Интеграция Почты с внешними системами защиты от утечек
Для защиты исходящей почты от утечек в Яндекс 360 для бизнеса можно использовать внешние DLP-системы. DLP (Data Loss Prevention) — это технология, которая помогает обнаружить и предотвратить передачу сотрудниками конфиденциальной информации, такой как персональные данные, коммерческая тайна, интеллектуальная собственность и т. д.
Интеграция с DLP-системами доступна в тарифах Расширенный и Оптимальный.
Как это работает
После настройки интеграции вся исходящая почта сотрудников попадает в DLP-систему. DLP на основе заданных правил определяет, есть ли в отправляемых письмах данные, которые считаются конфиденциальными. Если нарушение обнаружено, система действует в соответствии со своими настройками: отправляет уведомления администратору безопасности, записывает событие во внутренний журнал аудита и т. д.
Также через DLP-систему при необходимости можно проверять входящую почту на наличие запрещенной информации, фишинга или спама.
Внимание
По умолчанию максимальное количество писем, которое может проходить в час через DLP-систему — 10 000. Лимит действует на все письма в совокупности: и на исходящие, и на входящие. Чтобы увеличить лимит, обратитесь к вашему аккаунт-менеджеру.
Настройка взаимодействия с DLP
-
В вашей организации в Яндекс 360 для бизнеса создайте отдельного пользователя для работы с DLP-системой (например, с логином dlp). Как это сделать
-
Настройте пересылку исходящей почты всех сотрудников на ящик созданного dlp-пользователя. Для этого потребуется работа с API.
-
Воспользуйтесь инструкцией на странице Доступ к API, чтобы получить OAuth-токен. При создании приложения выберите доступы
ya360_admin:mail_read_routing_rules
иya360_admin:mail_write_routing_rules
.Если OAuth-приложение уже создано, но у него нет нужных прав доступа, добавьте их. После сохранения изменений система предложит выпустить новый токен.
-
Определите идентификатор вашей организации: откройте admin.yandex.ru и выберите Общие настройки → Профиль организации. Идентификатор будет указан под названием организации.
Скриншот
-
Получите список правил обработки писем, настроенных в вашей организации, чтобы обновить его.
-
Сформируйте и отправьте API-запрос на получение списка правил:
-
HTTP-метод:
GET
-
URL запроса:
https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
где
{ОРГАНИЗАЦИЯ}
— идентификатор организации, полученный на шаге 2.2.Пример
https://api360.yandex.net/admin/v1/org/1234567/mail/routing/rules
-
Заголовок:
Authorization: OAuth {OAUTH-ТОКЕН}
где
{OAUTH-ТОКЕН}
— OAuth-токен, полученный на шаге 2.1.
Если вы работаете на Windows, то отправить запрос на получение списка правил обработки писем можно с помощью команды
curl
такого вида:curl -X GET -H "Authorization: OAuth {OAUTH-ТОКЕН}" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
где
{OAUTH-ТОКЕН}
— OAuth-токен, полученный на шаге 2.1;
{ОРГАНИЗАЦИЯ}
— идентификатор организации, полученный на шаге 2.2.Я не понимаю, как это сделать
- Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
- Нажмите кнопку поиска на панели задач Windows, напишите в поисковой строке
cmd
и нажмите клавишу Enter. - Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.
-
-
Проанализируйте полученный ответ:
- Если в списке нет ни одного правила обработки, переходите к следующему шагу.
- Если список непустой, скопируйте полученный ответ, в любом текстовом редакторе создайте файл, вставьте в него полученный код и сохраните его в формате JSON (например, с именем
rules-list.json
).
-
-
Подготовьте новый список правил. Порядок действий зависит от полученного ответа на предыдущий запрос.
В списке уже есть правилаВ списке пока нет правилДобавьте в начало списка правило пересылки исходящей почты на ящик dlp-пользователя:
-
В текстовом редакторе откройте файл
rules-list.json
. -
После текста
{"rules":[
добавьте следующий код:{"terminal":false,"condition":{},"actions":[{"data":{"email":"dlp@domain.ru"},"action":"forward"}],"scope":{"direction":"outbound"}},
где
dlp@domain.ru
— электронный адрес пользователя, созданного на шаге 1. -
Сохраните файл с именем
rules-list-new.json
.
