Как защитить корпоративную почту на мобильных устройствах: безопасность Exchange ActiveSync без утечек — Контур.Эгида

В этой статье

Как защитить корпоративную почту на мобильных устройствах: безопасность Exchange ActiveSync без утечек

24 марта 2026

Смартфон с корпоративной почтой — удобный инструмент работы и одновременно один из возможных каналов утечки данных. Exchange ActiveSync позволяет быстро синхронизировать почту на iOS и Android, но вместе с письмами на устройство попадают документы, переписка и вложения.В статье разберем, какие риски возникают при мобильном доступе и как выстроить защиту корпоративной почты через политики безопасности, MDM и DLP.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы

Почему мобильный доступ к почте становится каналом утечек

Exchange ActiveSync — это протокол синхронизации, который позволяет работать с корпоративной почтой, календарем и контактами на мобильных устройствах. После подключения учетной записи почтовый сервер автоматически передает данные на смартфон или планшет.

Для пользователя это выглядит просто: он добавляет рабочий аккаунт в Outlook на мобильном устройстве или во встроенное почтовое приложение — и письма начинают приходить на смартфон или планшет.

Но с точки зрения информационной безопасности происходит следующее:

  1. Почтовый сервер передает данные на мобильные устройства iOS и Android.
  2. Письма и вложения сохраняются в памяти устройства.
  3. Пользователь может пересылать файлы, копировать данные или сохранять их в сторонние приложения.

В результате корпоративная почта фактически выходит за пределы защищенного контура инфраструктуры.

Если при этом не настроены политики безопасности Exchange ActiveSync, компания теряет контроль над тем, где именно хранятся письма и вложения.

Основные риски мобильного доступа к корпоративной почте

Когда сотрудники используют личные смартфоны или планшеты для работы, появляются дополнительные угрозы безопасности.

Наиболее распространенные риски:

  • Потеря или кража устройства. Без шифрования данных и блокировки устройства злоумышленник может получить доступ к почтовому ящику.
  • Неконтролируемые приложения. Пользователь может открыть письмо или вложение в стороннем приложении и сохранить файл вне корпоративного контура.
  • Компрометация учетной записи. Если злоумышленник получает доступ к почте, через ActiveSync он может синхронизировать всю переписку и передать ее на свое устройство.
  • Отсутствие централизованного контроля. Без систем MDM (Mobile Device Management) и политик безопасности невозможно контролировать состояние устройств и уровень защиты.

В такой ситуации даже небольшая ошибка пользователя может привести к утечке конфиденциальных данных.

Инциденты и атаки, связанные с корпоративной почтой

Почта остается одним из главных каналов атак на компании. Через нее распространяются фишинговые письма, вредоносные вложения и схемы социальной инженерии.

Один из наиболее известных сценариев — CEO Fraud. Это атака, при которой злоумышленник выдает себя за руководителя компании и отправляет сотруднику письмо с требованием срочно перевести деньги или передать документы.

Если злоумышленник получает доступ к почтовому ящику, он может:

  • читать переписку и изучать бизнес-процессы;
  • отправлять письма от имени сотрудников;
  • использовать доверие внутри компании для атак.

При мобильном доступе риски возрастают: пользователь проверяет почту на ходу, быстрее принимает решения и реже проверяет детали письма.

Поэтому защита корпоративной почты на мобильных устройствах должна включать несколько уровней безопасности:

Уровень защиты Что контролирует

Политики безопасности Exchange ActiveSync

требования к устройствам и паролям

MDM

контроль мобильных устройств и их состояния

DLP

предотвращение утечек данных

IRM

ограничение пересылки и копирования писем

Такой подход позволяет не только защитить почтовую инфраструктуру, но и сохранить контроль над корпоративными данными, которые оказываются на мобильных устройствах сотрудников.

Политики безопасности Exchange ActiveSync

Сам по себе Exchange ActiveSync только синхронизирует почту с мобильным устройством. За безопасность отвечает другой механизм — политики безопасности, которые определяют, какие устройства могут подключаться к почте и при каких условиях.

Такие политики позволяют контролировать мобильный доступ к корпоративной почте и снизить риск утечек данных.

Какие политики безопасности доступны в ActiveSync

Политики ActiveSync задают базовые требования к устройствам сотрудников. Они применяются автоматически при подключении почтового аккаунта.

Чаще всего используются следующие параметры:

  • требование PIN-кода или пароля на устройстве;
  • минимальная длина и сложность пароля;
  • автоматическая блокировка устройства после периода бездействия;
  • ограничение количества попыток ввода пароля;
  • удаленная очистка данных (remote wipe).

