Krótko o prelegencieZiemek Borowski      – ziembor @ wss.pl      – PEPUG, PLSSUG, kiedyś SAGE, PLUG i GUST       – kilkan...
Agenda   Poczta dziś – krótka rekapitulacja   Rola postmastera   Code of Ethics   Wymogi „techniczne”   Wymogi społec...
Poczta dziś – protokoły Podstawowe protokoły nie uległy zmianie      – SMTP: konfiguracje poprawiające bezpieczeostwo    ...
Poczta dziś – operatorzy Szeroki zakres implementacji: od POP3/IMAP z  podstawową ochroną AV/AS do pełnej  infrastruktury...
Poczta dziś – bezpieczeostwo Zwiększający się zakres regulacji m.in.      – wiarygodna archiwizacja wiadomości pocztowych...
Poczta dziś – wg. użytkownika Nadal killer app: Większośd z nas korzystając z  Internetu przegląda strony www - 90 %,  na...
Postmaster – to brzmi dumnie To organizator obiegu poczty  w organizacji Z jednej strony nudna  rutynowa robota Z drugi...
2008-06-16   www.pepug.org
Kodeks etyczny administratorów Profesjonalizm             Spójnośd systemów Zalety osobiste            Edukacja Posza...
2008-06-16   www.pepug.org
2008-06-16   www.pepug.org
Responsibilities of Host and NetworkManagers – RFC 1173 „The heart of the Internet is the unique community of  interest e...
Konwencje – obowiązkowe mailboxy Postmaster (wymagany przez RFC 822, 1123, 1173,  2142 oraz 2821) Abuse (Security?) Hos...
Jak byd skutecznym w wysłaniu… Zadbaj o swoją poprawną identyfikację:      – Wszystkie hosty uprawnione do wysyłania niec...
Jak byd skutecznym… Poznaj partnerów swojej organizacji      – np. czasem lepsze od szyfrowania korespondencji        mię...
Spam – jak nie byd uciążliwym? Zawsze od siebie wymagaj więcej niż od innych.      – Np. jeśli filtrujesz po SPF to zadba...
Spam – jak nie byd… Filtruj agresora jak najwcześniej: w komunikacji  SMTP, tak by ew. nadawca odrzuconej  wiadomości od ...
Spam – jak nie byd… Odrzucamy informując o przyczynie  odrzucenia! Zwłaszcza gdy była nią obecnośd  na jakieś liście spam...
2008-06-16   www.pepug.org
Zarządzanie przestrzenią dyskową Kilka aspektów:      – Archiwizacja      – Dopuszczalna wielkośd skrzynki      – Dopuszc...
Zarządzanie incydentami ITIL-owo: częśd procesu Service Desk  Kluczowy element zadowolenia użytkownika z  usługi Byd m...
Dostęp do poczty Czy poczta powinna byd dostępna wyłącznie w  całości kontrolowany przez organizację  sposób? Co z dostę...
Szyfrowanie poczty… Jeśli      – Systemowo uznajemy, że poczta jest częścią majątku        organizacji,      – dopuszczam...
Backup & recovery POUFNOŚD BACKUPU!!! Odpowiedni schemat backupu (gdy trzymasz  tydzieo to…):      – Do disaster recover...
Zarządzanie użytkownikami W pewnym sensie poza tematem. Warto delegowad: na HR W tak jak w wypadku operacji typu  udost...
2008-06-16   www.pepug.org
Każdy administrator jest poniekąd… Zawodem zaufania               „nie czytam poczty  publicznego,                    uż...
E-Mail Policy- Reguły korzystania zpoczty elektrnicznej Czasem warto sformalizowad reguły korzystania z  dóbr udostępnian...
2008-06-16   www.pepug.org
Postmaster a prawo Compliance - obecnie najważniejszym  wyzwaniem IT Ale prawo nie nadąża za potrzebami  biznesowymi Ni...
Prawne problemy poczty elektronicznej Prywatnośd vs kontrola nad biznesem      – Tajemnica korespondencji      – Ochrona ...
2008-06-16   www.pepug.org
KONSTYTUCJARZECZYPOSPOLITEJ POLSKIEJz dnia 2 kwietnia 1997 r.Art. 49.Zapewnia się wolnośd i ochronę tajemnicy  komunikowan...
