企業郵件系統的安全、稽核與資料治理:打造可控、可查、可證據的郵件環境

Posted on by Rico

【Mail Server 系列文:第 17 篇】

在前 16 篇,我們已經完成:

  • SMTP/IMAP 架構
  • postfix、dovecot、amavis、clamav
  • SpamAssassin 過濾
  • DKIM/DMARC/SPF
  • Docker + 反向代理
  • Archive(Piler)
  • full-text search(Manticore)
  • 監控與告警(Prometheus + Grafana)

但要真正達到企業標準,安全、稽核與資料治理才是整套郵件體系的最終關鍵目標。

本篇將完整整理企業郵件治理模型,提供可直接落地執行的策略。

1. 安全治理:企業郵件系統的第一道防線

郵件是企業最容易受到攻擊的系統之一,常見風險包括:

  • 偽冒寄信(spoofing)
  • 費雪釣魚(phishing)
  • 惡意附件病毒
  • 帳號密碼外洩後被濫用寄信
  • 竄改公司外部信件(MiTM)
  • 內部員工濫用帳號

因此安全治理分成四大面向。

1.1 郵件身份驗證(Sender Authentication)

企業必備三要素:

✔ SPF(防止偽冒寄件伺服器)

✔ DKIM(數位簽章)

✔ DMARC(SPF + DKIM + 報告機制)

已完整部署:

  • opendkim + amavis 自動簽章
  • DNS 完整 TXT 設定
  • DMARC 上傳 rua / ruf 報告

企業等級的要求:

  • SPF 必須“硬拒絕”:-all
  • DKIM 金鑰最少 2048 bits
  • DMARC policy 設為:p=quarantinep=reject
  • 報告必須每日分析(我可以幫你做 DMARC 報告視覺化)

1.2 通訊安全(Transport Security)

  • 所有 SMTP/IMAP 必須支援 TLS1.2+
  • submission(587)與 smtps(465)強制 TLS 加密
  • 禁用已淘汰的 cipher
  • 強制 client 憑證驗證(如需高強度)

已使用:

  • postfix SNI
  • LetsEncrypt 憑證
  • Apache 反向代理 HTTPS

安全性已是企業等級。

1.3 帳號安全(Account Security)

必備措施:

✔ 強制密碼規則(由 postfixadmin 或外部 SSO 實作)

✔ 限制暴力攻擊:Dovecot login-fail threshold

✔ 兩段式驗證(如果未來與 Keycloak / LDAP 整合)

✔ 限制高風險國家登入(Firewall GeoIP)

1.4 反垃圾郵件與惡意檔案

已部署:

  • SpamAssassin
  • Amavis
  • ClamAV
  • Bayes + SQL
  • TxRep
  • Remote Learning(使用 Sieve 自動學習)

這已遠超一般企業郵件安全等級。

2. 稽核治理:郵件行為的可追蹤性(Traceability)

企業常見稽核需求:

  • 誰寄了什麼信?
  • 收到哪封信?
  • 信件被誰轉寄?
  • 某封郵件是否被開啟?
  • 是否有人違規外寄資料?
  • 搶救法律訴訟案件需要調資料?

2.1 系統層稽核(System-level Audit)

包含:

✔ Postfix:

  • 每封信都有 queue ID
  • 完整「信件傳輸路徑」可從 log 追蹤

✔ Dovecot:

  • 每次登入、動作、刪除、搬移都有 log

✔ Amavis:

  • 每封信的病毒掃描紀錄

已將所有 log 容器化、分層化,非常適合導入:

👉 ELK / Loki 集中式 log 管理

2.2 郵件歸檔稽核 — Piler Audit Logs

已啟用:

  • piler audit(審計紀錄)
  • 登入記錄
  • 查詢者 log
  • 匹配篩選條件 log
  • 使用者是否有權查閱郵件

這是企業與上市櫃公司必備的後台審計工具。

2.3 Manticore Search Query 稽核

可稽核:

  • 誰查了什麼關鍵字
  • 是否搜尋敏感資料
  • 查詢量異常(疑似內部偵查?)

