reenviar el correo electrónico de la compañía a la dirección de correo electrónico de un contratista

No estoy seguro de bloquear el inicio de sesión, pero creo que puedes. Estoy bastante seguro de que hay una configuración en AD que bloquea el inicio de sesión, pero no sé si eso tiene otros efectos.

Con respecto al intercambio de datos ...

Usted debe, como mínimo, tener un contrato de intercambio de datos entre usted y el contratista para que pueda legalmente reclamarlos.

Si necesita mantener un control más estricto de la información, debe restringirlos para que utilicen su propio sistema de correo. Recuerde que, una vez que los datos salen de su sistema de correo electrónico, tiene poco control sobre los canales por los que pasa, ni control sobre si esos canales son seguros.

En última instancia, esto se reducirá a un equilibrio entre costo, conveniencia y seguridad, y usted debe comprender tanto los riesgos como los impactos antes de poder tomar una decisión sensata. Si trabaja en una industria regulada o si es una organización de alto riesgo, los riesgos e impactos son mucho más altos y es casi seguro que debería usar solo su sistema interno y limitarse a los dispositivos controlados. En el otro extremo de la escala, puede ver poco impacto en la pérdida de datos ocasionalmente o poco riesgo de que alguien esté lo suficientemente interesado para intentar interceptar datos y, en ese caso, no se molestaría.

Prohibimos el reenvío automático de correo electrónico corporativo a cuentas de correo electrónico externas como parte de nuestra política de Uso Aceptable. Esta política se aplica al personal, contratistas y cualquier otro tercero que tenga acceso a nuestros sistemas.

Consulte el siguiente artículo sobre cómo crear políticas de Exchange que restrinjan o permitan el reenvío enlace

Si su organización aún no cuenta con una política de uso aceptable, puedo sugerirle que obtenga una copia de la siguiente plantilla de SANS como punto de partida enlace

Buena suerte y sigan con el buen trabajo. Reenviar el correo electrónico de la empresa fuera de la empresa es un problema real.

Estaré más o menos de acuerdo con @Julian Knight (+1) y argumentaré que es una cuestión de equilibrio de costos, conveniencia y seguridad. Es definitivamente cierto que, una vez que la información abandona sus servidores de correo electrónico, no puede hacer nada para protegerla. Por otra parte, usted quiere que sus contratistas puedan leer los correos electrónicos .

Uno puede argumentar que implementar su propio sistema de correo electrónico (por ejemplo, colocando Office 365 encima del servidor de Exchange, o incluso algo mucho más simple como webpine) en lugar de simplemente reenviar el correo electrónico a otros clientes de correo electrónico, evitará que los correos electrónicos salgan de sus servidores. a menos que el usuario inicie sesión. Sin embargo, cuando el usuario inicia sesión y ve el correo electrónico, nada puede impedirle copiar y pegar el texto del correo electrónico en un editor de texto .

Por lo tanto, no hay una mejora real de la seguridad en la implementación de su propio sistema de correo electrónico en lugar de proporcionar acceso IMAP o POP3, por supuesto, a través de TLS (lo que no es lo mismo que reenviar, pero se puede hacer funcionar como tal con algún tipo) de trabajo periódico). El texto del correo electrónico siempre terminará en la computadora del contratista para que él pueda leerlo.

Por otra parte, poner en marcha su propio sistema o obligar a los contratistas a usar clientes específicos puede ser peor en términos de seguridad que usar un estándar bien definido como STARTTLS - RFC 7812 . No solo puede sufrir errores de codificación triviales, sino que un buen contratista puede verse tentado a encontrar estos errores para automatizar la recuperación de su correo electrónico.

Lo digo por experiencia personal: una empresa en la que trabajé una vez exigió a todos los usuarios de correo electrónico que instalaran una versión obsoleta de Internet Explorer porque su sistema de correo electrónico no funcionaría con una versión de nunca. Una pequeña secuencia de comandos de Python con un ingenioso User-Agent y un intérprete de JavaScript de 10 líneas hizo el truco de la recuperación automática de correo electrónico.

En resumen

El reenvío simple es una mala idea porque el correo electrónico puede terminar en un servidor de terceros que no está bajo su control o el control del contratista. Sin embargo, (en la mayoría de los casos), eso no significa que deba permitir el acceso al correo electrónico solo a través de clientes aprobados. Esto se debe a que, a menos que planee invertir una gran cantidad de tiempo de desarrollo y auditoría para asegurarse de que estos clientes aprobados no perderán los correos electrónicos, es mejor que utilice estándares bien conocidos.

Y una vez que le permite a un contratista leer los correos electrónicos, no debe preocuparse de que los correos electrónicos terminen en la computadora del contratista, terminarán allí sin importar lo que haga. Si el contratista tiene un servidor de correo electrónico propio y desea utilizar IMAP sobre TLS para sincronizar su servidor con el suyo, no hay mucho que pueda hacer para evitarlo. Si consigue que el servidor de correo se vea comprometido, es culpa suya , y no es realmente diferente de que él haya perdido su computadora junto con los datos de la compañía.