Europejska Konwencja Praw CzłowiekaArtykuł 8Prawo do poszanowania życia prywatnego i  rodzinnego1. Każdy ma prawo do posza...
Ochrona danych osobowychArt. 6. ustawy o ochronie danych osobowych1. W rozumieniu ustawy za dane osobowe uważa  się wszelk...
A co pozwala na zachowanie kontroli? Kodeks pracy nie pomaga…      – Chod regulamin pracy jest kluczowym narzędziem Usta...
Nadmierna kontrola może się obrócidprzeciw nam… W czasie prac (na przełomie 2006/2007) nad  nowelizacją ustawy prawo tele...
Internal Revenue Code Title 26                                                                Mammography Quality Standard...
Podsumowanie Nie dotknąłem nawet 50% istotnych kwestii? Czego najbardziej? Pytania? Komentarze?2008-06-16          www....
Patrz także: http://www.rfc-editor.org/ http://www.sage.org/ethics + Short Topics in  System Administration: „Internet P...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pracy_administratora_poczty
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pracy_administratora_poczty
Upcoming SlideShare
Loading in …5
×

2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pracy_administratora_poczty

341 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
341
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pracy_administratora_poczty

  1. 1. Krótko o prelegencieZiemek Borowski – ziembor @ wss.pl – PEPUG, PLSSUG, kiedyś SAGE, PLUG i GUST  – kilkanaście lat jako IT Pro – Postmaster w tak w światku .edu jak i .com – Zarówno Exchange jak i sendmail oraz postfix – Obecnie pracuję dla DCS Computer Consultants Group, operatora m.in. HostedExchange.pl2008-06-16 www.pepug.org
  2. 2. Agenda Poczta dziś – krótka rekapitulacja Rola postmastera Code of Ethics Wymogi „techniczne” Wymogi społecznej odpowiedzialności Wymogi prawne Dyskusja?2008-06-16 www.pepug.org
  3. 3. Poczta dziś – protokoły Podstawowe protokoły nie uległy zmianie – SMTP: konfiguracje poprawiające bezpieczeostwo transmisji: TLS, czy dla road warriors (Mail Submission Port 587/TCP oraz SMTP Auth) – Dalsza powolna ewolucja IMAP i POP3 – Wzrost znaczenia web maili - chod bez standardów Mobilnośd – ActiveSync, SyncML, BlackBerry, Nokia SyncMail… – Outlook Anywhere częściowo zastępuje IP VPN (wraz z SSL VPN)2008-06-16 www.pepug.org
  4. 4. Poczta dziś – operatorzy Szeroki zakres implementacji: od POP3/IMAP z podstawową ochroną AV/AS do pełnej infrastruktury pocztowej z Exchange, CRM i innymi aplikacjami. Tak ISP/ASP jak i on-site. Duże zróżnicowanie kosztów: – od darmowych (MSFT, Yahoo – po ~250 mln kont, Gmail 10 mln, i lokalni: WP, Onet, O2, Interia) po dośd drogie (np. 99zł miesięcznie za Ex. + CRM)2008-06-16 www.pepug.org
  5. 5. Poczta dziś – bezpieczeostwo Zwiększający się zakres regulacji m.in. – wiarygodna archiwizacja wiadomości pocztowych, – lepsze audytowanie i śledzenie incydentów. Spam coraz bardziej nieprzewidywalny Coraz bardziej restrykcyjne polityki antyspamowe – blokowanie poczty z sieci DSL-owych, – greylisting, – SPF/SenderID uszkadzające routing poczty Więcej czasu potrzeba na konserwację i wsparcie2008-06-16 www.pepug.org
  6. 6. Poczta dziś – wg. użytkownika Nadal killer app: Większośd z nas korzystając z Internetu przegląda strony www - 90 %, następną czynnością najbardziej powszechną i związaną z Internetem jest używanie poczty elektronicznej – 80%* W organizacjach każda przerwa – widoczna The Worst Practice™: „sejf” zawierający poufne informacje wymieniane między pracownikami *) Diagnoza Społeczna 2007 – http://diagnoza.com2008-06-16 www.pepug.org
