Найти тему
#IT-надзор

Риски использования почты на домене

Оглавление

Особенно это важно и необходимо иметь ввиду в сфере B2B/B2C и корпоративных доменных имен.

Ни для кого не секрет, что нередко сайт для крупной корпорации может иметь больше номинальное, чем коммерческое значение - и ведется скорее как корпоративная газета в столовой для сотрудников.

Да, там может появляться какая-то информация для внутренней кухни, может осуществляться работа корпоративного портала - разгружая бухгалтерию и отдел кадров от работы со справочной документацией.

Тем не менее имеют место случаи и коммерческого взаимодействия, привязанного на корпоративную почту.

Что такое корпоративная почта на домене? Это почта вида ivan.ivanov@truezavod.ru

Она позволяет привязать определенного менеджера или сотрудника к домену вашей организации, интернет магазина, завода или агенства.

Это позволит создавать как общие почты, например: mail@truezavod.ru

Так и именные, например:

  • ksenya.borodina@truezavod.ru
  • oleg.stepanenko@truezavod.ru

Каковы плюсы корпоративной почты на домене

Несомненным плюсом являются:

  • Главный плюс - это корпоративный вид домена и почты, дающий полную принадлежность менеджера к компании. Это повышает лояльность клиентов, по сравнению с почтами на «бесплатных» доменах (например, @mail.ru, @yandex.ru, @gmail.com, и прочие).
  • Домен принадлежит компании и не зависит от деятельности сторонних владельцев сервиса, которые могут закрыть (как это было с рядом почтовых сервисов после 2022 года) / ограничить доступ (как это было с Google, так же после 2022 года) или сделать пользование платным (как это было, например, с Яндекс.Почтой).
  • Настройка корпоративной безопасности на Вашем домене. Корпоративный домен может быть правильно настроен с точки зрения безопасности.
  • Отслеживать и управлять корпоративными доменами и его содержимого. Интегрировать с системами CRM либо внутресетевой активности. Противодействовать утечкам.

Каковы минусы корпоративной почты на домена

-2

  • Главный минус является обратной стороны медали главного плюса - это возможная потеря управления доменом в результате халатности или по другим причинам.
  • Как известно, доменные имена не являются собственностью при регистрации в прямой смысле имущественных прав. Домен представляет собой временную услугу администрирования домена, требующая ежегодного продления.
  • В случае, если домен не был продлен - он будет высвобожден и может быть зарегистрирован любым юридическим или физическим лицом.
Основная проблема заключена в том, что новый владелец домена, помимо права распоряжения самим доменным именем - получит право управления и всеми почтовыми ящиками корпоративного домена.
  • Помимо потери доменного имени, на этапе регистрации необходимо тщательно подходить к заполнению данных, на которые регистрируется домен, который предполагалось использовать как корпоративный.
  • Проблемы здесь заключаются в том, что домен нередко регистрируется на физическое лицо - либо на окружение из круга директоров, либо вообще на какого-то сотрудника (IT-специалиста, менеджера, бухгалтера).
  • В последствии может возникнуть такая ситуация, что связь с данным человеком будет потеряна (по любой из причин). При этом перерегистрировать домен на другое лицо без его фактического присутствия может не получиться.
  • Это одна из типичных причин, по которым происходит дальнейшее высвобождение корпоративного домена и потеря доступа ко всем корпоративным почтовым ящикам на нем.
  • Третий минус использования корпоративного домена - заключается в необходимости его обслуживания, т.е. он требует либо локальной инфраструктуры (со всеми вытекающими из этого последствиями), либо - облачное управление внешними сервисами, имеющими свои особенности (включая плюсы и минусы). При использовании последних управление может быть так же платным.

Какие данные можно потерять вместе с доменом?

На самом деле потере подлежат любые данные, в т.ч. и конфиденциальные. Основная проблема, на мой взгляд, кроется в утечках корпоративной, финансовой и коммерческой информации.