可搭配:

  • slow log
  • query log
  • Prometheus exporter

3. 資料治理(Data Governance)

郵件是“法律證據 + 知識資產”的重要來源。

企業必須確保:

  • 可保存
  • 可查詢
  • 可索引
  • 可刪除(依法)
  • 不可被竄改

3.1 郵件保留政策(Retention Policy)

piler default_retention_days = 2557
→ 約 7 年

這符合:

  • 公司法
  • 稅務查核
  • 企業內控
  • GDPR / PDPA 可調整例外

3.2 資料主權(Data Sovereignty)

你的系統全部自架:

  • 郵件本體
  • 附件
  • 歸檔
  • 索引
  • DB

這確保:

  • 資料不落在國外 CSP
  • 敏感企業郵件不落入第三方
  • 最佳內控與隱私

3.3 資料生命週期管理(Lifecycle Management)

建議加入:

✔ 冷資料歸檔至低成本儲存

如:

  • ZFS RAIDZ2
  • MinIO(S3)
  • NAS 物件儲存

✔ 自動清除政策

  • 7 年自動刪除
  • 特定人員可延長 retention
  • 涉法案件可 lock email(legal hold)

4. 資安事件處理(Incident Response, IR)

郵件是最容易出資安事件的地方,需要 SOP。

4.1 常見事件類型

  • 使用者帳號被駭 → 用來寄垃圾信
  • 外部偽冒公司 → 詐騙供應商
  • 內部員工寄資料外洩
  • 釣魚信件造成感染
  • SMTP relay 攻擊
  • 病毒郵件入侵

4.2 應變程序(IR SOP)

① 快速隔離 SMTP 帳號

postfixadmin disable mailbox
dovecot disable login

② 分析寄件紀錄(Postfix)

找 queue ID、連線來源 IP、SASL 登入者。

③ 查詢是否外寄大量垃圾信

grep "sasl_username" /var/log/postfix

④ 查詢內部郵件稽核

查 piler audit logs。

⑤ 回報管理層與法務

如涉及客戶資料 → 通報機制。

5. 全面採用 Zero Trust 郵件模型

郵件系統應轉向:

  • 每次郵件驗證身分
  • 每封郵件重新評分
  • 每次連線驗證 TLS
  • 每次查詢稽核使用者權限
  • 所有行為皆可追蹤

目前的系統:

✔ 輸入 → SMTP
✔ 檢查 → Amavis / SpamAssassin
✔ 儲存 → Dovecot
✔ 歸檔 → Piler
✔ SNI → hostname 隔離
✔ Sieve → 個別帳號自動化行為
✔ Manticore → 高效搜尋
✔ Audit → 符合內控
✔ Reverse Proxy → HTTPS 入口
✔ Docker → 隔離每個服務
✔ 監控 → Prometheus + Grafana

其實已經是完整的 Zero Trust 郵件架構

6. 建議補強清單(進階企業等級)

若你想再提升,可加入:

① DMARC 報告統計 Dashboard

② DKIM Key Rotation(每 6–12 個月更換)

③ Log 全集中(ELK / Loki)

④ piler 增加 Legal Hold 功能

⑤ 整合 Keycloak(未來可 Single Sign-On)

⑥ 加入 Fail2Ban 配合 Dovecot

⑦ SMTP Trace Dashboard(Prometheus)

⑧ 郵件事件自動化(Ansible / N8N)

總結:第 17 篇的核心精神

你打造的郵件系統已經具備:

  • 企業所需的隱私
  • 企業所需的彈性
  • 企業所需的內控
  • 企業所需的稽核
  • 企業所需的存證

本篇則為整個架構的“安全核心”。
至此,你的全自架 Mail System 已達 企業級 + 法規級 等級。