Интеграция Почты с внешними системами защиты от утечек

Для защиты исходящей почты от утечек в Яндекс 360 для бизнеса можно использовать внешние DLP-системы. DLP (Data Loss Prevention) — это технология, которая помогает обнаружить и предотвратить передачу сотрудниками конфиденциальной информации, такой как персональные данные, коммерческая тайна, интеллектуальная собственность и т. д.

Интеграция с DLP-системами доступна в тарифах Расширенный и Оптимальный.

Как это работает

После настройки интеграции вся исходящая почта сотрудников попадает в DLP-систему. DLP на основе заданных правил определяет, есть ли в отправляемых письмах данные, которые считаются конфиденциальными. Если нарушение обнаружено, система действует в соответствии со своими настройками: отправляет уведомления администратору безопасности, записывает событие во внутренний журнал аудита и т. д.

Также через DLP-систему при необходимости можно проверять входящую почту на наличие запрещенной информации, фишинга или спама.

Внимание

По умолчанию максимальное количество писем, которое может проходить в час через DLP-систему — 10 000. Лимит действует на все письма в совокупности: и на исходящие, и на входящие. Чтобы увеличить лимит, обратитесь к вашему аккаунт-менеджеру.

Настройка взаимодействия с DLP

  1. В вашей организации в Яндекс 360 для бизнеса создайте отдельного пользователя для работы с DLP-системой (например, с логином dlp). Как это сделать

  2. Настройте пересылку исходящей почты всех сотрудников на ящик созданного dlp-пользователя. Для этого потребуется работа с API.

    1. Воспользуйтесь инструкцией на странице Доступ к API, чтобы получить OAuth-токен. При создании приложения выберите доступы ya360_admin:mail_read_routing_rules и ya360_admin:mail_write_routing_rules.

      Если OAuth-приложение уже создано, но у него нет нужных прав доступа, добавьте их. После сохранения изменений система предложит выпустить новый токен.

    2. Определите идентификатор вашей организации: откройте admin.yandex.ru и выберите Общие настройки → Профиль организации. Идентификатор будет указан под названием организации.

      Скриншот

    3. Получите список правил обработки писем, настроенных в вашей организации, чтобы обновить его.

      1. Сформируйте и отправьте API-запрос на получение списка правил:

        • HTTP-метод: GET

        • URL запроса:

          https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
          

          где {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

          Пример
          https://api360.yandex.net/admin/v1/org/1234567/mail/routing/rules
          
        • Заголовок:

          Authorization: OAuth {OAUTH-ТОКЕН}
          

          где {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1.

        Если вы работаете на Windows, то отправить запрос на получение списка правил обработки писем можно с помощью команды curl такого вида:

        curl -X GET -H "Authorization: OAuth {OAUTH-ТОКЕН}" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
        

        где

        {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1;
        {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

        Я не понимаю, как это сделать
        1. Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
        2. Нажмите кнопку поиска на панели задач Windows, напишите в поисковой строке cmd и нажмите клавишу Enter.
        3. Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.
      2. Проанализируйте полученный ответ:

        • Если в списке нет ни одного правила обработки, переходите к следующему шагу.
        • Если список непустой, скопируйте полученный ответ, в любом текстовом редакторе создайте файл, вставьте в него полученный код и сохраните его в формате JSON (например, с именем rules-list.json).
    4. Подготовьте новый список правил. Порядок действий зависит от полученного ответа на предыдущий запрос.

      Добавьте в начало списка правило пересылки исходящей почты на ящик dlp-пользователя:

      1. В текстовом редакторе откройте файл rules-list.json.

      2. После текста {"rules":[ добавьте следующий код:

        {"terminal":false,"condition":{},"actions":[{"data":{"email":"dlp@domain.ru"},"action":"forward"}],"scope":{"direction":"outbound"}},
        

        где dlp@domain.ru — электронный адрес пользователя, созданного на шаге 1.

      3. Сохраните файл с именем rules-list-new.json.

      Создайте файл с именем rules-list-new.json со следующим содержимым:

      {
        "rules": [
          {
            "terminal": false,
            "condition": {},
            "actions": [
              {
                "data": {
                  "email": "dlp@domain.ru"
                },
                "action": "forward"
              }
            ],
            "scope": {
              "direction": "outbound"
            }
          }
        ]
      }
      

      где dlp@domain.ru — электронный адрес пользователя, созданного на шаге 1.

    5. Сформируйте и отправьте API-запрос, который создает плавило пересылки исходящей почты.

      • HTTP-метод: PUT

      • URL запроса:

      https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
      

      где {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

      • Заголовки:

        Authorization: OAuth {OAUTH-ТОКЕН}
        Content-Type: application/json
        

        где {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1.

      • Тело запроса: содержится в файле rules-list-new.json, созданном на шаге 2.4.

      Если вы работаете на Windows, то отправить запрос на создание правила пересылки можно с помощью команды curl такого вида:

      curl -X PUT -H "Authorization: OAuth {OAUTH-ТОКЕН}" -H "Content-Type: application/json" -d "@rules-list-new.json" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
      

      где

      {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1;

      rules-list-new.json — файл с телом запроса, созданный на шаге 2.4;

      {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

      Я не понимаю, как это сделать
      1. Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
      2. Откройте папку, в которой лежит файл rules-list-new.json.
      3. Нажмите на пустое место в адресной строке.
      4. Напишите туда cmd и нажмите клавишу Enter.
      5. Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.
    6. Проверить, что правило создалось, можно, отправив API-запрос на просмотр правил обработки писем по инструкции из шага 2.3.

  3. Чтобы проверять входящую почту на конфиденциальную информацию, для нее также настройте правила пересылки на ящик dlp-пользователя. Это можно сделать в интерфейсе Яндекс 360 для бизнеса по инструкции.

  4. Настройте ящик dlp-пользователя для работы по протоколу IMAP:

    1. Откройте раздел Почтовые программы в настройках Яндекс Почты dlp-пользователя.

    2. В разделе Разрешить доступ к почтовому ящику с помощью почтовых клиентов выберите опции:

      • С сервера imap.yandex.ru по протоколу IMAP
      • Способ авторизации по IMAP → Пароли приложений и OAuth-токены
      Скриншот

    3. Сохраните изменения.

  5. Создайте пароль приложения для доступа к почтовому ящику dlp-пользователя:

    1. Откройте страницу Пароли приложений Яндекс ID dlp-пользователя.

    2. В разделе Создать пароль приложения нажмите в строке Почта.

    3. Придумайте название пароля, например, dlp-access. С этим названием пароль будет отображаться в списке.

    4. Нажмите кнопку Далее — на экране появится созданный пароль. Скопируйте и сохраните его.

      Внимание

      Пароль можно увидеть только один раз. Если вы не сохранили его и закрыли окно, удалите текущий пароль и создайте новый.

  6. Во внешней DLP-системе настройте подключение к ящику dlp-пользователя по IMAP с использованием полученного пароля приложений. Общие параметры настройки:

    • Адрес почтового сервера — imap.yandex.ru.
    • Защита соединения — SSL.
    • Порт — 993.

За подробной инструкцией по настройке обратитесь к документации или поддержке производителя DLP-системы.

Написать в службу поддержки