Сегодня клиент озадачил вопросом: хочет чтобы запретить пересылать с корпоративных адресов на личные различные внутренние документы организации.
При этом отправку вложений в принципе запретить нельзя.
Понимаю что в таком виде желание практически не реализуемое, но хочется узнать как вообще решаются вопросы с контролем почтовой переписки в серьезных организациях

а если он зайдет на мейл.ру и оттуда пошлет?

(1) порезать мейл.ру - ответ очевиден :)

(0) серьезными дядями и массовыми расстрелами.

Назначить ответственного, который будет смотреть кто что куда отсылает и по башке потом стучать)

(0) доступ к бесплатным почтовикам можно закрыть
(1) хотят запретить отправку с корпоративной почты на домашнюю. Запрет мэйл.ру в организации проблему не решит

Ну и порезать все выходы наружу, кроме необходимого минимума

(6) не вариант. Есть сторонине контрагенты, с которыми ведется переписка.

Такие решения стоят денех. Юзай DLP-системы. Всё остальное детские шалости.

(7) Белый лист получателей

(7) про переписку в 4 было, а порезать выход в интернет ибо всевозможных сайтов с возможностью залить туда файл стало море

(10) ответственный это механизация а не автоматизация

А вообще, если челу надо что-то вытащить, то он это сделает.

(10) Как раз это зарезать можно. У нас, например, файло хрен куда отправишь - прокся не дает.

ни в одной серьезной организации, в которой я работал, даже если она была федерального уровня со множеством филиалов, и служба охраны была на редкость зла и строга, и явка на работу с собственным ноутбуком каралась только что не расстрелом, не велся контроль исходящей электронной корреспонденции.

Могу посоветовать создать список разрешенных почтовых адресов - адрес, добавивший его сотрудник, дата добавления, примечание (причина добавления) - и запаролированный интерфейс его редакции.

(11) ну ответственного можно и программой заменить)

(8) порядок цен таких решений можешь сказать?

т.е. присоединяюсь к (9)

Работал в компании где почта пересылается через админов.

(16) Все зависит от кол-ва рабочих мест и степени надежности решений, типа очки службам втереть или действительно озаботиться защитой от утечек.

(18) Это ж сколько человек там почтой пользовалось?

+(19) от пары млн и выше.
Ведь помимо технологических решений, необходимо разработать и внедрить нормативно-справочную документацию, типа что делать-то будем при обнаружении утечки, кого драть за безобразие, как в суде себя вести, если обиженный иск подаст? Ну и соответственно служба должна быть, что этой кухней будет заведовать.
Так что в первую очередь надо решить, стоит ли будить зверя.

что ж это за автоматизация, если требуется целая служба?
заинтересовался DLP.  но похоже, там упор не на направление исходящей информации, а на ее содержимое. т.е. не совсем то, о чем спрашивает ТС.

Нет, имхо в (9) предложен самый легковнедряемый и эффективный вариант. Если следовать (14) и не давать прав на удаление уже помещенных записей, ни один лишний адрес не пройдет мимо контроля.

(22) кто-то мониторить результаты должен, обеспечивать работоспособность? Значит будет ответственность. А это прописывается в должностных инструкциях, а должности... Дальше надо продолжать? Или как всегда на коленке - админу с вытаращенными глазами?

(0) А смысл? Документ можно распечатать и унести.

(0) Посоветуй клиенту договор с сотрудником составит с пунктами об ответственности при разглашении конф. информации.

(25) поддерживаю
если захотят унести, унесут

(0) Вообще то это решается ограничением доступа пользователй к информации. Считается, что если человек получил доступ к секретной информации, то унести её за пределы организации он всё равно сможет как ты его не ограничивай. Мозги ведь ты не сможешь всем сотрудникам на выходе очищать.

(0) В серьезных организациях тэрнэтунэту

Вариант одной из организаций:
Интернет на выделенном компьютере(вроде бы есть, а может и нет, не знаю).
Сети изолированные(как от интернета, так и разные отделы)
Перенос информации через сертифицированные флешки(другие подключать не дает), флешки не выносятся. Подключать ничего своего нельзя. Телефоны сдаются на входе.
Ну и куча настроек безопасности и прочего.
Чем не вариант?

(23) достаточно формирования отчета раз в период для "клиента" (см.  (0) ) о новодобавленных адресах. А дальнейшие действия клиента уже нас не касаются.  А насчет необходимости обеспечения работоспособности абсолютно согласен. Любой новый внедренный механизм в организации - очередная причина для более или менее частой траты денег на услуги специалиста.
Но сам принцип - клиент изредка заходит в автоматизированный итерфейс и формирует себе отчет о новодобавленных "белых" адресах - кажется мне оптимальным.

(30) Намного проще копировать входящую и исходящую почту в службу безопасности или директору. С уведомлением этих действий при приеме на работу.

(30) Более глупого объяснения я не могу представить: "Извините не могу отправить вам счет, т.к. вашего адреса нет в базе, а ответственный за заведение человек с утра в туалете засел".

кто будет решать [email protected] — это "белый" адрес или "черный"?

(31) серьезно?

(32) ответственный за ведение человек?   Вы о чем?  почитайте предложенное внимательнее.

(33) безопасность.

(21) позвонил пообщался с представителями одного DLP, начальную стоимость примерно так и обозначили. Единственный косяк - система мониторит информацию, но не запрещает ее пересылку. Т.е. при отправке потенциально опасного письма оно уйдет и вылезет сообщение что такое письмо было отправлено

(35) как?

(37) Это их работа.