  7. 7. Postmaster – to brzmi dumnie To organizator obiegu poczty w organizacji Z jednej strony nudna rutynowa robota Z drugiej… tajemnice, prywatnośd, zgodnośd, uoodo, SLA, NDA, SOX, HIPPA Niby administrator aplikacji, ale pełniona przez najbardziej doświadczonych administratorów systemowych 2008-06-16 www.pepug.org
  8. 8. 2008-06-16 www.pepug.org
  9. 9. Kodeks etyczny administratorów Profesjonalizm  Spójnośd systemów Zalety osobiste  Edukacja Poszanowanie  Odpowiedzialnośd prywatności wobec innych Prawa i reguły  Odpowiedzialnośd Komunikacja społeczna  Odpowiedzialnośd etyczna2008-06-16 www.pepug.org
  10. 10. 2008-06-16 www.pepug.org
  11. 11. 2008-06-16 www.pepug.org
  12. 12. Responsibilities of Host and NetworkManagers – RFC 1173 „The heart of the Internet is the unique community of interest encompassing its users, operators, maintainers and suppliers. Awareness and acceptance of the shared interest in a usable Internet is vital to its survival and growth.” Współpraca jest koniecznością Fragmentem współpracy jest stosowanie przyjętych konwencji … oraz staranie by byd przewidywalnym.2008-06-16 www.pepug.org
  13. 13. Konwencje – obowiązkowe mailboxy Postmaster (wymagany przez RFC 822, 1123, 1173, 2142 oraz 2821) Abuse (Security?) Hostmaster Webmaster Inne adekwatne z RFC 2142 Mailbox Names for Common Services, Roles and Functions, zawsze do przemyślenia W RIPE Whois dla IP (a jeśli się da to i w DNS whois) warto zawrzed także inne dane kontaktowe2008-06-16 www.pepug.org
  14. 14. Jak byd skutecznym w wysłaniu… Zadbaj o swoją poprawną identyfikację: – Wszystkie hosty uprawnione do wysyłania niech mają poprawne, rozwiązywalne w DNS-ie nazwy – Także te „bannerowe” – Właściwe rekordy SPF – Unikaj „słabych” dostawców internetu – ich renoma przełoży się na Twoją Sprawdzaj się systematycznie (np. http://www.mxtoolbox.com/blacklists.aspx) Analizuj swoje logi, monitoruj swój system.2008-06-16 www.pepug.org
  15. 15. Jak byd skutecznym… Poznaj partnerów swojej organizacji – np. czasem lepsze od szyfrowania korespondencji między organizacjami jest zadbanie by komunikowały się one za pomocą dedykowanego connectora, z włączonym szyfrowaniem. – Większośd problemów jest skutecznie zgłaszana nie od przypadkowych użytkowników a od stałych2008-06-16 www.pepug.org
  16. 16. Spam – jak nie byd uciążliwym? Zawsze od siebie wymagaj więcej niż od innych. – Np. jeśli filtrujesz po SPF to zadbaj by twój DNS był OK. – Przyjmuj korespondencję także w nietypowo (np. TLS- owaną). – Nie buduj strategii ochronnej na braku zgodności z normami (np. zawsze nasłuchuj na adresach MX). Nie bierz na siebie grzechów świata: – adresy które nie istnieją w twojej organizacji powinny byd odrzucane. Nie ma powodu byś czytał omyłkowo wysłane maile2008-06-16 www.pepug.org
  17. 17. Spam – jak nie byd… Filtruj agresora jak najwcześniej: w komunikacji SMTP, tak by ew. nadawca odrzuconej wiadomości od razu mógł wygenerowad NDR-a (odrzucając z kodem 5xx, np. 5.7.1), a nie przyjmując z kodem 200, a odrzucając po kilku godzinach. Nie odbijaj informacji o wirusach i spamie do „nadawcy” – często fałszywego (poza odrzuceniem w sesji SMTP). Jeśli coś zostało przyjęte przez twój system MUSI byd dostępne bezpośrednio dla użytkownika.2008-06-16 www.pepug.org
