Программа Для Аудит Лотусовой Почты

Тема в разделе "Lotus - Администрирование", создана пользователем moobi, 29 сен 2011.

  1. moobi

    moobi Гость

    День добрый!

    Подскажите, пожалуйста, какую-нибудь программу для аудита почты, работающую с сервером Домино версии 6.5, в которой были бы следующие функции:

    1. Перехват и сохранение почты в отдельной БД, отвечающею определенным сложным требованиям, например, "получателем не является группа пользователей и не содержит вложения *.doc, *.xls".
    2. Должен присутствовать механизм, который позволил бы обрабатывать и шифрованную почту.
    3. Ограничение возможности рассылки определенного вида сообщений (борьба с внутренним спамом) и выстроить возможность хождения почты согласно иерархической структуре организации.

    Единственное, что нашел, отвечающее всем требования это BCC_MailProtect powered by Cerberus (бывший ND Cerberus http://www.notesdev.ru/bccmailprotect), но он стоит нереально много. 35000 евро на сервер с 1500 пользователями.

    Есть еще варианты попроще, но в них нет фильтрации, только перехват и только нешифрованных, что меня и не устраивает.

    Пожалуйста, дайте наводку.
     
  2. morpheus

    morpheus скриптописец

    Регистрация:
    7 авг 2006
    Сообщения:
    3.927
    Симпатии:
    0
  3. moobi

    moobi Гость

    К сожалению, нет ничего похоже.
    "Почтовик" касается ящиков личной почты, хотя функционал нужный. Вот только если б она работала на mail.box'е.
     
  4. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    дайте готовое и бесплатно... ;) и что бы то что "мне надо"
    чёт я забыл адрес склада с "губозакатывающими машинками" ;)
     
  5. moobi

    moobi Гость

    Я не прошу бесплатное. Меня и платное устроит, по цене хотя бы до 100 000 р. Мне кажется это довольно серьезные деньги для программы с таким функционалом.

    ND Cerberus слишком дорог.
     
  6. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    ищите Си-шника (с реальным опытом Notes C API), кот. за такие деньги (полагаю) вполне напишет вам желаемое
    я плотно с Си давно не работал (уж лет 14)..., атобы взялся, но увы

    Добавлено: и мне наясно - как вы собираетесь шифрованные сообщения проверять...
    если я зашифрую S/MIME как расшифровывать будете? ;)
     
  7. moobi

    moobi Гость

    В ND Cerberus используется примерно такой алгоритм, если при отправке шифрованного сообщения (когда шифруется средствами самого лотуса) не добавить в получатели специально сделанную учетную запись, то письмо возращается с требованием сделать это. А если добавить необходимую учетку, то он ей же и расшифровывает.
    Это один из подходов. Может можно хождение шифрованной почты вообще на серваке как-то отключить.

    Самописная платная не подойдет,
    1. так как покупает организация, ей нужно официально как-то деньги перечислить.
    2. Очень желательна служба поддержки.

    Неужели клин сошелся на ND Cerberus? И аналогов нет.
     
  8. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    вот пусть контракт и заключит с человеком - это нормальная практика, при том - код останется, а можно ещё и на поддержку заключить контракт

    Добавлено:
    всё должно иметь разумный уровень ограничений, если человек будет знать, что почту читают - он найдёт способ обмануть...
    почта не самая критичная точка утечки, можно воще реверсивный канал сделать, и все файрволы и прочая херь безопасников будет бесполезна ;) (а выглядеть будет как соединение к веб ресурсу, от программы)
    защита должна быть комплексной (если он действительно нужна), но работать будет очень сложно ;)

    поэтому трата денег на такую херь - это просто прикрытие *цензура* к-то начальника или схема отката
    а на режимных объектах - всё "по-взрослому" там и почты не будет ;)
     
  9. moobi

    moobi Гость

    Решил задачу использую штатные средства Лотус. В конфигурации сервера на закладке Маршрутизатор - Ограничения и управление - правила, при создании фильтрующих правил можно указать действие Записать в журнал. Как оказалось на практике это совершенно не журнал, а БД для хранения копий писем.

    Единственная проблема, что никак не получается запретить пересылку шифрованных писем или запретить шифрование в самих ящиках.
     
  10. RAJ

    RAJ Well-Known Member

    Регистрация:
    17 янв 2007
    Сообщения:
    440
    Симпатии:
    0
    если уж так хочется - удали публичные ключи из Person документов :unsure:
    (проверку публичных ключей на сервере тоже прийдётся отключить)
     
  11. moobi

    moobi Гость

    Про этот вариант читал, но как-то это грубо и неизвестно чем может обернуться в будущем. Хотелось бы какое-то более системное решение.
     
  12. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Ресертифицировать тогда как? По запросу пользователя, который фиг когда отправит этот самый запрос? Неудобно однако...
     
