То, что они на ник.ру, это я, конечно, глянул, но то, что можно этим воспользоваться, мне как-то в голову не пришло... мысль интересная. Тогда, получается, эта "уязвимость" SPF записи актуальна для всех, кто пользуется SaaS почтовыми серверами. Во дела
Василий Банников, Ну то есть, такими темпами, каждую неделю будет приходить письмо с просьбой заблокировать очередной почтовый ящик на домене fstec.ru пока не перебранят весь домен. И тогда будет дело с концом)
Неплохое решение проблемы
А есть примеры такого ПО? Проверка осуществляется не на почтовом сервере получателя? Сейчас есть почтовые серверы, которые не знают об этих ресурсных записях?
В таком случае... можно рассылать письма не от ufo@fstec.ru, а напрямую от postin@fstec.ru и в следующей рассылке ФСТЕК попросит заблокировать и его? И больше нельзя будет получить электронное письмо от легитимного postin@fstec.ru? И всё это, вместо рекомендаций не использовать почтовые серверы 20-ти летней давности?
Мы так и будем блокировать 1@fstec.ru, 2@fstec.ru, ... n@fstec.ru и заблокируем весь домен (и ещё чёрт знает сколько других доменов) вместо того, чтобы разослать письмо не с просьбой блокировки конкретный ящиков, а о переходе на защищённые почтовые серверы без уязвимостей? Это нормально?)
Что кому упёрлось, а кому не упёрлось, пусть решает каждый сам для себя. Я никого не заставляю, повторяю в пятый раз. И вы не решаете, что упёрлось, а что не упёрлось. Делайте так, как считаете нужным, ТС тоже сделает, что он посчитает нужным из предложенного. В чём проблема? Я не нуждаюсь ни в судьях, ни в комментаторах. Я предложил сетап со словами - не нужно вам, дак будет нужно другому. Можете выполнить часть, можете вообще ничё не выполнять. Всё. Я вас не звал, чтобы вы рассуждали, что из этого православное, а что нет, что дорого, а что дёшево. О чём разговор?
Adamos, Ну ваша позиция очень удобная, мол, утрировать не надо, и ничего не делать не надо, там понятие размытое, а тут цирк накрутили, поэтому буду делать так, как сам посчитаю нужным... ну как бы. Да делайте как хотите, я же уже третий раз повторяю. Не хотите, чтобы назначали виновных - так прокурору можно будет и сказать - сразу оправдают) Кому всё-равно, может и настраивать инфраструктуру под понятие "всё-равно", пожалуйста. Я что, заставляю кого-то? Нет. Ну вот и наплюйте на мои рекомендации
Adamos, Я же написал, что может кто-то другой воспользуется, я никого не заставляю. Я написал, как было бы более менее. ИБшник должен быть, если с персоналкой работают и с СКЗИ, и заставлять будет прокуратура или ФСТЭК, мне-то без разницы. Я просто накидал базу, изучив которую, кстати, уже перестанешь быть недоучкой. И не говорю, что это всё по щелчку пальцев и за один раз. Можно стремиться к этому, но сделать по-своему, ради Бога)
Можно вообще ничё не делать, не создавать AD, не делать бэкапы, не изолировать сети, а просто рубиться в доту и получать копеечку
А бюджет выделяют? Всё зависит от наличия денег\оснащения. Меня многие закидают, но всё же я свой вариант подкину, может не вы, дак кто-то другой вспользуется.
Бухгалтерия с 1С работает? Персоналка хранится? Скорее всего. Возможно ещё и с СКЗИ работают, чтобы подписывать отчёты в налоговую, СФР и прочее-прочее.
Берём один хороший железный сервер, делаем из него гипервизор виртуализации. Берём два небольших NAS.
На гипервизоре поднимаем виртуальные серверы: Сервер по 1С (тут вариантов куча, тема холиварная с этими толстыми/тонкими/RDS клиентами), файловый сервер, сервер контроллера домена (на нём же можно поднять DHCP и DNS сервер сразу), сервер бэкапов, желательно сервер администрирования антивирусного ПО (типа KSC).
NASы подключаем по iSCSI к гипервизору, на одном NAS лежат виртуальные машины (полностью, с конфигурацией, жёсткими дисками, контрольными точками). На втором NAS лежат бэкапы сервера бэкапов, и бэкапы баз данных (сейчас только 1С, в будущем может что-то ещё добавится). Этот NAS максимально нужно защитить.
Делаем несколько VLAN, разделяем машины, на которых ведётся обработка персональных данных (желательно порезать интернеты хотябы чуть-чуть), обычные машины с полным доступом в интернеты, серверные машины (эти тоже защитить). На межсетевом экране также делаем правила, из какого VLAN куда можно попасть и по каким протоколам\портам. Например, на вебку NAS только с админского компа по протоколам 80, 443 (и всё в таком духе). Желательно на каждый порт микротика привязать не только тэг VLAN но и разрешённый MAC, чтобы никто не мог просто прийти и врезаться в сеть со своим кабелем и ноутбуком. Например на каждый порт прописать VLAN телефонного аппарата (у каждого же сотрудника он есть?), на телефонном аппарате уже снимать тэг и отправлять трафик на конечное устройство. Телефоны, кстати, тоже в свой VLAN засунуть, чтобы всё было отсортировано: телефоны в своей подсетке, открытые машины в своей, машины с ПДН в своей, серверная группировка в своей и т.д.
Вот более менее подготовленная и структурированная база для работы) Потом можно дальше будет модернизироваться. Отказоустойчивый кластер виртуализации поднять, сервер с СЗИ от НСД если приспичит, корпоративный сервер VPN с шифрованием каналов и так далее
Drno, Не успел) Сетевух несколько, по идее если один мак не нравится, почему другой точно также себя видёт? А в Линуксе не ведёт? Ведь от ОС MAC не меняется) Но в общем помогло заклинание netsh int tcp set global autotuninglevel=normal