  18. 18. Spam – jak nie byd… Odrzucamy informując o przyczynie odrzucenia! Zwłaszcza gdy była nią obecnośd na jakieś liście spamerów. Greylisting – ostrożnie!!! Domyślnie skonfigurowany Exchange 2003 nie radzi sobie z dostarczaniem do niektórych implementacji. (wymagane Hotfix WindowsServer2003- KB934709 + GlitchRetrySeconds na 120 sekund + ustawienie First retry interval na 5 minut (zakładka Delivery w ustawieniach SMTP)2008-06-16 www.pepug.org
  19. 19. 2008-06-16 www.pepug.org
  20. 20. Zarządzanie przestrzenią dyskową Kilka aspektów: – Archiwizacja – Dopuszczalna wielkośd skrzynki – Dopuszczalna wielkośd wiadomości Łatwiej kijek obcienkowad niż go potem pogrubasid – ograniczanie dostępnych zasobów jest o wiele trudniejsze do przeprowadzenia i zaakceptowania przez użytkowników niż ich „potajemne” rozszerzanie Ostrożnie z overbookingiem2008-06-16 www.pepug.org
  21. 21. Zarządzanie incydentami ITIL-owo: częśd procesu Service Desk  Kluczowy element zadowolenia użytkownika z usługi Byd może rozsądna jest delegacja uprawnieo do logów i message trackingu – Ale ostrożnie bo wymogi prawne – to są dane osobowe!!!2008-06-16 www.pepug.org
  22. 22. Dostęp do poczty Czy poczta powinna byd dostępna wyłącznie w całości kontrolowany przez organizację sposób? Co z dostępem zdalnym do poczty? Czy godzimy się na dostęp do poczty prywatnej z wykorzystaniem zasobów organizacji?2008-06-16 www.pepug.org
  23. 23. Szyfrowanie poczty… Jeśli – Systemowo uznajemy, że poczta jest częścią majątku organizacji, – dopuszczamy szyfrowanie poczty Musimy wdrożyd mechanizmy szyfrowania systemowo. – Częścią tego rozwiązania jest HMS (bezpieczne deponowanie klucza prywatnego służącego szyfrowaniu) Inne formy szyfrowania powinny byd ZABRONIONE Dla zachowania poufności bardziej celowe i sensowne jest to by kanał komunikacyjny był bezpieczny.2008-06-16 www.pepug.org
  24. 24. Backup & recovery POUFNOŚD BACKUPU!!! Odpowiedni schemat backupu (gdy trzymasz tydzieo to…): – Do disaster recovery lepiej użyd CCR-a – A dane ze skasowanych mailboxów są w dumpsterze2008-06-16 www.pepug.org
  25. 25. Zarządzanie użytkownikami W pewnym sensie poza tematem. Warto delegowad: na HR W tak jak w wypadku operacji typu udostępnianie cudzych danych: – Szkolenie – Logowanie, logowanie, logowanie.2008-06-16 www.pepug.org
  26. 26. 2008-06-16 www.pepug.org
  27. 27. Każdy administrator jest poniekąd… Zawodem zaufania  „nie czytam poczty publicznego, użytkowników. Same Policjantem, nudy tam piszą”. Ale egzekwującym zarazem często widzimy narzucony porządek, zawartośd mimo woli: Cieciem, sprzątającym pomyłki, odzyskiwanie to co kto inny naśmiecił baz danych i skrzynek  itp. Kamerdynerem lub  Root? God? What’s sekretarką, troszczącym differenence? się by ci na rzecz których działa mieli warunki do pracy.2008-06-16 www.pepug.org
  28. 28. E-Mail Policy- Reguły korzystania zpoczty elektrnicznej Czasem warto sformalizowad reguły korzystania z dóbr udostępnianych przez organizację. W pewnym sensie to jest dokument pomocy – jakie reguły są wymuszane – więc czego się nie uda zrobid w naszym środowisku – jakie zachowania będą tępione – po części także opisuje SLA Dla ISP i tak wymagany jest regulamin2008-06-16 www.pepug.org
  29. 29. 2008-06-16 www.pepug.org
  30. 30. Postmaster a prawo Compliance - obecnie najważniejszym wyzwaniem IT Ale prawo nie nadąża za potrzebami biznesowymi Nie istnieje coś takiego jak prawo internetu – w sieci mają zastosowanie powszechnie obowiązujące normy i reguły. Co najwyżej prawo powszechne adaptuje się do istnienia internetu (np. KC).2008-06-16 www.pepug.org
