Политика использования электроной почты

Подпишусь на тему, интересно.

http://www.trustedbird.org

1. Никогда на стороне, если вам нестаршно, что кто-то может их прочесть. Лучше купить сервер и админа, тогда вы с легкостью возмете на себя всю ответственность на себя и будете доверять только себе и доверенному человеку. Увы, корпорации «хорошо» работают со службами, а также в следствии человеческой психологии, их админы могут с радостью почитать ваши письма: http://habrahabr.ru/post/104278/

3. TLS - всегда.

4. Покупные

1. Когда разумно использовать услугу от гугла/яндекса, когда разворачивать систему у себя.

Всегда, если есть вероятность того, что потребуется хоть что-то мало-мальски нестандартное, типа интеграции с САЭД (документооборотом) или если будут пересылаться важные данные

2. Что по почте слать и в каком виде? Что открыто? Что шифровать? Как шифровать? Как оно стыкуется с законодательством?

Как определено корпоративными политиками. Законодательству пофиг если данные не попадают под ПД или гостайну.

3. Безопасность сервера. Шифрование логина(TSL), шифрование поключения по SMTP для клиенотов и передачи. Когда имеет смысл, как организуется грамотно?

Обязательно если клиент приходит снаружи-не-по-VPN. Если все ходят только изнутри - то желательно

4. Сертификаты. Самогенериные? Покупные? Когда оно имеет смысл?

По ситуации. Для подписи почты, уходящеё к внешним клиентам - покупные. Если только для себя - то хватит и самоподписаных.

Никогда на стороне, если вам нестаршно, что кто-то может их прочесть.

Актуален вопрос №2: о шифровании. Чем шифровать то что не нужно читать?

будете доверять только себе и доверенному человеку

А как узнать что админ не скорысит? Притом, это некий физический человк в штате и, обычно, локально доступный. Его если что прижать даже структурам среднего уровня легче на порядки. Службы же - это проблемы более высокого уровня, проблемы с ними это уже дело руководства. Особенно у нас в стране.

3. TLS - всегда.

Можно поподробнее про TSL между серверами? Или man tsl хватит?

4. Покупные

У меня контора - ~25 рыл. Ценик по прикидкам 25к в год. Это норм?

Как определено корпоративными политиками. Законодательству пофиг если данные не попадают под ПД или гостайну.

Я предполагал, что на «негостовые» стойкие криптоалгоритмы всем похер. Ибо, если начнут копать - это будет последее за что возьмуться.

Обязательно/желательно

Можно поподробнее про TSL между серверами? Или man tsl хватит?

Если только для себя - то хватит и самоподписаных.

Внутри ведомства, да.

imho

1. Когда разумно использовать услугу от гугла/яндекса, когда разворачивать систему у себя.

входящую почту - удобнее через внешнего контрагента. Практически всегда.

2. Что по почте слать и в каком виде? Что открыто? Что шифровать? Как шифровать? Как оно стыкуется с законодательством?

Шифровать вряд-ли, а вот подписывать - да. И требовать того-же от партнёров. Электронная подпись приравнивается к печати. И переписка с подписями может использоваться в судах. В теории :)

3. Сертификаты. Самогенериные? Покупные? Когда оно имеет смысл?

Сертификаты - от удостоверенных УЦ. см п2.

1. Никогда - никакой гарантии, что завтра гугл не закроет ящик или не прикроет доступ по IMAP только заметив, что вы с другого IP (из другой страны), что потом потребует разблокировать (несложно, но неприятно). Так же нет гарантий, что гугл не вытаскивает из ваших писем ценную информацию.
2. В крупных фирмах используют email-gateway. Дело тут вот в чем - шифрование индивидуально пользователям нужно запрещать, дабы избежать промышленного шпионажа. Все письма идут через гейтвей, который проверяет их на наличие всякой информации, которую нельзя разглашать/отсылать, адресата и т.д. а затем уже шифрует. В обратную сторону так же - приходит письмо - расшифровываем. Сама же связь с внутренним почтовым сервером должна быть шифрованной (мало ли кто там во внутренней сети чего может замышлять).

входящую почту - удобнее через внешнего контрагента. Практически всегда.

Толково. Реализовать антиспам на уровне яндекса/гугла на своей стороне трудно.

Шифровать вряд-ли, а вот подписывать - да.

Отчего так, не раскроете?

Так же нет гарантий, что гугл не вытаскивает из ваших писем ценную информацию.

Который раз: ценное открыто слать НЕЛЬЗЯ.

В крупных фирмах используют email-gateway.

Толково. Если в SOHO удобен яндекс/гугл, что делать в MID-сегменте? А в BUSINESS?

Ну собственный гейтвей же.

Реализовать антиспам на уровне яндекса/гугла на своей стороне трудно.

Хорошо обученный спаасассин «выбивает» практически весь спам. Кроме того, начнутся костыли с исходящей почтой и заведением новых пользователей. Оно надо?