Такие меры защищают корпоративную почту в случае потери или кражи смартфона. Например, если пользователь несколько раз вводит неправильный пароль, система может автоматически удалить корпоративные данные с устройства.

Отсутствие второго фактора в ActiveSync по умолчанию

Важно учитывать, что Exchange ActiveSync сам по себе не обеспечивает многофакторную аутентификацию. В базовой конфигурации доступ к корпоративной почте возможен по логину и паролю.

Это означает, что при компрометации учетной записи злоумышленник может подключить свое устройство и синхронизировать всю переписку через ActiveSync — без дополнительных проверок.

Поэтому минимальный «гигиенический» уровень защиты мобильной почты должен включать:

  • обязательную многофакторную аутентификацию (2FA);
  • ограничения доступа по устройствам или через MDM;
  • контроль подозрительных попыток входа.

Без этого даже корректно настроенные политики ActiveSync и DLP не предотвращают несанкционированный доступ к почте.

Политики ActiveSync для iOS и Android

Хотя ActiveSync поддерживается большинством мобильных платформ, политики ActiveSync для iOS и Android работают немного по-разному.

Некоторые функции могут поддерживаться не полностью или реализовываться через механизмы самой операционной системы.

Возможность политики iOS Android

Требование PIN-кода

да

да

Шифрование данных

да

зависит от устройства

Удаленная очистка данных

да

да

Ограничение приложений

частично

зависит от версии

Поэтому при настройке политик безопасности Exchange ActiveSync важно учитывать, какие устройства используются в компании и какие функции безопасности они поддерживают.

Шифрование данных и удаленная блокировка устройств

Еще один важный механизм — шифрование данных в Exchange ActiveSync. Если на устройстве включено шифрование, письма и вложения сохраняются в зашифрованном виде. Даже при физическом доступе к смартфону злоумышленник не сможет прочитать данные без разблокировки устройства.

Дополнительно можно использовать функцию удаленной блокировки или очистки устройства.

Это позволяет:

  • заблокировать устройство при подозрении на компрометацию;
  • удалить корпоративную почту и вложения;
  • защитить данные при потере смартфона.

Однако одних только политик ActiveSync недостаточно. Они контролируют базовые параметры безопасности, но не позволяют полноценно управлять устройствами сотрудников.

Управление мобильными устройствами: MDM и контроль доступа

Когда сотрудники работают с корпоративной почтой со своих смартфонов, компании важно понимать:

  • какие устройства подключаются к почтовому серверу;
  • соответствуют ли они требованиям безопасности;
  • можно ли контролировать данные на этих устройствах.

Для этого используются системы MDM (Mobile Device Management) — инструменты управления мобильными устройствами.

Как MDM усиливает защиту ActiveSync

MDM расширяет возможности стандартных политик ActiveSync и позволяет управлять безопасностью мобильных устройств централизованно.

С помощью MDM можно:

  1. регистрировать устройства сотрудников в корпоративной системе;
  2. проверять соответствие требованиям безопасности;
  3. автоматически применять политики безопасности;
  4. блокировать доступ к почте для небезопасных устройств.

Например, если устройство не соответствует требованиям безопасности — на нем отключено шифрование данных или установлена устаревшая версия Android — система может запретить синхронизацию корпоративной почты.

Таким образом, MDM обеспечивает контроль мобильных устройств и корпоративной почты на уровне всей инфраструктуры.

Карантин устройств в Exchange ActiveSync

Еще один важный встроенный механизм — карантин устройств в Exchange ActiveSync.

Он работает следующим образом:

  1. новое устройство пытается подключиться к почте;
  2. сервер помещает его в карантин — фактически, передает этот запрос на подключение администратору;
  3. администратор принимает решение — разрешить доступ или заблокировать устройство.

Такой подход позволяет предотвратить подключение неизвестных или небезопасных устройств к корпоративной почте.

Особенно это важно в компаниях, где используется BYOD (Bring Your Own Device) — когда сотрудники работают со своими личными смартфонами.

Контроль корпоративных устройств и BYOD

В современной инфраструктуре часто одновременно используются два типа устройств: корпоративные устройства, выданные компанией, и личные устройства сотрудников.

Для каждого сценария применяются разные политики безопасности.

Тип устройства Подход к безопасности

Корпоративные устройства

полный контроль через MDM

Личные устройства (BYOD)

ограниченный доступ и дополнительные проверки

При работе с BYOD важно контролировать:

  • наличие пароля и шифрования данных;
  • версию операционной системы;
  • наличие вредоносных приложений;
  • соблюдение корпоративных политик безопасности.

