Рейтинг:0

Как разрешить только определенным почтовым клиентам доступ по IMAP

флаг im

Моя компания раздает сотрудникам новые Android-смартфоны, и они должны иметь возможность управлять своей электронной почтой на них. В настоящее время доступен только доступ через веб-почту, но мобильный клиент веб-почты (Zimbra) неудобен и очень ограничен в возможностях. Поэтому предоставление доступа к почтовым клиентам (мобильным приложениям) кажется хорошим ходом. Однако в этом сценарии клиентское программное обеспечение не будет контролироваться компанией, поэтому мне нужно найти способ ограничить доступ к электронной почте для клиентских приложений, установленных компанией, на выпущенных смартфонах. Что в настоящее время считается лучшей практикой для этого (в среде, основанной на открытых стандартах, не в среде MS)?

Я нашел статьи, в которых предлагаются сертификаты S/MIME, но, похоже, они касаются гораздо большего, чем просто регулирование клиентского доступа (также шифрование и т. д.).

Потребуется ли реализация S/MIME для мобильных/настольных клиентов сделать то же самое для сеансов веб-почты (установка сертификатов в браузерах...), или можно ли настроить стандартный сервер таким образом, чтобы требовать аутентификацию сертификата только от мобильных/настольных клиентов а не из браузеров?

anx avatar
флаг fr
anx
Ваши возможности могут быть ограничены любым решением MDM, которое вы используете для предоставления учетных данных электронной почты (вы *передаете* телефоны компании под управление компании, поэтому в первую очередь на устройстве может быть установлено только авторизованное программное обеспечение, верно?)
флаг in
Это явно организационная проблема, а не проблема ИТ. Пусть все пользователи подпишут формулу соответствия, в которой говорится, что доступ разрешен только с использованием предоставленного почтового клиента. Кстати: S/Mime предназначен для подписи и/или шифрования электронных писем, он не поможет вам ограничить пользователей определенным почтовым приложением.
anx avatar
флаг fr
anx
Отличаются ли первые шаги в ваших контрольных списках для «смартфон взломан третьей стороной, учетные данные использованы в другом месте» и «смартфон взломан сотрудником, учетные данные использованы в альтернативном приложении»? Потому что, если нет, почему бы просто не согласиться с «У нас уже есть мониторинг для этого, просто добавьте другое правило оповещения для неизвестного пользовательского агента»?
Ben Opp avatar
флаг im
@anx, да, телефоны управляются с помощью Apptec360 mdm
Ben Opp avatar
флаг im
@anx О втором вопросе года, я бы сказал да - сотрудник будет использовать доступ к электронной почте по назначению, но с непроверенным, потенциально небезопасным программным обеспечением, в то время как третья сторона, вероятно, будет использовать учетные данные для злонамеренных целей (рассылка спама .. .). Tbh, я не знаю настроек сервера, таких как правила оповещения (это кто-то другой управляет). Вы говорите, что клиенты могут быть заблокированы на основе пользовательского агента?
Ben Opp avatar
флаг im
@Robert, насколько я понял процесс аутентификации s/mine, сервер будет принимать учетные данные для входа только от клиентов, которые представляют действительный сертификат, поэтому клиенты, у которых он не установлен, не могут войти в систему, но у меня сложилось впечатление, что это не то, для чего предназначен s/mime. Я также думаю, что нам не нужно искать техническое решение для этого, но руководство просит его. Однако верное замечание, что это не обязательно правильный путь.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.