大家好,我是公司 IT 負責人,最近有個專案想先評估可行性,再決定是否導入,想請教有經驗的前輩們
目前痛點是希望針對外部收信做到一定程度的資訊管控
公司現況
@ 員工總數:約 600 人
@ 郵件系統:第三方 Linux Mail Server(公司內部用 Outlook.webmail 收發信件)
@ AD 環境:地端自建 Windows AD
@ Office 版本:單機授權(非 Microsoft 365)
@ 無 Exchange Server
想達成的目標
疑問與請教
Q1 這種「部分雲端 + 部分地端」的混合模式,是否可行?
Q2 在 Microsoft 365 環境中,是否能精準做到外部收信可看內文、但限制附件下載的控管?
Q3 如果可以,有沒有前輩能分享技術實作方向與注意事項(例如 DLP、IRM、MAM)?
已邀請的邦友 {{ invite_list.length }}/5
你要的功能都可以做到, 但有一個限制:
用戶在外面收發郵件, 只能使用以下軟體之一:
1.Outlook OWA 網頁版 + Conditional Access Policy
2.新版 Outlook for Windows(Monarch, 不可用 Classic)
3.Microsoft 365 Outlook
4.手機版 Outlook 365 App
也就是說, 只有用戶端是透過 MAPI/EWS/Graph 協定, 向 M365 Exchange Online (雲端版) 信箱拿到的信件, 才具備: 禁止下載或轉存附件的功能. 而且即使該信又被用戶轉寄出去, 附件也會自動被撕離封裝, 不會被寄出.
但, 如果用戶端自己安裝其他的郵件軟體去存取 M365 信箱, 禁止下載就破功了. 因為非微軟設計的郵件軟體, 不會遵守管制協定, 提供這個禁制功能.
所以現在的難題變成:
你有沒有辦法管控用戶, 強制它們在外面只能使用上述四種軟體來讀信?
如果可以確實辦到無漏洞, 那就可以這樣實作.
第二個問題:
附件可以被預覽, 你無法禁止預覽的螢幕畫面被拍照; 除非, 你連預覽功能都關掉.
是的, 地端不需架設 Exchange Server, 但你會用到雲端的 Exchange Online 郵件服務, 來收發那些有 E3 授權的信箱, 因為只有透過: Exchagen Online 搭配 Outlook Client, 才能有這個禁止下載的功能.
事實上, 整個郵件路由會轉變為:
外部信件->M365 Exchange->是否有E3授權?->
比較麻煩的是內部信件, 例如:
Linux 信箱裡面的人, 想寄信給 E3 信箱
為了解決內部路由的問題, 你不能再把 MX 指向內部 Linux Mail Server, 而必須統一都指向 M365 MX, 由 M365 來決定: 信應該送到哪裡去? (因為只有一個 mail domain, 而兩種信箱都要共用此 domain, 所以必須有一個入口負責仲裁信件路由)
只是變更 MX 和 Client 端的 SMTP 設定而已, 其餘(POP/IMAP)不變.
只要使用標準技術協定,就無法確保不會被第三方應用程式存取,很難說不會有第三方軟體漏洞的可能。
另外一條路是你可以透過登入存取控制的方式控制登入方式與應用程式,但這個會是你想要的嗎?
嗨嗨 b127699315想詢問您目前遇到的問題有排除了嗎~
iThome鐵人賽
看影片追技術