  13. RAJ

    RAJ Well-Known Member

    Регистрация:
    17 янв 2007
    Сообщения:
    440
    Симпатии:
    0
    посмотри в сторону десктопной политики
     
  14. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    ресертифицировать можно и без пользователя и без запроса
     
  15. ledi

    ledi Гость

    Вопрос номер раз: это кто ж будет всю внешнюю (тут можно разрешить отправку только определенному кругу лиц) и ВНУТРЕННЮЮ почту читать? Это у вас что - работает, например, 1000 человек и еще 500 будут сидеть переписку отслеживать? Извините, но... "Не верю" (с) Станиславский

    Вопрос номер два - вернее, не вопрос, а ответ скорее. Если на вопрос выше вы ответили, что модерироваться должна НЕ ВСЯ почта, то...

    а) база журнала (mailjrn), в которую пишется ВСЯ почта.
    б) на сервере включено восстановление паролей (password recovery).
    в) Для интересующих людей безопасность делает восстановление учетных записей и эти id-шники сохраняет себе.
    г) Пишется агент (спасибо за огромную помощь RAJ :) ), который выбирает почту из баз журналов в некую внешнюю базу.
    д) Безопасность, используя восстановленные id-шки, читает интересующую почту в этой внешней базе.
     
  16. Baneslaer

    Baneslaer Well-Known Member

    Регистрация:
    25 янв 2011
    Сообщения:
    121
    Симпатии:
    0
    ну и народ, насоветуют всего чего угодно. А если им сказать удалите у себя в адресках публичные ключи - думаю, на это не все решаться...

    Теперь по пунктам:

    1. включаем и настраиваем Jornaling с соответствующими правилами.
    2. для обработки шифрованной почты нужно изменить шаблон почтовой базы таким образом, чтобы в поле скрытой копии был включен адрес базы Jornaling. В таком случае все письма будут читабельны из базы Jornaling`а и пользователей ничем не напрягаем.
    3. этот пункт я бы разделил на два пункта:
    а) Ограничение возможности рассылки определенного вида сообщений (борьба с внутренним спамом);
    б) Выстроить возможность хождения почты согласно иерархической структуре организации.

    а) решается правилами серверов или системами антиспама
    б) если бы было написано более расширено, что вам нужно - постарался бы описать.
    В данном случае напишу, один из вариантов, который может использоваться.
    В "каждой компании" есть справочник организации/кадры или как угодно его можно назвать. Главное, что в этой базе есть, вся структура организации с ее сотрудниками. Пишем агента для этой базы, который будет создавать в АК группы с названием, к примеру SO_DIT (SO - в данном случае это сокращение от названия базы справочник организации, чтобы знать откуда формируется эта группа и что она "формируется автоматически"... DIT - название департамента из справочника). В эту группу должны автоматически включаться группы, которые находятся ниже в списке иерархии + сотрудники на этом уровне иерархии. в результате мы должны получить иерархический список групп всей организации. Для обновления групп достаточно установить запуск агента по их сборке один раз в день, как правило ночью.
    Если же речь пойдет о ограничении возможности рассылки на группы, то ограничиваем доступ на чтение к этой группе. Вот в принципе коротко все что можно было написать по этому поводу.
     
  17. moobi

    moobi Гость

    Политики только могут снять или поставить галочку шифрование\подпись. Но пользователю ничего не мешает перед отправкой поставить их обратно.
     
  18. moobi

    moobi Гость

    Вы не совсем правильно поняли. 1500 человек зарегистрированы на сервере Domino в адресной книге, но пользователи относятся к разным организациям. Т.е. 200 человек - головная организация, и по нескольку сотен в 10 подчиненных. По одному контролирующему в одной организации.

    Ну, это когда совсем припрет, тогда, конечно, воспользуемся копиями idшников. Это не очень удобно, контролирующему придется жонглировать id пользователей по несколько сот раз за день, меняя при этом каждый раз доступ к БД журнала. Давая его то одному, под кем нужно прочитать, то другому. Но спасибо за вариант.
    Только я не совсем понял, зачем нужно агентом переносить письма в другую БД.
     
  19. moobi

    moobi Гость

    Про этот способ я читал в интересной статье http://www.notesnet.ru/nn/notesnet.nsf/0/1...d9?OpenDocument
    Как-то это тоже не системно. Пользователи имеют доступ управляющих к своим базам, и смогут обновить структуру ящика с шаблона со своей рабочей станции. А изменить им доступ на редактора, задача не тривиальная.
    Тем более что организаций много и серверов тоже. Проконтролировать по какому шаблону сделана база тяжело будет.

    Про ограничение чтения группы - это интересно. Попробую.
    Я вот только не понял, если я например создал группу "отдел ИТ" и включил туда себя, ограничиваю доступ на чтение этой группы всем. Другой сотрудник группы не увидит группу, а меня как члена группы тоже не увидит и не сможет мне ничего отправить?
     
  20. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    утилита convert - и шаблон будет "нужным" ;)
     
Загрузка...

Поделиться этой страницей