Как обезопасить рабочую почту и яндекс диск для 5-6 пользователей?

Question

[Natebash]

Всем доброе утро.
Проблема: есть юридическая компания у друзей(ИПшка на 6 человек штата), где каждый из 6 человек пользуется 1й общей почтой + одним общим облаком с важными документами(Яндекс Диск).

Вопрос: Как обезопасить данное решение? Почту уже 2 раза ломали(по словам друга(владельца) почты). Может есть условная middleware софтина которая является прослойкой между почтой(или облаком) и позволяет привязывать n-количество мобильных телефонов для двухфакторной аутентификации? Проблема в том что к почте можно привязывать всего лишь один телефон для двухфакторной аутентификации, и тоже самое на облаке.

Как вижу это я: 6 человек юзают 1 почту и одно облако. Для аутентификации заходят на какой-либо сервис, который генерит смс-ку, или что либо, что позволяет безопасно пользоваться почтой или облаком.

Если у кого-то был опыт с решением такой задачи, буду рад если поделитесь опытом.

Comments

[CityCat4]

Обезопасить можно только то, чем ты можешь управлять. Яндекс.Почтой ты управлять не можешь - только пользоваться. Хотели удобства и минимума затрат на администрирование? Ну так вот - это его оборотная сторона - информация в оной почте Вам не принадлежит от слова совсем, яндекс захотел в ней порыться - и порылся :)

[Natebash]

CityCat4, Всё верно, тут я с вами полностью согласен) Проблема и была в этом, что когда начинали люди бизнес - всё делалось с минимальным бюджетом и своими руками, а сейчас хотят просто повысить безопасность на уровне своего ИП.

[Александр Фалалеев]

CityCat4, Ну ведь действительно содержать отдельно postmaster-a для ИП с 6 человеками в штате это неподьёмно по затратам. Можно написать - арендуйте vps, разворачивайте postfix/exim+dovecot и будет вам счастье. Но это же неправда - и через короткое время появится здесь же вопрос - а почему наши письма никуда не доходят ? Ну напишем мы что ещё нужно прикрутить spamassassin, clamav, sieve, настроить ptr. spf, dkim, dmarc, mta-sts, tls и т.д. и т.п. А кто это всё делать будет ? Нормальный почтовый сервис по мануалам в сети поддерживать не получится.

Так что пусть продолжают пользоваться Яндекс.Почтой - и повышают уровень всех 6-струдников по цифровой гигиене в сети :)

[CityCat4]

Natebash, Ну, единственный способ - сьехать с Яндекса на собственный почтовик. Безопасность вырастет на 1000% Правда попутно других проблем будет сразу пачка :)

[Natebash]

Александр Фалалеев, Вот это уже наверное более подходит. А решение завести под каждого отдельную почту - куда будут редиректится письма из глобального почтового ящика + на каждую почту завести двойную аутентификацию по смс или паролю? Мне кажется в разы повысит шансы не быть взломанными, так как нужен будет физический контакт с девайсом владельца новой почты. А условно глобальную никто не юзает, она работает только на прием(или с ней работает 1 лицо, вместо 6)

[CityCat4]

Александр Фалалеев, Зачем его содержать? Нанять фрилансера на однократную настройку, заключить с ним договор на сопровождение за копеечку. Для прошаренного админа это настолько сто тыщ раз повторенный вопрос, что он делает его хоть спьяну, хоть сдуру.

[Александр Фалалеев]

CityCat4, Я же написал - ну нет у ИП из 6 человек денег на postmaster-a ! Вот тупо нет и всё тут :)

[CityCat4]

Natebash, не в разы, но в некоторой степени повысит. Пароль ессно сложный. К письмам ессно относиться с подозрением.

[Александр Фалалеев]

Natebash, Как вариант завести платную почту у Gmail - там есть и защита и разные аккаунты и автоматом форвардить можно. Да вообще в Gmail для бизнеса кроме цены всё хорошо :) Но это в любом случае будет на порядок дешевле postmaster-a в штате !