Создайте файл с именем
rules-list-new.json
со следующим содержимым:{ "rules": [ { "terminal": false, "condition": {}, "actions": [ { "data": { "email": "dlp@domain.ru" }, "action": "forward" } ], "scope": { "direction": "outbound" } } ] }
где
dlp@domain.ru
— электронный адрес пользователя, созданного на шаге 1. -
-
Сформируйте и отправьте API-запрос, который создает плавило пересылки исходящей почты.
-
HTTP-метод:
PUT
-
URL запроса:
https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
где
{ОРГАНИЗАЦИЯ}
— идентификатор организации, полученный на шаге 2.2.-
Заголовки:
Authorization: OAuth {OAUTH-ТОКЕН} Content-Type: application/json
где
{OAUTH-ТОКЕН}
— OAuth-токен, полученный на шаге 2.1. -
Тело запроса: содержится в файле
rules-list-new.json
, созданном на шаге 2.4.
Если вы работаете на Windows, то отправить запрос на создание правила пересылки можно с помощью команды
curl
такого вида:curl -X PUT -H "Authorization: OAuth {OAUTH-ТОКЕН}" -H "Content-Type: application/json" -d "@rules-list-new.json" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
где
{OAUTH-ТОКЕН}
— OAuth-токен, полученный на шаге 2.1;rules-list-new.json
— файл с телом запроса, созданный на шаге 2.4;{ОРГАНИЗАЦИЯ}
— идентификатор организации, полученный на шаге 2.2.Я не понимаю, как это сделать
- Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
- Откройте папку, в которой лежит файл
rules-list-new.json
. - Нажмите на пустое место в адресной строке.
- Напишите туда
cmd
и нажмите клавишу Enter. - Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.
-
-
Проверить, что правило создалось, можно, отправив API-запрос на просмотр правил обработки писем по инструкции из шага 2.3.
-
-
Чтобы проверять входящую почту на конфиденциальную информацию, для нее также настройте правила пересылки на ящик dlp-пользователя. Это можно сделать в интерфейсе Яндекс 360 для бизнеса по инструкции.
-
Настройте ящик dlp-пользователя для работы по протоколу IMAP:
-
Откройте раздел Почтовые программы в настройках Яндекс Почты dlp-пользователя.
-
В разделе Разрешить доступ к почтовому ящику с помощью почтовых клиентов выберите опции:
- С сервера imap.yandex.ru по протоколу IMAP
- Способ авторизации по IMAP → Пароли приложений и OAuth-токены
Скриншот
-
Сохраните изменения.
-
-
Создайте пароль приложения для доступа к почтовому ящику dlp-пользователя:
-
Откройте страницу Пароли приложений Яндекс ID dlp-пользователя.
-
В разделе Создать пароль приложения нажмите в строке Почта.
-
Придумайте название пароля, например, dlp-access. С этим названием пароль будет отображаться в списке.
-
Нажмите кнопку Далее — на экране появится созданный пароль. Скопируйте и сохраните его.
Внимание
Пароль можно увидеть только один раз. Если вы не сохранили его и закрыли окно, удалите текущий пароль и создайте новый.
-
-
Во внешней DLP-системе настройте подключение к ящику dlp-пользователя по IMAP с использованием полученного пароля приложений. Общие параметры настройки:
- Адрес почтового сервера —
imap.yandex.ru
. - Защита соединения —
SSL
. - Порт —
993
.
- Адрес почтового сервера —
За подробной инструкцией по настройке обратитесь к документации или поддержке производителя DLP-системы.
API — специальный механизм управления сервисами Яндекс 360, предназначенный прежде всего для автоматизации процессов. Есть два способа работать с API: создать специальное приложение (это может сделать разработчик) или использовать командную строку компьютера. Документация для разработчиков содержится в отдельной справке.
Специальное программное обеспечение для защиты данных от кражи или утечки.
Специальный код, разрешающий доступ к данным от имени конкретного пользователя.
Универсальный формат для представления структурированных данных в виде текста. Широко применяется в веб-разработке, API, обмене данными и хранении информации.
Двусторонний протокол для получения сообщений с сервера электронной почты. Сообщения и папки хранятся на сервере и синхронизируются с почтовым клиентом — это позволяет работать с почтой на разных устройствах. Для работы с Яндекс Почтой рекомендуется использовать протокол IMAP.