Il giorno 24/giu/08, alle ore 15:26, rino lo turco ha scritto:
1) log smtp passati presenti e futuri
Non puoi ! , intanto NON devi avere log passati . per il futuro che
sia un AG a chiederti di monitorare, in ongni caso MAI i contenuti!
Io ero addirittura convinto che fosse /obbligatorio/ conservarli per
un tot di tempo. In ogni caso dubito che qualsiasi sistema email in
produzione non abbia un minimo di logging per ovvie questioni
tecniche. Mi riferisco ovviamente al classico log di postfix standard,
non certo ai contenuti del traffico o delle mailbox.
2) monitoraggio (copia) dei messaggi email in transito da "prima
possibile" in poi
ASSOLUTAMENTE NO!
3) di tenere all'oscuro della faccenda chiunque altro (incluso
ovviamente l'utente in questione)
MA FIGURAMOCI
Ok, almeno su questo ero subito nel giusto. Che poi fin qui basta il
buon senso, direi.
rispondi al cliente che la legge ti impedisce di farlo , che il
farlo è reato penale e che se insiste potrai denunciarlo
(istigazione ).
È stata la mia prima risposta, seguita (dopo sue insistenze) da un "mi
informerò meglio" - costituito tra le altre cose da questo thread :)
- i log immagino possano essere forniti al titolare dietro sua
richiesta, ma non a chi non sia responsabile legale dell'azienda, e
l'hoster ha semplicemente bisogno di una richiesta scritta del
suddetto titolare - in cui quest'ultimo si assume la responsabilità
dell'uso di tali log e solleva l'hoster dalla stessa (ha valore?)
trattandosi di reati penali la manleva non ha alcun valore , il
reato è di chi lo commette (tu)
Io ero sinceramente nel dubbio sul discorso dei log smtp, sospettavo
che entro certe condizioni potesse essere fornito al titolare
dell'azienda, in quanto parte del servizio fornito all'azienda stessa.
Parlando sempre in linea teorica, io non so nemmeno se e chi usi un
certo account email, anche se vedere [EMAIL PROTECTED] dovrebbe
far scattare quanto meno un'idea. Però in ogni caso le caselle sono
gestite dal cliente quindi lui potrebbe creare [EMAIL PROTECTED]
e chiedermi i log a scopo debug...
Semplificando, la mia idea era che avendo un contratto con l'entità
"azienda" per la fornitura di N account email, io non avessi alcuna
relazione con lavoratori, dipendenti, persone, e quant'altro, e i log
fossero semplicemente un aspetto del servizio offerto.
Ma a quanto mi dite è un no-no pure qui.
Ringrazio tutti per le risposte.
--
Luca Lesinigo________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
