做好電子郵件管理 企業內外安全無障礙
不管是自行建立,或是使用ISP提供的電子郵件服務,甚至採用免費電子郵件,企業對於電子郵件的依賴有增無減,對卻不見得能夠有效的管理和監督,與電子郵件有關的資料外洩或病毒攻擊,也是時有所聞。
在網擎資訊針對亞洲地區所整理的第三季電子郵件威脅樣本報告中則指出,本季垃圾信來源國家的第一、二名分別為中國及日本,而美國與台灣則並列第三,依序佔整體垃圾信的34.4% 、32.2% 與 3.9%。
至於病毒郵件方面,ASRC垃圾訊息研究中心(Active Spam-message Research Center)指出,許多以訂單、傳真通知等各種名義,夾帶有.exe或.scr病毒的壓縮附件檔的電子郵件,對企業也構成相當嚴重的影響。
當企業沒有將電子郵件的發送、內容處理或備份納入管理時,就只能依賴員工自行處理,一旦員工的資訊安全意識不足,就可能衍生許多問題。但就算企業設有保衛措施,來防止駭客入侵公司的電腦系統,以確保營業機密不被竊取或外流,所謂「外賊易擋,家賊難防」,企業其機密仍可能會被不肖員工由公司內部利用電子郵件洩漏出去。
台灣許多科技公司都曾發生離職員工以電子郵件將關鍵技術傳送出去,凸顯電子郵件的安全維護,是非常重要的問題。員工不但能運用網路將公司機密洩出,也可能運用企業的網路從事私人用途,耗費企業頻寬,妨礙公務的進行。或是違法使用,為企業帶來法律問題,造成極大的損害。也有人會利用網路散播不實謠言,使公司的商譽受損。
事實上,不僅是國內已經實施的個資法,包括沙賓法案、日本個人情報保護法、BSI7799法規等,許多國家也都已針對企業電子郵件的資訊安全,訂定相關法規,對跨國企業而言,由於電子郵件的流通性極強,就算沒有違反本國的法規,一不小心仍有可能觸犯其他國家的法律規定,不可不慎。
企業應強化電子郵件自動化管理技術
電子郵件隨著時代的演進,已經成為組織的重要溝通媒介,因此除了基本的郵件溝通系統外,也進而衍生出相關需求,如郵件歸檔、郵件加密、大檔傳送與附檔安全分享等,每項需求都已經演化成不同的產品。
由於電子郵件數量龐大,電子郵件的自動化管理機制非常重要。如何讓電子郵件在傳送之後,就能自動受到保護,包括針對電子郵件附件檔案的搜尋及保護,或是透過禁止轉寄的原則套用,讓機密訊息不會流向網際網路,也是電子郵件非常重要的權限規則管理重點。更重要的是,由於行動化趨勢使然,電子郵件的權限規則管理,一定要做到跨越PC、Web Mail及行動裝置等多平台環境。
如灰名單(Greylist)技術除可有效減少垃圾郵件外,對防範病毒郵件亦有一定效果,部分病毒因為會使用內置SMTP引擎進行大量發送,其行為模式類同廣告信/垃圾信,發送後不會理會遠端郵件主機狀態,而灰名單技術便可依據設定原則拒收此類威脅郵件,但灰名單技術不可避免的會造成郵件延遲問題,正確接收到郵件的時間視發送端重送間隔時間的設置,可能由數分鐘到數小時,對郵件時效性較要求的企業可能不適用此技術。
此外,許多電子郵件往往會顯示來自著名公司,甚至是自身公司網域、自身電子郵件位址,但其內容卻是如假包換的垃圾信、偽冒詐騙信。為了對付偽冒信件,網域驗證技術也就應運而生,如Hotmail主推的SPF,或是雅虎(Yahoo!)主推的Domain Key技術。
另外,發送方策略框架(Sender Policy Framework;SPF)技術,也是一種有效的垃圾郵件防治方案,主要觀念為定義宣告網域的發信IP(SPF記錄),接收郵件方會根據你的SPF記錄,確定連接過來的IP地址是否被包含在SPF記錄裏面,如果在,則認為是一封正確的郵件,否則就認為是一封偽造的郵件。
注意法規配合管理技術
電子郵件的發展與應用,改變了企業內外溝通的方式,有別於傳統效率不彰的寄送方式,電子郵件寄送後幾乎可即時到達對方,比任何傳統快遞更加快速便利,但隨著便利而來的,是有心人士的不當使用與攻擊威脅,攻擊與防範技術之間的角力亦似乎永無止盡,因此除了技術面問題之外,或許也有賴政府法案的交互配合,才能進一步達成嚇阻效果。
但企業也因此要面對各種可能觸法的問題,也因此增加電子郵件管理的困擾。如依據個資法第30條規定,損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。因此,電子郵件的保留年限,至少兩年,最多五年,也讓企業電子郵件系統的擴增需求不斷擴大,容易形成管理負擔。
因此,企業在建置電子郵件管理系統時,一方面要兼顧大容量需求,但同時也要考慮成本,更要同時兼顧事前及事後管理。事前管理方面,可透過郵件提示(MailTips)功能,針對用戶端可透過早期預警系統,提示用戶寄送對象可能有問題,或是提示不能執行的作為,如發送大量使用者或受限制的通訊群組,郵件過大或信箱已滿等問題。對系統而言,郵件提示功能可避免不必要的伺服器負載,還可避免違反行政規定。
而在事後的歸檔及封存方面,企業電子郵件的保留原則,應可做到自動和時間的基準方式,同時要將規則套用至文件夾或項目方式,並在郵件上呈現文件過期日期,以免讓電子郵件因為過期,而影響保留價值。至於合法保存方面,除了保存、刪除和編輯的基本功能外,管理系統也應提供警示功能,提醒使用者特定郵件不能刪除(如處於訴訟保留狀態)。
至於搜尋功能方面,除了應提供簡易的Web郵件搜尋介面,讓使用者可以在跨平台設備執行外,也應讓使用者可以在線上封存信件,或是復原刪除郵件項目,以強化搜尋後的管理功能。
讓電子郵件成為有效的溝通利器
作為最常用的辦公應用之一,電子郵件管理勢必也得根據企業用戶的使用習慣和需求而有所因應,其是員工自帶設備上班(Bring Your Own Device;BYOD)趨勢已然成形,企業電子郵件系統,勢必得支持多平台(webmail、Outlook客戶端等)、多設備(PC、iPad等)、多系統(iOS、Android等)等需求。
目前,較為知名的郵件系統或企業電子郵件軟體,都已針對行動化需求設計各種功能,許多社群網站如Facebook、Google+都有提供電子郵件服務,或是與現行的電子郵件系統連結,許多社群網站的動態,不但會藉由電子郵件提醒,許多社群網站的用戶帳號,也都會連結電子郵件。因此,企業電子郵件的管理重點,必須要設法與企業原有的資訊化體系連結融合,如企業粉絲專頁所收到的訊息或動態牆的重要動態,僅僅只是透過企業既有的電子郵件轉發是不夠的,包括附件管理、安全問題、郵件備份等需求,也必須一併加以考量,才能讓電子郵件成為企業有效的溝通利器。