[CityCat4]

Александр Фалалеев, Ну, тогда только продолжать страдать :)

[Александр Фалалеев]

CityCat4, Фрилансера ? На однократную настройку ? Мда, правильно говорят - профессия postmaster умерла :(

А потом ip в бане у спамхауса, оутлук не принимает даже в папку спам и т.д. и т.п.

[CityCat4]

профессия postmaster умерла

Я не знаю такой профессии.

А вот то, что все имеет свою цену - знаю.
Хочется удобства и чтобы забесплатно была почта с антиспамом - ну, тогда будь добр делиться всем, что через нее проходит, терпеть рекламу, спам и неудобства того, что тебя только попользоваться пустили, а про безопасность можно ваще просто как класс забыть.
Хочется безопасности - ну добро, их есть, но это будет стоить денег (ну или усилий по овладеванию знаниями и времени, пошедшего на настройку)

Влезть на елку и не поцарапать podex - не получается обычно :)

[Александр Фалалеев]

CityCat4, Я с Вами полностью согласен, но никакой среднестатистический фрилансер с биржи почтовый сервис нормальный организовать никогда не сможет !

[CityCat4]

Александр Фалалеев, Нанять не среднестатистического. Что будет стоить больше денег :) Что приведет нас опять к п.2 - "безопасность стоит ресурсов (денег, времени etc)"

[Борис Сёмов]

Александр Фалалеев, Не надо никого в штате. Фрилансер будет это поддерживать за цену близкую к Gmail для бизнеса. Для сотрудника в штате тут просто нет работы.

[Александр Фалалеев]

Борис Сёмов, учитывая что 90+% почтовых сервисов в мире настроены через попу, то да - ещё один настроенный таким же образом фрилансером сильно в плохую сторону выделяться не будет. Ну а что - открыл мануал "поднимаем почтовик в убунту" скопировал всё не думая и не понимая ... эх :(

[Борис Сёмов]

Александр Фалалеев, Это если очень сильно не повезёт. Большинство админов без проблем настроят почту, в частности тех, что фрилансят.

[Александр Фалалеев]

Борис Сёмов, Большинство админов понятия не имеют как ПРАВИЛЬНО настраивать почтовый сервис. На "так сойдёт" сделают конечно. Админ != postmaster.

[Борис Сёмов]

Александр Фалалеев, Настройка почты для небольшой организации, и её обслуживание это довольно тривиальная задача, для которой есть даже готовые наборы софта в webui обёрточке. Она не требует ни какой-то высокой квалификации, ни серьёзной специализации.

[Александр Фалалеев]

Борис Сёмов, ok, смотрите:

Тестируем:

https://www.checktls.com

a) Сначала выбираем этот тест

TestFrom:

TLS:Successful
From:info@babai.ru
Via:185.248.101.86
TLSv1_3
SSLCipher:TLS_AES_256_GCM_SHA384
SPF_mfrom.Record:v=spf1 ip4:185.248.101.86 -all
SPF_mfrom:pass: local="babai.ru: 185.248.101.86 is authorized"
SPF_helo.Record:v=spf1 ip4:185.248.101.86 -all
SPF_helo:pass: local="mail.babai.ru: 185.248.101.86 is authorized"
DKIM:pass: signature="@babai.ru" result="pass"
DKIM_policy.sender:"o=-;r=postmater@babai.ru", location="babai.ru", result="accept"
DKIM_policy.author:"o=-;r=postmaster@babai.ru", location="babai.ru",result="accept"
DKIM_policy.ADSP:"dkim=discardable", location="babai.ru", result="accept"
DMARC_result:pass
DMARC_dkim:pass
DMARC_dkim_align:strict
DMARC_spf:pass
DMARC_spf_align:strict
DMARC_published.v:DMARC1
DMARC_published.p:reject
DMARC_published.sp:reject
DMARC_published.adkim:s
DMARC_published.aspf:s
DMARC_published.rua:mailto:info@babai.ru
DMARC_published.ruf:mailto:postmaster@babai.ru

b)

Затем выбираем этот тест

TestTo:



2.

