Интеграция Почты с внешними системами защиты от утечек

После настройки интеграции вся исходящая почта сотрудников попадает в DLP-систему. DLP на основе заданных правил определяет, есть ли в отправляемых письмах данные, которые считаются конфиденциальными. Если нарушение обнаружено, система действует в соответствии со своими настройками: отправляет уведомления администратору безопасности, записывает событие во внутренний журнал аудита и т. д.

Также через DLP-систему при необходимости можно проверять входящую почту на наличие запрещенной информации, фишинга или спама.

1. В вашей организации в Яндекс 360 для бизнеса создайте отдельного пользователя для работы с DLP-системой (например, с логином dlp). Как это сделать?

2. Настройте пересылку исходящей почты всех сотрудников на ящик созданного dlp-пользователя. Для этого потребуется работа с API.

   1. Воспользуйтесь инструкцией на странице Доступ к API, чтобы получить OAuth-токен. При создании приложения выберите доступы ya360_admin:mail_read_routing_rules и ya360_admin:mail_write_routing_rules .

      Если OAuth-приложение уже создано, но у него нет нужных прав доступа, добавьте их. После сохранения изменений система предложит выпустить новый токен.

   2. Определите идентификатор вашей организации: откройте admin.yandex.ru и выберите Общие настройки → Профиль организации. Идентификатор будет указан под названием организации.

      Скриншот

      

   3. Получите список правил обработки писем, настроенных в вашей организации, чтобы обновить его.

      1. Сформируйте и отправьте API-запрос на получение списка правил:

         • HTTP-метод: GET
         • URL запроса:

           https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
           Скопировано

           где {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

           Пример

           https://api360.yandex.net/admin/v1/org/1234567/mail/routing/rules
           Скопировано

         • Заголовок:

           Authorization: OAuth {OAUTH-ТОКЕН}
           Скопировано

           где {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1.

         Если вы работаете на Windows, то отправить запрос на получение списка правил обработки писем можно с помощью команды curl такого вида:

         curl -X GET -H "Authorization: OAuth {OAUTH-ТОКЕН}" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
         Скопировано

         где

         • {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1;
         • {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

         Я не понимаю, как это сделать

         1. Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
         2. Нажмите кнопку поиска на панели задач Windows, напишите в поисковой строке cmd и нажмите клавишу Enter.
         3. Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.

      2. Проанализируйте полученный ответ:

         • Если в списке нет ни одного правила обработки, переходите к следующему шагу.
         • Если список непустой, скопируйте полученный ответ, в любом текстовом редакторе создайте файл, вставьте в него полученный код и сохраните его в формате JSON (например, с именем rules-list.json).
   4. Подготовьте новый список правил. Порядок действий зависит от полученного ответа на предыдущий запрос.

      • В списке уже есть правила
      • В списке пока нет правил

      Добавьте в начало списка правило пересылки исходящей почты на ящик dlp-пользователя:

      1. В текстовом редакторе откройте файл rules-list.json.
      2. После текста {"rules":[ добавьте следующий код:

         {"terminal":false,"condition":{},"actions":[{"data":{"email":"dlp@domain.ru"},"action":"forward"}],"scope":{"direction":"outbound"}},

         где dlp@domain.ru — электронный адрес пользователя, созданного на шаге 1.

      3. Сохраните файл с именем rules-list-new.json.

      Создайте файл с именем rules-list-new.json со следующим содержимым:

      {
        "rules": [
          {
            "terminal": false,
            "condition": {},
            "actions": [
              {
                "data": {
                  "email": "dlp@domain.ru"
                },
                "action": "forward"
              }
            ],
            "scope": {
              "direction": "outbound"
            }
          }
        ]
      }
      Скопировано

      где dlp@domain.ru — электронный адрес пользователя, созданного на шаге 1.
   5. Сформируйте и отправьте API-запрос, который создает плавило пересылки исходящей почты.

      • HTTP-метод: PUT
      • URL запроса:

        https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
        Скопировано

        где {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

      • Заголовки:

        Authorization: OAuth {OAUTH-ТОКЕН}
        Content-Type: application/json
        Скопировано

        где {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1.

      • Тело запроса: содержится в файле rules-list-new.json, созданном на шаге 2.4.

      Если вы работаете на Windows, то отправить запрос на создание правила пересылки можно с помощью команды curl такого вида:

      curl -X PUT -H "Authorization: OAuth {OAUTH-ТОКЕН}" -H "Content-Type: application/json" -d "@rules-list-new.json" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
      Скопировано

      где

      • {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1;
      • rules-list-new.json — файл с телом запроса, созданный на шаге 2.4;
      • {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

      Я не понимаю, как это сделать

      1. Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
      2. Откройте папку, в которой лежит файл rules-list-new.json.
      3. Нажмите на пустое место в адресной строке.
      4. Напишите туда cmd и нажмите клавишу Enter.
      5. Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.

   6. Проверить, что правило создалось, можно, отправив API-запрос на просмотр правил обработки писем по инструкции из шага 2.3.

3. Чтобы проверять входящую почту на конфиденциальную информацию, для нее также настройте правила пересылки на ящик dlp-пользователя. Это можно сделать в интерфейсе Яндекс 360 для бизнеса по инструкции.

4. Настройте ящик dlp-пользователя для работы по протоколу IMAP:

   1. Откройте раздел «Почтовые программы» в настройках Яндекс Почты dlp-пользователя.
   2. В разделе Разрешить доступ к почтовому ящику с помощью почтовых клиентов выберите опции:

      • С сервера imap.yandex.ru по протоколу IMAP
      • Способ авторизации по IMAP → Пароли приложений и OAuth-токены

      Скриншот

      

   3. Сохраните изменения.
5. Создайте пароль приложения для доступа к почтовому ящику dlp-пользователя:

   1. Откройте страницу «Пароли приложений» Яндекс ID dlp-пользователя.
   2. В разделе Создать пароль приложения нажмите в строке Почта.
   3. Придумайте название пароля, например dlp-access. С этим названием пароль будет отображаться в списке.
   4. Нажмите кнопку Далее — на экране появится созданный пароль. Скопируйте и сохраните его.

   Ограничение. Пароль можно увидеть только один раз. Если вы не сохранили его и закрыли окно, удалите текущий пароль и создайте новый.
6. Во внешней DLP-системе настройте подключение к ящику dlp-пользователя по IMAP с использованием полученного пароля приложений. Общие параметры настройки:

   • Адрес почтового сервера — imap.yandex.ru.
   • Защита соединения — SSL.
   • Порт — 993.

   За подробной инструкцией по настройке обратитесь к документации или поддержке производителя DLP-системы.