Такой подход позволяет сохранить баланс между удобством сотрудников и защитой корпоративной почты.

Однако даже при правильной настройке ActiveSync и MDM остается еще одна задача — предотвращение утечек данных из самих писем и вложений. Именно для этого используются системы DLP и IRM.

Как предотвратить утечки почты через мобильные устройства

Политики ActiveSync и системы MDM позволяют контролировать устройства, но они не отвечают за то, что происходит с данными внутри писем. Сотрудник может переслать письмо, сохранить вложение или скопировать текст в стороннее приложение.

Чтобы предотвратить такие сценарии, используются системы DLP (Data Loss Prevention) и IRM (Information Rights Management).

DLP-контроль для Exchange и мобильных клиентов

DLP для мобильных клиентов анализирует содержимое писем и вложений и помогает предотвратить утечки конфиденциальной информации.

Система проверяет сообщения по заранее заданным правилам. Например, она может обнаружить:

  • номера банковских карт;
  • персональные данные;
  • коммерческую тайну;
  • внутренние документы компании.

Если письмо нарушает политику безопасности, система может:

  1. заблокировать отправку письма;
  2. предупредить пользователя о нарушении политики;
  3. отправить уведомление службе безопасности.

Таким образом, DLP для ActiveSync позволяет контролировать данные даже после того, как письмо попало на мобильное устройство.

IRM: ограничение пересылки и копирования писем

Системы IRM (Information Rights Management) защищают содержимое писем и вложений за счет управления правами доступа.

С их помощью можно ограничить действия получателя:

  • запретить пересылку письма;
  • запретить копирование текста;
  • запретить печать;
  • ограничить доступ к документу по времени.

Это особенно важно для писем с конфиденциальными вложениями: финансовыми отчетами, договорами или персональными данными.

В таком случае IRM для корпоративной почты и ActiveSync позволяет контролировать, что происходит с письмом даже после его получения.

Дополнительные инструменты защиты, например Devicelock

В крупных инфраструктурах возможности стандартных инструментов Exchange могут дополняться специализированными решениями безопасности.

Например, системы класса Devicelock позволяют усилить контроль доступа и блокировку утечек через ActiveSync. Они могут:

  • анализировать почтовый трафик;
  • контролировать передачу вложений;
  • отслеживать подозрительные действия пользователей.

Такие решения используются как дополнительный уровень защиты, когда компания работает с конфиденциальной информацией и требования к безопасности выше стандартных.

Защита мобильной почты: практические рекомендации

На практике защита мобильной почты редко строится с помощью одного инструмента. Безопасность обеспечивается комбинацией нескольких технологий, каждая из которых решает свою задачу.

Базовая настройка безопасного доступа через ActiveSync

Первый уровень защиты — правильная настройка ActiveSync и политик безопасности Exchange.

Минимальный набор мер обычно включает:

  • обязательный пароль или PIN-код на устройстве;
  • автоматическую блокировку устройства;
  • ограничение количества попыток ввода пароля;
  • шифрование данных для Exchange ActiveSync;
  • возможность удаленной очистки устройства.

Такая базовая конфигурация уже снижает риск утечек при потере смартфона или несанкционированном доступе.

Защита мобильного Outlook и других почтовых клиентов

Важно учитывать, что сотрудники используют разные почтовые приложения: мобильный Outlook, встроенные клиенты iOS или Android и сторонние приложения.

Поэтому политика безопасности должна учитывать несколько факторов:

  • какие приложения разрешено использовать;
  • поддерживают ли они политики ActiveSync;
  • можно ли контролировать хранение вложений.

В некоторых организациях разрешают доступ только через мобильный Outlook, поскольку он лучше интегрируется с механизмами безопасности Microsoft.

Многоуровневая модель защиты корпоративной почты

Наиболее эффективный подход — многоуровневая защита мобильной почты.

Она объединяет несколько технологий:

Уровень Что обеспечивает

Политики безопасности Exchange ActiveSync

базовые требования к устройствам

MDM

контроль мобильных устройств

DLP

предотвращение утечек данных

IRM

защита содержимого писем

Контроль доступа

ограничение небезопасных устройств

Такой подход позволяет одновременно решить несколько задач:

  • контролировать мобильные устройства сотрудников;
  • защитить корпоративную почту и вложения;
  • снизить риск утечек.

На практике именно комбинация ActiveSync, MDM и DLP позволяет построить устойчивую систему защиты мобильного доступа к корпоративной почте.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться