Шифрование электронной почты для хранения на почтовом сервере


Добрый день!
Хочу обсудить следующую задачу.

Имеем:
корпоративный почтовый сервер exchange server 2013. Вся входящая и исходящая корреспонденция хранится на почтовом сервере. Соответственно в компании есть человек обладающий учетной записью с правами администратора домена. Соответственно этот человек может прочитать любой почтовый ящик любого сотрудника. Ролевая система безопасности почтовика против него бессильна. Он может назначать себе любые права и роли.
Есть руководство компании которое не хочет чтобы их почту читал кто-либо кроме них. Даже администратор домена который отвечает за функционирование и настройку всей IT инфраструктуры. Сужать круг общения с внешними абонентами (за счет передачи шифрованных писем) – руководство не хочет.

Необходимо:
Хранить в почтовых ящиках зашифрованную корреспонденцию (тело письма и вложения). Чтобы если администратор домена открыл почтовый ящик руководства, он не смог ни чего понять и расшифровать. При этом при отправке писем, они должны дешифроваться и поступать абоненту в открытом виде, чтобы у абонента не было необходимости в дополнительном ПО или ключах для расшифровки.
При этом, не все корпоративные почтовые ящики должны работать в таком режиме. Большинство не должны быть зашифрованы и их содержимое должно быть доступно администратору домена.

Мысли:
1. Шифровать на почтовом сервере всю поступающую корреспонденцию и дешифровать при отправке писем. Использовать стороннее ПО перехватывающее всю корреспонденцию и по адресу в письме понимающее какие письма необходимо шифровать и дешифровать.
2. Использовать стороннее ПО на стороне почтового клиента. Чтобы сам абонент мог шифровать в почтовом клиенте хранящуюся у него корреспонденцию. После сеанса синхронизации, зашифрованное письмо заменить на почтовом сервере открытый оригинал. Перед отправкой, абонент просто не шифрует письмо, а после отправки заходит в папку отправленные и проводит процедуру шифрования.

Что думаете?

P.S. варианты с разграничением прав админа домена и мониторингом его действий с стороны службы безопасности – не подходят.

Комментарии
— SATtva (21/11/2015 10:21)   

У Вас тут взаимоисключающие параграфы. Если шифрование не оконечное (выполняемое на машинах пользователей), то оно должно производиться централизованно на сервере. Если оно производится на сервере, то и шифровальное ПО, и шифровальный ключ лежат там же, плюс сообщения проходят через сервер в открытом виде. А раз так, то всё перечисленное может быть скомпрометировано администратором.


Полностью аналогично вышесказанному.


То есть открытый текст в том или ином виде попадает на сервер? И чем это лучше отсутствия шифрования вообще?
— pgprubot (21/11/2015 13:54)   

Очередной виндузятник набрёл на форум. Дальше можно не читать.


При чём тут сужение? Пусть руководство настроит себе PGP для почты. Для тех абонентов, с кем оно настроено, почтовые программы будут письма шифровать, для остальных — нет. Не вижу проблемы. Можно даже шифровать только принудительно по запросу, если какая-то галочка выставлена. Нет этой галочки — письмо отправляется нешифрованным, даже если ключ назначен абоненту.
— SATtva (21/11/2015 14:05)   

Расчехлю хрустальный шар и предположу, что речь о внешних корреспондентах за пределами организации. Вообще, прежде, чем задавать вопросы, топикстартеру следовало хотя бы для себя чётко сформулировать модель угрозы, тогда вопросы скорее всего сами бы отпали. Если главным противником выступает админ, то решение очевидно: вынести переписку за пределы администрируемого сервера (скажем, на Gmail — трафик до сервера шифруется, админ ничего не видит, внешние корреспонденты без поддержки шифрования остаются на связи).
— loginuser (22/11/2015 12:03)   
Не понятная модель, если компьютер начальника в домене или у админа есть доступ к компу начальника, то при желании админ прочитает переписку, как бы там почта не была настроена.
— uegen8 (23/11/2015 14:17)   
снести эксчендж, поставить лотус. В нем такие фокусы делаются просто.