  31. 31. Prawne problemy poczty elektronicznej Prywatnośd vs kontrola nad biznesem – Tajemnica korespondencji – Ochrona danych osobowych – Prawo antymopolowe – Prawo wolnej konkurencji – Prawo giełdowe – Potencjalnie: retencja „bilingu” Nie pożądana informacja handlowa aka SPAM Wymogi informacyjne (KSH)2008-06-16 www.pepug.org
  32. 32. 2008-06-16 www.pepug.org
  33. 33. KONSTYTUCJARZECZYPOSPOLITEJ POLSKIEJz dnia 2 kwietnia 1997 r.Art. 49.Zapewnia się wolnośd i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpid jedynie w przypadkach określonych w ustawie i w sposób w niej określony.2008-06-16 www.pepug.org
  34. 34. Europejska Konwencja Praw CzłowiekaArtykuł 8Prawo do poszanowania życia prywatnego i rodzinnego1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji.2008-06-16 www.pepug.org
  35. 35. Ochrona danych osobowychArt. 6. ustawy o ochronie danych osobowych1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. A więc: KAŻDY system pocztowy jest systemem przetwarzającym dane osobowe, i to w 99.99% przypadków z dostępem do Internetu więc z wymaganym wysokim poziomem zabezpieczeo2008-06-16 www.pepug.org
  36. 36. A co pozwala na zachowanie kontroli? Kodeks pracy nie pomaga… – Chod regulamin pracy jest kluczowym narzędziem Ustawa o zwalczaniu nieuczciwej konkurencji: – Art. 11. 1. Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy.2008-06-16 www.pepug.org
  37. 37. Nadmierna kontrola może się obrócidprzeciw nam… W czasie prac (na przełomie 2006/2007) nad nowelizacją ustawy prawo telekomunikacyjne nie tylko myślano o przedłużeniu obowiązku trzymania danych billingowych dla operatorów telekomunikacyjnych, ale i dostawców internetu, a pojawiały się pomysły by i dla dostawców poczty. Więc i za chwilę wszystkich hostów  A to może byd dotkliwe (Art. 55 uPT wymagał własnej kancelaria tajna i traktowania tych danych jako dane niejawne).2008-06-16 www.pepug.org
  38. 38. Internal Revenue Code Title 26 Mammography Quality Standards Act of 1992 (MQSA)Inne branżowe… NASD 3110 and 3111 Occupational Safety and Health Act Sarbanes-Oxley Act (SOX)21 CFR Part 11: Electronic Records, Electronic Signatures Securities Exchange Act Rules 17a-3 and 17a-421CFR58.195: FDA Good Laboratory Practice Social Security Administration (SSA) Records RetentionAge Discrimination in Employment Act USA PATRIOT Improvement and Reauthorization ActAmericans with Disabilities Act (the reauthorized USA PATRIOT Act)Commodity Futures Trading Commission (CFTC) Rule 1.31 Toxic Substances Control ActCommunications Assistance for Law Enforcement Act U.S. Forestry Service (CALEA) US Code Title 44 (Paperwork Reduction Act)Department of Energy (DOE)10 CFR 600.153 Retention USA PATRIOT Act and Access Requirements for White House’s National Strategy to Secure CyberspaceRecords Gramm-Leach-Bliley Act (GLBA)Employee Retirement Income Security Act of 1974 Health Insurance Portability and Accountability ActFDA Good Manufacturing Standards (HIPAA)Federal Wiretap Act2008-06-16 www.pepug.org
  39. 39. Podsumowanie Nie dotknąłem nawet 50% istotnych kwestii? Czego najbardziej? Pytania? Komentarze?2008-06-16 www.pepug.org
  40. 40. Patrz także: http://www.rfc-editor.org/ http://www.sage.org/ethics + Short Topics in System Administration: „Internet Postmaster: Duties and Responsibilities” by Nick Christenson and Brad Knowles2008-06-16 www.pepug.org

×