К примеру, на утерянные домены может приходить бухгалтерская документация:

Рассылке подвергается конфиденциальная юридическая и бухгалтерская информация
Рассылке подвергается конфиденциальная юридическая и бухгалтерская информация

Коммерческие запросы, которые не дойдут до адресата:

Коммерческие запросы, которые ранее приходили на менеджеров - более к ним поступать не будут
Коммерческие запросы, которые ранее приходили на менеджеров - более к ним поступать не будут

Данные интеграции с документооборота:

Некоторые системы автоматического документооборота могут иметь в рассылке уже утерянные адреса, и инициировать массовую утечку данных
Некоторые системы автоматического документооборота могут иметь в рассылке уже утерянные адреса, и инициировать массовую утечку данных

Есть и совсем не поддающиеся логике письма:

В данном случае люди забеспокоились об утечке, и в рассылке прислали новый логин и пароль. Прислали, как не трудно догадаться - и туда, откуда исходила утечка.
В данном случае люди забеспокоились об утечке, и в рассылке прислали новый логин и пароль. Прислали, как не трудно догадаться - и туда, откуда исходила утечка.

Таких примеров на самом деле множество, как видим - корпоративная безопасности в IT пока не на самом высоком уровне.

А может лучше перейти на обычный домен?

Да, можно перейти на обычный домены @mail.ru или @yandex.ru - но в таком случае добровольно будет осуществлен отказ от основных преимуществ корпоративного домена.

Так же стоит помнить, что все перечисленное относится не только к почте на домене, но и к самому домену, на котором может располагаться важная или условно-важная информация.

Если у компании имеется свой корпоративный сайт - то переход на общедоступные почтовые адреса не имеет однозначных плюсов.

Утеря доменного имени может повлечь так же и утерю информации, а так же другие имиджевые и прочие риски для компании.

Что же делать?

Как минимум нужно соблюдать несколько простых правил:

1) Корпоративный домен должен быть зарегистрирован на юридическое лицо. Да, он может в теории пройти процедуру отчуждения, т.к. будет являться финансовым активом компании в общей массе. Однако отчуждение от физлица может произойти еще проще.

Стоит помнить, что доменное имя не подлежит долевой собственности, так просто разделить его между несколькими собственниками не получится.

В крайнем случае рекомендуется регистрировать на имя генерального директора или одного из учредителей. Но нужно быть готовым, что его в случае чего могут так же аффилировать с компанией.

В случае, если домен уже зарегистрирован на физическое лицо, сотрудника - рекомендуется провести перерегистрацию.

2) Нужен человек в компании, который будет отвечать за домен, почту и информационную безопасность. Либо кто-то из штата, либо удаленный сотрудник.

3) Следить за тем, чтобы домен был оплачен и регистрация не вышла. Включить автоматические продления нужных доменов.

4) Не допускать утери важных доменных имен, даже если они перестали использоваться по назначению.

5) При высвобождении домена провести аудит почтовых ящиков - отписать их от важных форм рассылок (CRM / документооборот / сайты)

Что делать, если утечка уже состоялась?

На самом деле самым сложным моментом является не продумать что делать когда состоялась утечка, а определить что эта утечка имеет место быть.

-7

Ведь письма, которые доходят на удаленный домен - не попадают к адресату, а имеют ли они при этом стороннего наблюдателя - т.е. определить действительное наличие проблемы - похоже на задачи из области квантовой механики.

На деле, если утечка уже свершилась, порядок действий может быть следующим:

1) восстановить домен, либо выкупить его у нового владельца (что может быть затруднительно)

2) Провести аудит внутренней CRM и сервисов документооборота на предмет наличия данного домена в рассылке и учетных записях. Заменить на актуальные.

3) Провести перекресную рассылку от менеджеров к клиентам, которые могут использовать старые адреса с сообщением об изменении почтового адреса

4) Произвести смену реквизитов на сайтах компании на актуальные.

5) При необходимости так же произвести смену реквизитов на сторонних сайтах, где зарегистрирована компания и это имеет значение (например, маркетплейсах, b2b-площадках, youtube каналах, социальных сетях и тп.)

Если вам интересна подобная тематика, основанная на личном опыте - ставьте лайки или подписывайтесь, и впереди будет много интересного.