扫描 POP3 邮件帐户中的可疑活动

Question

假设用户/密码是已知的，有没有办法扫描 POP3 电子邮件的某些域/关键字？我们公司希望能够知道是否正在发送可疑电子邮件，例如发送给/来自竞争对手员工的电子邮件（特别是如果它们包含附件），或包含某些永远不应发送的内部术语的电子邮件通过电子邮件。

所有 POP3 帐户都设置为将电子邮件保留至少几天，而且我们知道所有用户的密码和用户名，所以这不需要是代理......只是可以下载并以某种方式过滤的东西/旗帜。

Answer 1

当然，您可以这样做——登录每个邮箱并扫描邮件内容中竞争对手的姓名。您可能最好编写一个脚本来执行此操作（您没有告诉我们您使用的是什么操作系统或邮件软件，但是有一些很好的 POP3 Perl 模块您几乎可以在任何平台上使用。老实说，您想要在服务器上执行此操作而不是浪费带宽）。

话虽如此，为什么要打扰？
除非你打算将你的网络锁定到无法用于固定和有限任务集之外的任何事情的程度，否则你真的无能为力阻止一个坚定的鼹鼠窃取数据。您应该集中精力分析被怀疑的特定员工的活动，以收集在法庭上使用的证据。

长话短说：企业安全很难。
如果你不能信任你的用户，至少到了你只做有针对性的调查的地步，一切都会失去。

（您几乎可以跳过阅读接下来两个小节之间的所有内容，这只是说明性的夸张:)

让我们来看看您必须解决的一些途径，以真正保护您的环境并确保“捕获”所有内容。

首先，你提到的基于词的内容过滤器寻找internal terminology that should never be sent via e-mail.内容过滤器非常普遍SUCK，所以，除非您的内部术语是SO具体的，没有人会永远使用它在正常的谈话，你可能要从头开始这个想法。如果您保留它，请参阅下文有关加密和隐写术的信息。

所以接下来要做的事情是：如果您的用户登录并在您看到消息之前删除它们，您的检测系统已损坏，会发生什么。
为了缓解这种情况，您可以为公司发送的所有电子邮件设置卷影副本，或者您可以扫描邮件服务器日志以查找可疑To:域。（理想情况下，如果您扫描整个电子邮件会更好，但这将需要在路径中间某处的邮件扫描服务器，或者我刚刚提到的卷影复制）。

当然，如果您的用户的联系人足够聪明，可以使用 gmail、他们的家庭地址或其他您不会与竞争对手联系的东西，那么这一切都会失败。
您当然可以阻止这些域，但黑名单永远不起作用。您必须将允许您的用户发送到的域列入白名单，然后有一天他们必须回应大重要客户的首席执行官，他碰巧当天正在使用他的家庭电子邮件帐户并且不能将白名单的想法抛出窗外。
我怎么知道？我已经看到它发生了。

接下来让我们考虑规避（以及您的用户不是白痴的可能性）：
首先是简单的：加密。如果他们将敏感数据泄露为加密的 .zip 文件，您将不知道其中的内容。虽然很容易修复 - 禁止 .zip 文件！

加密的 PDF 也存在同样的问题。或包含扫描敏感文档图像（或屏幕截图，或其他任何不容易通过算法扫描的图像）的 PDF（后者，隐写术，将信息隐藏在明显的视线中。您的文本扫描不会知道图像中的内容毕竟）。

...所以为了彻底解决这个问题，我们必须禁止所有附件——这显然是不行的，你的老板会反对的。

但是，让我们假设您找到了解决上述所有问题的方法。您的用户是否可以在任意端口上打开与外部系统的连接？
世界上没有任何事情说 SMTP 必须在端口 25 上运行——您的用户可以通过端口 80 连接到公司外部的隐形邮件服务器并通过这种方式获取数据。

如果你覆盖那个途径，如果他们使用 {gmail, hotmail, Toby's FreeMail, 他们的家庭 ISP's webmail} 通过 HTTP 发送邮件怎么办？还是 HTTPS（您无法扫描请求正文以查找应该保密的内容）？

现在我们已经到了必须限制所有外部网络活动的地步，除了狭义定义的允许服务（站点 + 端口）列表——这会对您的业务造成多大的影响？

但是好吧，说老板真的很担心安全并告诉你把它锁起来。我们现在已经将您的网络缩小到您所能做的就是浏览公司的内部网。伟大的！用户很痛苦，但数据是安全的，对吧？我们赢了！
^{_{不！我们刚刚查看了电子邮件（以及一些 HTTP）。说，你的钥匙串上有一个 USB 驱动器吗？}}