שאלה מוזרה מאד

[0 אור 0]

שאלה מוזרה מאד

התבקשתי על ידי המנהל להבטיח שאף אחד מעובדי החברה לא יכול לגשת לתא הדואר שלו (שרת exchange) - הבעיה היא שהוא כולל בעובדי החברה את האדמיניסטרטור של הרשת - שהוא זה שקובע ומסדר את ההרשאות. מהמותן עניתי שאין דבר כזה שבן אדם יכול להגביל את עצמו - אז הנה שאלה לפורום הנכבד: מישהו שמע על דבר כזה? יש איזה הוקוס פוקוס שמאפשר לי לחסום את עצמי? (למען האמת - נגיד שכן, אז לא ברור לי מה קורה במקרה של תקלה שדורשת תמיכה, אבל בואו קודם נראה אם יש בכלל כן)

 

[antidot]

תשובה בהמשכים

כן - אפשר. כן, זה יכול לגרום לבעיות בהמשך כאשר יווצר צורך בטיפול בתקלות הקשורות לתיבה שלו. צריך להבין שDomain Administrator הוא אלוהים ברשת ולמרות שעל פניו ניתן לחסום לו גישה, יש יותר מדרך אחת שמי שנמצא בקבוצת Domain Admins יוכל להחזיר לעצמו הרשאות. אין דבר כזה: לחסום משהו מDomain Admin... או שסומכים על מנהל הרשת או שלא נותנים לו הרשאות של Domain Admin...

 

[0 אור 0]

זהו שאני פחות מומחית

מהאדמיניסטרטורים האחרים שיש ברשת ולכל חסימה שאני מכירה, אני יודעת איך לעקוף אותה גם בלי שהאחרים ידעו (בוא נגיד שהכי הרבה לגשת לשרת עצמו ולהכנס דרכו , ואת זה אף אחד לא יוכול לחסום) אז השאלה אם יש משהו כזה שאני לא מכירה?

 

[bilbobagginz]

ב'סדר

אפשר להוסיף שרת דוא"ל נוסף - שלא יהיה exchange אלא IMAP. את השליחה יבצע ע"י שרות SMTP של הexchange. את שרת הדואר הנוסף הזה אפשר להתקין על מערכת נוספת ממשפלת יוניקס. ושם אפשר לא לתת למנהלי הרשת הרגילים זכויות בכלל, ואת חשבונות ניהול המחשב לתת למנהל שלך. את שרת exchange יש להגדיר כך, שיאפשר relay לשרת זה, ולכן התיבה תשב על מחשב אחר, שעליו תצטרכו לוותר. אבל באופן זה קיבלתם את מה שרציתם: תיבה של המנהל נמצאת על מחשב אחר, שאליו אין לאדמינים גישה המאפשרת קריאה. ועם זאת אין דרך להבטיח את שלום התיבה ללא הצפנת מכתבים עצמם: אותו מנהל הרשת יכול להאזין לתעבורת רשת בעזרת תוכנה מיוחדת (sniffer) ולהרכיב מכתבים בלי בעיה, הרי אפילו אם EXCHANGE מעביר את הנתצונים באופן מוצפן, עדיין השרת עצמו יכול לפענח את ההצפנה הזו. לפי דעתי PGP(מסחרי) או GnuPG (חופשי - וגם חינם) - כלי הצפנה , זה מה שאתם צריכים.