Проверяем tls на почтовом сервере:

https://www.immuniweb.com/ssl/mail.babai.ru/WxGZsI4I/

Нужна оценка А+ и все четыре зелёных квадратика



3.

Ну и разумеется на https://www.mail-tester.com/ нужно 10/10 оценку иметь.

И это только для начала :)

[Борис Сёмов]

И вы полагаете, что для этого надо быть прям богом почты? =)
Что настройка TLS это сложно?
Или то, что он будет не A+, и будет, например, использоваться не только tls 1.3 это сильно важно?
Или что dkim/spf/dmarc это rocket science?

Вообще не убедительно.

[Александр Фалалеев]

Борис Сёмов, во-первых это только для начала как я выше уже писал - а потом станет вопрос мультидоменности и сортировки, защиты от спама и вирусов и т.д. и т.п. А во-вторых - а Вы попробуйте вот просто так показатели выше повторить :)

Answer 1

[Борис Сёмов]

Для начала, сама мысль использовать совместно один аккаунт, крайне вредна с точки зрения безопасности. Всё концептуально неправильно построено. Ну и, конечно, использование такого сервиса для каких-то важных вещей это тоже плохая идея.

Ваша мысль не сработает. Изменить поведение сервиса вы не сможете.

Comments

[Natebash]

А какой тогда верный алгоритм решения проблемы? Разнести каждому отдельную почту + там настроить аутентификацию + сделать редирект глобальной почты на отдельные почтовые ящики каждого из юристов?

С почтой возможно это сработает, но вот с облаком у меня даже идей нет.

[maxsmeller]

Natebash, Ну так пусть наймут IT специалиста.

[CityCat4]

Natebash, Верный алгоритм - нанять админа и поставить задачу "свой почтовый сервер с SPF/DKIM/DMARC , nextcloud и бэкапами". И я бы башлял ему еще потом немного за сопровождение.

[Natebash]

CityCat4, Спасибо. Тогда это и передам. А какие могут быть подводные камни в этом? Просто живу в условном локальном селе на задворках России. Типичный админ который настроит всё это и возможно наговнокодит - не будет ли это выстрелом в ногу и потом попыткой посадить на карусель из денег?

[Natebash]

CityCat4, Я так понимаю nextcloud будет заменой яндекс облака?

[CityCat4]

Natebash, да. Он вполне себе замена - я пробовал его, но нам он оказался избыточен.

Насчет админа - в ТЗ должна входить документация уровня "сиди дура сам открою" описывающая типичные задачи и требование настроить так, чтобы как можно меньше требовалось обслуживания (по умолчанию-то сервер все-таки рассчитан на то, что там кто-то бывает). Какие там могут быть типичные задачи после однократной настройки - добавить/удалить ящик, место проверить, бэкап восстановить. Я бы вообще поставил что-нибудь типа Zimbra Community Edition или комбинированной веб-морды для управления сервером - уровень требований к квалификации заметно снижается.

[Борис Сёмов]

Natebash, По минимуму да.
В облаке, обычно, можно шарить файлы внутри команды.

Вариант со своим VPS на котором почта и Nextcloud вполне ничего. Но вообще, почту бы я и в этом случае оставил бы всё же на яндексе или другом внешнем сервисе, если это не совсем тайна-тайна.

Answer 2

[Fenix957]

Если с почтой то можете сделать 6 почт а с основного всем пересылать на них
Диск можно расшарить папки
Как сказали выше NextCloud отличное решение
у яндекса есть пароли для сервисов отдельные
также у них есть приложение для авторизации на ихз сервисе двухфакторное