Code Title 44 (Paperwork Reduction Act)Department of Energy (DOE)10 CFR 600.153 Retention USA PATRIOT Act and Access Requirements for White House’s National Strategy to Secure CyberspaceRecords Gramm-Leach-Bliley Act (GLBA)Employee Retirement Income Security Act of 1974 Health Insurance Portability and Accountability ActFDA Good Manufacturing Standards (HIPAA)Federal Wiretap Act2008-06-16 www.pepug.org
  • 39. Podsumowanie Nie dotknąłem nawet 50% istotnych kwestii? Czego najbardziej? Pytania? Komentarze?2008-06-16 www.pepug.org
  • 40. Patrz także: http://www.rfc-editor.org/ http://www.sage.org/ethics + Short Topics in System Administration: „Internet Postmaster: Duties and Responsibilities” by Nick Christenson and Brad Knowles2008-06-16 www.pepug.org