Pull to refresh

Comments 45

Все интересовались, кому пришло в голову сливать старый паблик в паблик. Начало поста очень похоже на ответ на вопрос.
Проверялось только окончание почтового адреса визуально? А как же почта для доменов, которую предоставляют все те же yandex, google, mail?
Как можно определить использование почты для доменов? Можно ли это определить, например, по заголовкам входящего письма?
UFO just landed and posted this here
Визуально. Учитывая, что у ведомств есть официальные почтовые сервера, считаю такой вариант крайне маловероятным и бессмысленным.
Взял для примера МВД Волгоградской области. Домен 34.mvd.ru. По DNS MX Check выдаются mx.yandex.ru, чтд.
По моему мнению, вариант использовать почту для доменов — очень высок. Использование своих собственных почтовых серверов будет только тогда, когда об этом специально попросят и средства на поддержку веделят. И самый простой способ убрать публичные окончания mail.ru, yandex.ru — использовать почту для домена. Делов-то, одну-две строчки скопировать-вставить.
Выходит, что ситуация еще более печальная, чем по моей статистике?
Печальная. Но не на столько, чтобы расстроиться. Как по мне — ничего удивительного не произошло. Все ожидаемо. Было бы наоборот радостно, если бы ваша статистика была бы приближенной к реальности дел. Тогда за 50% собственных серверов структур я бы удивился и порадовался. Причем порадовался стремлению к собственным серверам, но никак не потенциально возросшей безопасности. С одного конца — приватность данных относительно своего сервера и стороннего понятна, с другого конца — устойчивость ко взлому всяко выше у яндекса, мейла, гугла, чем у старшего лейтенанта Почтовика Ивана Сергеевича или отдела безопасности из двух человек и собаки где-то в далеком малоразвитом регионе.
Вы не правы, один хороший специалист может поддерживать и сотню почтовых серверов.
А сейчас как правило делают 1 почтовый сервис и раздают ящики своим подразделениям по стране, так что это еще дешевле, чем держать кучу почтовых серверов. А субдомены, как и редирект сделать можно пару строчками.
То, про что вы рассказываете — это то, как делают коммерческие компании, которым нужно зарабатывать деньги. А в госструктурах ситуация совсем иная. Найти денег на одного-двух «хороших специалистов» там не получится. Скорее найдутся деньги за 100 «старших лейтенантов Почтовика». И да, безопасностью там не будет пахнуть даже близко.
Все-таки адреса mvd.gov.ru идут, как я понимаю, на ведомственный mail.mvd.gov.ru, других вида хх.mvd.ru — нет.
UFO just landed and posted this here
То, что у них сайты по-разному сделаны — это не страшно.
А с почтой беда. Сделать единый почтовый сервер на 85 регионов силами местных админов невозможно. Такое под силу только интеграторам за несусветное количество миллионов — с созданием ЦОД и т.д. СК, прокуратура и МВД — видимо не самые богатые ведомства. Вот у ФНС есть единая почта.
Ну вообще, мой «юношеский» максимализм (полюбить — так королеву, проиграть — так миллион) подсказывает, что наверное, стоило бы сделать какой-нибудь gov.ru на все регионы и все ведомства (а может, он даже есть? кто знает). В результате всё равно может получиться существенная экономия.
А у нас (Мордовия) вообще форма для обращения к местным властям через сайт сделана :-). Возможно, так даже лучше — когда я вижу email на сайте, я вовсе не уверен, что напишу на этот адрес и мне ответят. Безотносительно того, сайт коммерческой структуры или государственной.
Вроде как международный опыт показывает, что в правительстве вместо такого сложного единого мега-сайта лучше иметь много местных, но с едиными сервисами и форматами обмена данных.

Я встречал обратный подход три раза в своей практике, но не у правительственных организаций, а у международных компаний. Головной офис хостит полсотни сайтов для филиалов в разных странах на одной кодовой базе. Региональные подразделения имеют права редакторов и каждый их шаг регламентирован. В результате получаем шаблонные сайты, на которые на местах даже новую форму добавить невозможно. А любой запрос изменения фич CMS затягивается на несколько месяцев и чаще заканчивается отказом. Чтобы не завалить столько сайтов разом, программисты придерживаются стратегии «ничего не трогай». И такая централизация нафиг не нужна.
Уточню, что я имел в виду единый почтовый сервер (отвечал на комментарий про почту).
В прошлом году вроде какие-то были новости про государственную электронную почту, причем не только для чиновников, но и для плебеев. Но пока все затихло.
UFO just landed and posted this here
Я надеюсь, это всё-таки шутка была, да?
Я просто старенький становлюсь, перестаю понимать шутки.
UFO just landed and posted this here
Наверное все же это зависит от того, кто стоит во главе всей IT-инфраструктуры конкретного ведомства. НО! единая почта типа username@rXX.mXX.nalog.ru — это в основном для внутренней связи между инспекциями, а для работы, например, с электронными площадками, с контрагентами используются адреса на mail.ru и yandex.ru. Потому что с внутреннего ящика общаться можно, но параноидальные правила безопасности частенько не пропускали документы для бухгалтерии. Это лично мой опыт за 2 года работы в налоговой.
Беда в том, что свои почтовые домены (да и сервера) у них есть. И часть сотрудников пользуется ведомственными ящиками. Но чуть меньше половины пользуется мэйлру, остальные — другими сервисами. Жаль, что нельзя выложить статистику. Она печальная. Почему положение дел такое — я не знаю. Возможно, работа с корпоративным ящиком настолько неудобная, что люди используют бесплатные ящики.
У опера который расследует дела по автомобилям в Челябинске мыл на маил. Ру и всю переписку он ведет через него.
Справедливости ради, что у следственного комитета, что у прокуратуры, что у МВД обычно на сайте есть «форма для отправки обращений».

sledcom.ru/internet-reception/feedback/
www.genproc.gov.ru/contacts/ipriem/send/
mvd.ru/request_main

Что она использует внутри, это уже конечно другой вопрос, но для официальных обращений, вроде бы, стоит использовать именно их.
Просто важный момент: нехорошо, что гос.учреждения используют открытые сервисы, а не собственные мощности. Но ведь и пользователи, с высокой вероятностью, будут отправлять письма именно с таких сервисов. Если одна сторона уязвима, столь ли важно, что использует вторая?
Хорошее уточнение. Однако, потенциально скомпрометированная отправляющая сторона все таки не повод безответственно относиться к приему. Это если рассматривать с точки зрения передачи данных. С точки зрения хранения, очевидно, что лучше использовать свое (при этом грамотно отнесясь к безопасности к взлому). Это избавит от потенциальной возможности читать важные данные самими службами яндекса, мейла, гугла, например. Также, нельзя не подумать о внутреннем документообороте. Наверняка в своем постоянстве где-то используется: — Вероника, отправь мне базу должников за первый квартал в почту! — Не вопрос, лови! (при этом два соседних ПК передали информацию через сторонний почтовый сервер где-то далеко — в другом городе, стране или континенте).
(при этом грамотно отнесясь к безопасности к взлому)
Вот тут как раз основная проблема — у тех 2-3 админов на все ведомство в регионах может не быть соответствующих знаний (а может и времени) на правильную настройку и поддержание почтовой системы. И на мой взгляд лучше корпоративная почта на Яндексе например, чем криво настроенный и возможно потенциально уязвимый свой почтовый сервер. С другой стороны возможно для внутренней переписки у них есть собственный почтовый сервер (требования по защите существенно ниже), а для переписки с гражданами используется майл, яндекс итд.

Поддерживаю мысль что если и делать собсвенную почтовую систему то единую на все ведомство с ЦОДом в Москве (или единую для всех гос-органов в регионе). Тогда защищенность будет на уровне.
я надеюсь, в списках «слитых» e-mail адресов нет ни одного из «ведомственных»?
Его просто не стали добавлять в список.
Вот какие ошибки я вижу в этой статье:
1) Подразумевается что почтовые сервисы «взломали». Нет, их не взломали, пароли увели у пользователей тем или иным образом. К тому же возникли большие подозрения в 100% актуальности баз. Все статьи есть на хабре.
2) Глава Роскомнадзора некомпетентен. Зачем его цитата здесь? Ради смеха?
3) Подразумевается что «свои» сервера надежнее «общих». Ага, админ, который работает за 15 тысяч в месяц смог обеспечить безопасность лучше компании, которая на этом зарабатывает. Статьи от админов госконтор тут тоже есть.
В то время, как вокруг страны сжимается кольцо врагов, целых 3 структурных подразделения держат почтовые ящики на серверах все более вероятного противника. Стыдно, товарищи!
Хабр — не для политики. На сайте крайне не приветствуются дискуссии на политические темы в любом их проявлении.
Ну юмор-то на Хабре ещё не запретили
Согласен, свой почтовый сервер не значит надежней!
Настроить сам почтовый сервер — это не трудно.
А вот настроить нормальный анти спам — это мега сложная задача.
Хотя нет, это не задача, а война.
Потому парой хороших админов вы не обойдетесь.
Вот у убегают люди на публичные сервера, пусть гугловые и яндексовые админы сражаются на этой войне.
owa.mos.ru/ — единая почтовая система правительства Москвы.
Сделана на Microsoft Exchange.
Со следующего года адрес почты в домене mos.ru обязательно должен быть указан на бланках и официальных документах всех госучреждений Москвы.
С невалидным сертификатом?
Формально — нет. Сертификат совершенно валиден, так как подписан неким CA, выдан для правильного сайта и действителен с 08.09.2014 по 07.02.2017. Да, вы не доверяете CA «JSC Electronic Moscow RSA», поэтому в вашем браузере этот сертификат не отображается как доверенный. Но у вас и аккаунта на этом owa.mos.ru нет, так что ваш личный пример не показателен.

Весь вопрос в том, как устроен процесс заведения аккаунта у owa.mos.ru: заставляют ли они прописывать CA «JSC Electronic Moscow RSA» в доверенные или просто говорят: «добавьте исключение». Я бы поставил на второе, да в любом случае и первый вариант-то плох, поскольку чреват компрометацией.
Сертификат валидный для государственных ведомств, так как выдан доверенному ЦУ. Другое дело, что там используются вражеские алгоритмы шифрования.
В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?

Возможно потому, что они существуют лишь на бумаге.
Пример: в эти выходные «один мой друг» восстанавливал муфту высоковольтную, вместо того, чтобы отдыхать. По документам небезызвестной организации, осваивающей бюджетные средства, там были голландские муфты, а по факту — дешевый китай (самый дешевый из возможных), который шьет почем зря.
UFO just landed and posted this here
Ребята даже помнят Rambler! Молодцы, чо.


А чо? Я тоже помню рамблер, и это у меня основной ящик наряду с гмылом. Чем он так особо плох?
Почту показывает, антиспам настраивается. Только что двухфакторной аутентификации нет да
мобильного приложения.
Чего-то они там напутали. Я для загранпаспорта искал список документов на www.fmsrm.ru/
Хотя почтовые адреса — всё равно на mail.ru
Sign up to leave a comment.

Articles